DB31T 777-2014 法人網(wǎng)上身份一證通.用數(shù)字證書格式規(guī)范

Ics35.020L70/84備案號：DB/T777—2014DigitalCertificateFormatSpecificationForSpecificationofDigitalCertificateincommonuseforLegal-personEntity上海市質(zhì)量技術(shù)監(jiān)督局發(fā)布I 引言 12規(guī)范性引用文件 1 4術(shù)語和定義 25法人一證通數(shù)字證書格式 3 35.2法人一證通數(shù)字證書基本格式 3 3 5基本域 5 5擴(kuò)展域 7 5.3法人一證通數(shù)字證書格式 25.3.2法人一證通數(shù)字證書基本證書域 法人一證通數(shù)字證書基本域 法人一證通數(shù)字證書擴(kuò)展域 5.3.3法人一證通數(shù)字證書模板定義 法人一證通企業(yè)單位機(jī)構(gòu)證書模板 法人一證通事業(yè)單位機(jī)構(gòu)證書模板 法人一證通社會團(tuán)體機(jī)構(gòu)證書模板 一證通機(jī)關(guān)法人身份證書模板 6密碼算法技術(shù)的支持 Ⅱ本規(guī)范定義了上海市各級政務(wù)部門在開展社會管理、公共服務(wù)等活動中所使用的法人網(wǎng)上身份統(tǒng)一認(rèn)證(以下簡稱“法人一證通”)數(shù)字證書格式和模板。電子政務(wù)內(nèi)網(wǎng)有關(guān)要求不在本規(guī)范中本規(guī)范針對上海市電子政務(wù)業(yè)務(wù)活動的特定需求，對法人數(shù)字證書的格式進(jìn)行規(guī)范，保障電子政務(wù)業(yè)務(wù)活動中，本市認(rèn)證機(jī)構(gòu)簽發(fā)的法人數(shù)字證書格式的統(tǒng)一性和互認(rèn)性，實(shí)現(xiàn)數(shù)字證書在各個政府委辦局業(yè)務(wù)系統(tǒng)中的通用性。本部分由上海市經(jīng)濟(jì)和信息化委員會提出，由上海市信息標(biāo)準(zhǔn)化技術(shù)委員會歸口。本部分主要起草單位：上海市經(jīng)濟(jì)和信息化委員會，上海市財(cái)政局，上海市人力資源和社會保障局，上海市城鄉(xiāng)建設(shè)和交通委員會，上海市地稅局，上海市工商行政管理局，上海市質(zhì)量技術(shù)監(jiān)督局，上海市密碼管理局，上海市機(jī)構(gòu)編制委員會辦公室，上海市社會團(tuán)體管理局，上海市公積金管理中心，上海市數(shù)字證書認(rèn)證中心有限公司。本部分主要起草人：劉楷、杜守國、黃志榮、俞桂平、楊東升、裘薇、馬富強(qiáng)、朱晨輝、朱建平、田民、康志剛、金赟、劉迎風(fēng)、沈宏、施敏、李國、崔久強(qiáng)、陳犖祺、于國斌、鄧敏艷。III引言信息與網(wǎng)絡(luò)技術(shù)在極大促進(jìn)社會經(jīng)濟(jì)、科技、文化、教育和管理等各個方面發(fā)展的同時，也帶來了巨大的信息安全風(fēng)險。隨著電子政務(wù)業(yè)務(wù)的快速發(fā)展和應(yīng)用的日益增多，迫切需要在電子政務(wù)網(wǎng)絡(luò)環(huán)境中建立真實(shí)、有效的身份信任體制，確認(rèn)電子政務(wù)業(yè)務(wù)參與方的有效身份，建立彼此間的信任關(guān)系以及保證信息的真實(shí)性、完整性、機(jī)密性和關(guān)鍵操作的不可否認(rèn)性。本規(guī)范根據(jù)《電子簽名法》、《電子認(rèn)證服務(wù)管理辦法》、《電子政務(wù)電子認(rèn)證服務(wù)管理辦法》的要求，以國家密碼管理局電子政務(wù)數(shù)字證書格式規(guī)范為基礎(chǔ)，遵從國家數(shù)字證書格式標(biāo)準(zhǔn)、人力資源和社會保障電子認(rèn)證數(shù)字證書格式規(guī)范、衛(wèi)生系統(tǒng)數(shù)字證書格式規(guī)范等國家和相關(guān)部委相關(guān)標(biāo)準(zhǔn)的要求，根據(jù)上海市法人網(wǎng)上身份一證通用(以下簡稱一證通)的具體要求，定義了本格式規(guī)范，以保證法人單位數(shù)字證書可以在全市各委辦局網(wǎng)上業(yè)務(wù)系統(tǒng)內(nèi)實(shí)現(xiàn)通用。在本規(guī)范實(shí)施過程中，應(yīng)遵守國家有關(guān)法律、法規(guī)的規(guī)定。1法人網(wǎng)上身份一證通用數(shù)字證書格式規(guī)范用單位。用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本標(biāo)準(zhǔn)。國家密碼管理局電子政務(wù)數(shù)字證書格式規(guī)范GB/T20518-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式GB/T16262.1-2006抽象語法記法一(ASN.1)第1部分：基本記法規(guī)范(ISO/IEC8824-1:2002,IDT)GB/T16262.2-2006抽象語法記法一(ASN.1)第2部分：客體信息規(guī)范(ISO/IEC8824-2:2002,IDT)GB/T16262.3-2006抽象語法記法一(ASN.1)第3部分：約束規(guī)范(ISO/IEC8824-3:2002,IDT)GB/T16262.4-2006抽象語法記法一(ASN.1)第4部分：約束規(guī)范(ISO/IEC8824-4:2002,IDT)GB/T16264.8-2005信息技術(shù)開放系統(tǒng)互聯(lián)目錄第8部分：公鑰和屬性證書框架(ISO/IEC9594-8:2001,IDT)IEO/IEC9594-2:2001信息技術(shù)開放系統(tǒng)互聯(lián)目錄第2部分：模型GB/T17969.1-2000信息技術(shù)開放系統(tǒng)互聯(lián)OSI登記機(jī)構(gòu)的操作規(guī)程第1部分：一般規(guī)程(eqvISO/IEC983-1:1993)GB/T11714-1997全國組織機(jī)構(gòu)代碼編碼規(guī)則GB/T16284.4-1996信息技術(shù)文本通信面向信報的文本交換系統(tǒng)第4部分：抽象服務(wù)定義和規(guī)程(IDTISO/IET10021-4:1990)2GB8561-1998專業(yè)技術(shù)職務(wù)代碼LD/T30.3-2009人力資源和社會保障電子認(rèn)證體系第3部分：證書及證書撤消列表格式規(guī)范衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系系列規(guī)范-衛(wèi)生系統(tǒng)數(shù)字證書格式規(guī)范國家密碼管理局?jǐn)?shù)字證書認(rèn)證系統(tǒng)互聯(lián)互通測試技術(shù)指南3術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。支持公鑰管理體制的基礎(chǔ)設(shè)施，提供鑒別、加密、完整性和不可否認(rèn)性服務(wù)。由國家認(rèn)可的，具有權(quán)威性、可信性和公正性的第三方電子認(rèn)證服務(wù)機(jī)構(gòu)進(jìn)行數(shù)字簽名的可信數(shù)字化文件，包含公開密鑰擁有者信息、公開密鑰、簽發(fā)者信息、有效期以及一些擴(kuò)展信息。證書撤銷列表certificaterevocationlist;CRL一個已標(biāo)識的列表，它指定了一套證書發(fā)布者認(rèn)為無效的證書。除了普通的CRL外，還定義了一些特殊的CRL類型用于覆蓋特殊領(lǐng)域的CRL。證書序列號certificateserialnumber為每個證書分配的唯一整數(shù)值，在CA頒發(fā)的證書范圍內(nèi)，此整數(shù)值與該CA所頒發(fā)的證書相關(guān)聯(lián)并一一對應(yīng)。負(fù)責(zé)創(chuàng)建和分配證書，受用戶信任的權(quán)威機(jī)構(gòu)。用戶可以選擇該機(jī)構(gòu)為其創(chuàng)建密鑰。證書撤銷列表分布點(diǎn)CRLdistributionpoint一個CRL目錄項(xiàng)或其他CRL分發(fā)源，由CRL分布點(diǎn)分發(fā)的CRL可以包括僅對某CA所發(fā)證書全集某個子集的撤銷條目，或者可以包括有多個CA的撤銷條目。申請并持有數(shù)字證書的各類法人單位。法人網(wǎng)上身份以數(shù)字證書標(biāo)識的、各類法人單位在網(wǎng)絡(luò)空間中的真實(shí)身份。