isaISAICS 35.240.60 L 67 湖 北 省 地 方 標(biāo) 準(zhǔn) DB42 DB42/T 452 2008 湖北省電子政務(wù)數(shù)字證書(shū)技術(shù)應(yīng)用規(guī)范 HuBei Province Electronic Government Digital Certificate Technical Application Specification 2008-01-04 發(fā)布 2008-02-01 實(shí)施 湖北省質(zhì)量技術(shù)監(jiān)督局 發(fā)布 DB42/T 452 2008 I 目 次 前 言 . III 引 言 . IV 1 范圍 . 1 2 規(guī)范性引用文件 . 1 3 術(shù)語(yǔ)、定義和縮略語(yǔ) . 1 3.1 術(shù)語(yǔ)和定義 . 1 3.2 縮略語(yǔ) . 3 4 數(shù)字證書(shū)格式 . 3 4.1 政務(wù)數(shù)字證書(shū)通用格式 . 3 4.2 認(rèn)證 機(jī)構(gòu)證書(shū)格式 . 6 4.3 政務(wù)個(gè)人證書(shū)格式 . 7 4.4 政務(wù)機(jī)構(gòu)證書(shū)格式 . 8 4.5 政務(wù)設(shè)備證書(shū)格式 . 8 4.6 政務(wù)服務(wù)器證書(shū)格式 . 9 4.7 政務(wù)應(yīng)用系統(tǒng)證書(shū)格式 . 10 4.8 政務(wù)代碼簽名證書(shū)格式 . 11 5 政務(wù)數(shù)字證書(shū)應(yīng)用接口 . 11 5.1 政務(wù)數(shù)字證書(shū)應(yīng)用體系結(jié)構(gòu) . 11 5.2 政務(wù)數(shù)字證書(shū)應(yīng)用接口組成和功能說(shuō)明 . 12 5.3 政務(wù)數(shù)字證書(shū)應(yīng)用程序接口函數(shù)定義 . 13 6 政務(wù)數(shù)字證書(shū)業(yè)務(wù)規(guī)則 . 20 6.1 政務(wù)數(shù)字證書(shū)簽發(fā) . 20 6.2 政務(wù)數(shù)字證書(shū)使用 . 21 6.3 政務(wù)數(shù)字證書(shū)維護(hù) . 21 6.4 政務(wù)數(shù)字證書(shū)載體 . 22 6.5 政務(wù)數(shù)字證書(shū)實(shí)體查詢(xún) . 22 附 錄 A （規(guī)范性附錄） 基本域說(shuō)明 . 23 A.1 版本（ Version ） . 23 A.2 序列號(hào)（ SerialNumber ） . 23 A.3 簽名算法 （ SignatureAlgorithm ） . 23 A.4 頒發(fā)者 （ Issuer ） . 23 A.5 有效期 （ Validity ） . 23 A.6 主體（ Subject ） . 23 A.7 主體公鑰信息（ SubjectPublic KeyInfo） . 23 A.8 頒發(fā)者唯一標(biāo)識(shí)符（ IssuerUniqueID） . 23 A.9 主體唯一標(biāo)識(shí)符（ SubjectUniqueID） . 23 附 錄 B （規(guī)范性附錄） 擴(kuò)展域說(shuō)明 . 24 B.1 政務(wù)數(shù)字證書(shū)通用格式擴(kuò)展域說(shuō)明 . 24 B.1.1 機(jī)構(gòu)密鑰標(biāo)識(shí)符 . 24 DB42/T 452 2008 II B.1.2 主體密鑰標(biāo)識(shí)符 . 24 B.2 認(rèn)證機(jī)構(gòu)證書(shū)格式擴(kuò)展域說(shuō)明 . 26 B.3 政務(wù)個(gè)人證書(shū)格式擴(kuò)展域說(shuō)明 . 27 B.4 政務(wù)機(jī)構(gòu)證書(shū)格式擴(kuò)展域說(shuō)明 . 28 B.5 政務(wù)設(shè)備證書(shū)格式擴(kuò)展域說(shuō)明 . 29 B.6 政務(wù)服務(wù)器證書(shū)格式擴(kuò)展域說(shuō)明 . 30 B.7 政務(wù)應(yīng)用系統(tǒng)證書(shū)格式擴(kuò)展域說(shuō)明 . 31 B.8 政務(wù)代碼簽名證書(shū)格式擴(kuò)展域說(shuō)明 . 31 附 錄 C （規(guī)范性附錄） 政務(wù)數(shù)字證書(shū)模板 . 33 附 錄 D （資料性附 錄） 主體命名示例 . 34 D.1 政務(wù)個(gè)人證書(shū) . 34 D.2 政務(wù)機(jī)構(gòu)證書(shū) . 34 D.3 政務(wù)設(shè)備證書(shū) . 34 D.4 政務(wù)服務(wù)器證書(shū) . 35 D.5 政務(wù)應(yīng)用系統(tǒng)證書(shū) . 35 D.6 政務(wù)代碼簽名證書(shū) . 35 附 錄 E （資料性附錄） 主體可選替換名稱(chēng)命名示例 . 36 E.1 政務(wù)個(gè)人證書(shū) . 36 E.2 政務(wù)機(jī)構(gòu)證書(shū) . 36 E.3 政務(wù)設(shè)備證書(shū) . 36 E.4 政務(wù)服務(wù)器證書(shū) . 37 E.5 政務(wù)應(yīng)用系統(tǒng)證書(shū) . 37 E.6 政務(wù)代碼簽名證書(shū) . 37 附 錄 F （資料性附錄） 政務(wù)數(shù)字證書(shū)編碼示例 . 37 附 錄 G （規(guī)范性附錄） 數(shù)字證書(shū)應(yīng)用接口常量定義和說(shuō)明 . 41 G.1 證書(shū)類(lèi)型 . 41 G.2 證書(shū)信息 . 42 附 錄 H （資料性附錄） 數(shù)字證書(shū)典型應(yīng)用示例 . 43 H.1 典型業(yè)務(wù)流程 . 43 H.2 登錄程序基本流程 . 43 附 錄 I （資料性附錄） 政務(wù)數(shù)字證書(shū)注冊(cè)機(jī)構(gòu)和受理點(diǎn)建設(shè)樣例 . 44 I.1 注冊(cè)機(jī)構(gòu)和受理點(diǎn)功能 . 44 I.2 注冊(cè)機(jī)構(gòu)和受理點(diǎn)在 PKI 體系中的位置 . 45 I.3 證書(shū)注冊(cè)機(jī)構(gòu)邏輯結(jié)構(gòu) . 45 I.4 受理點(diǎn)邏輯結(jié)構(gòu) . 45 DB42/T 452 2008 III 前 言 本標(biāo)準(zhǔn)的附錄 A、附錄 B、附錄 C 和附錄 G 為規(guī)范性附錄，附錄 D、附錄 E、附錄 F、附錄 H 和附錄 I 為資料性附錄。 本標(biāo)準(zhǔn)由湖北省電子政務(wù)工作領(lǐng)導(dǎo)小組辦公室提出。 本標(biāo)準(zhǔn)由湖北省標(biāo)準(zhǔn)化協(xié)會(huì)電子政務(wù)專(zhuān)業(yè)委員會(huì)歸口。 本標(biāo)準(zhǔn)主要起草單位：湖北省數(shù)字證書(shū)認(rèn)證管理中心有限公司、武漢大學(xué)計(jì)算機(jī)學(xué)院、湖北省標(biāo)準(zhǔn)化研究院。 本標(biāo)準(zhǔn)主要起草人：田造民、涂航、熊星、潘登、葛愿維、馮翔、吳焱。 DB42/T 452 2008 IV 引 言 隨著我省電子政務(wù)平臺(tái)的運(yùn)行和省電子政務(wù)應(yīng)用的深入開(kāi)展，為了加強(qiáng)全省政務(wù)網(wǎng)的總體安全，保證全省數(shù)字證書(shū)策略的一致性，省電子政務(wù)辦出臺(tái)了規(guī)范全省數(shù)字證書(shū)的通知。本著這一精神，為指導(dǎo)我省電子政務(wù)數(shù)字證書(shū)應(yīng)用，規(guī)范數(shù)字證書(shū)應(yīng)用行為，確保數(shù)字證書(shū)在電子政務(wù)活動(dòng)中能夠通用，實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)互通和信息共享并一證多用，滿(mǎn)足湖北省信息化和電子政務(wù)發(fā)展的迫切需求， 故 制定 本標(biāo)準(zhǔn) 。 數(shù)字證書(shū)是 PKI 技術(shù)的關(guān)鍵要素之一，以 PKI 為核心的網(wǎng)絡(luò)身份認(rèn)證體系和信息加密技術(shù)已成為業(yè)界廣泛認(rèn)同的一種構(gòu)造網(wǎng)絡(luò)身份信任體系的重 要方式，并成為信息安全保障體系中極其重要的組成部分之一。 數(shù)字證書(shū)是傳送和處理實(shí)體身份鑒別信息的重要載體，通過(guò)數(shù)字證書(shū)和身份認(rèn)證確認(rèn)電子政務(wù)參與方的各自身份，建立彼此間的信任關(guān)系以及保證信息的保密性、完整性和可用性。 本標(biāo)準(zhǔn)總體上同國(guó)家相關(guān)標(biāo)準(zhǔn)保持一致，并結(jié)合湖北省實(shí)際制定。 本標(biāo)準(zhǔn) 規(guī)定了政務(wù)數(shù)字證書(shū)的通用格式，規(guī)定了提供服務(wù)的認(rèn)證機(jī)構(gòu)證書(shū)、政務(wù)個(gè)人證書(shū)、政務(wù)機(jī)構(gòu)證書(shū)、政務(wù)設(shè)備證書(shū) 、政務(wù)服務(wù)器證書(shū)、政務(wù)應(yīng)用系統(tǒng)證書(shū) 和政務(wù)代碼簽名證書(shū)的格式和模板，對(duì)數(shù)字證書(shū)的應(yīng)用接口進(jìn)行描述，是湖北省電子政務(wù)數(shù)字證書(shū)應(yīng) 用的依據(jù)。 本標(biāo)準(zhǔn) 不對(duì)屬性證書(shū)作出詳細(xì)的格式與應(yīng)用的規(guī)定，但可作為屬性證書(shū)應(yīng)用的參考。 DB42/T 452 2008 1 湖北省電子政務(wù)數(shù)字證書(shū)技術(shù)應(yīng)用規(guī)范 1 范圍 本標(biāo)準(zhǔn)規(guī)定了湖北省電子政務(wù)數(shù)字證書(shū)格式、應(yīng)用接口和業(yè)務(wù)規(guī)則。 本標(biāo)準(zhǔn)適用于電子認(rèn)證服務(wù)機(jī)構(gòu)、數(shù)字證書(shū)認(rèn)證系統(tǒng)及相關(guān)產(chǎn)品的供應(yīng)商、應(yīng)用開(kāi)發(fā)商的設(shè)計(jì)和開(kāi)發(fā)。 本標(biāo)準(zhǔn)適用于 應(yīng)用部門(mén) 在湖北省電子政務(wù)的辦公、社會(huì)管理和公共服務(wù)等政務(wù)活動(dòng)，也可適用于電子商務(wù)應(yīng)用。 本標(biāo)準(zhǔn)規(guī)定的電子政務(wù)數(shù)字證書(shū)格式適用于認(rèn)證機(jī)構(gòu)證書(shū)、政務(wù)個(gè)人證書(shū)、政務(wù)機(jī)構(gòu)證書(shū)、政務(wù)設(shè)備證書(shū)、政務(wù)服務(wù)器證書(shū)、政務(wù)應(yīng)用系統(tǒng)證 書(shū)、政務(wù)代碼簽名證書(shū)。 本標(biāo)準(zhǔn) 規(guī)定的電子政務(wù)數(shù)字證書(shū)格式適用于加密證書(shū)和簽名證書(shū)。 本標(biāo)準(zhǔn) 不涉及任何具體的密碼運(yùn)算，所有密碼運(yùn)算均在符合國(guó)家有關(guān)法律法規(guī)的密碼設(shè)備中進(jìn)行。 本標(biāo)準(zhǔn) 凡涉及密碼相關(guān)內(nèi)容，按國(guó)家有關(guān)法律法規(guī)實(shí)施。 2 規(guī)范性引用文件 下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。 GB/T 16284.4-1996 信息技術(shù) 文本通信 面向信報(bào)的文本交換系統(tǒng) 第 4部分：抽象服務(wù)定義和規(guī)程 GB/T 17969.1-2000 信息技術(shù) 開(kāi)放系統(tǒng)互連 OSI登記機(jī)構(gòu)的操作規(guī)程 第 1部分：一般規(guī)程 DB 42/T 362 2006 電子政務(wù)術(shù)語(yǔ) ISO/IEC 9594-2:2001 Information technology -Open Systems Interconnection - The Directory: Models 信息技術(shù) .開(kāi)放系統(tǒng)互連 .目錄 :模型 IETF RFC 791 Internet Protocol Internet協(xié)議 IETF RFC 822 Standard for the format of ARPA Internet text messages ARPA 英特網(wǎng)文本消息格式標(biāo)準(zhǔn) IETF RFC 1034 Domain names - concepts and facilities 域名 -概念和設(shè)施 IETF RFC 1630 Universal Resource Identifiers in WWW: A Unifying Syntax for the Expression of Names and Addresses of Objects on the Network as used in the World-Wide Web WWW中的全球資源 標(biāo)識(shí)符：類(lèi)似 WWW的網(wǎng)絡(luò)目標(biāo)的名字和地址表達(dá)的統(tǒng)一句法 RFC1738 統(tǒng)一資源定位器 IETF RFC 1738 Uniform Resource Locators (URL) 統(tǒng)一資源定位器 (URL) IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile 因特網(wǎng) X.509公開(kāi)密鑰基礎(chǔ)設(shè)施證書(shū)與證書(shū)撤銷(xiāo)列表輪廓 PKCS#7: Cryptographic Message Syntax Standard PKCS#7:密碼消息語(yǔ)法標(biāo)準(zhǔn) PKCS#11: Cryptographic Token Interface Standard PKCS#11:密碼令牌接口標(biāo)準(zhǔn) 3 術(shù)語(yǔ) 、 定義 和 縮略語(yǔ) 3.1 術(shù)語(yǔ)和定義 DB42/T 452 2008 2 DB 42/T 362 2006 確立的 以及 下列 術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn) 。 3.1.1 公鑰基礎(chǔ)設(shè)施（ PKI） Public Key Infrastructure 支持公鑰管理體制的基礎(chǔ)設(shè)施，提供鑒別、加密、完整性和不可否認(rèn)性服務(wù)。 3.1.2 證書(shū)認(rèn)證機(jī)構(gòu)（ CA） Certificate Authority 負(fù)責(zé)創(chuàng)建和分配證書(shū)，受用戶(hù)信任的權(quán)威機(jī)構(gòu)。用戶(hù)可以選擇該機(jī)構(gòu)為其創(chuàng)建密鑰 。 3.1.3 證書(shū)注冊(cè)機(jī)構(gòu)（ RA） Registration Authority RA是 CA 的組成部分，對(duì)證書(shū)申請(qǐng)的業(yè)務(wù)受理審核子系統(tǒng)概稱(chēng)為 RA， RA按照 CA制定的政策和管理規(guī)范對(duì)用戶(hù)的資信進(jìn)行審查，以決定 是否為該用戶(hù)發(fā)放證書(shū)。 3.1.4 密鑰管理中心（ KMC） Key Management Centre 密鑰管理中心。 主要負(fù)責(zé)數(shù)字證書(shū)用戶(hù)密鑰的生成和管理，解決系統(tǒng)密 鑰和數(shù)字證書(shū)用戶(hù)密鑰自產(chǎn)生到最終銷(xiāo)毀的整個(gè)生命周期中的相關(guān)問(wèn)題。 3.1.5 在線證書(shū)狀態(tài)協(xié)議（ OCSP） Online Certificate Status Protocol 在線證書(shū)狀態(tài)協(xié)議 ，是 IETF 頒布的用于檢查數(shù)字證書(shū)在某一時(shí)間是否有效的標(biāo)準(zhǔn)。 3.1.6 依賴(lài)方 Relying Party 即指依賴(lài)于證書(shū)真實(shí)性的實(shí)體。在電子簽名應(yīng)用中，即為電子簽名依賴(lài)方。 3.1.7 公 鑰證書(shū) Public Key Certificate 用戶(hù)的公鑰連同其他信息，并由發(fā)布該證書(shū)的證書(shū)認(rèn)證機(jī)構(gòu)的私鑰進(jìn)行加密使其不可偽造。 3.1.8 證書(shū)吊銷(xiāo)列表 (CRL) Certificate Revocation List 一種由證書(shū)簽發(fā)者所認(rèn)定的無(wú)效證書(shū)的清單。 3.1.9 終端實(shí)體 End Entity 不以簽署證書(shū)為目的而使用其私鑰的證書(shū)主體或者證書(shū)使用者。 3.1.10 政務(wù)數(shù)字證書(shū) Government Affair Digital Certificate 用來(lái)標(biāo)識(shí)電子政務(wù)參與方真實(shí)身份的數(shù)字證書(shū) ， 根據(jù)參與方的不同類(lèi)別分為認(rèn) 證機(jī)構(gòu)證書(shū)、政務(wù)個(gè)人證書(shū)、政務(wù)機(jī)構(gòu)證書(shū)、政務(wù)設(shè)備證書(shū)、政務(wù)服務(wù)器證書(shū)、政務(wù)應(yīng)用系統(tǒng)證書(shū)、政務(wù)代碼簽名證書(shū)。 3.1.11 政務(wù)個(gè)人證書(shū) Government Affair Person Certificate 頒發(fā)給參與電子政務(wù)的個(gè)人實(shí)體，用來(lái)唯一標(biāo)識(shí)個(gè)人實(shí)體真實(shí)身份的數(shù)字證書(shū)。 3.1.12 政務(wù)機(jī)構(gòu)證書(shū) Government Affair Unit Certificate 頒發(fā)給 參與電子政務(wù)的機(jī)構(gòu)實(shí)體，用來(lái)唯一標(biāo)識(shí)機(jī)構(gòu)實(shí)體真實(shí)身份的數(shù)字證書(shū)。 3.1.13 政務(wù)設(shè)備證書(shū) Government Affair Device Certificate 頒發(fā)給參與電子政務(wù)的設(shè)備實(shí)體，用來(lái)唯一標(biāo)識(shí)設(shè)備實(shí)體真實(shí)身份的數(shù)字證書(shū)。 