双证书具体技术流程如下:

1.用户CSP产生临时密钥对。

2.用户CSP将临时公钥传递给CA系统。

3.CA向KMC发送密钥申请信息,包括序号、主题、有效期、申请公钥类型和长度、临时公钥等。

4.KMC根据CA组织注册的通信证书验证CA密钥申请的合法性。

5.KMC从备用密钥库查询密钥对。

6.备用密钥库将正式密钥对返回KMC。

7.KMC产生对称密钥。

8.KMC用对称密钥加密正式私钥。

9.KMC用临时公钥加密对称密钥。

10.KMC将正式密钥对用KEK加密后存储到在用密钥库(KEK是对密钥进行安全加密的专用密钥,需要预先设置)。

11.KMC将正式公钥、对称密钥密文(临时公钥加密)、正式私钥密文(对称密钥加密)等返回给CA。

12.CA根据正式公钥产生用户正式公钥证书。

13.CA将正式公钥证书、对称密钥密文(临时公钥加密)、正式私钥密文(对称密钥加密)返回给用户CSP。

14.用户CSP使用临时私钥解密取得对称密钥明文,用对称密钥解密取得正式私钥明文,然后将正式公钥证书和正式私钥导入密码介质。