法人一證通法人網(wǎng)上身份統(tǒng)一認(rèn)證的簡稱。為實(shí)現(xiàn)法人數(shù)字證書在政府部門網(wǎng)上業(yè)務(wù)系統(tǒng)中一證通用，上海市于2012年開始推進(jìn)法人網(wǎng)上身份統(tǒng)一認(rèn)證工作，依托市法人信息共享與應(yīng)用系統(tǒng)建設(shè)成果，建設(shè)面向在本市依法設(shè)立的各類法人的網(wǎng)上身份統(tǒng)一認(rèn)證系統(tǒng)，完善法人證書服務(wù)渠道和收費(fèi)模式，充分利用、整合現(xiàn)有法人數(shù)字證書，實(shí)現(xiàn)法人數(shù)字證書跨部門“一證通用”,為在本市依法設(shè)立的各類法人在政府部門在線辦理各類事項(xiàng)提供統(tǒng)一認(rèn)證服務(wù)。4術(shù)語和定義3下列縮略語適用于本標(biāo)準(zhǔn)。CA電子認(rèn)證服務(wù)機(jī)構(gòu)(CertificateAuthority)CN通用名(CommonName)0機(jī)構(gòu)(Organization)數(shù)字證書由認(rèn)證機(jī)構(gòu)通過對信息集合的簽名來生成，信息集合包括可辨別的用戶名、公鑰以及一個可選的包含用戶附加信息的唯一性標(biāo)識符(UuniqueIdentifier)。數(shù)字證書不可偽造，可以被公開發(fā)布和信任。通常，法人證書具有下列的形式：CA<<A>>=CA{V,SN,AI,CA,UCA,A,UA,Ap,T}書的有效期，由兩個日期組成，之間的時間段即是證書的有效期。證書上的簽名可被任何知道認(rèn)證機(jī)構(gòu)公鑰CAp的用戶用來驗(yàn)證證書的有效性。5.2法人一證通數(shù)字證書基本格式名值域(SignatureValue)三部分組成。數(shù)據(jù)結(jié)構(gòu)如下：Certificate::=SEQUENCE{tbsCertificateTBSCertificate,signatureAlgorithmAlgorithmIdentifier,TBSCertificate::=SEQUENCE{version[0]EXPLICITVersionDEFAULTv1,serialNumberCertificateSerialNumber,signatureAlgorithmIdentifier,4Name,validityValidity,subjectName,subjectPunlicKeyInfoSubjectPublicKeyInfo,issuerUniqueID[1]IMPLICITUniqueIdentifierOPTIONAL,subjectUniqueID[2]IMPLICITUniqueIdentifierOPTIONAL,--如果出現(xiàn)，version必須是v3}Validity::=SEQUENCE{notBeforeTime,Time::=CHOICE{utcTimeUTCTime,generalTimeGeneralizedTime}UniqueIdentifier::=BITSTRINGAlgorithmAlgorithmIdentifier,subjectPublicKeyBITSTRING}Extension::=SEQUENCE{extnIDOBJECTIDENTIFIER,上述證書數(shù)據(jù)結(jié)構(gòu)中的tbsCertificate,signatureAlgorithm和signatureValue域的含義如下：——tbsCertificate域包含了主題名稱和簽發(fā)者名稱、主體的公鑰、證書的有效期以及其他的相關(guān)信息?！猻ignatureAlgorithm域包含證書簽發(fā)機(jī)構(gòu)簽發(fā)該證書所使用的密碼算法標(biāo)識符。AlgorithmIdentifier::=SEQUENCE{Algorithm0BJECTIDENTIFIER,5ParametersANYDEFINEDBYalgorithmOPTIONAL}其中可選參數(shù)的內(nèi)容完全依賴于所標(biāo)識的算法。該域的算法標(biāo)識符必須與tbsCertificate中的signature標(biāo)識的簽名算法項(xiàng)相同?！猻ignatureValue域保存對tbsCertificate域進(jìn)行數(shù)字簽名的結(jié)果。以經(jīng)過ASN.1DER編碼的tbsCertificate值作為數(shù)字簽名的輸入，簽名的結(jié)果則按照ASN.1編碼的生成BITSTRING,保存在證書簽名值域內(nèi)。5.2.2基本證書域(TBSCertificate)基本證書域包含基本域和擴(kuò)展域兩部分?；居虬俗C書結(jié)構(gòu)中前十個項(xiàng)的信息，這些信息主要有主題和簽發(fā)者的名稱、主題公鑰、有效期、版本號和序列號等。本項(xiàng)描述了數(shù)字證書的版本號。本項(xiàng)是CA分配給每個證書的一個正整數(shù)，一個CA簽發(fā)的每張證書的序列號必須是唯一的(這樣，通過簽發(fā)者的名字和序列號就可以唯一地確定一張證書),CA系統(tǒng)必須保證序列號是非負(fù)整數(shù)。序列號可以是長整數(shù)，證書用戶必須能夠處理長達(dá)20個8比特字節(jié)的序列號值。CA必須確保不使用大于20個8比特字節(jié)的序列號。本項(xiàng)包含CA系統(tǒng)簽發(fā)該證書所使用的密碼算法標(biāo)識符，這個算法標(biāo)識符必須與證書中signatureAlgorithm項(xiàng)的算法標(biāo)識符相同?？蛇x參數(shù)的內(nèi)容完全依賴所標(biāo)識的具體算法，可以支持用戶定義的簽名算法。本項(xiàng)標(biāo)識了證書簽名和證書頒發(fā)的實(shí)體。它必須包含一個非空的甄別名稱(DN-distinguishedname)。該項(xiàng)被定義為X.501的Name類型，其ASN.1的結(jié)構(gòu)如下：Name::=CHOICE{RDNSequence}RDNSequence::=SEQUENCEOFRelativeDistinguishedNameRelativeDistinguishedName::=SETOFAttributeTypeAndValueAttributeTypeAndValue::=SEQUENCE{TypeAttributeType,ValueAttributeValue}AttributeType::=OBJECTIDENTIFIERAttributeValue::=ANYDEFINEDBYAttributeTDirectoryString::=CHOICE{teletexStringTeletexString(SIZE(1..MAX)),printableStringPrintableString(SIZE91..MAX)),6universalStringUniversalString(SIZE91..MAX)),utf8StringUTF8String(SIZE91..MAX)),bmpStringBMPString(SIZE91..MAX))}AttributeValue部分的類型是由AttributeType確定的，通常它是一個DirectorySting類簽發(fā)的證書必須使用UTF8String格式對DirectorySting項(xiàng)進(jìn)行編碼。.4有效期Validity本項(xiàng)是一個時間段，在這個時間段內(nèi)，CA系統(tǒng)擔(dān)保它將維護(hù)關(guān)于證書狀態(tài)的信息。該項(xiàng)被表示成一個具有兩個時間值的SEQUENCE類型數(shù)據(jù)：證書有效期的起始時間(notBefore)和證書有效期的終止時間(notAfter)。NotBefore和NotAfter這兩個時間都可以作為UTCTime類型或者GeneralizedTime類型進(jìn)行編碼。遵循本規(guī)范的CA系統(tǒng)在2049年之前必須將該時間編碼為UTCTime類型，在2050年之后，編碼為GeneralizedTime類型。a)世界時間UTCTime本項(xiàng)是為國際應(yīng)用設(shè)立的一個標(biāo)準(zhǔn)ASN.1類型，在這里只有本地時間是不夠的。UTCTime通過兩個低位數(shù)確定年，時間精確到1分鐘或1秒鐘。UTCTime包含Z(用于Zulu,或格林威治標(biāo)準(zhǔn)時間)或時間差。秒的數(shù)值為零(即時間格式為YYMMDDHHMMSSZ)。系統(tǒng)對年字段(YY)必須如下解釋：當(dāng)YY大于或等于50,年應(yīng)解釋為19YY;當(dāng)YY不到50,年應(yīng)解釋為20YY。