DB42/T 452 2008 3 3.1.14 政務(wù) 服務(wù)器 證書(shū) Government Affair Server Certificate 頒發(fā)給參與電子政務(wù)的 服務(wù)器 實(shí)體，用來(lái)唯一標(biāo)識(shí) 服務(wù)器 實(shí)體真實(shí)身份的數(shù)字證書(shū)。 3.1.15 政務(wù) 應(yīng)用系統(tǒng) 證書(shū) Government Aaffair Application Certificate 頒發(fā)給參與電子政務(wù)的 應(yīng)用系統(tǒng) 實(shí)體，用來(lái)唯一標(biāo)識(shí) 應(yīng)用系統(tǒng) 實(shí)體真實(shí)身份的數(shù)字證書(shū)。 3.1.16 政務(wù)代碼簽名證書(shū) Government Affair Code Signing Certificate 頒發(fā)給參與電子政務(wù)的各類(lèi)實(shí)體，用來(lái)對(duì)其所開(kāi)發(fā)的代碼進(jìn)行代碼簽名的數(shù)字證書(shū)。 3.2 縮略語(yǔ) 下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)： ASN Abstract Syntax Notation 抽象語(yǔ)法表示法 BASE64 設(shè)計(jì)用來(lái)把任意序列的 8 位字節(jié)描述為一種不易被人直接識(shí)別的形式 BER Basic Encoding Rules 基本編碼規(guī)則 C Country 國(guó)家 CA Certificate Authority 證書(shū)認(rèn)證機(jī)構(gòu) CN Common Name 通用名 CRL Certificate Revocation List 證書(shū)吊銷(xiāo)列表 CSP Cryptographic Service Provider 加密服務(wù)提供者 DER Distinguished Encoding Rules 可區(qū)分編碼規(guī)則 DN Distinguished Name 甄別名 KMC Key Management Centre 密鑰管理中心 L Location 市州 LDAP Lightweight Directory Access Protocol 輕量級(jí)目錄訪問(wèn)協(xié)議 O Organization 機(jī)構(gòu) OCSP Online Certificate Status Protocol 在線證書(shū)狀態(tài)協(xié)議 OID Object Identifier 對(duì)象標(biāo)識(shí)符 OU Organization Unit 機(jī)構(gòu)單位 PKCS The Public-Key Cryptography Standard 公鑰密碼使用標(biāo)準(zhǔn) PKI Public Key Infrastructure 公鑰基礎(chǔ)設(shè)施 RA Registration Authority 證書(shū)注冊(cè)機(jī)構(gòu) S State 省份 4 數(shù)字證書(shū)格式 4.1 政務(wù)數(shù)字證書(shū)通用格式 4.1.1 基本結(jié)構(gòu) 政務(wù)數(shù) 字證書(shū) 的基本 結(jié)構(gòu) 由三部 分組 成：基 本證書(shū) 域 TBSCertificate 、 簽名 算法域SignatureAlgorithm、簽名值域 SignatureValue。 政務(wù)數(shù)字證書(shū)的基本結(jié)構(gòu)，見(jiàn)圖 1。 DB42/T 452 2008 4 基 本 證 書(shū) 域T B S C e r t i f i c a t e簽 名 算 法 域S i g n a t u r e A l g o r i t h m簽 名 值 域S i g n a t u r e V a l u e政務(wù)數(shù)字證書(shū)基本結(jié)構(gòu) 圖 1 政務(wù)數(shù)字證書(shū)的基本結(jié)構(gòu) 4.1.2 基本證書(shū)域 基本證書(shū)域由基本域和擴(kuò)展域組成。基本證書(shū)域結(jié)構(gòu)，見(jiàn)圖 2。 基本證書(shū)域基 本 域擴(kuò) 展 域 圖 2 基本證書(shū)域結(jié)構(gòu) 4.1.3 基本域 基本域由如下部分組成： 版本 Version 序列號(hào) SerialNumber 簽名算法 SignatureAlgorithm 頒發(fā)者 Issuer 有效期 Validity 主體 Subject 主體公鑰信息 SubjectPublicKeyInfo 頒發(fā)者唯一標(biāo)識(shí)符 IssuerUniqueID 主體唯一標(biāo)識(shí)符 SubjectUniqueID 基本域應(yīng)符合 附錄 A 的規(guī)定。 4.1.4 擴(kuò)展域 政務(wù)數(shù)字證書(shū)可使用擴(kuò)展域。 政務(wù)數(shù)字證書(shū)擴(kuò)展域可包含多項(xiàng)擴(kuò)展項(xiàng)。每項(xiàng)擴(kuò)展項(xiàng)由擴(kuò)展類(lèi)型、擴(kuò)展關(guān)鍵度和擴(kuò)展項(xiàng)值組成。 政務(wù)數(shù)字證書(shū)可使用 IETF RFC 3280 中定義的如下證書(shū)擴(kuò)展項(xiàng)： 機(jī)構(gòu)密鑰標(biāo)識(shí)符 AuthorityKeyIdentifier 主體密鑰標(biāo)識(shí)符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書(shū)策略 CertificatePolicies 策略映射 PolicyMappings 主體替換名稱(chēng) SubjectAlternativeName 頒發(fā)者替換名稱(chēng) IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints DB42/T 452 2008 5 名稱(chēng)限制 NameConstraints 策略限制 PolicyConstraints 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) CRLDistributionPoints 限制任意策略 InhibitAnyPolicy 最新證書(shū)撤銷(xiāo)列表 FreshestCRL 機(jī)構(gòu)信息訪問(wèn) AuthorityInformationAccess 主體信息訪問(wèn) SubjectInformationAccess 除上述證書(shū)擴(kuò)展項(xiàng)， 本標(biāo)準(zhǔn) 還支持如下私有擴(kuò)展項(xiàng)： 個(gè)人身份證號(hào)碼 IdentifyCardNumber 個(gè)人社會(huì)保險(xiǎn)號(hào) InsuranceNumber 組織機(jī)構(gòu)代碼 OrganizationCode 工商注冊(cè)號(hào) ICRegistrationNumber 稅號(hào) TaxationNumber 主體銀行基本賬號(hào) SubjectBasicAccount 政務(wù)數(shù)字證書(shū)擴(kuò)展域 應(yīng)符合 附錄 B.1 的規(guī)定 。 4.1.5 簽名算法域 包含 CA 頒發(fā)該證書(shū)所使用的密碼算法的標(biāo)識(shí)符，應(yīng)與基本證書(shū)域中的簽名算法 項(xiàng) 所標(biāo)識(shí)的簽名算法相同?？蛇x參數(shù)的內(nèi)容完全依賴(lài)所標(biāo)識(shí)的具體算法。 4.1.6 簽名值域 包含對(duì)基本證書(shū)域進(jìn)行數(shù)字簽名的結(jié)果。經(jīng)過(guò) ASN.1 DER 編碼的基本證書(shū)域作為數(shù)字簽名算法的輸入，簽名的結(jié)果按照 ASN.1 編碼成 BIT STRING 類(lèi)型并保存在簽名值域。 4.1.7 命名規(guī)范 主體 政務(wù)數(shù)字證書(shū)中的主體 DN 應(yīng)是 C=CN 命名空間下的 X.500 目錄唯一名字。 C（ Country）屬性的編 碼使用 PrintableString，其它屬性的編碼使用 UTF8String。主體的 X.500 DN 如下： C=CN S= L= O= OU= CN= a) C（ Country）應(yīng)為 CN，表示中國(guó)。 b) S（ State）應(yīng)為證書(shū)主體所在省份。 c) L（ Location）應(yīng)為證書(shū)主體所在 市州 。 d) O（ Organization）應(yīng)為證書(shū)主體所屬單位的上一級(jí)單位的名稱(chēng) 全稱(chēng)； e) OU（ OrganizationUnit）應(yīng)為證書(shū)主體或者證書(shū)主體所屬單位的名稱(chēng)全稱(chēng)； f) CN（ CommonName）中的內(nèi)容分為 6 種： 1） 政務(wù)個(gè)人證書(shū)中應(yīng)為證書(shū)主體的姓名； 2） 政務(wù)機(jī)構(gòu)證書(shū)中應(yīng)為證書(shū)主體單位的 名稱(chēng) ； 3） 政務(wù)設(shè)備證書(shū)中應(yīng)為證書(shū)主體設(shè)備的設(shè)備編碼； 4） 政務(wù)服務(wù)器證書(shū)中應(yīng)為證書(shū)主體服務(wù)器的域名或 IP，宜為域名； 5） 政務(wù)應(yīng)用系統(tǒng)證書(shū)中應(yīng)為證書(shū)主體應(yīng)用系統(tǒng)的應(yīng)用系統(tǒng)編碼； 6） 政務(wù)代碼簽名證書(shū)中應(yīng)為負(fù)責(zé)人的姓名，或者是所屬單位的 名稱(chēng) 。 主體命名示例 參 見(jiàn)附錄 D。 DB42/T 452 2008 6 主體替換名稱(chēng) 政務(wù)數(shù)字證書(shū)的主體替換名稱(chēng)擴(kuò)展項(xiàng)包含一個(gè)或多個(gè)替換名供實(shí)體使用， CA 把該實(shí)體與認(rèn)證的公開(kāi)密鑰綁定在一起。 主體替換名稱(chēng)擴(kuò)展允許把附加身份加到證書(shū)的主體上。所定義的選項(xiàng)包括因特網(wǎng)電子郵件地址、DNS 名稱(chēng)、 IP 地址和統(tǒng)一資源標(biāo)識(shí)符（ URI），及純本地定義的選項(xiàng)。 此項(xiàng)定義如下： a) otherName 是按照 OTHER-Name 信息客體類(lèi)別實(shí)例定義的任一種形式的名稱(chēng)； b) rfc822Name 是按照 Internet RFC822 定義的 Internet 電子郵件地址，政務(wù)個(gè)人證書(shū)、政務(wù)機(jī)構(gòu)證書(shū)、政務(wù)設(shè)備 證書(shū)、政務(wù)服務(wù)器證書(shū)、政務(wù)應(yīng)用系統(tǒng)證書(shū)、政務(wù)代碼簽名證書(shū)宜包含電子郵件地址 Email； c) DNSName 是按照 RFC1034 定義的 Internet 域名，政務(wù)設(shè)備證書(shū)、政務(wù)服務(wù)器證書(shū)、政務(wù)應(yīng)用系統(tǒng)證書(shū)可包含域名地址； d) x400Address 是按照 GB/T 16284.4-1996 定義的 O/R 地址； e) directoryName 是按照 ISO/IEC 9594-2:2001 定義的目錄名稱(chēng)； f) ediPartyName 是通信的電子數(shù)據(jù)交換雙方之間商定的形式名稱(chēng)， nameAssigner 成分標(biāo)識(shí)了分配partyName 中 唯一名稱(chēng)值的機(jī)構(gòu)； g) uniformResourceIdentifier 是按 Internet RFC1630 定義的用于 WWW 的 UniformResourceIdentifer，RFC1738 中定義的 URL 語(yǔ)法和編碼規(guī)則； h) iPAddress 是按照 Internet RFC791 定義的用二進(jìn)制串表示的 Internet Protocol 地址； i) registeredID 是按照 GB/T 17969.1-2000 對(duì)注冊(cè)的客體分配的標(biāo)識(shí)符。 directoryName 的 X.500 DN 應(yīng)是 C=CN 命名空間下的 X.500 目錄 唯一名字。 主體替換名稱(chēng)命名示例參見(jiàn)附錄 E。 4.1.8 政務(wù)數(shù)字證書(shū)編碼示例 政務(wù)數(shù)字證書(shū)編碼參見(jiàn) 附錄 F。 4.2 認(rèn)證機(jī)構(gòu)證書(shū)格式 4.2.1 概述 認(rèn)證機(jī)構(gòu)證書(shū)為 頒發(fā)給參與電子政務(wù)的證書(shū)認(rèn)證機(jī)構(gòu)的數(shù)字證書(shū) 。 認(rèn)證機(jī)構(gòu)證書(shū)簡(jiǎn)稱(chēng)電子政務(wù) CA 證書(shū)。 認(rèn)證機(jī)構(gòu)證書(shū)由基本證書(shū)域、簽名算法域和簽名值域組成。 4.2.2 認(rèn)證機(jī)構(gòu)證書(shū)基本證書(shū)域 基本證書(shū)域由基本域和擴(kuò)展域組成。 4.2.3 認(rèn)證機(jī)構(gòu)證書(shū)基本域 認(rèn)證機(jī)構(gòu)證書(shū)基本域應(yīng)符合附錄 A 的規(guī)定。 4.2.4 認(rèn)證機(jī)構(gòu)證書(shū)擴(kuò)展域 CA 證書(shū)可包含如下擴(kuò)展項(xiàng)： 機(jī)構(gòu)密鑰標(biāo)識(shí)符 AuthorityKeyIdentifier 主體密鑰標(biāo)識(shí)符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書(shū)策略 CertificatePolicies 策略映射 PolicyMappings 主體替換名稱(chēng) SubjectAlternativeName 頒發(fā)者替換名稱(chēng) IssuerAlternativeName DB42/T 452 2008 7 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 名稱(chēng)限制 NameConstraints 策略限制 PolicyConstraints 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) CRLDistributionPoints 限制任意策略 InhibitAnyPolicy 最新證書(shū)撤銷(xiāo)列表 FreshestCRL 機(jī)構(gòu)信息訪問(wèn) AuthorityInformationAccess 主體信息訪問(wèn) SubjectInformationAccess 認(rèn)證機(jī)構(gòu) 數(shù)字證書(shū)擴(kuò)展域 應(yīng)符合附錄 B.2 的規(guī)定。 4.2.5 認(rèn)證機(jī)構(gòu)證書(shū)簽名算法域 認(rèn)證機(jī)構(gòu)證書(shū)簽名算法域 應(yīng) 符合 4.1.3 的規(guī)定。 4.2.6 認(rèn)證機(jī)構(gòu)證書(shū)簽名值域 認(rèn)證機(jī)構(gòu)證書(shū)簽名值域 應(yīng) 符合 4.1.4 的規(guī)定。 4.2.7 認(rèn)證機(jī)構(gòu)證書(shū)模板 認(rèn)證機(jī)構(gòu)證書(shū)模板應(yīng)符合附錄 C 的規(guī)定。 4.3 政務(wù)個(gè)人證書(shū)格式 4.3.1 概述 政務(wù)個(gè)人證書(shū)為 頒發(fā)給參與電子政務(wù)的個(gè)人實(shí)體，用來(lái)唯一標(biāo)識(shí)個(gè)人實(shí)體真實(shí)身份的數(shù)字證書(shū)。 政務(wù)個(gè)人證書(shū)由基本證書(shū)域、簽名算法域和簽名值域組成。 4.3.2 政務(wù)個(gè)人證書(shū)基本證書(shū)域 基本證書(shū)域由基本域和擴(kuò)展域組成。 4.3.3 政務(wù)個(gè)人證書(shū)基本域 政務(wù)個(gè)人證書(shū)基本域應(yīng)符合附錄 A 的規(guī)定。 4.3.4 政務(wù)個(gè)人證書(shū)擴(kuò)展域 政務(wù)個(gè)人證書(shū)擴(kuò)展域可包含如下擴(kuò)展項(xiàng)： 機(jī)構(gòu)密鑰標(biāo) 識(shí)符 AuthorityKeyIdentifier 主體密鑰標(biāo)識(shí)符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書(shū)策略 CertificatePolicies 主體替換名稱(chēng) SubjectAlternativeName 頒發(fā)者替換名稱(chēng) IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) CRLDistributionPoints 最新證書(shū)撤銷(xiāo)列表 FreshestCRL 機(jī)構(gòu)信息訪問(wèn) AuthorityInformationAccess 主體信息訪問(wèn) SubjectInformationAccess 個(gè)人身份證號(hào)碼 IdentifyCardNumber 個(gè)人社會(huì)保險(xiǎn)號(hào) InsuranceNumber 主體銀行基本賬號(hào) SubjectBasicAccount 政務(wù) 個(gè)人 證書(shū)擴(kuò)展域 應(yīng)符合附錄 B.3 的規(guī)定。 DB42/T 452 2008 8 4.3.5 政務(wù)個(gè)人證書(shū)簽名算法域 政務(wù)個(gè)人證書(shū)簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 4.3.6 政務(wù)個(gè)人證書(shū)簽名值域 政務(wù)個(gè)人證書(shū)簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.3.7 政務(wù)個(gè)人證書(shū)模板 政務(wù)個(gè)人證書(shū)模板應(yīng)符合附錄 C 的規(guī)定。 