智能密碼鑰匙的持有者通常需由如下步驟取得合法的數字證書:第一时间向數字證書認證中心提出申請,把用戶身份信息和智能密鑰設備的硬件信息發到CA；CA斷定申請者的身份後,就給該申請者分配一個公鑰,然後CA綁定此公鑰和申請者的身份信息及智能密鑰設備的硬件信息,並為之簽字形成數字證書，之後將該數字證書下發到申請者持有的智能密碼鑰匙中。現有一種制證的方法、裝置及系統,實現自動地為智能密碼鑰匙下載數字證書,從而簡化流程,提高工作效率。

本地安全終端含本地設備和多個智能密碼鑰匙,可直接插在本地設備上的多個USB接口上,也可顺利获得USB HUB與本地設備連接；且本地設備顺利获得安全中繼從安全終端中向上述多個智能密碼鑰匙中下載數字證書。本地設備與安全中繼預先約定雙方互為信任方,並將本地設備發送的任意請求都轉發給安全終端。安全中繼可以視為一個通信通道,主要用於實現本地設備與安全終端之間的數據通信。

本地設備驗證智能密碼鑰匙的方法包括但不限於以下方法：

·本地設備將內部存儲的PIN碼發送給智能密碼鑰匙,智能密碼鑰匙比較接收到的PIN碼與自身內置的PIN碼是否一致；若一致,則驗證成功；若不一致,則驗證失敗。

·本地設備用內置的算法對智能密碼鑰匙的硬件序列號進行計算,得到PIN碼並發送給智能密碼鑰匙,且智能密碼鑰匙用內置的算法對硬件序列號進行計算得到PIN碼,再比較計算得到的PIN碼與接收到的PIN碼是不是一樣；若一樣,那麼驗證成功;若不同,則驗證失敗。

空閒密鑰對指的是沒有數字證書與其匹配的密鑰對。本地設備查找智能密碼鑰匙中是否存在空閒密鑰對的具體步驟為:本地設備從智能密碼鑰匙中查找密鑰對,然後判斷智能密碼鑰匙中是否有數字證書與查找得到的密鑰對相匹配。

智能密碼鑰匙中可以存在多個密鑰對,相應地,也可存在多個與所述密鑰對相匹配的證書,證書之間不相互覆蓋。

上述預先設定的規則是:本地設備先讀取智能密碼鑰匙中空閒密鑰對的公鑰信息,再生成一個含有密鑰對中的公鑰信息、智能密碼鑰匙的硬件序列號及證書的用途信息的數據包,並將該數據包發給智能密碼鑰匙,智能密碼鑰匙用其中的空閒密鑰對中的私鑰對所述數據包簽名,並將對數據包簽名後的簽名值發送給本地設備,本地設備再將數據包、簽名算法標識及簽名後的簽名值組合成一個PKCS#10請求數據包。

PKCS#10請求數據包中包含三部分內容:數據包、用空閒密鑰對中的私鑰對數據包簽名後的簽名值以及簽名算法標識；數據包包括密鑰對中的公鑰信息、智能密碼鑰匙的硬件序列號及證書的用途信息等信息；在本發明實施例中的PKCS#10請求數據包不包含用戶信息。