b)通用時間類型GeneralizedTime本項(xiàng)是一個標(biāo)準(zhǔn)ASN.1類型，表示時間的可變精確度。GeneralizedTime字段能包含一個本地和格林威治標(biāo)準(zhǔn)時間之間的時間差。值為零(即時間格式為YYYYMMDDHHMMSSZ).GeneralizedTime值絕不能包含小數(shù)秒(fractionalseconds)。.5主題Subject本項(xiàng)描述了與主題公鑰項(xiàng)中的公鑰相對應(yīng)的實(shí)體情況。主題名稱可以出現(xiàn)在主題項(xiàng)、主題可選替換名稱擴(kuò)展項(xiàng)中(subjectAltName)。如果主題是一個CA系統(tǒng)，那么主題項(xiàng)必須是一個非空的與簽發(fā)者項(xiàng)的內(nèi)容相匹配的甄別名稱(distinguishedname)。如果主題的命名信息只出現(xiàn)在主題替換名稱擴(kuò)展項(xiàng)中(例如密鑰只與一個Email地址或者URL綁定),那么主題名稱必須是一個空序列，且主題可選替換名稱擴(kuò)展項(xiàng)必須被標(biāo)識成關(guān)鍵的。當(dāng)主題項(xiàng)非空時，這個項(xiàng)必須包含一個X.500的甄別名稱(DN),一個CA系統(tǒng)認(rèn)證的每個主題實(shí)體的甄別名稱必須是唯一的。一個CA系統(tǒng)可以為同一個主題實(shí)體以相同的甄別名稱簽發(fā)多個證書。主題名稱擴(kuò)展項(xiàng)被定義成X.501的名字類型。.6主題公鑰信息SubjectPublicKeyInfo7本項(xiàng)用來標(biāo)識公鑰和相應(yīng)的公鑰算法。公鑰算法使用算法標(biāo)識符AlgorithmIdentifier結(jié)構(gòu)來表示。本項(xiàng)主要用來處理主題或者頒發(fā)者名稱的重用問題。本規(guī)范建議對不同的實(shí)體名稱不要重用，并且不建議使用此項(xiàng)，遵循本規(guī)范的證書簽發(fā)機(jī)構(gòu)不應(yīng)生成帶有頒發(fā)者唯一標(biāo)識符的證書，但是在應(yīng)用過程中應(yīng)該能夠解析唯一標(biāo)識符并進(jìn)行對比。本項(xiàng)主要用來處理主題名稱的重用問題，本標(biāo)準(zhǔn)建議對不同的實(shí)體名稱不要重用，并且不建議使用此項(xiàng)，遵循本標(biāo)準(zhǔn)的證書簽發(fā)機(jī)構(gòu)不應(yīng)生成帶有主題唯一標(biāo)識符的證書，但是在應(yīng)用過程中應(yīng)該能夠解析唯一標(biāo)識符并進(jìn)行對比。本項(xiàng)是一個或多個證書擴(kuò)展的序列(SEQUENCE),其內(nèi)容和數(shù)據(jù)結(jié)構(gòu)在中定義。擴(kuò)展域本規(guī)范定義的證書擴(kuò)展項(xiàng)提供了把一些附加屬性同用戶或公鑰相關(guān)聯(lián)的方法以及證書結(jié)構(gòu)的管理方法。數(shù)字證書允許定義標(biāo)準(zhǔn)擴(kuò)展項(xiàng)和專用擴(kuò)展項(xiàng)。每個證書中的擴(kuò)展可以定義成關(guān)鍵性的和非關(guān)鍵性的。一個擴(kuò)展項(xiàng)含有三部分，分別是擴(kuò)展類型、擴(kuò)展關(guān)鍵度和擴(kuò)展項(xiàng)值。擴(kuò)展關(guān)鍵度(ExtensionCriticality告訴一個證書的使用者是否可以忽略某一擴(kuò)展類型。證書的應(yīng)用系統(tǒng)如果不能識別關(guān)鍵的擴(kuò)展時，必須拒絕接受該證書，如果不能識別非關(guān)鍵的擴(kuò)展，則可以忽略該擴(kuò)展項(xiàng)的信息。本條定義一些標(biāo)準(zhǔn)的擴(kuò)展項(xiàng)。需要特別注意的是，在實(shí)際應(yīng)用過程中，如果采用了關(guān)鍵性的擴(kuò)展，可能導(dǎo)致在一些通用的應(yīng)用中無法使用該證書。每個擴(kuò)展項(xiàng)包括一個對象標(biāo)識符OID和一個ASN.1結(jié)構(gòu)。當(dāng)證書中出現(xiàn)一個擴(kuò)展時，OID作為extnID項(xiàng)出現(xiàn)，其對應(yīng)的ASN.1編碼結(jié)構(gòu)就是8比特字符串extnValue的值。一個特定的證書中特定的擴(kuò)展只可出現(xiàn)一次。例如，一個證書只可以包含一個認(rèn)證機(jī)構(gòu)密鑰標(biāo)識符擴(kuò)展。一個擴(kuò)展中包含一個布爾型的值用來表示該擴(kuò)展的關(guān)鍵性，其缺省值為FALSE,即非關(guān)鍵的。每個擴(kuò)展的正文指出了關(guān)鍵性項(xiàng)的可接收值。遵循本規(guī)范的CA系統(tǒng)必須支持密鑰標(biāo)識符、基本限制、密鑰用法和證書策略等擴(kuò)展。如果CA系統(tǒng)簽發(fā)的證書中的主題項(xiàng)為空序列，該CA系統(tǒng)就必須支持主題可替換名稱擴(kuò)展。其他的擴(kuò)展是可選的。CA系統(tǒng)還可以支持本規(guī)范定義之外的其他的擴(kuò)展。證書的簽發(fā)者必須注意，如果這些擴(kuò)展被定義為關(guān)鍵的，則可能會給互操作性帶來障礙。遵循本規(guī)范的應(yīng)用必須至少能夠識別密鑰用法、主題替換名稱、基本限制、證書策略、名稱限制、策略限制和擴(kuò)展的密鑰用法。另外，本規(guī)范建議還能支持認(rèn)證機(jī)構(gòu)(authority)和主題密鑰標(biāo)識符(SubjectKeyIdentifier)以及策略映射擴(kuò)展。機(jī)構(gòu)密鑰標(biāo)識符擴(kuò)展提供了一種方式，以識別與證書簽名私鑰相應(yīng)的公鑰。當(dāng)頒發(fā)者由于有多個密鑰共存或由于發(fā)生變化而具有多個簽名密鑰時使用該擴(kuò)展。識別可基于頒發(fā)者證書中的主體密鑰標(biāo)識符或基于頒發(fā)者的名稱和序列號。相應(yīng)CA產(chǎn)生的所有證書應(yīng)包括authorityKeyIdentifier擴(kuò)展的keyIdentifier項(xiàng)，以8DB/T777-2014便于證書信任鏈的建立。CA以“自簽”(Self-signed)證書形式發(fā)放其公鑰時，認(rèn)證機(jī)構(gòu)密鑰標(biāo)識符。此時，主題和認(rèn)證機(jī)構(gòu)密鑰標(biāo)識符是完全相同的。本項(xiàng)既可用作證書擴(kuò)展亦可用作CRL擴(kuò)展。本項(xiàng)標(biāo)識用來驗(yàn)證在證書或CRL上簽名的公開密鑰。它能辨別同一CA使用的不同密鑰(例如，在密鑰更新發(fā)生時)。本項(xiàng)定義如下：Id-ce-authorityKeyIdentifierOBJECTIDENTIFIER::={id-ce35}AuthorityKeyIdentifierkeyIdentifier[0]KeyIdentifierauthorityCertIssuer[1]GeneralNamesOPTIONAL,authorityCertSerialNumber[2]CertificateSerialNumberOPTIONAL}authorityCertSerialNumberPRESENT}|{…,authorityCertIssuerABSENT,authorityCertSerialNumberABSENT}KeyIdentifier::=OCTETSTRING。KeyIdentifier項(xiàng)的值應(yīng)從用于證實(shí)證書簽名的公鑰導(dǎo)出或用產(chǎn)生唯一值的方法導(dǎo)出。公開密鑰的密鑰標(biāo)識符KeyIdentifier可采用下述兩種通用的方法生成：a)keyIdentifier由BITSTRINGsubjectPublicKey值的160-bitSHA-1散列值組成(去掉標(biāo)簽、長度和不使用的字節(jié)數(shù)目);b)keyIdentifier由0100加上subjectPublicKey值的SHA-1散列值中最低位的60比此密鑰可以通過keyIdentifier字段中的密鑰標(biāo)識符來標(biāo)識，也可以通過此密鑰的證書標(biāo)識(給出authorityCertIssuer字段中的證書頒發(fā)者以及authorityCertSerialNumber字段中的證書序列號)來標(biāo)識，或者可以通過密鑰標(biāo)識符和此密鑰的證書標(biāo)識來標(biāo)識。