4.4 政務(wù)機(jī)構(gòu)證書(shū)格式 4.4.1 概述 政務(wù)機(jī)構(gòu)證書(shū)為 頒發(fā)給參與電子政務(wù)的機(jī)構(gòu)實(shí)體，用來(lái)唯一標(biāo)識(shí)機(jī)構(gòu)實(shí)體真實(shí)身份的數(shù)字證書(shū)。 政務(wù)機(jī)構(gòu)證書(shū)由基本證書(shū)域、簽名算法域和簽名值域組成。 4.4.2 政務(wù)機(jī)構(gòu)基本證書(shū)域 基本證書(shū)域由基本域和擴(kuò)展域組成。 4.4.3 政務(wù)機(jī)構(gòu)證書(shū)基本域 政務(wù)機(jī)構(gòu)證書(shū)基本域應(yīng)符合附錄 A 的規(guī)定。 4.4.4 政務(wù)機(jī)構(gòu)證書(shū)擴(kuò)展 域 政務(wù)機(jī)構(gòu)證書(shū)擴(kuò)展域可包含如下擴(kuò)展項(xiàng)： 機(jī)構(gòu)密鑰標(biāo)識(shí)符 AuthorityKeyIdentifier 主體密鑰標(biāo)識(shí)符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書(shū)策略 CertificatePolicies 主體替換名稱(chēng) SubjectAlternativeName 頒發(fā)者替換名稱(chēng) IssuerAlternativeName 主體 目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) CRLDistributionPoints 最新證書(shū)撤銷(xiāo)列表 FreshestCRL 機(jī)構(gòu)信息訪問(wèn) AuthorityInformationAccess 主體信息訪問(wèn) SubjectInformationAccess 工商注冊(cè)號(hào) ICRegistrationNumber 組織機(jī)構(gòu)代碼 OrganizationCode 稅號(hào) TaxationNumber 主體銀行基本賬號(hào) SubjectBasicAccount 政務(wù) 機(jī)構(gòu) 證書(shū)擴(kuò)展域 應(yīng)符合附錄 B.4 的規(guī)定。 4.4.5 政務(wù)機(jī)構(gòu)證書(shū)簽名算法域 政務(wù)機(jī)構(gòu)證書(shū)簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 4.4.6 政務(wù)機(jī)構(gòu)證書(shū)簽名值域 政務(wù)機(jī)構(gòu)證書(shū)簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.4.7 政務(wù)機(jī)構(gòu)證書(shū)模板 政務(wù)機(jī)構(gòu)證書(shū)模板應(yīng)符合附錄 C 的規(guī)定。 4.5 政務(wù)設(shè)備證書(shū)格式 4.5.1 概述 政務(wù)設(shè)備證書(shū)為 頒發(fā)給參與電子政務(wù)的設(shè)備實(shí)體，用來(lái)唯一標(biāo)識(shí)設(shè)備實(shí)體真實(shí)身份的數(shù)字證書(shū)。 DB42/T 452 2008 9 政務(wù)設(shè)備證書(shū)由基本證書(shū)域、簽名算法域和簽名值域組成。 4.5.2 政務(wù)設(shè)備基本證書(shū)域 基本證書(shū)域由基本 域和擴(kuò)展域組成。 4.5.3 政務(wù)設(shè)備證書(shū)基本域 政務(wù)設(shè)備證書(shū)基本域應(yīng)符合附錄 A 的規(guī)定。 4.5.4 政務(wù)設(shè)備證書(shū)擴(kuò)展域 政務(wù)設(shè)備證書(shū)擴(kuò)展域可包含如下擴(kuò)展項(xiàng)： 機(jī)構(gòu)密鑰標(biāo)識(shí)符 AuthorityKeyIdentifier 主體密鑰標(biāo)識(shí)符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書(shū)策略 CertificatePolicies 主體替換名稱(chēng) SubjectAlternativeName 頒發(fā)者替換名稱(chēng) IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) CRLDistributionPoints 最新證書(shū)撤銷(xiāo)列表 FreshestCRL 機(jī)構(gòu)信息訪問(wèn) AuthorityInformationAccess 主體信息訪問(wèn) SubjectInformationAccess 政務(wù) 設(shè)備 證書(shū)擴(kuò)展域 應(yīng)符合附錄 B.5 的規(guī)定。 4.5.5 政務(wù) 設(shè)備證書(shū)簽名算法域 政務(wù)設(shè)備證書(shū)簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 4.5.6 政務(wù)設(shè)備證書(shū)簽名值域 政務(wù)設(shè)備證書(shū)簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.5.7 政務(wù)設(shè)備證書(shū)模板 政務(wù)設(shè)備證書(shū)模板應(yīng)符合附錄 C 的規(guī)定。 4.6 政務(wù)服務(wù)器證書(shū)格式 4.6.1 概述 政務(wù)服務(wù)器證書(shū)為頒發(fā)給參與電子政務(wù)的各服務(wù)器實(shí)體，用來(lái)唯一標(biāo)識(shí)服務(wù)器實(shí)體真實(shí)身份的數(shù)字證書(shū)。 政務(wù)服務(wù)器證書(shū)由基本證書(shū)域、簽名算法域和簽名值域組成。 4.6.2 政務(wù)服務(wù)器基本證書(shū)域 基本證書(shū)域由基本域和擴(kuò)展域組成。 4.6.3 政務(wù)服務(wù)器證書(shū)基本域 政務(wù)服務(wù)器證書(shū)基本域應(yīng)符合附錄 A 的規(guī)定。 4.6.4 政務(wù)服務(wù)器證書(shū)擴(kuò)展 域 政務(wù)服務(wù)器證書(shū)擴(kuò)展域可包如下擴(kuò)展項(xiàng)： 機(jī)構(gòu)密鑰標(biāo)識(shí)符 AuthorityKeyIdentifier 主體密鑰標(biāo)識(shí)符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod DB42/T 452 2008 10 證書(shū)策略 CertificatePolicies 主體替換名稱(chēng) SubjectAlternativeName 頒發(fā)者替換名稱(chēng) IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) CRLDistributionPoints 最新證書(shū)撤銷(xiāo)列表 FreshestCRL 機(jī)構(gòu)信息訪問(wèn) AuthorityInformationAccess 主體信息訪問(wèn) SubjectInformationAccess 政務(wù) 服務(wù)器 證書(shū)擴(kuò)展域 應(yīng)符合附錄 B.6 的規(guī)定。 4.6.5 政務(wù)服務(wù)器證書(shū)簽名算法域 政務(wù)服務(wù)器證書(shū)簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 4.6.6 政務(wù)服務(wù)器證書(shū)簽名值域 政 務(wù)服務(wù)器證書(shū)簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.6.7 政務(wù)服務(wù)器證書(shū)模板 政務(wù)服務(wù)器證書(shū)模板應(yīng)符合附錄 C 的規(guī)定。 4.7 政務(wù)應(yīng)用系統(tǒng)證書(shū)格式 4.7.1 概述 政務(wù)應(yīng)用系統(tǒng)證書(shū)為頒發(fā)給參與電子政務(wù)的各應(yīng)用系統(tǒng)實(shí)體，用來(lái)唯一標(biāo)識(shí)應(yīng)用系統(tǒng)實(shí)體真實(shí)身份的數(shù)字證書(shū)。 政務(wù)應(yīng)用系統(tǒng)證書(shū)由基本證書(shū)域、簽名算法域和簽名值域組成。 4.7.2 政務(wù)應(yīng)用系統(tǒng)基本證書(shū)域 基本證書(shū)域由基本域和擴(kuò)展域組成。 4.7.3 政務(wù)應(yīng)用系統(tǒng)基本證書(shū)域 政務(wù)應(yīng)用系統(tǒng)基本證書(shū)域應(yīng)符合附錄 A 的規(guī)定。 4.7.4 政務(wù)應(yīng)用系統(tǒng)證書(shū)擴(kuò)展域 政務(wù)應(yīng)用系統(tǒng)證書(shū)擴(kuò)展域可包如下擴(kuò)展項(xiàng)： 機(jī)構(gòu)密鑰標(biāo)識(shí)符 AuthorityKeyIdentifier 主體密鑰標(biāo)識(shí)符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書(shū)策略 CertificatePolicies 主體替換名稱(chēng) SubjectAlternativeName 頒發(fā)者替換名稱(chēng) IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) CRLDistributionPoints 最新證書(shū)撤銷(xiāo)列表 FreshestCRL 機(jī)構(gòu)信息訪問(wèn) AuthorityInformationAccess 主體信息訪問(wèn) SubjectInformationAccess 政務(wù) 應(yīng)用系統(tǒng) 證書(shū)擴(kuò)展域 應(yīng)符合附錄 B.7 的規(guī)定。 4.7.5 政務(wù)應(yīng)用系統(tǒng)證書(shū)簽名算法域 政務(wù)應(yīng)用系統(tǒng)證書(shū)簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 DB42/T 452 2008 11 4.7.6 政務(wù)應(yīng)用系統(tǒng)證書(shū)簽名值域 政務(wù)應(yīng)用系統(tǒng)證書(shū)簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.7.7 政務(wù)應(yīng)用系統(tǒng)證書(shū) 模板 政務(wù)應(yīng)用系統(tǒng)證書(shū)模板應(yīng)符合附錄 C 的規(guī)定。 4.8 政務(wù)代碼簽名證書(shū)格式 4.8.1 概述 政務(wù)代碼簽名證書(shū)為 頒發(fā)給參與電子政務(wù)的各類(lèi)實(shí)體，用來(lái)對(duì)其所開(kāi)發(fā)的代碼進(jìn)行代碼簽名的數(shù)字證書(shū)。 政務(wù)代碼簽名證書(shū)由基本證書(shū)域、簽名算法域和簽名值域組成。 4.8.2 政務(wù)代碼簽名基本證書(shū)域 基本證書(shū)域由基本域和擴(kuò)展域組成。 4.8.3 政務(wù)代碼簽名證書(shū)基本域 政務(wù)代碼簽名證書(shū)基本域應(yīng)符合附錄 A 的規(guī)定。 4.8.4 政務(wù)代碼簽名證書(shū)擴(kuò)展域 政務(wù)代碼簽名證書(shū)擴(kuò)展域可包含如下擴(kuò)展項(xiàng)： 機(jī)構(gòu)密鑰標(biāo)識(shí)符 AuthorityKeyIdentifier 主體密鑰標(biāo)識(shí)符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書(shū)策略 CertificatePolicies 主體替換名稱(chēng) SubjectAlternativeName 頒發(fā)者替換名稱(chēng) IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) CRLDistributionPoints 最新證書(shū)撤銷(xiāo)列表 FreshestCRL 機(jī)構(gòu)信息訪問(wèn) AuthorityInformationAccess 主體信息訪問(wèn) SubjectInformationAccess 政務(wù) 代碼簽名 證書(shū)擴(kuò)展域 應(yīng)符合附錄 B.8 的規(guī)定。 4.8.5 政務(wù)代碼簽名證書(shū)簽名算法域 政務(wù)代碼簽名證書(shū)簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 4.8.6 政務(wù)代碼簽名證書(shū)簽名值域 政務(wù)代碼簽名證書(shū)簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.8.7 政務(wù)代碼簽名證書(shū)模板 政務(wù)代碼簽名證書(shū)模板應(yīng)符合附錄 C 的規(guī)定。 5 政務(wù)數(shù)字證書(shū)應(yīng)用 接口 5.1 政務(wù)數(shù)字證書(shū)應(yīng)用 體系結(jié)構(gòu) 政務(wù)數(shù)字證書(shū)應(yīng)用 體系結(jié)構(gòu)如圖 3 所示。 政務(wù)數(shù)字證書(shū)支持多種應(yīng)用方式，可利用 CA 提供的數(shù)字證書(shū)應(yīng)用程序接口進(jìn)行定制開(kāi)發(fā)，實(shí)現(xiàn)登錄和身份認(rèn)證等基本應(yīng)用，也可 應(yīng)用已有標(biāo)準(zhǔn)協(xié)議和標(biāo)準(zhǔn)中間件，例如： 1) 安全套接層協(xié)議（ SSL， Security Socket Layer） ， SSL 協(xié)議指定了一種在應(yīng)用程序協(xié)議（如 HTTP、 Telnet、 NMTP 和 FTP 等）和 TCP/IP 協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，它為 TCP/IP 連接DB42/T 452 2008 12 提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶(hù)機(jī)認(rèn)證。 2) 安全 多媒體 Internet郵件擴(kuò)展協(xié)議（ S/MIME）主要用于保障電子郵件的安全傳輸。例如：微軟的 outlook express中使用該協(xié)議，采用數(shù)字標(biāo)識(shí)、數(shù)字憑證、數(shù)字簽名以及非對(duì)稱(chēng)密鑰系統(tǒng)等技術(shù)，構(gòu)成一種簽名加密的郵件收發(fā)方式。 3) XML 密鑰信息服務(wù)規(guī)范（ XKISS） ， XKMS為允許客戶(hù)機(jī)應(yīng)用程序認(rèn)證經(jīng)過(guò)加密 /簽名的數(shù)據(jù)提供機(jī)制。 身 份 認(rèn) 證 保 密 性 完 整 性 不 可 否 認(rèn) 性應(yīng) 用 程 序數(shù) 字 證 書(shū) 應(yīng) 用 中 間 件應(yīng) 用 程 序 接 口S / M I M E 協(xié) 議 X K M S 協(xié) 議 S S L 協(xié) 議數(shù) 字 證 書(shū)密 碼 設(shè) 備 （ 加 密 機(jī) 、 密 碼 卡 、 u s b k e y 等 ）應(yīng) 用 層接 口 層系 統(tǒng) 層 圖 3 政務(wù)數(shù)字證書(shū)應(yīng)用 體系結(jié)構(gòu) 5.2 政務(wù)數(shù)字證書(shū)應(yīng)用接口組成和功能說(shuō)明 政務(wù) 數(shù)字證書(shū)應(yīng)用接口位于應(yīng)用系統(tǒng)和 政務(wù)數(shù)字證書(shū) 之間，應(yīng) 用程序通過(guò)調(diào)用 政務(wù)數(shù)字證書(shū) 應(yīng)用接口實(shí)現(xiàn)身份認(rèn)證、實(shí)現(xiàn)信息的保密性、完整性和不可否認(rèn)性； 政務(wù)數(shù)字證書(shū) 應(yīng)用接口通過(guò)標(biāo)準(zhǔn)接口，在密碼設(shè)備中實(shí)現(xiàn)具體的密碼運(yùn)算和密鑰使用。 政務(wù)數(shù)字證書(shū) 應(yīng)用接口支持 PKCS#11和 CSP接口方式，提供的消息函數(shù)符合 PKCS#7格式。 政務(wù)數(shù)字證書(shū) 應(yīng)用接口由以下部分組成： 初始化函數(shù) 證書(shū)函數(shù) 算法服務(wù)函數(shù) 原文操作函數(shù) 文件操作函數(shù) 除上述程序接口以外， CA應(yīng)提供字符串編碼及異常處理等輔助函數(shù)。 5.2.1 初始化函數(shù) 初始化函數(shù)負(fù)責(zé)創(chuàng)建和管理安全程序空間， 加載 和管理安全程序空間中所需的各種資源，完成與系統(tǒng)、密碼設(shè)備的連接準(zhǔn)備。 可 通過(guò)初始化函數(shù)加載配置文件對(duì) 以下內(nèi)容進(jìn)行設(shè)置 ： 應(yīng)用工作路徑 系統(tǒng)字符集 應(yīng)用程序字符集 日志文件 系統(tǒng) 可 信任的 證書(shū) DB42/T 452 2008 13 CRL 在具體的應(yīng)用中可通過(guò)直接加載配置文件進(jìn)行 應(yīng)用配置， 不必調(diào)用 初始化函數(shù)。 5.2.2 證書(shū)函數(shù) 證書(shū)函數(shù) 用于 獲取 和驗(yàn)證政務(wù)數(shù)字證書(shū)及提取證書(shū)信息。 應(yīng)用程序 可 通過(guò) 該類(lèi) 函數(shù)，實(shí)現(xiàn)基于 政務(wù)數(shù)字證書(shū)的身份認(rèn)證、 授權(quán)管理、訪問(wèn)控制等安全機(jī)制。 應(yīng) 先獲取相關(guān)證書(shū)的 CRL或證書(shū)的狀態(tài)，然后調(diào)用相關(guān)函數(shù)進(jìn)行證 書(shū)驗(yàn)證， 在確 定證書(shū)的有效性后調(diào)用該類(lèi)函數(shù) 。 5.2.3 算法服務(wù)函數(shù) 算法服務(wù)函數(shù) 用于 設(shè)置簽名和加密算法 。 不 調(diào) 用 該 函數(shù) 將 采用 系統(tǒng) 初始化 時(shí)確定的 默認(rèn)算法。 