试比较数字证书的两种生成模式，说明目前我国采用哪种生成模式比较合适。

（1）集中生成模式：密钥对由CA生成，对应的公钥直接提供给CA软件生成证书，生成后的数字证书和私钥通过适当的方式提供给用户。依据PKI的安全政策，证书的分发可以离线分发或在线分发。离线分发是将CA签发的证书以磁盘或智能卡的形式提供给用户；在线分发是用户使用浏览器与CA的Web服务器相连接，提出证书申请，用户提供必要的个人资料后，CA为用户生成密钥时，然后生成和签发证书，CA用电子邮件通知用户如何以安全方式取得证书。集中生成模式中，由于用户的密钥对是由CA生成的，可以对CA的安全性要求很高，CA要防止外部和内部非法人员对用户私钥的窃取。
（2）分布式生成模式：密钥对由用户自己生成，然后将公钥和个人申请资料传送给CA，由CA生成和签发证书。
由于电子商务支付系统对保密强度要求较高，考虑到用户端的密钥生成条件，在我国使用集中生成模式是比较适合的。

略