如果使用兩種標(biāo)識形式，那么,證書或CRL的頒發(fā)者應(yīng)保證它們是一致的。對于頒發(fā)機(jī)構(gòu)包含擴(kuò)展的證書或CRL的所有密鑰標(biāo)識符而言，每個密鑰標(biāo)識符應(yīng)該是唯一的。不要求支持此擴(kuò)展的實(shí)現(xiàn)能夠處理authorityCertIssuer字段中的所有名字形式。證書認(rèn)證機(jī)構(gòu)指定或者自動產(chǎn)生證書序列號，這樣頒發(fā)者和證書序列號相結(jié)合就唯一地標(biāo)識了一份證書。除自簽證書之外，所有的證書必須包含本擴(kuò)展，而且要包含keyIdentifier項(xiàng)。如果證書頒發(fā)者的證書有SubjectKeyIdentifier擴(kuò)展，則本擴(kuò)展中keyIdentifier項(xiàng)必須與頒發(fā)者證書的SubjectKeyIdentifier擴(kuò)展的值一致，如果證書頒發(fā)者的證書沒有SubjectKeyIdentifier擴(kuò)展，則可以使用上邊介紹的兩種方法之一來產(chǎn)生。結(jié)構(gòu)中的keyIdentifier,authorityCertSerialNumber擴(kuò)展建議為必選，但本擴(kuò)展必須是非關(guān)鍵的。.2主題密鑰標(biāo)識符SubjectKeyldentifier本項(xiàng)提供一種識別包含有一個特定公鑰的證書的方法。此擴(kuò)展標(biāo)識了被認(rèn)證的公開密鑰。它能夠區(qū)分同一主題使用的不同密鑰(例如，當(dāng)密鑰更新發(fā)生時)。此項(xiàng)定義如下：Id-ce-subjectKeyIdentifierOBJECTIDENTIFIER::={id-ce14}9SubjectKeyIdentifier::=KeyIdentifier對于使用密鑰標(biāo)識符的主題的各個密鑰標(biāo)識符而言，每一個密鑰標(biāo)識符均應(yīng)是唯一的。此擴(kuò)展項(xiàng)總是非關(guān)鍵的。本項(xiàng)說明已認(rèn)證的公開密鑰用于何種用途，該項(xiàng)定義如下：Id-ce-keyUsageOBJECTIDENTIFIER::={id-ce15}KeyUsage::=BITSTRING{}KeyUsage類型中的用法如下：a)digitalSignature:驗(yàn)證下列b)、f)或g)所標(biāo)識的用途之外的數(shù)字簽名；b)nonRepudiation:驗(yàn)證用來提供抗抵賴服務(wù)的數(shù)字簽名，這種服務(wù)防止簽名實(shí)體不實(shí)地拒絕某種行為(不包括如f)或g)中的證書或CRL簽名);c)keyEncipherment:加密密鑰或其他安全信息，例如用于密鑰傳輸；d)dataEncipherment:加密用戶數(shù)據(jù)，但不包括上面c)中的密鑰或其他安全信息；e)keyAgreement:用作公開密鑰協(xié)商密鑰；f)keyCertSign:驗(yàn)證證書的CA簽名；h)EncipherOnly:當(dāng)本比特與已設(shè)置的keyAgreement比特一起使用時，公開密鑰協(xié)商密鑰僅用于加密數(shù)據(jù)(本比特與已設(shè)置的其他密鑰用法比特一起使用的含義未定義);i)DecipherOnly:當(dāng)本比特與已設(shè)置的keyAgreement比特一起使用時，公開密鑰協(xié)商密鑰僅用于加密數(shù)據(jù)(本比特與已設(shè)置的其他密鑰用法比特一起使用的含義未定義);keyCertSign只用于CA系統(tǒng)證書。如果KeyUsage被置為keyCertSign和基本限制擴(kuò)展若缺少keyAgreement比特，則不定義encipherOnly比特的含義。若確定encipherOnly若未設(shè)置keyAgreement比特，則不定義decipherOnly比特的含義。若確定decipherOnly比特，且keyAgreement比特也被確定時，主題公鑰可只用于脫密數(shù)據(jù)，同時執(zhí)行密鑰協(xié)議。所有的CA系統(tǒng)證書必須包括本擴(kuò)展，而且必須包含keyCertSign這一用法。此擴(kuò)展可以定義為關(guān)鍵的或非關(guān)鍵的，由證書簽發(fā)者選擇。如果此擴(kuò)展標(biāo)記為關(guān)鍵的，那么該證書應(yīng)只用于相應(yīng)密鑰用法比特置為“1”的用途。如果此擴(kuò)展標(biāo)記為非關(guān)鍵的，那么它指明此密鑰的預(yù)期用途或其它多種用途，并可用于查找具有多密鑰/證書的實(shí)體的正確密鑰/證書。它是一個咨詢項(xiàng)，并不意指此密鑰的用法限于指定的用途。置為“0”的比特指明此密鑰不是預(yù)期的這一用途。如果所有比特均為“0”,它指明此密鑰預(yù)期用于所列用途之外的某種用途。在應(yīng)用中，使用該擴(kuò)展項(xiàng)對證書類型的進(jìn)行區(qū)別，當(dāng)設(shè)置了c)、d)、h)、i)比特中的一位時，表示該證書為加密證書；當(dāng)設(shè)置了a)、b)比特中的一位時，表示該證書為簽名證本項(xiàng)指明已驗(yàn)證的公開密鑰可以用于一種用途或多種用途，它們可作為對密鑰用法擴(kuò)展項(xiàng)中指明的基本用途的補(bǔ)充或替代。此項(xiàng)定義如下：Id-ce-extKeyUsageOBJECTIDENTIFIER::={id-ce37}ExtKeyUsageSyntax::=SEQUENCESIZE(1..MAX)OFKeyPurposeIdKeyPurposeId::=0BJECTIDENTIFIER密鑰的用途可由有此需要的任何組織定義。用來標(biāo)識密鑰用途的客體標(biāo)識符應(yīng)按照GB/T17969.1—2000來分配。由證書簽發(fā)者確定此擴(kuò)展是關(guān)鍵的或非關(guān)鍵的。如果此擴(kuò)展標(biāo)記為關(guān)鍵的，那么,此證書應(yīng)只用于所指示的用途之一。如果此擴(kuò)展標(biāo)記為非關(guān)鍵的，那么,它指明此密鑰的預(yù)期用途或其它用途，并可用于查找多密鑰/證書的實(shí)體的正確密鑰/證書。它是一個咨詢項(xiàng)，并不表示認(rèn)證機(jī)構(gòu)將此密鑰的用法限于所指示的用途。然而，進(jìn)行應(yīng)用的證書仍然可以要求指明特定的用途，以便證書為此應(yīng)用接受。如果證書包含關(guān)鍵的密鑰用途項(xiàng)和關(guān)鍵的擴(kuò)展密鑰項(xiàng)，那么,兩個項(xiàng)應(yīng)獨(dú)立地處理，并且證書應(yīng)只用于與兩個項(xiàng)一致的用途。如果沒有與兩個項(xiàng)一致的用途，那么,此證書不能用于任何用途。本規(guī)范定義下列密鑰用途：id-kpOBJECTIDENTIFIER::={id-pkix3}id-kp-serverAuthOBJECTIDENTIF--TLSWebserver鑒別--Keyusage可以設(shè)置為digitalSignature,keyEncipherment或keyAgreement一致id-kp-clientAuthOBJECTIDENTIFIER::={id--TLSWebclient鑒別--Keyusage可以設(shè)置為digitalSignature和/或keyAgreement一致--可下載執(zhí)行代碼的簽名--Keyusage可以設(shè)置為digitalSignature一致id-kp-emailProtectionOBJECTIDENTIFIER::={id-kp4}--Keyusage可以設(shè)置為digitalSignature,nonRepudiation和/或(keyEncipherment或keyAgreement)一致id-kp-timeStampingOBJECTIDENTIFIER::={id-kp8}--將對象的散列值與同一時間源提供的時間綁定--Keyusage比特可與digitalSignature,nonRepudiation一致id-kp-0CSPSigningOBJECTIDENTIFIER::={id-kp9}--OCSP應(yīng)答簽名--Keyusage比特可與digitalSignature,nonRepudiation一致本項(xiàng)指明與已驗(yàn)證的公開密鑰相對應(yīng)的私有密鑰的使用期限。它只能用于數(shù)字簽名密鑰。id-ce-privateKeyUsagePeriodOBJECTIDENTIFIER::={id-ce16}notBefore字段指明私有密鑰可能用于簽名的最早日期和時間。