5.2.4 原文操作函數(shù) 原文操作函數(shù) 對(duì)字符串?dāng)?shù)據(jù) 進(jìn)行操作實(shí)現(xiàn)以下功能： 數(shù)據(jù)簽名，數(shù)據(jù)加密，驗(yàn)證簽名數(shù)據(jù)，驗(yàn)證加密數(shù)據(jù)，獲取簽名信息，獲取加密信息等操作，實(shí)現(xiàn)信息的保密性、完整性和不可否認(rèn)性。 對(duì)原文進(jìn)行操作前，應(yīng)使用證書(shū)函數(shù)對(duì) 證書(shū) 進(jìn)行設(shè)置 。 5.2.5 文件操作函數(shù) 文件操作函數(shù) 對(duì)數(shù)據(jù)文件 進(jìn)行操作實(shí)現(xiàn)以下功能 ：數(shù)據(jù)簽名，數(shù)據(jù)加密，驗(yàn)證簽名數(shù)據(jù)，驗(yàn)證加密數(shù)據(jù)，獲取簽名信息，獲取加密信息等操 作，實(shí)現(xiàn)文件信息的保密性、完整性和不可否認(rèn)性。 對(duì) 文件 進(jìn)行操作前， 應(yīng)使用證書(shū)函數(shù)對(duì) 證書(shū) 進(jìn)行設(shè)置 。 5.3 政務(wù)數(shù)字證書(shū)應(yīng)用程序接口函數(shù)定義 5.3.1 初始化函數(shù) 初始化函數(shù) Init，定義如表 1。 表 1 初始化函數(shù) Init 函數(shù)名稱(chēng) Init( String str ) 功能 初始化簽名系統(tǒng) 參數(shù)說(shuō)明 str - 配置文件路徑 返回值 無(wú) 5.3.2 證書(shū)函數(shù) 證書(shū)函數(shù)包括如下函數(shù)： 設(shè)置證書(shū)函數(shù)： SetCert 證書(shū)選擇方式函數(shù)： SetCertChooseType 證書(shū)信息函數(shù)： GetCertInfo 證書(shū)選擇方 式函數(shù) 證書(shū) 選擇方式 函數(shù) SetCertChooseType，定義如表 2。 表 2 證書(shū)選擇方式函數(shù) SetCertChooseType 函數(shù)名稱(chēng) SetCertChooseType( int nType ) 功能 指定證書(shū)選擇的方式 參數(shù)說(shuō)明 nType - 證書(shū)選擇的類(lèi)型 (0 表示只有一張證書(shū)時(shí)也彈出證書(shū)選擇框 ,1 表示只有一張證書(shū)時(shí)將不彈出證書(shū)選擇框 ,默認(rèn)值為 0) 返回值 類(lèi)型為 long 0 表示成功， 0 表示失敗的錯(cuò)誤碼 設(shè)置證書(shū)函數(shù) 設(shè)置證書(shū)函數(shù) SetCert，定義如表 3。 DB42/T 452 2008 14 表 3 設(shè)置證書(shū)函數(shù) SetCert 函數(shù)名稱(chēng) SetCert( String strCertType, String strDN, String strSN, String strEmail, String strDNIssuer, String strCertBase64 ) 功能 通過(guò)指定參數(shù)來(lái)設(shè)置證書(shū) 參數(shù)說(shuō)明 strCertType 證書(shū)的類(lèi)型 (見(jiàn)附錄 G.1) strDN - 證書(shū)的主題 (Distinguished Name) strSN - 證書(shū)的序列號(hào) (Serial Number) strEmail - 證 書(shū)的主題中的 Email 項(xiàng) strDNIssuer - 證書(shū)的頒發(fā)者主題 (Distinguished Name of Issuer) strCertBase64 - 證書(shū)的 BASE64 編碼 返回值 成功： 0 失?。?long型錯(cuò)誤代碼 證書(shū)信息函數(shù) 證書(shū) 信息 函數(shù) GetCertInfo，定義如表 4。 表 4 證書(shū)信息函數(shù) GetCertInfo 函數(shù)名稱(chēng) GetCertInfo( String strCertType, int nInfoType, String strOID ) 功能 獲得證書(shū) 中的相應(yīng)信息 參數(shù)說(shuō)明 strCertType - 證書(shū)的類(lèi)型 ,見(jiàn)附錄 G.1 nInfoType - 證書(shū)信息的類(lèi)型 , 見(jiàn)附錄 G.2 strOID - 證書(shū)擴(kuò)展標(biāo)識(shí)，如果 type等于證書(shū)擴(kuò)展， strOID輸入項(xiàng)不可為空 返回值 成功：返回字符型證書(shū)信息 失?。悍祷?null 5.3.3 算法服務(wù)函數(shù) 算法服務(wù) 函數(shù) SetAlgorithm，定義如表 5。 表 5 算法服務(wù)函數(shù) SetAlgorithm 函數(shù)名稱(chēng) SetAlgorithm( String strSignType, String strEncType ) 功 能 設(shè)置簽名算法、加密算法 參數(shù)說(shuō)明 strSignType - 簽名算法類(lèi)型 strEncType - 加密算法類(lèi)型 返回值 成功：返回 0 失?。悍祷劐e(cuò)誤代碼 DB42/T 452 2008 15 5.3.4 原文操作函數(shù) 原文操作函數(shù)包括如下函數(shù)： 簽名函數(shù) 驗(yàn)證簽名函數(shù) 加密函數(shù) 解密函數(shù) 添加原文函數(shù) 獲得原文函數(shù) 簽名函數(shù) 簽名函數(shù)有如下兩種： a) 帶原文的簽名函數(shù) AttachSign，定義如表 6； 表 6 帶原文函數(shù) AttachSign 函數(shù)名稱(chēng) AttachSign( String strDN, byte bOrgData ) 功能 制作一個(gè)包含原文的數(shù)字簽名 參數(shù)說(shuō)明 strDN - 指定證書(shū)的主題 bOrgData byte型原文數(shù)據(jù) 返回值 成功：返回一個(gè) P7 格式的 Base64 編碼簽名 失?。悍祷?null b) 不帶原文的簽名函數(shù) DetachSign，定義如表 7。 表 7 不帶原文函數(shù) DetachSign 函數(shù)名稱(chēng) DetachSign( String strDN, byte bOrgData ) 功能 制作一個(gè)不包含原文的數(shù)字簽名 參數(shù)說(shuō)明 strDN - 指定證書(shū) 的主題 bOrgData byte原文數(shù)據(jù) 返回值 成功：返回一個(gè) P7格式的 Base64編碼簽名 失?。悍祷?null 驗(yàn)證簽名函數(shù) 驗(yàn)證簽名函數(shù)有如下兩種： a) 帶原文簽名的驗(yàn)證函數(shù) VerifyAttachedSign，定義如表 8； 表 8 驗(yàn)證函數(shù) VerifyAttachedSign 函數(shù)名稱(chēng) VerifyAttachedSign( byte bAtchSignedData ) 功能 對(duì) Attached做的數(shù)字簽名做驗(yàn)證 參數(shù)說(shuō)明 bAtchSignedData - Attached簽名 結(jié)果（ Base64編碼格式） 返回值 成功：返回 0 失?。悍祷劐e(cuò)誤代碼 b) 不帶原文簽名的驗(yàn)證函數(shù) VerifyDetachedSign，定義如表 。 DB42/T 452 2008 16 表 9 驗(yàn)證函數(shù) VerifyDetachedSign 函數(shù)名稱(chēng) VerifyDetachedSign( byte bDtchSignedData, byte bOrgData ) 功能 Detached函數(shù)做的數(shù)字簽名做驗(yàn)證 參數(shù)說(shuō)明 bDtchSignedData Detached簽名結(jié)果（ Base64編碼格式） bOrgData byte原文數(shù)據(jù) 返回值 成功：返回 0 失?。悍祷劐e(cuò)誤碼 加密函數(shù) 加密函數(shù)有如下兩種： a) 數(shù)字信封函數(shù) EncryptEnvelop，定義如表 10； 表 10 數(shù)字信封函數(shù) EncryptEnvelop 函數(shù)名稱(chēng) EncryptEnvelop( String strDN, byte bOrgData ) 功能 制作數(shù)字信封 參數(shù)說(shuō)明 strDN 接收者的證書(shū)主題 bOrgData byte原文數(shù)組 返回值 成功：返回 P7格式 Base64編碼數(shù)字信封 失?。悍祷?null b) 帶簽名的數(shù)字信封函數(shù) CreateSignedEnvelop，定義如表 11。 表 11 帶簽名數(shù)字信封函數(shù) CreateSignedEnvelop 函數(shù)名稱(chēng) CreateSignedEnvelop ( String strDNSignCert, String strDNEncCert, ArrayList alOrgData ) 功能 指定原文、加密證書(shū)和簽名證書(shū)制作帶簽名的數(shù)字信封 參數(shù)說(shuō)明 strDNSignCert - 簽名證書(shū)的主題 strDNEncCert - 加密證書(shū)的主題 alOrgData byte原文數(shù)組 返回值 成功：返回 P7格式 Base64編碼帶簽名數(shù)字信封 失敗：返回 null 解密函數(shù) 解密函數(shù)有如下兩種： a) 解密數(shù)字信封函數(shù) DecryptEnvelop，定義如表 12； DB42/T 452 2008 17 表 12 解密數(shù)字信封函數(shù) DecryptEnvelop 函數(shù)名稱(chēng) DecryptEnvelop( byte bEnvelop ) 功能 解密 EncryptEnvelop函數(shù)制作的數(shù)字信封 參數(shù)說(shuō)明 bEnvelop - byte型數(shù)字信封 返回值 成功：返回 0 失?。悍祷劐e(cuò)誤碼 b) 解密帶數(shù)字簽名的數(shù)字信封函數(shù) VerifySignedEnvelop，定義如表 13。 表 13 解密帶簽名數(shù)字信封函數(shù) VerifySignedEnvelop 函數(shù)名稱(chēng) VerifySignedEnvelop( byte bEnvelop ) 功能 解密并驗(yàn)證 CreateSignedEnvelop函數(shù)制作的 帶簽名的數(shù)字信封 參數(shù)說(shuō)明 bEnvelop - 數(shù)字信封 返回值 成功：返回 0 失?。悍祷劐e(cuò)誤碼 添加原文函數(shù) 添加原文的函數(shù) AddData， 定義如表 14。 表 14 添加原文函數(shù) AddData 函數(shù)名 稱(chēng) AddData( byte bOrgData ) 功能 添加多個(gè)原文數(shù)據(jù) 參數(shù)說(shuō)明 bOrgData - 原文數(shù)據(jù) 返回值 成功：返回 0 失?。悍祷劐e(cuò)誤代碼 獲得原文函數(shù) 獲得原文的函數(shù) GetData， 定義如表 15。 表 15 獲得原文函數(shù) GetData 函數(shù)名稱(chēng) GetData() 功能 從對(duì)象中獲得原文 參數(shù)說(shuō)明 無(wú) 返回值 如果存儲(chǔ)對(duì)象中有原文，返回原文 如果存儲(chǔ)對(duì)象中無(wú)原文，返回 null 5.3.5 文件操作函數(shù) 文件操作函數(shù)包括如下函數(shù)： 簽名函數(shù) 驗(yàn)證簽名函數(shù) 加密函 數(shù) 解密函數(shù) 添加原文函數(shù) 獲得原文函數(shù) 簽名函數(shù) 簽名函數(shù)有如下兩種： a) 帶原文件的簽名函數(shù) AttachSign，定義如表 16； DB42/T 452 2008 18 表 16 帶原文件簽名函數(shù) AttachSign 函數(shù)名稱(chēng) AttachSign( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作一個(gè)包含原文件的數(shù)字簽名 參數(shù)說(shuō)明 strDN - 指定證書(shū)的主題 strFileNameIn 原文文件名 strFileNameOut 簽名 輸出結(jié)果保存的文件名 ,字 符型 返回值 strFileNameOut=null 返回一個(gè) P7格式的 Base64編碼簽名 strFileNameOut!=null 返回 b) 不帶原文件的簽名函數(shù) DetachSign，定義如表 17。 表 17 不帶原文件簽名函數(shù) DetachSign 函數(shù)名稱(chēng) DetachSign( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作一個(gè)不包含原文件的數(shù)字簽名 參數(shù)說(shuō)明 strDN - 簽名證書(shū)的 DN strFileNameIn - 文件名 strFileNameOut 簽名輸出結(jié)果保存的文件名 ,字符型 返回值 成功 : strFileNameOut=null 返回一個(gè) P7格式的 Base64編碼簽名 strFileNameOut!=null 返回 失敗：返回 null 驗(yàn)證簽名函數(shù) 驗(yàn)證簽名函數(shù)有如下兩種 : a) 帶原文件簽名的驗(yàn)證函數(shù) VerifyAttachedSign，定義如表 18； 表 18 帶原文件簽名驗(yàn)證函數(shù) VerifyAttachedSign 函數(shù)名稱(chēng) VerifyAttachedSign( String strFileNameAttached ) 功能 通過(guò)接口參數(shù)傳入文件信息，對(duì)文件的 Attached函數(shù)的數(shù)字簽名做驗(yàn)證 參數(shù)說(shuō)明 strFileNameAttached - 存放 Attached簽名結(jié)果的文件名 返回值 成功：返回 0 失?。悍祷劐e(cuò)誤代碼 b) 不帶原文件簽名的驗(yàn)證函數(shù) VerifyDetachedSign，定義如表 19。 DB42/T 452 2008 19 表 19 不帶原文件簽名驗(yàn)證函數(shù) VerifyDetachedSign 函數(shù)名稱(chēng) VerifyDetachedSign( String strFileNameIn, byte bDetachedData, String strFileNameDetached ) 功能 通過(guò)接口參數(shù)傳入文件信息，對(duì)文件的 Detached函數(shù)的數(shù)字簽名做驗(yàn)證 參數(shù)說(shuō)明 strFileNameIn Detached 驗(yàn)簽名時(shí)用到的原文文件名 bDetachedData byte 型簽名結(jié)果（ Base64編碼格式） strFileNameDetached - 存放 detached簽名結(jié)果的文件名 返回值 成 功：返回 0 失敗：返回錯(cuò)誤碼 加密函數(shù) 對(duì)文件的加密函數(shù)有如下兩種： a) 數(shù)字信封函數(shù) EncryptEnvelop，定義如表 20； 表 20 數(shù)字信封函數(shù) EncryptEnvelop 函數(shù)名稱(chēng) EncryptEnvelop( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作數(shù)字信封 參數(shù)說(shuō)明 strDN 接收者的證書(shū)主題 strFileNameIn - 需要做數(shù)字信封的文件名稱(chēng)數(shù)組 strFileNameOut - 數(shù)字信封結(jié)果輸出的全路徑文件名稱(chēng) 返回值 成功： strFileNameOut=null 返回一個(gè) P7格式的 Base64編碼數(shù)字信封 strFileNameOut!=null 返回 失?。悍祷?null b) 帶簽名的數(shù)字信封函數(shù) CreateSignedEnvelop，定義如表 21。 表 21 帶簽名數(shù)字信封函數(shù) CreateSignedEnvelop 函數(shù)名稱(chēng) CreateSignedEnvelop ( String strDNSignCert, String strDNEncCert, String strFileNameIn, String strFileNameOut ) 功能 指定文件、加密證書(shū)和簽名證書(shū)制作帶簽名的數(shù)字信封 參數(shù)說(shuō)明 strDNSignCert - 簽名證書(shū)的主題 strDNEncCert - 加密證書(shū)的主題 strFileNameIn - 需要做操作的文件名稱(chēng) strFileNameOut - 操作結(jié)果輸出的文件名稱(chēng) 返回值 成功：返回 P7格式 Base64編碼帶簽名數(shù)字信封 失?。悍祷?null DB42/T 452 2008 20 解密函數(shù) 解密函數(shù)有如下兩種： a) 解密數(shù)字信 封函數(shù) DecryptEnvelop，定義如表 22； 表 22 解密數(shù)字信封函數(shù) DecryptEnvelop 函數(shù)名稱(chēng) DecryptEnvelop（ String strFileNameIn ) 功能 解密 EncryptEnvelop函數(shù)制作的數(shù)字信封 參數(shù)說(shuō)明 strFileNameIn 存放數(shù)字信封結(jié)果的文件名 返回值 成功：返回 0 失?。悍祷劐e(cuò)誤碼 b) 解密帶數(shù)字簽名的數(shù)字信封函數(shù) VerifySignedEnvelop，定義如表 23。 表 23 解密帶數(shù)字簽名數(shù)字信封函數(shù) VerifySignedEnvelop 函數(shù)名稱(chēng) VerifySignedEnvelop( String strFileNameIn ) 功能 解密并驗(yàn)證 CreateSignedEnvelop函數(shù)制作的 帶簽名的數(shù)字信封 參數(shù)說(shuō)明 strFileNameIn - 存放數(shù)字信封結(jié)果的文件名 返回值 成功：返回 0 失?。悍祷劐e(cuò)誤碼 添加原文件函數(shù) 添加原文件函數(shù) AddFile， 定義如表 24。 