證書管理協定

證書管理協定（Certificate Management Protocol）是一個網際協定，用於在公開金鑰基礎建設（PKI）體系中取得符合X.509標準的數碼證書。文件RFC 4210對其進行了詳細地描述，該協定是至今為止唯二使用CRFM格式的（證書請求訊息格式，Certificate Request Message Format，在文件RFC 4211中進行描述），另一個使用該格式編碼的協定是CMC（基於CMS的證書管理（英語：Certificate Management over CMS），Certificate Management over CMS，在文件RFC 5273中進行描述）。RFC 2510中描述了一個過時的CMP版本，RFC 2511中描述了一個過時的CRMF版本。

證書管理協定（CMP）
家族：	未知
應用領域：	證書管理
最新版本：	cmp2000(2)
最新版本的OID（英語：Object identifier）：	1.3.6.1.5.5.7.0.16
TCP/UDP埠：	829 (pkix-3-ca-ra)
CMP在TCP/IP模型中： 應用層 CMP CMP HTTP HTTPS SMTP ... 傳輸層 TCP 網絡互連層 IP (IPv4, IPv6) 網絡介面層 乙太網路 權杖匯流排 權杖環 FDDI ...
建議標準：	RFC 4210 (CMP, 2005)
草案標準：	RFC 2510 (CMP, 1999)

CMP訊息使用ASN.1進行編碼，使用DER（英語：X.690#DER_encoding）方法，通常在HTTP協定上載輸。

PKI實體

在PKI體系中，證書頒發機構（CA）負責頒發數碼證書，並作為伺服器端使用CMP協定。通過該協定取得數碼證書的客戶端被稱為終端實體（end entity，EE）。EE和CA之間可以存在0個或者多個序號產生器構（英語：Registration authority）（registration authorities，RA）。

特徵

EE可以利用CMP從CA取得證書。 這可以通過「初始註冊/認證」、「金鑰對更新」或「證書更新」訊息序列完成。通過復原請求，它也可以取消其自己的一個證書。使用「交叉認證請求」，CA可以獲得由另一個CA簽署的證書。如果EE失去了私鑰並由CA儲存，可能會通過請求「金鑰對恢復」來恢復。

傳輸

可以有多種傳輸方式攜帶CMP訊息：^[1]

• 壓縮在HTTP訊息內
• TCP或者其他可靠的傳輸連接
• 通過檔案協定，例如FTP或者SCP
• 通過電子郵件，使用MIME編碼標準

其MIME類型為application/pkixcmp；舊版本草案為application/pkixcmp-poll、application/x-pkixcmp 或 application/x-pkixcmp-poll。