如果沒有notBefore字段，就不提供有關(guān)私有密鑰有效使用期何時開始的信息。NotAfter字段指明私有密鑰可以用于簽名的最遲日期和時間。如果沒有notAfter字段，就不提供有關(guān)私有密鑰有效使用期何時結(jié)束的信息。注1:私有密鑰有效使用期可以與證書有效性周期指明的已驗(yàn)證的公開密鑰有效性不同。就數(shù)字簽名密鑰而言，簽名的私有密鑰使用期一般比驗(yàn)證公開密鑰的時間短。注2:數(shù)字簽名的驗(yàn)證者想要檢查直到驗(yàn)證時刻此密鑰是否未被撤銷，例如，由于密鑰泄露，那么,在驗(yàn)證時，必須有包含公開密鑰的有效證書。在公開密鑰的證書期滿之后，簽名驗(yàn)證者不能依賴CRL驗(yàn)證機(jī)制來驗(yàn)證密鑰是否有效。本項(xiàng)列出了由頒發(fā)的CA所認(rèn)可的證書策略，這些策略適用于證書以及關(guān)于這些證書策略的任選的限定符信息。證書策略擴(kuò)展包含了一系列策略信息條目，每個條目都有一個OID和一個可選的限定條件。這個可選的限定條件不能改變策略的定義。在用戶證書中，這些策略信息條目描述了證書發(fā)放所依據(jù)的策略以及證書的應(yīng)用目的；在CA證書中，這些策略條目指定了包含這個證書的驗(yàn)證路徑的策略集合。具有特定策略需求的應(yīng)用系統(tǒng)應(yīng)該擁有它們將接受的策略的列表，并把證書中的策略O(shè)ID與該列表進(jìn)行比較。如果該擴(kuò)展是關(guān)鍵的，則路徑有效性軟件必須能夠解釋該擴(kuò)展(包括選擇性限定語),否則必須拒絕該證書。為了提高互操作性，本規(guī)范建議策略信息條目中只包含一個OID,如果一個OID不夠，建議使用本條定義的限定語。id-ce-certificatePoliciesOBJECTIDENTIFIER:certificatePolicies::=SEQUENCESIZPolicyInformation::=SEQUENCE{policyIdentifierCertPolicyId,policyQualifiersSEQUENCESIZE(1..MAX)OFPolicyQualifierInfoOPTIONAL}CerPolicyId::=0BJECTIDENTIFIER policyQualifierIdPolicyQualifierId,--policyQualifierIdsforInternetpolicyqualifiersid-qtOBJECTIDENTIFIER::={id-pkix2}id-qt-cpsOBJECTIDENTIFIER::={id-qt1}id-qt-unoticeOBJECTIDENTIFIER::={id-qt2}PolicyQualifierId::=OBJECTIDENTIFIERQualifier::=CHOICE{userNoticeUserNoticeorganizationDisplayText,DisplayText::=CHOICE{visibleStringVisibleString(SIZE(1..200)),bmpStringBMPString(SIZE(1..200)),utf8StringUTF8String(SIZE(1..200))}本項(xiàng)定義了兩種策略限定語，以供證書策略制定者和證書簽發(fā)者使用。限定語類型為CPSPointer和UserNotice限定CPSPointer限定語包含一個CA發(fā)布的CPS(CertificationPracticeStatement),指示字的形式為URI。命名一個團(tuán)體并通過記數(shù)識別該團(tuán)體所做的一個專用文本聲明。ExplicitText字段在證書內(nèi)直接包括文本聲明，該字段是一個最多含有200字符的串。如果noticeRef和explicitText選項(xiàng)都在同一個限定語中，且如果應(yīng)用軟件可以找出由noticeRef選項(xiàng)指明的通知文本，則應(yīng)展示該文本，否則應(yīng)展示explicitText.7主題可選替換名稱SubjectAltName本項(xiàng)包含一個或多個可選替換名(可使用多種名稱形式中的任一個)供實(shí)體使用，CAid-ce-subjectAltNameOBJECTIDENTIFIER::={id-ce17}SubjectAltName::=GeneralNamesGeneralNames::=SEQUENCESIZE(1..MAX)OFGeneralNameGeneralName::=CHOICE{IA5String,IA5String,x400AddressORAddress,uniformResourceIdentifier[iPAddressegisteredIDtype-idOBJECTIDENTIFIER,nameAssigner[0]DirectorySpartyNameGeneralName類型中可替換的值是下列各種形式的名稱：——otherName是按照——rfc822Name是按照InternetRFC822定義的Internet電子郵件地址；——x400Address是按照GB/T16284.4—1996定義的0/R地址；——directoryName是按照ISO/IEC9594-2:2001定義的目錄名稱；——ediPartyName是通信的分標(biāo)識了分配partyName中唯一名稱值的機(jī)構(gòu)；——uniformResourceIdentifier是按照InternetRFC1630定義的用于RAesourceIdentifier,RFC1738中定義的URL語法和編碼規(guī)則；——iPAddress是按照InternetRFC791定義的用二進(jìn)制串表示的InternetProtocol——registeredID是按照GB/T17969.1—2000對注冊的客體分配的標(biāo)識符。CA系統(tǒng)不得簽發(fā)帶有subjectAltName卻包含空GeneralName項(xiàng)的證書。如果證書中的唯一主題身份是一個選擇格式(如一個電子郵件地址),則主題的甄別名必須是空的(一個空序列),且subjectAltName擴(kuò)展必須存在。如果主題字段包括一個空序列，則subjectAltName擴(kuò)展必須標(biāo)識為關(guān)鍵性的。如果出現(xiàn)subjectAltName擴(kuò)展，則序列必須至少包含一個條目。對GeneralName類型中使用的每個名稱形式，應(yīng)有一個名稱注冊系統(tǒng)，以保證所使用的任何名稱能向證書頒發(fā)者和證書使用者無歧義地標(biāo)識一個實(shí)體。此擴(kuò)展可以是關(guān)鍵的或非關(guān)鍵的，由證書簽發(fā)者選擇。不要求支持此擴(kuò)展的實(shí)現(xiàn)能處理否則，應(yīng)認(rèn)為此證書無效。除先前的限制以外，允許證書使用系統(tǒng)忽略具有不能識別的或不被支持的名稱形式的任何名稱。倘若，證書的主題項(xiàng)包含無二義地標(biāo)識主體的目錄名稱，推薦將此項(xiàng)標(biāo)記為非關(guān)鍵的。TYPE-IDENTIFIER類別的使用在GB/T16262.2—2006的附錄A和C中描述。如果存在此擴(kuò)展并標(biāo)記為關(guān)鍵的，證書的subject項(xiàng)可以包含空名稱(例如，相關(guān)可甄別名的一個“0”序列),在此情況下，主題只能用此擴(kuò)展中的名稱或一些擴(kuò)展名稱來標(biāo)識。注3:進(jìn)一步說明可參考RFC2459中的..8頒發(fā)者可選替換名稱IssuerAltName本項(xiàng)包含一個或多個可選替換名稱(可使用多種名稱形式中的任一個),以供證書或CRL頒發(fā)者使用。此項(xiàng)定義如下：IssuerAltName::=GeneralNames此項(xiàng)可以是關(guān)鍵的或非關(guān)鍵的，由證書或CRL頒發(fā)者選擇。不要求支持此項(xiàng)擴(kuò)展的實(shí)際應(yīng)用能處理所有名稱形式。如果此擴(kuò)展標(biāo)記為關(guān)鍵的，那么至少應(yīng)能識別和處理存在的名稱形式之一，否則，應(yīng)認(rèn)為此證書無效。除先前的限制以外，允許證書使用系統(tǒng)忽略具有不能識別的或不支持的名稱形式的任何名稱。倘若，證書或CRL的頒發(fā)者項(xiàng)包含了一個明確標(biāo)識頒發(fā)機(jī)構(gòu)的目錄名稱，推薦將此項(xiàng)標(biāo)記為非關(guān)鍵的。如果存在此擴(kuò)展，并標(biāo)記為關(guān)鍵的，證書或CRL的issuer項(xiàng)可以包含空名稱(例如，對應(yīng)可甄別名的一個“0”序列),在此情況下，頒發(fā)者只能用名稱或此擴(kuò)展中的一些名稱來標(biāo)識。