表 24 添加原文件函數(shù) AddFile 函數(shù)名稱(chēng) AddFile( String strFileName ) 功能 添加多個(gè)原文文件 參數(shù)說(shuō)明 strFileName - 原文文件名 返回值 成功：返回 0 失?。悍祷劐e(cuò)誤代碼 獲得原文件函數(shù) 獲得原文件函數(shù) GetFile， 定義如表 25。 表 25 獲得原文件函數(shù) GetFile 函數(shù)名稱(chēng) GetFile( String strFilePath ) 功能 從對(duì)象中獲得原文文件 參數(shù)說(shuō)明 strFilePath 結(jié)果文件存放的路徑 返回值 如果存儲(chǔ)對(duì)象中有文件名，返回文件名 如果存儲(chǔ)對(duì)象中無(wú)文件名，返回 錯(cuò)誤返回 null 6 政務(wù)數(shù)字證書(shū)業(yè)務(wù)規(guī)則 6.1 政務(wù)數(shù)字證書(shū)簽發(fā) 6.1.1 證書(shū)簽發(fā)中 RA 和 CA 的行為 RA 業(yè)務(wù)管理員使用證書(shū)登錄到 RA系統(tǒng)的業(yè)務(wù)終端，查詢(xún)并審核系統(tǒng)的申請(qǐng)記錄。審核 通過(guò) 的信息將發(fā)送到證書(shū)認(rèn)證機(jī)構(gòu)的 CA 系統(tǒng)， CA系統(tǒng)簽發(fā)證書(shū)并返回給 RA系統(tǒng)供終端實(shí)體下載。 政務(wù)數(shù)字證書(shū)注冊(cè)機(jī)構(gòu) （ RA） 和受理點(diǎn) 建設(shè)參見(jiàn)附錄 I。 6.1.2 密鑰對(duì)的安全技術(shù)控制 CA 公鑰 的發(fā)送 證書(shū)認(rèn)證機(jī)構(gòu)的根 CA 公鑰， 通過(guò)如下方式傳輸給依賴(lài)方： a) 依賴(lài)方訪問(wèn)證書(shū)認(rèn)證機(jī)構(gòu)的網(wǎng)站下載 CA 根證書(shū)； DB42/T 452 2008 21 b) 證書(shū)認(rèn)證機(jī)構(gòu)到依賴(lài)方業(yè)務(wù)系統(tǒng)現(xiàn)場(chǎng)將 CA 根證書(shū)安裝到業(yè)務(wù)系統(tǒng)中； c) 證書(shū)認(rèn)證機(jī)構(gòu)通過(guò)簽名電子郵件將 CA 根證書(shū)傳輸給依賴(lài)方； d) 證書(shū)認(rèn)證機(jī)構(gòu)將 CA 根證書(shū)綁定在分發(fā)給 依賴(lài)方的軟件中。 終端實(shí)體 密鑰對(duì)的產(chǎn)生和發(fā)送 對(duì)于 政務(wù) 個(gè)人 證書(shū)、 機(jī)構(gòu)證書(shū) 和代碼簽名證書(shū) ， 終端實(shí)體 的簽名密鑰應(yīng)使用 USB Key 產(chǎn)生；對(duì)于政務(wù) 設(shè)備證書(shū)、服務(wù)器證書(shū)和應(yīng)用系統(tǒng)證書(shū)， 終端實(shí)體 可利用 設(shè)備或 服務(wù) 器自帶 程序軟件提供的密鑰生成功能產(chǎn)生密鑰對(duì) ，也可采用專(zhuān)門(mén)硬件 模塊產(chǎn)生密鑰對(duì)。 終端實(shí)體 的加密密鑰對(duì)應(yīng)由國(guó)家密碼管理部門(mén)許可的、證書(shū)認(rèn)證機(jī)構(gòu)簽發(fā)系統(tǒng)支持的加密機(jī)設(shè)備產(chǎn)生，由 KMC 管理。 終端實(shí)體 的加密私鑰只保存在 KMC 和 終端實(shí)體 介質(zhì)。在加密私鑰從 KMC 到 終端實(shí)體 的傳遞過(guò)程中應(yīng)采用國(guó)家密碼管理部門(mén)許可的算法加密。 終端實(shí)體 的簽名證書(shū)公鑰通過(guò)安全通道經(jīng) RA 傳遞到 CA。 終端實(shí)體 的加密證書(shū)公鑰，由 KMC 通過(guò)安全通道傳遞到 CA。 終端實(shí)體 的公鑰在從 RA到 CA 以及從 KMC 到 CA傳遞過(guò)程中，應(yīng)采用國(guó)際密碼管理部門(mén)許可的通訊協(xié)議及密 碼 算法。 密鑰對(duì)使用期限 密鑰對(duì)的使用期限和其對(duì)應(yīng)的終端實(shí)體證書(shū)的有效期 一致。 6.1.3 政務(wù)數(shù)字證書(shū)發(fā)布 證書(shū)認(rèn)證機(jī)構(gòu)在證書(shū)簽發(fā)完成后，將數(shù)字證書(shū)發(fā)布到 服務(wù)器中 供 終端實(shí)體 和依賴(lài)方查詢(xún)和下載。 6.2 政務(wù)數(shù)字證書(shū)使用 6.2.1 政務(wù)數(shù)字證書(shū)使用范圍 在湖北省電子政務(wù) 中涉及到身份認(rèn)證 、 數(shù)據(jù)傳輸 、 安全郵件 、 數(shù)據(jù)交換 活動(dòng)，通過(guò)本標(biāo)準(zhǔn) 的應(yīng)用接口與相關(guān)技術(shù)協(xié)議支持?jǐn)?shù)字證書(shū)。 在湖北省電子政務(wù) 中 ， 涉及到各級(jí)政務(wù)門(mén)戶(hù)的身份認(rèn)證和登錄應(yīng)支持?jǐn)?shù)字證書(shū) 。 在湖北省電子政務(wù) 中 ， 涉及到跨部門(mén)或跨市州的應(yīng)用系統(tǒng)應(yīng)使用數(shù)字證書(shū)。 在湖北省電子政務(wù) 中 ， 涉及到部門(mén)內(nèi)部和市州內(nèi)部系統(tǒng)宜使用數(shù)字證書(shū)。 6.2.2 依賴(lài)方的證書(shū)使用 依賴(lài)方接收到經(jīng)數(shù)字簽名的信息后： a) 獲得數(shù)字簽名對(duì)應(yīng)的證書(shū)及信任鏈； b) 確認(rèn)該簽名對(duì)應(yīng)的證書(shū)是依賴(lài)方信任的證書(shū)； c) 檢查 證書(shū)的有效期，確認(rèn)該證書(shū)在有效期內(nèi)； d) 查詢(xún)證書(shū)狀態(tài)，確認(rèn)該證書(shū)沒(méi)有被注銷(xiāo)； e) 證書(shū)的用途適用于對(duì)應(yīng)的 功能 ； f) 使用證書(shū)上的公鑰驗(yàn)證簽名。 以上任一環(huán)節(jié)失敗，依賴(lài)方 拒絕接受簽名信息。 依賴(lài)方需發(fā)送加密信息給接受方時(shí)，應(yīng)先獲取接受方的加密證書(shū)，并使用證書(shū)公鑰對(duì)信息加密，將加密證書(shū)連同加密信息一起發(fā)送給接受方。 6.2.3 政務(wù)數(shù)字證書(shū)一證多用 政務(wù)數(shù)字證書(shū)支持在不改變證書(shū)信息的前提下，支持在省電子政務(wù)各應(yīng)用系統(tǒng)中的通用。 政務(wù)數(shù)字證書(shū)各參與實(shí)體 ，在設(shè)計(jì)、開(kāi)發(fā)和使用政務(wù)數(shù)字證書(shū)的過(guò)程中，應(yīng)實(shí)現(xiàn)政務(wù)數(shù)字證書(shū)的一證多用。 6.3 政務(wù)數(shù)字證書(shū)維護(hù) 電子政務(wù)證書(shū)認(rèn)證機(jī)構(gòu)實(shí)現(xiàn)對(duì)政務(wù)數(shù)字證書(shū)的更新、變更、吊銷(xiāo)與掛起。 DB42/T 452 2008 22 6.4 政務(wù)數(shù)字證書(shū)載體 對(duì)于 政務(wù)設(shè)備證書(shū)、服務(wù)器證書(shū)和應(yīng)用系統(tǒng)證 書(shū)，載體為設(shè)備 硬盤(pán)或加密硬件設(shè)備。 對(duì)于政務(wù)個(gè)人證書(shū)、機(jī)構(gòu)證書(shū)和代碼簽名證書(shū)，載體 為 USB Key，功能 包括： a）提供數(shù)據(jù)、私鑰和算法安全存貯功能，私鑰不可復(fù)制，對(duì)外不可讀， 具備多密鑰存儲(chǔ)功能； b）采用國(guó)家密碼管理部門(mén) 批準(zhǔn)的硬件物理噪音源生成隨機(jī)數(shù)； c）支持 PKCS#11、 X.509 V3 證書(shū)存儲(chǔ) 及 Microsoft CrptoAPI 應(yīng)用接口 標(biāo)準(zhǔn)； d） USB Key 的設(shè)備驅(qū)動(dòng)程序 附有主流操作系統(tǒng)的 硬件設(shè)備認(rèn)證簽名； e）提供 PIN 口令保護(hù)機(jī)制； f） 密鑰 在 USB Key 硬件內(nèi)部生成； g）具有 LED 用于電源指示和通訊指示。 6.5 政務(wù)數(shù)字證書(shū)實(shí)體查詢(xún) 證書(shū)認(rèn)證機(jī)構(gòu)通過(guò)以下方式提供政務(wù)數(shù)字證書(shū)的實(shí)體查詢(xún) ： a) 在其網(wǎng)站提供證書(shū)實(shí)體查詢(xún)及公鑰證書(shū)下載服務(wù)； b) 發(fā)布 CRL 提供證書(shū)狀態(tài)查詢(xún)服務(wù)； c) 根據(jù)依賴(lài)方應(yīng)用系統(tǒng)實(shí)時(shí)性和并發(fā)量需求協(xié)商提供在線證書(shū)查詢(xún)（ OCSP）服務(wù)或目錄服務(wù)器（ LDAP）查詢(xún)服務(wù)。 DB42/T 452 2008 23 附 錄 A （規(guī)范性附錄） 基本域說(shuō)明 A.1 版本（ Version ） 本項(xiàng)描述了編碼證書(shū)的版本號(hào)。規(guī)定政務(wù)數(shù)字證書(shū)應(yīng)使用版本 3（對(duì)應(yīng)的值是整數(shù) 2）。 A.2 序列號(hào)（ SerialNumber ） 本項(xiàng)是 CA 分配給每個(gè)證書(shū)的一個(gè)正整數(shù)。一 個(gè) CA 頒發(fā)的每張證書(shū)的序列號(hào)必須是唯一的， CA必須保證序列號(hào)是非負(fù)整數(shù)。序列號(hào)可以是長(zhǎng)整數(shù)，證書(shū)用戶(hù)必須能夠處理長(zhǎng)達(dá) 20 個(gè) 8bit 字節(jié)的序列號(hào)值， CA 必須確保不使用大于 20 個(gè) 8 比特字節(jié)的序列號(hào)。 A.3 簽名算法 （ SignatureAlgorithm ） 本項(xiàng)包含 CA 簽發(fā)該證書(shū)所使用的密碼算法的標(biāo)識(shí)符，這個(gè)算法標(biāo)識(shí)符必須與證書(shū)中簽名算法域中的算法標(biāo)識(shí)符相同?？蛇x參數(shù)的內(nèi)容完全依賴(lài)所標(biāo)識(shí)的具體算法。 A.4 頒發(fā)者 （ Issuer ） 本項(xiàng)標(biāo)識(shí)了證書(shū)簽名和證書(shū)頒發(fā)的實(shí)體。它必須包含一個(gè)非空的可辨別名。該項(xiàng)被定義為 Name 類(lèi)型。 頒發(fā)者可辨別名的 C（ Country）屬性的編碼使用 PrintableString、 Email 屬性的編碼使用 IA5String，其它屬性的編碼一律使用 UTF8String。 A.5 有效期 （ Validity ） 本項(xiàng)是一個(gè)時(shí)間段。在這個(gè)時(shí)間段內(nèi)， CA 擔(dān)保它將維護(hù)關(guān)于證書(shū)狀態(tài)的信息。該項(xiàng)被表示成一個(gè)具有兩個(gè)時(shí)間值的 SEQUENCE 類(lèi)型數(shù)據(jù)：證書(shū)有效期的起始時(shí)間（ notBefore）和證書(shū)有效期的終止時(shí)間（ notAfter）。 NotBefore 和 NotAfter 這兩個(gè)時(shí)間都可以作為 UTCTime 類(lèi)型或者 GeneralizedTime 類(lèi)型進(jìn)行編碼。 遵循本標(biāo)準(zhǔn)的 CA 在 2049 年之前必須將該時(shí)間編碼為 UTCTime 類(lèi)型，在 2050 年之后編碼為GeneralizedTime 類(lèi)型。 A.6 主體（ Subject ） 本項(xiàng)描述了與主體公鑰項(xiàng)中的公鑰相對(duì)應(yīng)的實(shí)體。該項(xiàng)不能為空。終端實(shí)體數(shù)字證書(shū)主體的內(nèi)容和編碼方式見(jiàn) A.4。 A.7 主體公鑰信息（ SubjectPublicKeyInfo） 本項(xiàng)用來(lái)標(biāo)識(shí)公鑰和相應(yīng)的公鑰算法。 A.8 頒發(fā)者唯一標(biāo)識(shí)符（ IssuerUniqueID） 本項(xiàng)主要用來(lái)處理頒發(fā)者名稱(chēng)重用問(wèn)題。本標(biāo)準(zhǔn)建議不同 的實(shí)體名稱(chēng)不要重用， Internet 網(wǎng)的證書(shū)不要使用唯一標(biāo)識(shí)符。遵循本標(biāo)準(zhǔn)的證書(shū)簽發(fā)機(jī)構(gòu)不應(yīng)生成帶有頒發(fā)者唯一標(biāo)識(shí)符的證書(shū)，但是在應(yīng)用過(guò)程中應(yīng)該能夠解析這個(gè)項(xiàng)并進(jìn)行對(duì)比。 A.9 主體唯一標(biāo)識(shí)符（ SubjectUniqueID） 本項(xiàng)主要用來(lái)處理主體名稱(chēng)重用問(wèn)題。本標(biāo)準(zhǔn)建議不同的實(shí)體名稱(chēng)不要重用，并且不建議使用此項(xiàng)，遵循本標(biāo)準(zhǔn)的證書(shū)簽發(fā)機(jī)構(gòu)不應(yīng)生成帶有主體唯一標(biāo)識(shí)符的證書(shū)，但是在應(yīng)用過(guò)程中應(yīng)該能夠解析唯一標(biāo)識(shí)并進(jìn)行對(duì)比。 DB42/T 452 2008 24 附 錄 B （規(guī)范性附錄） 擴(kuò)展域說(shuō)明 B.1 政務(wù)數(shù)字證書(shū)通用格式擴(kuò)展域說(shuō)明 B.1.1 機(jī)構(gòu)密鑰標(biāo)識(shí)符 本項(xiàng)標(biāo)識(shí)用來(lái) 驗(yàn)證在證書(shū)或 CRL 上簽名的公開(kāi)密鑰。 CA 自簽證書(shū)形式發(fā)放其公鑰時(shí)，可以省略認(rèn)證機(jī)構(gòu)密鑰標(biāo)識(shí)符。此時(shí)，主體和認(rèn)證機(jī)構(gòu)密鑰標(biāo)識(shí)符是完全相同的。除些之外，所有證書(shū)應(yīng)具有機(jī)構(gòu)密鑰標(biāo)識(shí)符擴(kuò)展項(xiàng)。 政務(wù)數(shù)字證書(shū)的機(jī)構(gòu)密鑰標(biāo)識(shí)符應(yīng)使用 keyIdentifier 的形式，從 CA對(duì)應(yīng)數(shù)字證書(shū)中的 BIT STRING subjectPublicKey 的 160 比特散列值（不包括標(biāo)簽、長(zhǎng)度和不使用的字節(jié)數(shù)目）生成。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.2 主體密鑰標(biāo)識(shí)符 本項(xiàng)提供一種識(shí)別包含有一個(gè)特定公鑰的證書(shū)的方法。此擴(kuò)展標(biāo)識(shí)了被認(rèn) 證的公開(kāi)密鑰。 所有證書(shū)應(yīng)具有主體密鑰標(biāo)識(shí)符擴(kuò)展項(xiàng)。 政務(wù)數(shù)字證書(shū)的主體密鑰標(biāo)識(shí)符應(yīng)從該數(shù)字證書(shū)中的 BIT STRING subjectPublicKey 的 160 比特散列值（不包括標(biāo)簽、長(zhǎng)度和不使用的字節(jié)數(shù)目）生成。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.3 密鑰用法 本項(xiàng)說(shuō)明已認(rèn)證的公開(kāi)密鑰用于何種用途。 所有證書(shū)應(yīng)具有密鑰用法擴(kuò)展項(xiàng)。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 政務(wù)數(shù)字證書(shū)支持雙證書(shū)體制， CA 通過(guò)密鑰用法擴(kuò)展項(xiàng)區(qū)分加密和簽名的密鑰，加密證書(shū)僅用于加密，簽名證書(shū)僅用于簽名。 B.1.4 擴(kuò)展密鑰用途 本項(xiàng)指明已 驗(yàn)證的公開(kāi)密鑰可以用于一種用途或多種用途，它們可作為對(duì)密鑰用法擴(kuò)展項(xiàng)中指明的基本用途的補(bǔ)充或替代。 政務(wù)數(shù)字證書(shū)可使用擴(kuò)展密鑰用途擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.5 私有密鑰使用期 本項(xiàng)指明與已驗(yàn)證的公開(kāi)密鑰相對(duì)應(yīng)的私有密鑰的使用期限。該項(xiàng)只能用于數(shù)字簽名密鑰。 政務(wù)簽名證書(shū)可使用私有密鑰使用期擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.6 證書(shū)策略 本項(xiàng)列出了由頒發(fā)的 CA 所認(rèn)可的證書(shū)策略。 在 CA 證書(shū)中，證書(shū)策略擴(kuò)展項(xiàng)表示了通過(guò)該 CA 證書(shū)的認(rèn)證路徑中允許的證書(shū)策略。 在終端實(shí)體證書(shū)中，證書(shū)策略擴(kuò)展項(xiàng)表示 了該終端實(shí)體證書(shū)頒發(fā)過(guò)程中所使用的證書(shū)策略。 政務(wù)數(shù)字證書(shū)中可使用證書(shū)策略擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.7 策略映射 本項(xiàng)只用于 CA 證書(shū)。它列出一個(gè)或多個(gè) OID 對(duì)，每對(duì)包括一個(gè) issuerDomainPolicy 和一個(gè)subjectDomainPolicy。這種成對(duì)形式表明，頒發(fā)者 CA 認(rèn)為其 issuerDomainPolicy 與主體 CA 的subjectDomainPolicy 是等效的。頒發(fā)者 CA 的用戶(hù)可以為某應(yīng)用接收一個(gè) issuerDomainPolicy。策略映射告知頒發(fā)者 CA 的用戶(hù)，哪些同 CA 有 關(guān)的策略可以與它們接收到的策略是等效的。 