為能賦予許可證的服務取得一張證書

1. 要開始辯證的過程，客戶端必須向特定使用者主管的辯證伺服器提出要求。此要求是以未加密的狀態送出。因為要求中沒有任何安全性的資訊，所以就不需要加密。

2. 當辯證服務收到要求之後， KDC 資料庫中的使用者的主管名稱會被查詢。如果符合一位主管的話，辯證服務便會取得該主管的專用密鑰。然後辯證服務會生成一個作業階段密鑰，以供客戶端及能賦予許可證的服務（稱為作業階段密鑰 1）使用，並且生成一張許可證以供能賦予許可證的服務（許可證 1）使用。此許可證亦稱謂能賦予許可證的許可證 (TGT)。這兩個作業階段密鑰及許可證都是利用使用者的專用密鑰來加密的，然後便會將資訊送回給客戶端。

3. 客戶端會利用此資訊，以使用者主管的專用密鑰來解密作業階段密鑰 1 及 許可證。既然只有使用者和 KDC 資料庫知道此專用密鑰，封包中的資訊應該是安全的。客戶端將資訊貯存在證書快取記憶體中。

通常這時使用者會被提示要輸入其個人密碼。如果輸入的密碼和用來建構 KDC 資料庫中所存專用密鑰的密碼相同的話，客戶端就可以成功地解密辯證服務所送的資訊。那麼客戶端就有一張與能賦予許可證的服務配合使用的證書了。客戶端已經準備要求一張伺服器的證書。

圖 7-2 為能賦予許可證的服務取得一張證書