簽發(fā)者替換名稱必須按.7的說明進(jìn)行編碼。.9主題目錄屬性SubjectDirectoryAttributes本項(xiàng)為證書主題傳送其期望的任何目錄屬性值。定義如下：id-ce-subjectDirectoryAttributesOBJECTIDENTIFIER::={id-ce9}DB/T777-2014SubjectDirectoryAttributes::=SEQUENCESIZE(1..MAX)OFAttributeAttributesSyntax::=SEQUENCESIZE(1..MAX)OFAttribute該擴(kuò)展總是非關(guān)鍵的。.10基本限制BasicConstraints本項(xiàng)用來標(biāo)識證書的主題是否是一個CA,通過該CA可能存在的認(rèn)證路徑有多長。此項(xiàng)id-ce-basicConstraintsOBJECTIDENTIBasicConstraintsSyntax::=SEQUENCE{CABOOLEANDEFAULTFALSE,pathLenConstraintINTEGER(0..MAX)OPTIONAL}CA字段標(biāo)識此公鑰證書是否可用來驗(yàn)證證書簽名。PathLenConstraint字段僅在CA設(shè)置為TRUE時才有意義。它給出此證書之后認(rèn)證路徑中最多的CA證書數(shù)目。0值表明在路徑中只可以向終端實(shí)體簽發(fā)證書，而不可以簽發(fā)下級CA證書。PathLenConstraint字段出現(xiàn)時必須大于或等于0.如果在認(rèn)證路徑的任何書中未出現(xiàn)pathLenConstraint字段，則對認(rèn)證路徑的允許長度沒有限制。CA證書中必須包括本擴(kuò)展，而且必須是關(guān)鍵的，否則，未被授權(quán)為CA的實(shí)體便可以簽發(fā)證書，同時證書使用系統(tǒng)會在不知情的情況下使用這樣的證書。如果此擴(kuò)展存在，并標(biāo)記為關(guān)鍵的，那么:——如果CA字段的值置為FALSE,則密鑰用法不能包含keyCertSign這一用法，其公開密鑰應(yīng)不能用來驗(yàn)證證書簽名；——如果CA字段的值置為TRUE,并且pathLenConstraint存在，則證書使用系統(tǒng)應(yīng)檢查被處理的認(rèn)證路徑是否與pathLenConstraint的值一致。注1:如果此擴(kuò)展不存在或標(biāo)記為非關(guān)鍵項(xiàng)的并且未被證書使用系統(tǒng)認(rèn)可，該證書被系統(tǒng)視為終端用戶證書，并且不能用來驗(yàn)證證書簽名。注2:為限制一證書主題只是一個端實(shí)體，即，不是CA,頒發(fā)者可以在擴(kuò)展中只包含一本項(xiàng)僅在一張CA證書使用，它指示了一個名稱空間，在此空間設(shè)置的認(rèn)證路徑可以在后續(xù)證書中主體名稱中被找到。此項(xiàng)定義如下：id-ce-nameConstraintsOBJECTIDENTIFIER::permittedSubtreesexcludedSubtreesGeneralSubtrees::=SEQUECNESIZE(1..MAX)OFGeneralSubtreebaseGeneralName,BaseDistanceDEFAULT0,BaseDistanceOPTIONAL}BaseDistance::=INTEGER(0..MAX)如果存在permittedSubtrees和excludedSubtrees字段，則它們每個都規(guī)定一個或多個命名子樹，每個由此子樹的根的名稱或任選處于其子樹內(nèi)的任意節(jié)點(diǎn)名稱來定義，子樹范圍是一個由上界和/或下界限定的區(qū)域。如果permittedSubtrees存在，在主題CA和認(rèn)證路徑中后續(xù)CA頒發(fā)的所有證書中，只有那些在子樹中具有與permittedSubtrees字段規(guī)定主題名稱相同的證書才是可接受的。如果excludedSubtrees存在，由主體CA或認(rèn)證路徑中后續(xù)CA頒發(fā)的所有證書中，同excludedSubtrees規(guī)定主題名稱相同的任何證書都是不可接受的。如果PermittedSubtrees和excludedSubtrees都存在并且名稱空間重疊，則優(yōu)先選用通過GeneralName字段定義的命名格式，需要那些具有良好定義的分層結(jié)構(gòu)的名稱形式用于這些字段，DirectoryName名稱形式滿足這種要求；使用這些命名格式命名的子樹對應(yīng)于DIT子樹。在應(yīng)用中不需要檢查和識別所有可能的命名格式。如果此擴(kuò)展標(biāo)記為關(guān)鍵項(xiàng)，并且證書使用中不能識別用于base項(xiàng)的命名格式，應(yīng)視同遇到未識別的關(guān)鍵項(xiàng)擴(kuò)展那樣來處理此證書。如果此擴(kuò)展標(biāo)記為非關(guān)鍵的，并且證書在使用中不能識別用于base項(xiàng)的命名格式，那么,可以忽略此子樹規(guī)范。當(dāng)證書主題具有同一名稱形式的多個名稱時(在directoryName名稱形式情況下，包括證書主題項(xiàng)中的名稱，如果非“0”),對于同一名稱形式的名稱限制應(yīng)檢驗(yàn)所有這些名稱一致性?？梢詫χ黝}名稱或主題選擇名稱進(jìn)行限制。只有當(dāng)確定的名稱格式出現(xiàn)時才應(yīng)用限制。如果證書中沒有類型的名稱，則證書是可以接受的。當(dāng)對于命名格式限制的一致性測試證書主題名稱時，即使擴(kuò)展中標(biāo)識為非關(guān)鍵項(xiàng)也應(yīng)予以處理。Minimum字段規(guī)定了子樹內(nèi)這一區(qū)域的上邊界。最后的命名形式在規(guī)定的級別之上的所有名稱不包含在此區(qū)域內(nèi)。等于“0”(默認(rèn))的minimum值對應(yīng)于此基部(Base),即，子樹的頂節(jié)點(diǎn)。例如，如果Minimum置為“1”,則命名子樹不包含根節(jié)點(diǎn)而只包含下級節(jié)點(diǎn)。Maximum字段規(guī)定了子樹內(nèi)這一區(qū)域的下邊界。最后的命名形式在規(guī)定的級別之下所有字段指出不應(yīng)把下限值施加到子樹內(nèi)的此區(qū)域上。例如，如果Maximum置為“1”,那么,命名子樹不包含除子樹根節(jié)點(diǎn)及其直接下級外的所有節(jié)點(diǎn)。本規(guī)范建議將它標(biāo)記為關(guān)鍵項(xiàng)，否則，證書用戶不能檢驗(yàn)認(rèn)證路徑中的后續(xù)證書是否位于簽發(fā)CA指定的命名域中。如果此擴(kuò)展存在，并標(biāo)記為關(guān)鍵的，則證書用戶系統(tǒng)應(yīng)檢驗(yàn)所處理的認(rèn)證路徑與此擴(kuò)展中的值是否一致。本規(guī)范中，任何名稱格式都不使用最小和最大字段，最小數(shù)總為0,最大數(shù)總是空缺的。本項(xiàng)用于向CA頒發(fā)的證書中，本擴(kuò)展以兩種方式限制路徑確認(rèn)。它可以用來禁止策略映射或要求路徑中的每個證書包含一個認(rèn)可的策略標(biāo)示符。本項(xiàng)定義如下：id-ce-policyConstraintsOBJECTIDENTIFIER::={id-ce36}PolicyConstraints::=SEQUENCE{requireExplicitPolicy[0]SkipCertsOPTIONAL,inhibitPolicyMapping[1]SkipCertsOPTIONAL}如果requireExplicitPolicy字段存在，并且證書路徑包含一個由指定CA簽發(fā)的證書，所有在此路徑中的證書都有必要在證書擴(kuò)展項(xiàng)中包含合適的策略標(biāo)識符。合適的策略標(biāo)識符是由用戶在證書策略中定義的標(biāo)識符，或聲明通過策略映射與其等價的策略的標(biāo)識符。指定的CA是指包含此擴(kuò)展信息的認(rèn)證機(jī)構(gòu)(如果requireExplicitpolicy的值為“0”)果inhibitPolicyMapping的值為“0”)或是認(rèn)證路徑中后續(xù)認(rèn)證機(jī)構(gòu)(由非“0”值指示的)。證書用戶可能不能正確地解釋認(rèn)證機(jī)構(gòu)設(shè)定的規(guī)則。確定證書是否已被撤銷。證書用戶能從可用分發(fā)點(diǎn)獲得一個CRL,或者可以從認(rèn)證機(jī)構(gòu)目錄項(xiàng)獲得當(dāng)前完整的CRL。