政務(wù) CA 證書(shū)中可使用策略限制擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 DB42/T 452 2008 25 B.1.8 主體替換名稱(chēng) 本項(xiàng)包含一個(gè)或多個(gè)可選替換名（可使用多種名稱(chēng)形式中的任一個(gè)）供實(shí)體使用。 主體替換名稱(chēng)擴(kuò)展允許把附加身份加到證書(shū)的主體上。主體替換名稱(chēng)擴(kuò)展項(xiàng)的名稱(chēng)形式包括：電子郵件地址、 DNS 名稱(chēng)、 IP 地址和統(tǒng)一資源標(biāo)識(shí)符（ URI），還有一些純本地定義的選項(xiàng)?？梢园ǘ喾N名稱(chēng)形式和每個(gè)名稱(chēng)形式的多個(gè)范例。主體替換名稱(chēng)擴(kuò)展項(xiàng)中的所有信息必須經(jīng)過(guò) CA 驗(yàn)證。 政務(wù)數(shù)字證書(shū)中可使用主體可選替換名稱(chēng)擴(kuò)展項(xiàng) 。主體替換名稱(chēng)內(nèi)容和編碼方式見(jiàn) 4.5。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.9 頒發(fā)者替換名稱(chēng) 本項(xiàng)包含一個(gè)或多個(gè)替換名（可使用多種名稱(chēng)形式中的任一個(gè)）。 頒發(fā)者替換名稱(chēng)擴(kuò)展項(xiàng)中包含證書(shū)頒發(fā)者的附加信息。頒發(fā)者替換名稱(chēng)必須按 B.1.8 的說(shuō)明進(jìn)行編碼。 政務(wù)數(shù)字證書(shū)中可使用頒發(fā)者替換名稱(chēng)擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.10 主體目錄屬性 本項(xiàng)為證書(shū)主體傳送其期望的任何目錄屬性值。 政務(wù)數(shù)字證書(shū)中不宜使用主體目錄屬性擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.11 基本限制 本項(xiàng)用于標(biāo)識(shí)證書(shū)的主體是否是一個(gè) CA、通過(guò)該 CA 可能存在的認(rèn)證路徑的最大長(zhǎng)度。 政務(wù)終端實(shí)體證書(shū)可使用基本限制擴(kuò)展項(xiàng)。在政務(wù)終端實(shí)體證書(shū)中應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 政務(wù) CA 證書(shū)應(yīng)使用基本限制擴(kuò)展項(xiàng)。在政務(wù) CA 證書(shū)中應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.12 名稱(chēng)限制 本項(xiàng)僅用于 CA 證書(shū)，它指示了一個(gè)名稱(chēng)空間，在此空間設(shè)置了認(rèn)證路徑可以在后續(xù)證書(shū)的主體名稱(chēng)中被找到。 政務(wù) CA 證書(shū)中可使用名稱(chēng)限制擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.13 策略限制 本項(xiàng)用于 CA 頒發(fā)的證書(shū)中，提供了 CA 對(duì)于認(rèn)證路徑的附加要求。該擴(kuò)展項(xiàng)可用于禁止策略映射或要求認(rèn)證路徑中的每個(gè)證書(shū)包含一個(gè)認(rèn)可的證書(shū)策略 OID。 策略限制擴(kuò)展項(xiàng)只用于 CA 證書(shū)。 政務(wù) CA 證書(shū)中可使用策略限制擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng) B.1.14 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) 本項(xiàng)用來(lái)標(biāo)識(shí)如何獲得證書(shū)相應(yīng)的 CRL 信息，本擴(kuò)展僅作為證書(shū)擴(kuò)展使用。 政務(wù)數(shù)字證書(shū)中應(yīng)具有證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn)擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.15 限制所有策略 本項(xiàng)指定了一個(gè)限制，它指出了任何策略，對(duì)于從指定 CA 開(kāi)始的認(rèn)證路徑中的所有證書(shū)的證書(shū)策略，都不是顯式匹配。 限制所有策略擴(kuò)展項(xiàng)只用于 CA 證書(shū)。 政務(wù) CA 證書(shū)中可使用名稱(chēng)限制擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.16 最新證書(shū)撤銷(xiāo)列表 本項(xiàng)一般作為證書(shū)擴(kuò)展使用，或在發(fā)給認(rèn)證機(jī)構(gòu)和用戶(hù)的證書(shū)中使用。該項(xiàng)標(biāo)識(shí)了 CRL，對(duì) CRL來(lái)說(shuō)證書(shū)用戶(hù)應(yīng)包含最新的撤銷(xiāo)信息（例如：最新的增量 CRL）。 政務(wù)數(shù)字證書(shū)中可使用最新證書(shū)撤銷(xiāo)列表擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.17 機(jī)構(gòu)信息訪問(wèn) 本項(xiàng)描述了包含該擴(kuò)展的證書(shū)的簽發(fā)者如何訪問(wèn) CA 的信息以及服務(wù)。包括在線驗(yàn)證服務(wù)和 CA 策略數(shù)據(jù)。 政務(wù)數(shù)字證書(shū)中不宜使用機(jī)構(gòu)信息訪問(wèn)擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.18 主體信息訪問(wèn) DB42/T 452 2008 26 本項(xiàng)描述了證書(shū)主體如何訪問(wèn)信息以及服務(wù)。如果主體是 CA，則包括證書(shū)驗(yàn)證服務(wù)和 CA策略數(shù)據(jù)， 如果主體是用戶(hù)，則描述了提供的服務(wù)的類(lèi)型以及如何訪問(wèn)它們。 政務(wù)數(shù)字證書(shū)中不宜使用主體信息訪問(wèn)擴(kuò)展項(xiàng)。該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.1.19 個(gè)人身份標(biāo)識(shí)碼 個(gè)人身份標(biāo)識(shí)碼擴(kuò)展項(xiàng)用于表示個(gè)人身份證件的號(hào)碼，此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。 B.1.20 個(gè)人社會(huì)保險(xiǎn)號(hào) 個(gè)人社會(huì)保險(xiǎn)號(hào)擴(kuò)展項(xiàng)用于表示個(gè)人社會(huì)保險(xiǎn)號(hào)碼，此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。 B.1.21 工商注冊(cè)號(hào) 工商注冊(cè)號(hào)擴(kuò)展項(xiàng)用于表示工商注冊(cè)號(hào)碼，此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。 B.1.22 稅號(hào) 稅號(hào)擴(kuò)展項(xiàng)用于表示稅號(hào)碼，此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。 B.1.23 主體銀行基本賬號(hào) 主體銀行基本 賬號(hào)擴(kuò)展項(xiàng)用于表示主體的基本銀行賬號(hào)信息，此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。 B.2 認(rèn)證機(jī)構(gòu)證書(shū)格式擴(kuò)展域說(shuō)明 B.2.1 機(jī)構(gòu)密鑰標(biāo)識(shí)符 認(rèn)證機(jī)構(gòu)證書(shū)機(jī)構(gòu)密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.2.2 主體密鑰標(biāo)識(shí)符 認(rèn)證機(jī)構(gòu)證書(shū)主體密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.2.3 密鑰用法 認(rèn)證機(jī)構(gòu)證書(shū)密鑰用法應(yīng)符合 附錄 B.1.3 的規(guī)定 。 B.2.4 擴(kuò)展密鑰用途 認(rèn)證機(jī)構(gòu)證書(shū)擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.2.5 私有密鑰使用期 認(rèn)證機(jī)構(gòu)證書(shū)私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.2.6 證書(shū)策略 認(rèn)證機(jī)構(gòu)證書(shū)證書(shū)策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.2.7 策略映射 認(rèn) 證機(jī)構(gòu)證書(shū)策略映射應(yīng)符合附錄 B.1.7 的規(guī)定。 B.2.8 主體替換名稱(chēng) 認(rèn)證機(jī)構(gòu)證書(shū)主體替換名稱(chēng)應(yīng)符合附錄 B.1.8 的規(guī)定。 B.2.9 頒發(fā)者替換名稱(chēng) 認(rèn)證機(jī)構(gòu)證書(shū)頒發(fā)者替換名稱(chēng)應(yīng)符合附錄 B.1.9 的規(guī)定。 B.2.10 主體目錄屬性 認(rèn)證機(jī)構(gòu)證書(shū)主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.2.11 基本限制 認(rèn)證機(jī)構(gòu)證書(shū)基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 B.2.12 名稱(chēng)限制 認(rèn)證機(jī)構(gòu)證書(shū)名稱(chēng)限制應(yīng)符合附錄 B.1.12 的規(guī)定。 B.2.13 策略限制 認(rèn)證機(jī)構(gòu)證書(shū)策略限制應(yīng)符合附錄 B.1.13 的規(guī)定。 B.2.14 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) 認(rèn)證機(jī)構(gòu)證書(shū)證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn)應(yīng)符合附錄 B.1.14 的規(guī)定。 B.2.15 限制所有策略 DB42/T 452 2008 27 認(rèn)證機(jī)構(gòu)證書(shū)限制所有策略應(yīng)符合附錄 B.1.15 的規(guī)定。 B.2.16 最新證書(shū)撤銷(xiāo)列表 認(rèn)證機(jī)構(gòu)證書(shū)最新證書(shū)撤銷(xiāo)列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.2.17 機(jī)構(gòu)信息訪問(wèn) 認(rèn)證機(jī)構(gòu)證書(shū)機(jī)構(gòu)信息訪問(wèn)應(yīng)符合附錄 B.1.17 的規(guī)定。 B.2.18 主體信息訪問(wèn) 認(rèn)證機(jī)構(gòu)證書(shū)主體信息訪問(wèn)應(yīng)符合附錄 B.1.18 的規(guī)定。 B.3 政務(wù)個(gè)人證書(shū)格式擴(kuò)展域說(shuō)明 B.3.1 機(jī)構(gòu)密鑰標(biāo)識(shí)符 政務(wù)個(gè)人證書(shū)機(jī)構(gòu)密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.3.2 主體密鑰標(biāo)識(shí)符 政務(wù)個(gè)人證書(shū)主體密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.3.3 密鑰用法 政務(wù)個(gè)人證書(shū)中應(yīng)具有密 鑰用法擴(kuò)展項(xiàng)，區(qū)分簽名證書(shū)和加密證書(shū)，支持雙證書(shū)體系。 政務(wù)個(gè)人簽名證書(shū)的密鑰用法擴(kuò)展項(xiàng)的設(shè)置見(jiàn) 附錄 C 表 2。 政務(wù)個(gè)人加密證書(shū)的密鑰用法擴(kuò)展項(xiàng)的設(shè)置見(jiàn) 附錄 C 表 2。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.3.4 擴(kuò)展密鑰用途 政務(wù)個(gè)人證書(shū)擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.3.5 私有密鑰使用期 政務(wù)個(gè)人證書(shū)私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.3.6 證書(shū)策略 政務(wù)個(gè)人證書(shū)證書(shū)策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.3.7 主體替換名稱(chēng) 政務(wù)個(gè)人證書(shū)主體替換名稱(chēng)應(yīng)符合附錄 B.1.8 的規(guī)定。 B.3.8 頒發(fā)者替換名稱(chēng) 政務(wù)個(gè)人證書(shū)頒發(fā)者 替換名稱(chēng)應(yīng)符合附錄 B.1.9 的規(guī)定。 B.3.9 主體目錄屬性 政務(wù)個(gè)人證書(shū)主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.3.10 基本限制 政務(wù)個(gè)人證書(shū)基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 B.3.11 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) 政務(wù)個(gè)人證書(shū)證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn)應(yīng)符合附錄 B.114 的規(guī)定。 B.3.12 最新證書(shū)撤銷(xiāo)列表 政務(wù)個(gè)人證書(shū)最新證書(shū)撤銷(xiāo)列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.3.13 機(jī)構(gòu)信息訪問(wèn) 政務(wù)個(gè)人證書(shū)機(jī)構(gòu)信息訪問(wèn)應(yīng)符合附錄 B.1.17 的規(guī)定。 B.3.14 主體信息訪問(wèn) 政務(wù)個(gè)人證書(shū)主體信息訪問(wèn)應(yīng)符合附錄 B.1.18 的規(guī)定。 B.3.15 個(gè)人身份證號(hào)碼 包含證書(shū)主體的 身份證號(hào)碼。其定義如下： id-cce-identifyCode OBJECT IDENTIFIER := 1 2 86 11 7 1 IdentifyCode :=SET DB42/T 452 2008 28 residenterCardNumber 0 PRINTABLESTRING OPTIONAL, militaryOfficerCardNumber 1 UTF8STRING OPTIONAL, passportNumber 2 PRINTABLESTRING OPTIONAL, . 政務(wù)個(gè)人證書(shū)應(yīng)使用個(gè)人身份證號(hào)碼擴(kuò)展項(xiàng)。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.3.16 個(gè)人社會(huì)保險(xiǎn)號(hào) 用于表示證書(shū)主體的個(gè)人社會(huì)保險(xiǎn)號(hào)碼，其定義如下： id-cce-insuranceNumber OBJECT IDENTIFIER := 1 2 86 11 7 2 InsuranceNumber:= PRINTABLESTRING 政務(wù)個(gè)人證書(shū)可使用個(gè)人社會(huì)保險(xiǎn)號(hào)擴(kuò)展項(xiàng)。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.3.17 主體銀行基本帳號(hào) 表示證書(shū)主體的銀行基本 帳號(hào)信息，其定義如下： id-cce-subjectBasicAccount OBJECT IDENTIFIER := 1 2 86 11 7 7 SubjectBasicAccount := UTF8STRING 政務(wù)個(gè)人證書(shū)可使用主體銀行基本帳號(hào)擴(kuò)展項(xiàng)，表示證書(shū)主體的個(gè)人銀行基本帳號(hào)。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.4 政務(wù)機(jī)構(gòu)證書(shū)格式擴(kuò)展域說(shuō)明 B.4.1 機(jī)構(gòu)密鑰標(biāo)識(shí)符 政務(wù)機(jī)構(gòu)證書(shū)機(jī)構(gòu)密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.4.2 主體密鑰標(biāo)識(shí)符 政務(wù)機(jī)構(gòu)證書(shū)主體密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.2 的規(guī)定 。 B.4.3 密鑰用法 政務(wù)機(jī)構(gòu)證書(shū)中應(yīng)具有密鑰用法擴(kuò)展項(xiàng)，區(qū)分簽名證書(shū)和加密證書(shū)，支持雙證書(shū)體系。 政務(wù)機(jī)構(gòu)簽名證書(shū)的密鑰用法擴(kuò)展項(xiàng)的設(shè)置見(jiàn) 附錄 C 表 2。 政務(wù)機(jī)構(gòu)加密證書(shū)的密鑰用法擴(kuò)展項(xiàng)的設(shè)置見(jiàn) 附錄 C 表 2。 