国密双秘钥体系

国密双秘钥体系的“双”体现在，申请人是有两个证书的，一个是用于认证的证书，一个是用于加密的证书。

1、用于认证的证书的生成：用户自行生成一对公私钥，其中自己保留私钥用于签名，公钥发送给CA机构，请CA来对其签名，生成该用户的签名证书。

2、用于加密的证书的生成：该证书由CA机构从其自身KMC中为用户获取一对公私钥，同时，自己备份这对公私钥。然后，CA将公钥进行签名生成加密证书，CA使用该用户的签名证书将加密私钥、加密证书等进行加密后，返回给用户。

注意：1、CA有用户用于加解密的公私钥对，因此CA是可以解密用户密文的。

2、CA没有用于签名的用户私钥备份，用户签名私钥丢失不能再生，但由于签名证书是公开的，因此其之前签名过的东西依然有效。