該項(xiàng)定義如下：id-ce-CRLDistributionPointsOBJECTIDENTIFIER::={id-ce31}cRLDistributionPoints::={CRLDistPointsSyntax}CRLDistPointsSyntax::=SEQUENCESIZE(1..MAX)OFDistributionPointDistributionPointName::=CHOICE{nameRelativeToCRLIssuer[1]ReasonFlaysOPTIONAL,GeneralNames,RelativeDistinguishedName}cessationOfOperation(5),distributionPoint字段標(biāo)識如何能夠獲得CRL的位置。如果此字段缺省，分發(fā)點(diǎn)名稱默認(rèn)為CRL頒發(fā)者的名稱。當(dāng)使用fullName替代名稱或應(yīng)用默認(rèn)時，分發(fā)點(diǎn)名稱可以有多種名稱形式。同一名稱 (至少用其名稱形式之一)應(yīng)存在于頒發(fā)CRL的分發(fā)點(diǎn)擴(kuò)展的distributionPoint字段中。不要求證書使用系統(tǒng)能處理所有名稱形式。它可以只處理分發(fā)點(diǎn)提供的諸多名稱形式中的一種。如果不能處理某一分發(fā)點(diǎn)的任何名稱形式，但能從另一個信任源得到必要的撤銷信息，例如另一個分發(fā)點(diǎn)或CA目錄項(xiàng)，則證書應(yīng)用系統(tǒng)仍能使用該證書。如果CRL分發(fā)點(diǎn)被賦予一個直接從屬于CRL頒發(fā)者的目錄名稱的目錄名，則只能使用nameRelativeToCRLIssuer字段。此時，nameRelativeToCRLIssuer字段傳送與CRL頒發(fā)者Reasons字段指明由此CRL所包含的撤銷原因。如果沒有Reasons字段，相應(yīng)的CRL分發(fā)點(diǎn)發(fā)布包含此證書(如果此證書已被撤銷)的項(xiàng)的CRL,而不管撤銷原因。否則，Reasons值指明相應(yīng)的CRL分發(fā)點(diǎn)所包含的那些撤銷原因。CRLIssuer字段標(biāo)識頒發(fā)和簽署CRL的機(jī)構(gòu)。如果沒有此字段，CRL頒發(fā)者的名稱默認(rèn)此擴(kuò)展可以是關(guān)鍵的或非關(guān)鍵的，由證書頒發(fā)者選擇，建議該擴(kuò)展設(shè)置為非關(guān)鍵的，但CA和應(yīng)用應(yīng)支持該擴(kuò)展。如果該擴(kuò)展標(biāo)記為關(guān)鍵，CA則要保證分發(fā)點(diǎn)包含所用的撤銷原因代碼keyCompromise和CACompromise,或者二者之一。若沒有首先從一個包含了原因代碼keyCompromise(對終端實(shí)體證書)或CACompromise(對CA證書)的指定的分發(fā)點(diǎn)檢索和核對CRL,證書使用系統(tǒng)將不使用該證書。在分配點(diǎn)為所有撤銷與原因代碼和由CA(包括作為關(guān)鍵擴(kuò)展的CRLDistributionPoint)發(fā)布的所有證書分配CRL信息的項(xiàng)中，CA不需要在CA項(xiàng)發(fā)布一個完整的CRL。如果此擴(kuò)展標(biāo)記為非關(guān)鍵的，當(dāng)證書使用系統(tǒng)未能識別此擴(kuò)展項(xiàng)類型時，則只有在下列情況中，該系統(tǒng)使用此證書：——它能從CA獲得一份完整CRL并檢查該證書(通過在CRL中設(shè)有發(fā)布點(diǎn)擴(kuò)展項(xiàng)來指示最近的CRL是完整的);——根據(jù)本地策略不要求撤銷檢查；——用其他手段完成撤銷檢查。注1:一個以上的CRL分發(fā)者對應(yīng)一個證書CRL簽發(fā)者是可能的。這些CRL分發(fā)者與簽發(fā)CA的協(xié)調(diào)是CA策略的一個方面。最新證書撤銷列表擴(kuò)展一般作為證書擴(kuò)展使用，或在發(fā)給認(rèn)證機(jī)構(gòu)和用戶的證書中使用。該項(xiàng)定義如下：freshestCRL::={CRLDistPointsSyntax}根據(jù)證書頒發(fā)者的選擇，這個擴(kuò)展可能是關(guān)鍵的，也可能是非關(guān)鍵的。如果最新的CRL擴(kuò)展是關(guān)鍵的，那么證書使用系統(tǒng)不使用沒有首先進(jìn)行撤銷和核對的最新CRL的證書。如果擴(kuò)展被標(biāo)記為不關(guān)鍵的，證書使用系統(tǒng)能使用本地策略來決定是否需要檢查最新的CRL。增強(qiáng)型密鑰用法用于說明證書用于何種擴(kuò)展性的用途，其定義如下：extendedKeyUsageEXTENSION::={IDENTIFIEDBYid-ce-extKeyUsage}KeyPurposedId::=0BJECTIDENTIFIER--PKIX-definedextendedkeypurposeOIDSid-kp-serverAuthOBJECTIDENTIFIER::={id-kp1}id-kp-clientAuthid-kp-codeSigningid-kp-emailProtectionOBJECTIDENTIFIER::={id-kp4}id-kp-ipsecEndSystemOBJECTIDENTIFIER::={id-kp5}id-kp-ipsecTunnelid-kp-ipsecUserOBJECTIDENTIFIER::={id-kp7}id-kp-timestamping.16頒發(fā)機(jī)構(gòu)信息訪問AuthoritylnfoAccess本項(xiàng)描述了包含該擴(kuò)展的證書的簽發(fā)者如何訪問CA的信息以及服務(wù)。包括在線驗(yàn)證服務(wù)和CA策略數(shù)據(jù)。該擴(kuò)展可包括在用戶證書和CA證書中，且必須為非關(guān)鍵的。id-pe-authorityInfoAccessOBJECTIDENTIFIER::={id-pe1}AuthorityInfoAccessSyntax::=SEQUENCESIZE(1..MAX)OFAccessDescriptionAccessDescription::=SEaccessLocationGeneralName}id-adOBJECTIDENTIFIER::={id-pkix48}id-ad-caIssuersOBJECTIDENTIFIER::={id-ad2}id-ad-ocspOBJECTIDENTIFIER::={id-ad1}序列AuthorityInfoAccessSyntax中的每個入口描述有關(guān)頒發(fā)含有該擴(kuò)展的證書的CA附加信息格式和位置。信息的類型和格式由accessMethod字段說明；信息的位置由accessLocation字段說明。檢索機(jī)制可以由accessMethod表明或由accessLocation說明。當(dāng)id-ad-caIssuers以accessInfoType出現(xiàn)時，accessLocation字段描述了獲得訪問協(xié)議的形式。AccessLocation字段定義為GeneralName,它可有幾種形式：當(dāng)信息可以通過http,ftp或ldap獲得時，accessLocation必須是一個uniformResourceIdentifier類型。當(dāng)信息可以通過目錄訪問協(xié)議獲得時，accessLocation必須是一個directoryName類型。當(dāng)信息可以通過電子郵件獲得時，accessLocation必須是一個rfc822Name類型。.17主體信息訪問SubjectInformationAccess本項(xiàng)描述了證書主體如何訪問信息和服務(wù)。如果主體是CA,則包括證書驗(yàn)證服務(wù)和CA擴(kuò)展域/項(xiàng)中的內(nèi)容在所支持的服務(wù)協(xié)議的說明中定義。這個擴(kuò)展項(xiàng)必須定義為非關(guān)鍵的。