該擴(kuò)展項(xiàng)應(yīng)為關(guān)鍵擴(kuò)展項(xiàng)。 B.4.4 擴(kuò)展密鑰用途 政務(wù)機(jī)構(gòu)證書(shū)擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.4.5 私有密鑰使用期 政務(wù)機(jī)構(gòu)證書(shū)私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.4.6 證書(shū)策略 政務(wù)機(jī)構(gòu)證書(shū)證書(shū)策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.4.7 主體替換名稱(chēng) 政務(wù)機(jī)構(gòu)證書(shū)主體替換名稱(chēng)應(yīng)符合附錄 B.1.8 的規(guī)定。 B.4.8 頒發(fā)者替 換名稱(chēng) 政務(wù)機(jī)構(gòu)證書(shū)頒發(fā)者替換名稱(chēng)應(yīng)符合附錄 B.1.9 的規(guī)定。 B.4.9 主體目錄屬性 政務(wù)機(jī)構(gòu)證書(shū)主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.4.10 基本限制 政務(wù)機(jī)構(gòu)證書(shū)基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 DB42/T 452 2008 29 B.4.11 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) 政務(wù)機(jī)構(gòu)證書(shū)證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn)應(yīng)符合附錄 B.1.14 的規(guī)定。 B.4.12 最新證書(shū)撤銷(xiāo)列表 政務(wù)機(jī)構(gòu)證書(shū)最新證書(shū)撤銷(xiāo)列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.4.13 機(jī)構(gòu)信息訪問(wèn) 政務(wù)機(jī)構(gòu)證書(shū)機(jī)構(gòu)信息訪問(wèn)應(yīng)符合附錄 B.1.17 的規(guī)定。 B.4.14 主體信息訪問(wèn) 政務(wù)機(jī)構(gòu)證書(shū)主體信息訪問(wèn)應(yīng)符合附錄 B.1.18 的規(guī)定。 B.4.15 工 商注冊(cè)號(hào) 用于表示工商注冊(cè)號(hào)碼，其定義如下： id-cce-iCRegistrationNumber OBJECT IDENTIFIER := 1 2 86 11 7 4 ICRegistrationNumber:= PRINTABLESTRING 政務(wù)機(jī)構(gòu)證書(shū)可使用 工商注冊(cè)號(hào) 擴(kuò)展項(xiàng)。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.4.16 組織機(jī)構(gòu)代碼 用于表示 組織機(jī)構(gòu)代碼 ，其定義如下： id-cce-organizationCode OBJECT IDENTIFIER := 1 2 86 11 7 3 OrganizationCode:= PRINTABLESTRING 政務(wù)機(jī)構(gòu)證書(shū)應(yīng)使用 組織機(jī)構(gòu)代碼 擴(kuò)展項(xiàng)，用于標(biāo)識(shí) 企業(yè) 、 機(jī)關(guān) 、 事業(yè)單位 、 社會(huì)團(tuán)體 和 其他組織機(jī)構(gòu) 的組織機(jī)構(gòu)代碼 。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.4.17 稅號(hào) 用于表示 稅號(hào) 碼，其定義如下： id-cce-taxationNumber OBJECT IDENTIFIER := 1 2 86 11 7 5 TaxationNumber:= PRINTABLESTRING 政務(wù)機(jī)構(gòu)證書(shū)可使用 稅號(hào) 擴(kuò)展項(xiàng)，用于標(biāo)識(shí) 企業(yè) 、 機(jī)關(guān) 、 事業(yè)單位 、 社會(huì)團(tuán)體 和 其他組織機(jī)構(gòu) 的稅號(hào) 。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.4.18 主體銀行基本帳號(hào) 表示證書(shū)主體的銀行基本帳號(hào)信息，其定義如下： id-cce-subjectBasicAccount OBJECT IDENTIFIER := 1 2 86 11 7 7 SubjectBasicAccount := UTF8STRING 政務(wù)機(jī)構(gòu)證書(shū)可使用主體銀行基本帳號(hào)擴(kuò)展項(xiàng)，表示證書(shū)主體的機(jī)構(gòu)銀行基本帳號(hào)。 該擴(kuò)展項(xiàng)應(yīng)為非關(guān)鍵擴(kuò)展項(xiàng)。 B.5 政務(wù)設(shè)備證書(shū)格式擴(kuò)展域說(shuō)明 B.5.1 機(jī)構(gòu)密鑰標(biāo)識(shí)符 政務(wù)設(shè)備證書(shū)機(jī)構(gòu)密鑰標(biāo)識(shí)符應(yīng)符 合附錄 B.1.1 的規(guī)定。 B.5.2 主體密鑰標(biāo)識(shí)符 政務(wù)設(shè)備證書(shū)主體密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.5.3 密鑰用法 政務(wù)設(shè)備證書(shū)密鑰用法應(yīng)符合 附錄 B.1.3 的規(guī)定 。 B.5.4 擴(kuò)展密鑰用途 政務(wù)設(shè)備證書(shū)擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 DB42/T 452 2008 30 B.5.5 私有密鑰使用期 政務(wù)設(shè)備證書(shū)私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.5.6 證書(shū)策略 政務(wù)設(shè)備證書(shū)證書(shū)策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.5.7 主體替換名稱(chēng) 政務(wù)設(shè)備證書(shū)主體替換名稱(chēng)應(yīng)符合附錄 B.1.8 的規(guī)定。 B.5.8 頒發(fā)者替換名稱(chēng) 政務(wù)設(shè)備證書(shū)頒發(fā)者替換名稱(chēng)應(yīng)符合附錄 B.1.9 的規(guī)定。 B.5.9 主體目錄屬性 政務(wù)設(shè)備證書(shū)主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.5.10 基本限制 政務(wù)設(shè)備證書(shū)基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 B.5.11 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) 政務(wù)設(shè)備證書(shū)證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn)應(yīng)符合附錄 B.1.14 的規(guī)定。 B.5.12 最新證書(shū)撤銷(xiāo)列表 政務(wù)設(shè)備證書(shū)最新證書(shū)撤銷(xiāo)列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.5.13 機(jī)構(gòu)信息訪問(wèn) 政務(wù)設(shè)備證書(shū)機(jī)構(gòu)信息訪問(wèn)應(yīng)符合附錄 B.1.17 的規(guī)定。 B.5.14 主體信息訪問(wèn) 政務(wù)設(shè)備證書(shū)主體信息訪問(wèn)應(yīng)符合附錄 B.1.18 的規(guī)定。 B.6 政務(wù)服務(wù)器證書(shū)格式擴(kuò)展域說(shuō)明 B.6.1 機(jī)構(gòu)密鑰標(biāo)識(shí) 符 政務(wù)服務(wù)器證書(shū)機(jī)構(gòu)密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.6.2 主體密鑰標(biāo)識(shí)符 政務(wù)服務(wù)器證書(shū)主體密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.6.3 密鑰用法 政務(wù)服務(wù)器證書(shū)密鑰用法應(yīng)符合 附錄 B.1.3 的規(guī)定 。 B.6.4 擴(kuò)展密鑰用途 政務(wù)服務(wù)器證書(shū)擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.6.5 私有密鑰使用期 政務(wù)服務(wù)器證書(shū)私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.6.6 證書(shū)策略 政務(wù)服務(wù)器證書(shū)證書(shū)策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.6.7 主體替換名稱(chēng) 政務(wù)服務(wù)器證書(shū)主體替換名稱(chēng)應(yīng)符合附錄 B.1.8 的規(guī)定。 B.6.8 頒發(fā)者替換名 稱(chēng) 政務(wù)服務(wù)器證書(shū)頒發(fā)者替換名稱(chēng)應(yīng)符合附錄 B.1.9 的規(guī)定。 B.6.9 主體目錄屬性 政務(wù)服務(wù)器證書(shū)主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.6.10 基本限制 政務(wù)服務(wù)器證書(shū)基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 B.6.11 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) 政務(wù)服務(wù)器證書(shū)證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn)應(yīng)符合附錄 B.1.14 的規(guī)定。 DB42/T 452 2008 31 B.6.12 最新證書(shū)撤銷(xiāo)列表 政務(wù)服務(wù)器證書(shū)最新證書(shū)撤銷(xiāo)列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.6.13 機(jī)構(gòu)信息訪問(wèn) 政務(wù)服務(wù)器證書(shū)機(jī)構(gòu)信息訪問(wèn)應(yīng)符合附錄 B.1.17 的規(guī)定。 B.6.14 主體信息訪問(wèn) 政務(wù)服務(wù)器證書(shū)主體信息訪問(wèn)應(yīng)符合附錄 B.1.18 的規(guī)定。 B.7 政務(wù)應(yīng)用系統(tǒng)證書(shū)格式擴(kuò)展域說(shuō)明 B.7.1 機(jī)構(gòu)密鑰標(biāo)識(shí)符 政務(wù)應(yīng)用系統(tǒng)證書(shū)機(jī)構(gòu)密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.7.2 主體密鑰標(biāo)識(shí)符 政務(wù)應(yīng)用系統(tǒng)證書(shū)主體密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.7.3 密鑰用法 政務(wù)應(yīng)用系統(tǒng)證書(shū)密鑰用法應(yīng)符合 附錄 B.1.3 的規(guī)定 。 B.7.4 擴(kuò)展密鑰用途 政務(wù)應(yīng)用系統(tǒng)證書(shū)擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.7.5 私有密鑰使用期 政務(wù)應(yīng)用系統(tǒng)證書(shū)私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.7.6 證書(shū)策略 政務(wù)應(yīng)用系統(tǒng)證書(shū)證書(shū)策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.7.7 主體替換名稱(chēng) 政務(wù)應(yīng) 用系統(tǒng)證書(shū)主體替換名稱(chēng)應(yīng)符合附錄 B.1.8 的規(guī)定。 B.7.8 頒發(fā)者替換名稱(chēng) 政務(wù)應(yīng)用系統(tǒng)證書(shū)頒發(fā)者替換名稱(chēng)應(yīng)符合附錄 B.1.9 的規(guī)定。 B.7.9 主體目錄屬性 政務(wù)應(yīng)用系統(tǒng)證書(shū)主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.7.10 基本限制 政務(wù)應(yīng)用系統(tǒng)證書(shū)基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 B.7.11 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) 政務(wù)應(yīng)用系統(tǒng)證書(shū)證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn)應(yīng)符合附錄 B.1.14 的規(guī)定。 B.7.12 最新證書(shū)撤銷(xiāo)列表 政務(wù)應(yīng)用系統(tǒng)證書(shū)最新證書(shū)撤銷(xiāo)列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.7.13 機(jī)構(gòu)信息訪問(wèn) 政務(wù)應(yīng)用系統(tǒng)證書(shū)機(jī)構(gòu)信息訪問(wèn)應(yīng)符合附錄 B.1.17 的規(guī) 定。 B.7.14 主體信息訪問(wèn) 政務(wù)應(yīng)用系統(tǒng)證書(shū)主體信息訪問(wèn)應(yīng)符合附錄 B.1.18 的規(guī)定。 B.8 政務(wù)代碼簽名證書(shū)格式擴(kuò)展域說(shuō)明 B.8.1 機(jī)構(gòu)密鑰標(biāo)識(shí)符 政務(wù)代碼簽名證書(shū)機(jī)構(gòu)密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.8.2 主體密鑰標(biāo)識(shí)符 政務(wù)代碼簽名證書(shū)主體密鑰標(biāo)識(shí)符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.8.3 密鑰用法 政務(wù)代碼簽名證書(shū)中應(yīng)使用密鑰用法擴(kuò)展項(xiàng)，明確表示可用于數(shù)字簽名。 DB42/T 452 2008 32 政務(wù)代碼簽名證書(shū)的密鑰用法擴(kuò)展項(xiàng)的設(shè)置見(jiàn) 附錄 C 表 2。 該擴(kuò)展項(xiàng)應(yīng)為關(guān)鍵擴(kuò)展項(xiàng)。 B.8.4 擴(kuò)展密鑰用途 政務(wù)代碼簽名證書(shū)擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.8.5 私有密鑰使用期 政務(wù)代碼簽名證書(shū)私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.8.6 證書(shū)策略 政務(wù)代碼簽名證書(shū)證書(shū)策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.8.7 主體替換名稱(chēng) 政務(wù)代碼簽名證書(shū)主體替換名稱(chēng)應(yīng)符合附錄 B.1.8 的規(guī)定。 B.8.8 頒發(fā)者替換名稱(chēng) 政務(wù)代碼簽名證書(shū)頒發(fā)者替換名稱(chēng)應(yīng)符合附錄 B.1.9 的規(guī)定。 B.8.9 主體目錄屬性 政務(wù)代碼簽名證書(shū)主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定 B.8.10 基本限制 政務(wù)代碼簽名證書(shū)基本限制應(yīng)符合附錄 B.1.11 的規(guī)定 。 B.8.11 證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn) 政務(wù)代碼簽名證書(shū)證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn)應(yīng)符合附錄 B.1.14 的規(guī)定。 B.8.12 最新證書(shū)撤銷(xiāo)列 表 政務(wù)代碼簽名證書(shū)最新證書(shū)撤銷(xiāo)列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.8.13 機(jī)構(gòu)信息訪問(wèn) 政務(wù)代碼簽名證書(shū)機(jī)構(gòu)信息訪問(wèn)應(yīng)符合附錄 B.1.17 的規(guī)定。 B.8.14 主體信息訪問(wèn) 政務(wù)代碼簽名證書(shū)主體信息訪問(wèn)應(yīng)符合附錄 B.1.18 的規(guī)定。 DB42/T 452 2008 33 附 錄 C （規(guī)范性附錄） 政務(wù)數(shù)字證書(shū)模板 本 標(biāo)準(zhǔn)規(guī)定了認(rèn)證機(jī)構(gòu)證書(shū)模板、政務(wù)個(gè)人證書(shū)模板、政務(wù)機(jī)構(gòu)證書(shū)模板、政務(wù)設(shè)備證書(shū)模板、政務(wù)服務(wù)器證書(shū)模板、政務(wù)應(yīng)用系統(tǒng)證書(shū)模板、政務(wù)代碼簽名證書(shū)模板，如表 C.1 所示 。 表 C.1 政務(wù)數(shù)字證書(shū)模板 證書(shū)域 名稱(chēng) 描述 說(shuō)明 基本域 Version 版本號(hào) 必備， 2 表示版本 3 serialNumber 序列號(hào) 必備， 16 進(jìn)制，正整數(shù) Signature 簽名算法 必備 issuer 頒發(fā)者 必備，證書(shū)頒發(fā) CA 的 X.500 DN Validity 有效日期 必備 Subject 主體 必備，證書(shū)主體的 X.500 DN subjectPublicKeyInfo 主體公鑰信息 必備 ,BIT STRING 擴(kuò)展域 authorityKeyIdentifier 機(jī)構(gòu)密鑰標(biāo)識(shí)符 必備 ,非關(guān)鍵， OCTET STRING subjectKeyIdentifier 主體密鑰標(biāo)識(shí)符 必備 ,非關(guān)鍵， OCTET STRING keyUsage 密鑰用法 非關(guān)鍵，見(jiàn)附錄 C 表 2 extKeyUsage 擴(kuò)展密鑰用途 非關(guān)鍵 privateKeyUsagePeriod 私有密鑰使用期 非關(guān)鍵，宜在簽名證書(shū)中使用 certificatePolicies 證書(shū)策略 非關(guān)鍵 policyMappings 策略映射 非關(guān)鍵 subjectAltName 主體替換名稱(chēng) 非關(guān)鍵 issuerAltName 頒發(fā)者替換名稱(chēng) 非關(guān)鍵 subjectDirectoryAttributes 主體目錄屬性 非關(guān)鍵，不宜使用 basicConstraints 基本限制 認(rèn)證機(jī)構(gòu)證書(shū)必備，非關(guān)鍵 nameConstraints 名稱(chēng)限制 非關(guān)鍵 policyConstraints 策略限制 非關(guān)鍵 CRLDistributionPoints CRL 分發(fā)點(diǎn) 必備，非關(guān)鍵 inhibitAnyPolicy 限制所有策略 非關(guān)鍵 freshestCRL 最新的 CRL 非關(guān)鍵 authorityInfoAccess 機(jī)構(gòu)信息訪 問(wèn) 非關(guān)鍵，不宜使用 SubjectInformationnAccess 主體信息訪問(wèn) 非關(guān)鍵，不宜使用 IdentifyCardNumber 個(gè)人身份證號(hào)碼 非關(guān)鍵，政務(wù)個(gè)人證書(shū)應(yīng)使用 InsuranceNumber 個(gè)人社會(huì)保險(xiǎn)號(hào) 非關(guān)鍵，政務(wù)個(gè)人證書(shū)可使用 ICRegistrationNumber 工商注冊(cè)號(hào) 非關(guān)鍵，政務(wù)機(jī)構(gòu)證書(shū)可使用 OrganizationCode 組織機(jī)構(gòu)代碼 非關(guān)鍵，政務(wù)機(jī)構(gòu)證書(shū)應(yīng)使用 TaxationNumber 稅號(hào) 非關(guān)鍵，政務(wù)機(jī)構(gòu)證書(shū)可使用 SubjectBasicAccount 主體銀行基本賬號(hào) 非關(guān)鍵，政務(wù)個(gè)人證書(shū)、政務(wù)機(jī)構(gòu)證書(shū)可使用 DB42/T 452 2008 34 密鑰用法擴(kuò)展項(xiàng)的設(shè)置如表 C.2 所示 。 表 C.2 密鑰用法擴(kuò)展項(xiàng)設(shè)置 KeyUsage 說(shuō)明 DigitalSignature 政務(wù)個(gè)人簽名證書(shū)、政務(wù)機(jī)構(gòu)簽名證書(shū)、政務(wù)代碼簽名證書(shū)應(yīng)使用 NonRequdiation 政務(wù)個(gè)人簽名證書(shū)、政務(wù)機(jī)構(gòu)簽名證書(shū)、政務(wù)代碼簽名證書(shū)應(yīng)使用 KeyEncipherment 政務(wù)個(gè)人加密證書(shū)、政務(wù)機(jī)構(gòu)加密證書(shū)應(yīng)使用 DataEncipherment 政務(wù)個(gè) 人加密證書(shū)、政務(wù)機(jī)構(gòu)加密證書(shū)應(yīng)使用 KeyAgreement 政務(wù)個(gè)人加密證書(shū)、政務(wù)機(jī)構(gòu)加密證書(shū)應(yīng)使用 KeyCertSign 認(rèn)證機(jī)構(gòu)證書(shū)應(yīng)使用 CRLSign EncipherOnly DecipherOnly 附 錄 D （資料性附錄） 主體命名示例 D.1 政務(wù)個(gè)人證書(shū) 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處工作人員李四，其政務(wù)個(gè)人證書(shū)主體的 X.500 DN 為： C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北某 局 信息中心網(wǎng)絡(luò)管理處 D.2 政務(wù)機(jī)構(gòu)證書(shū) 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處，其政務(wù)機(jī)構(gòu)證書(shū)主體的 X.500 DN 為： C=CN C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網(wǎng)絡(luò)管理處 CN=湖北省 某局信息中心網(wǎng)管處 D.3 政務(wù)設(shè)備證書(shū) 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處的設(shè)備（設(shè)備編碼為 HBDS000001），其政務(wù)設(shè)備證書(shū)主體的 X.500 DB42/T 452 2008 35 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網(wǎng)絡(luò)管理處 CN=HBDS000001 D.4 政務(wù)服務(wù)器證書(shū) 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處的服務(wù)器（服務(wù)器域名為 ， IP 地址為1），其政務(wù)服務(wù)器證書(shū)主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網(wǎng)絡(luò)管理處 CN= 或 C=CN S=湖北省 L=武漢市 O=湖北省某 局信息中心 OU=湖北省某 局信息中心網(wǎng)絡(luò)管理處 CN=1 政務(wù)服務(wù)器證書(shū)宜使用域名。 D.5 政務(wù)應(yīng)用系統(tǒng)證書(shū) 所列示例均系虛構(gòu)。 湖北省某 局應(yīng)用系統(tǒng)（應(yīng)用系統(tǒng)編碼為 hbxx_system001），其政務(wù)應(yīng)用系統(tǒng)證書(shū)主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省某 局 OU=湖北省某 局應(yīng)用系統(tǒng) CN= hbxx_system001 D.6 政務(wù)代碼簽名證書(shū) 所列示例均系虛構(gòu)。 湖北省某 局信息中心網(wǎng)絡(luò)管理處，其政務(wù)代碼簽名證書(shū)主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局 DB42/T 452 2008 36 OU=湖北省某 局信息中心 CN=省某 局信息中心網(wǎng)管處 或 湖北省某 局信息中心網(wǎng)絡(luò)管理處（代碼簽名負(fù)責(zé)人為李四），其政務(wù)代碼簽名證書(shū)主體的 X.500 DN為 : C=CN S=湖北省 L=武漢市 O=湖北省某 局信息中心 OU=湖北省某 局信息中心網(wǎng)絡(luò)管理處 CN=李四 附 錄 E （資料性附錄） 主體可選替換名稱(chēng)命名示例 E.1 政務(wù)個(gè)人證書(shū) 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處工作人員李四（個(gè)人電子郵件 地址為 Email=），其政務(wù)個(gè)人證書(shū)主體可選替換名稱(chēng)的 directoryName 的 X.500 DN 為： Email= 或者包含其中的部分屬性。 E.2 政務(wù)機(jī)構(gòu)證書(shū) 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處的（負(fù)責(zé)人電子郵件地址為 Email=），其政務(wù)機(jī)構(gòu)證書(shū)主體可 選替換名稱(chēng)的 directoryName 的 X.500 DN 為 : Email= 或者包含其中的部分屬性。 E.3 政 務(wù)設(shè)備證書(shū) 所列示例均系虛構(gòu)。 湖北省某 局信息中心網(wǎng)絡(luò)管理處的設(shè)備（設(shè)備負(fù)責(zé)人的電子郵件地址為 Email=， IP 地址為 1），其政務(wù)設(shè)備證書(shū)主體可 選替換名稱(chēng)的 directoryName 的 X.500 DN 為 : Email= IPAddress=1 或者包含其中的部分屬性。 DB42/T 452 2008 37 E.4 政務(wù)服務(wù)器證書(shū) 所列示例 均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處的服務(wù)器（服務(wù)器負(fù)責(zé)人的電子郵件地址為 Email=， IP 地址為 1，域名為 ），其政務(wù)設(shè)備證書(shū)主體可 選替換名稱(chēng)的 directoryName 的 X.500 DN 為 : Email= IPAddress=1 DNS= 或者包含其 中的部分屬性。 E.5 政務(wù)應(yīng)用系統(tǒng)證書(shū) 所列示例均系虛構(gòu)。 湖北省 某局的應(yīng)用系統(tǒng)（負(fù)責(zé)人電子郵件地址為 Email= ， 資源地址為），其政務(wù)設(shè)備證書(shū)主體可 選替換名稱(chēng)的 directoryName 的 X.500 DN 為 : Email= URL= 或者包含其中的部分屬性。 E.6 政務(wù)代碼簽名證書(shū) 所列示例均系虛構(gòu)。 湖北省某局信息中心網(wǎng)絡(luò)管理處（代碼簽名負(fù)責(zé)人的電子郵件地址為 Email=），其政務(wù)設(shè)備證書(shū)主體可 選替換名稱(chēng)的 directoryName 的 X.500 DN 為 : Email= 或者包含其中的部分屬性。 附 錄 F （ 資料性附錄） 政務(wù)數(shù)字證書(shū)編碼示例 以下內(nèi)容將以 X.509 版本 3 證書(shū)為例，證書(shū)包含下列信息： a）序列號(hào)是 04a59cc78df58536237af65793cd3d7； b）簽名算法是 sha1RSA； c）頒發(fā)者是： C=CN S=HUBEI L=WUHAN O=HuiBei Digital Certificate Authority Center CO.LTD CN=HBCA DB42/T 452 2008 38 d）主體是： C=CN S=湖北省 L=武漢市 O=測(cè)試總部 OU=測(cè)試第一分部 CN=湖北省電子政務(wù)測(cè)試證書(shū) e）有效期是從 2007 年 2 月 2 日 到 2010年 2月 2日 ； f）主體公鑰信息中包含 1024 比特的 RSA 密鑰； g）機(jī)構(gòu)密鑰標(biāo)識(shí)符擴(kuò)展項(xiàng)； h）主體密鑰標(biāo)識(shí)符擴(kuò)展； i）密鑰用法擴(kuò)展項(xiàng)； j）基本限制擴(kuò)展項(xiàng)； k）證書(shū)撤銷(xiāo)列表分發(fā)點(diǎn)擴(kuò)展項(xiàng)。 以下為政務(wù)數(shù)字證書(shū)的編碼示例： 0000 30 82 03 3E 830: SEQUENCE 0004 30 82 02 A7 679: . SEQUENCE 0008 A0 03 3: . . 0 0010 02 01 1: . . . INTEGER 2 : 02 0013 02 10 16: . . INTEGER : 0C 8D E6 7D 7C 6B 7A F2 72 E7 B8 AD E5 C0 97 75 0031 30 0D 13: . . SEQUENCE 0033 06 09 9: . . . OID 1.2.840.1135 sha1withRSAEncryption : 2a 86 48 86 f7 0d 01 01 05 0044 05 00 0: . . . NULL 0046 30 2B 43: . . SEQUENCE 0048 31 0D 13: . . . SET 0050 30 0B 11: . . . . SEQUENCE 0052 06 03 3: . . . . . OID 2.8.3: CN : 55 04 03 0057 13 04 4: . . . . . PrintableString HBCA : 48 42 43 41 0063 31 0D 13: . . . SET 0065 30 0B 11: . . . . SEQUENCE 0067 06 03 3: . . . . . OID 2.8.10: O : 55 04 0A 0072 13 04 4: . . . . . PrintableString TEST : 54 45 53 54 0078 31 0B 11: . . . SET 0080 30 09 9: . . . . SEQUENCE 0082 06 03 3:. . . . . OID 2.8.6: C : 55 04 06 DB42/T 452 2008 39 0087 13 02 2: . . . . . PrintableString CN : 43 4e 0091 30 1E 30: . . . . SEQUENCE 0093 17 0D 13: . . . UTCTime 071026030002Z : 30 37 31 30 32 36 30 33 30 30 30 32 5a 0108 17 0D 13: . . . UTCTime 081025030002Z : 30 38 31 30 32 35 30 33 30 30 30 32 5a 0123 30 7A 122: . . SEQUENCE 0125 31 1F 31: . . . SET 0127 30 1D 29: . . . . SEQUENCE 0129 06 03 3: . . . . . OID 2.8.3: CN : 55 04 03 0134 1E 16 22: . . . . . UTF8String 湖北省電子政務(wù)測(cè)試證書(shū) : 16 6e 56 53 17 77 01 75 35 5b 50 65 3f 52 a1 6d 4b 8b d5 8b c1 4e 66 0158 31 15 21: . . . SET 0160 30 13 19: . . . . SEQUENCE 0162 06 03 3: . . . . . OID 2.8.11 OU : 55 04 0B 0167 1E 0C 12: . . . . . UTF8String 測(cè)試第一分部 : 6d 4b 8b d5 7b 2c 4e 00 52 06 90 e8 0181 31 11 17: . . . SET 0183 30 0F 15: . . . . SEQUENCE 0185 06 03 3: . . . . . OID 2.8.10 O :55 04 0A 0190 1E 08 8: . . . . . UTF8String 測(cè)試總部 : 6d 4b 8b d5 60 3b 90 e8 0200 31 0F 15: . . . SET 0202 30 0D 13: . . . .SEQUENCE 0204 06 03 3: . . . . . OID 2.8.7 L : 55 04 07 0209 1E 06 6: . . . . . UTF8String 武漢市 : 6b 66 6c 49 5e 02 0217 31 0F 15: . . . SET 0219 30 0D 13: . . . .SEQUENCE 0221 06 03 3: . . . . . OID 2.8.8 S : 55 04 08 0226 1E 06 6: . . . . . UTF8String 湖北省 : 6e 56 53 17 77 01 0234 31 0B 11: . . . SET 0236 30 09 9: . . . .SEQUENCE 0238 06 03 3: . . . . . OID 2.8.6 C : 55 04 06 0243 13 02 2: . . . . . PrintableString CN : 43 4e DB42/T 452 2008 40 0247 30 81 9F 159: . . SEQUENCE 0250 30 0D 13: . . . SEQUENCE 0252 06 09 9: . . . . . OID 1.2.840.1135 rsaEncryption : 2A 86 48 86 F7 0D 01 01 01 0263 05 00 0: . . . . . NULL 0265 03 81 8D 141: . . . BIT STRING : 00 （ 0 unused bits） 30 81 89 02 81 81 00 cb bb 54 18 ad 3e 80 44 8f b2 9f ac 07 18 bb 30 ba f2 42 60 84 88 85 7a d9 ad 4b bc 13 af ba 65 e3 3c 17 c9 d8 c5 ae 24 fc 29 73 c2 10 ce d1 7b 25 8a 55 8c 4e f7 bc 66 3a 54 7d 32 b3 03 77 e7 6f d3 28 bf a8 c1 ac fa 6b d7 97 ae 67 f6 40 f5 e1 3a 58 ef 19 24 1b 1e f5 11 e8 1d 7a 29 3c 60 ad 1e bb ac af 33 ac 92 0f 3f 0e c6 0b e2 65 a5 90 29 15 0a 10 3f 37 bc 69 d5 8c 20 aa 8b 0b b7 02 03 01 00 01 0409 A3 82 01 12 274: . . 3 0413 30 82 01 0E 270: . . . SEQUENCE 0417 30 1f 31: . . . . SEQUENCE 0419 06 03 3: . . . . . OID 5 AuthorityKeyIdentifier : 55 1D 23 0424 04 18 24: . . . . . OCTET STRING : 30 16 80 14 32 75 bb 19 06 88 37 2e d9 de 40 40 37 77 00 ab 9b 46 4e c7 0450 30 1D 29: . . . . SEQUENCE 0452 06 03 3: . . . . . OID 4 SubjectKeyIdentifier : 55 1D 0E 0457 04 16 22: . . . . . OCTET STRI