id-pe-SubjectInformationAccessOBJECTIDENTIFIER::={id-pe11}SubjectInfoAccessSyntax::=SEQUENCESIZE(1..MAX)OFAccessDescriptionaccessLocationGeneralName}.18社會保險號InsuranceNumber社會保險號擴(kuò)展項(xiàng)用于表示各類機(jī)構(gòu)的社會保險號碼，其定義如下：ID-InsuranceNumberOBJECTIDENTIFIER::={02}此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.19工商注冊號ICRegistrationNumber工商注冊號擴(kuò)展項(xiàng)用于表示企業(yè)工商注冊號碼，其定義如下：ID-ICRegistrationNumberOBJECTIDENTIFIER::={02}此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.20組織機(jī)構(gòu)代碼OrganizationCode組織機(jī)構(gòu)代碼號擴(kuò)展項(xiàng)用于表示各類機(jī)構(gòu)的組織機(jī)構(gòu)代碼，其定義如下：ID-OrganizationCodeOBJECTIDENTIFIER::={02}此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.21納稅人識別號TaxationNumber納稅人識別號擴(kuò)展項(xiàng)用于表示各類機(jī)構(gòu)的納稅人識別號碼，其定義如下：ID-TaxationNumberOBJECTIDENTIFIER::={02}TaxationNumber::=PRINTABLESTR此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。住房公積金賬號擴(kuò)展項(xiàng)用于表示各類機(jī)構(gòu)的住房公積金賬號號碼，其定義如下：ID-HousingProvidentFundAccountOBJECTIDENTIFIER::={12570.11.201}HousingProvidentFundAccount::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.23事業(yè)單位法人編碼InstitutionsNumber事業(yè)單位法人編碼擴(kuò)展項(xiàng)用于表示事業(yè)法人類機(jī)構(gòu)編碼，其定義如下：ID-InstitutionsNumberOBJECTIDENTIFIER::={12570.11.202}InstitutionsNumber::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.24社會組織法人編碼AssociationNumber社會組織法人編碼擴(kuò)展項(xiàng)用于表示社會組織法人類機(jī)構(gòu)編碼，其定義如下：ID-AssociationNumberOBJECTIDENTIFIER::={12570.11.203}AssociationNumber::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.25政府機(jī)關(guān)法人編碼GovernmentInstitutionsNumber政府機(jī)關(guān)法人編碼擴(kuò)展項(xiàng)用于表示政府機(jī)關(guān)法人編碼，其定義如下：ID-GovernmentInstitutionsNumberOBJECTIDENTIFIER::={12570.11.204}GovernmentInstitutionsNumber::=PRINTABLESTR此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.26通用實(shí)體唯一標(biāo)識號GeneralSubjectUniquelD通用實(shí)體唯一標(biāo)識號擴(kuò)展項(xiàng)用于表示CA系統(tǒng)中證書持有者身份的唯一編碼。此項(xiàng)在證書申請時由CA生成唯一標(biāo)識號，采用不超過32字節(jié)的字符串；此項(xiàng)在證書更新、變更和恢復(fù)時保持不變。ID-GeneralSubjectUniqueIDOBJECTIDENTIFIER::={12570.11.205}GeneralSubjectUniqueID::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.27證書類別標(biāo)識CertTypelD證書類別標(biāo)識擴(kuò)展項(xiàng)用于表示證書根據(jù)應(yīng)用范圍、證書持有人等確定的證書類別。本規(guī)范此擴(kuò)展項(xiàng)取值為："1"。ID-CertTypeIDOBJECTIDENTIFIER::={12570.11.206}此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.28特殊業(yè)務(wù)編碼SpecialAffairNumber12570.11.300開始預(yù)留擴(kuò)展，用于特殊業(yè)務(wù)編碼，其定義如下：ID-SpecialAffairNumberOBJECTIDENTIFIER::={12570.11.300}SpecialAffairNumber::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.29人保用戶唯一標(biāo)識號HRSSSubjectUniquelD人保用戶唯一標(biāo)識號擴(kuò)展項(xiàng)用于兼容人保主管部門數(shù)字證書標(biāo)準(zhǔn)，代表證書持有者身份在相應(yīng)業(yè)務(wù)系統(tǒng)中的唯一編碼。ID-HRSSSubjectUniqueIDOBJECTIDENTIFIER::={316}HRSSSubjectUniqueID::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。衛(wèi)生用戶唯一標(biāo)識號擴(kuò)展項(xiàng)用于兼容衛(wèi)生主管部門數(shù)字證書標(biāo)準(zhǔn)，代表證書持有者身份在相應(yīng)業(yè)務(wù)系統(tǒng)中的唯一編碼。ID-MOHSubjectUniqueIDOBJECTIDENTIFIER::={12570.148}此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。5.2.3簽名算法域(SignatureAlgorithm)該域包含CA系統(tǒng)頒發(fā)該證書所使用的密碼算法標(biāo)識符，應(yīng)與基本證書域中的簽名算法所標(biāo)識的簽名算法相同，可選參數(shù)的內(nèi)容完全依賴所標(biāo)識的具體算法。5.2.4簽名值域(SignatureValue)該域保存對基于證書域進(jìn)行數(shù)字簽名的結(jié)果，經(jīng)過ASN.1DER編碼的基本證書域作為數(shù)字簽名算法的輸入，簽名的結(jié)果按照ASN.1編碼成BITSTRING類型并保存在簽名值域。5.3法人一證通數(shù)字證書格式法人一證通數(shù)字證書指面向上海市政府部門在開展社會管理、公共服務(wù)等活動中所涉及到的各類法人機(jī)構(gòu)(如各級政務(wù)部門、企事業(yè)單位和社團(tuán)類單位等)發(fā)放的證書。法人一證通數(shù)字證書主要包括四種類型：a)企業(yè)單位機(jī)構(gòu)證書b)事業(yè)單位機(jī)構(gòu)證書c)社會團(tuán)體機(jī)構(gòu)證書d)政府機(jī)關(guān)機(jī)構(gòu)證書5.3.2法人一證通數(shù)字證書基本證書域基本證書域由基本域和擴(kuò)展域組成。法人一證通數(shù)字證書基本域見章節(jié)。法人一證通數(shù)字證書擴(kuò)展域法人一證通數(shù)字證書擴(kuò)展域可包含如下擴(kuò)展項(xiàng)：a)機(jī)構(gòu)密鑰標(biāo)識符AuthorityKeyIdentifierb)主題密鑰標(biāo)識符SubjectKeyIdentifierc)密鑰用法KeyUsaged)增強(qiáng)型密鑰用法ExtendedKeyUsagee)主題可選替換名稱SubjectAlternativeNamf)頒發(fā)者可選替換名稱IssuerAlternativeNamg)主題目錄屬性SubjectDirectoryAttributesi)證書撤銷列表分發(fā)點(diǎn)CRLDistributionPointsj)最新證書撤銷列表FreshestCRLk)頒發(fā)機(jī)構(gòu)信息訪問AuthorityInfoAccess1)主題信息訪問SubjectInformationAccessm)工商注冊號ICRegistrationNumbern)組織機(jī)構(gòu)代碼OrganizationCodeo)納稅人識別號TaxationNumberb)密鑰用法KeyUs