DB11 T 254.1-2004 政务数字证书规范第1部分：格式.pdf

《DB11 T 254.1-2004 政务数字证书规范第1部分：格式.pdf》由会员分享，可在线阅读，更多相关《DB11 T 254.1-2004 政务数字证书规范第1部分：格式.pdf（46页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 35.240.30L 70备案号：16483-2005北京市地方标准DBDB11/T 254.1-2004政务数字证书规范第1部分：格式Specification of digital certificate for government affair Part1: Format 2004-12-20 2005-02-01实施发布北京市质量技术监督局发布DB11/T 254.1-2004目 次前言. III 引言. IV 1 范围. 1 2 规范性引用文件. 1 3 术语和定义、缩略语. 1 3.1 术语和定义. 1 3.2 缩略语. 2 4 政务数字证书通用格式. 2 4.1 基本

2、结构. 2 4.2 基本证书域. 3 4.3 签名算法域. 7 4.4 签名值域. 7 4.5 命名规范. 7 4.6 政务数字证书编码示例. 8 5 政务证书认证机构证书规范. 8 5.1 概述. 8 5.2 政务证书认证机构证书基本证书域. 8 5.3 政务证书认证机构证书签名算法域. 10 5.4 政务证书认证机构证书签名值域. 10 5.5 政务证书认证机构证书模板. 10 6 政务个人证书规范. 12 6.1 概述. 12 6.2 政务个人证书基本证书域. 12 6.3 政务个人证书签名算法域. 15 6.4 政务个人证书签名值域. 15 6.5 政务个人证书模板. 15 7 政务机

3、构证书规范. 18 7.1 概述. 18 7.2 政务机构证书基本证书域. 18 7.3 政务机构证书签名算法域. 20 7.4 政务机构证书签名值域. 20 7.5 政务机构证书模板. 21 8 政务设备证书规范. 24 8.1 概述. 24 8.2 政务设备证书基本证书域. 24 8.3 政务设备证书签名算法域. 25 8.4 政务设备证书签名值域. 25 8.5 政务设备证书模板. 25 9 政务代码签名证书规范.27 I DB11/T 254.1-20049.1 概述. 28 9.2 政务代码签名证书基本证书域. 28 9.3 政务代码签名证书签名算法域. 29 9.4 政务代码签名证

4、书签名值域. 29 9.5 政务代码签名证书模板. 29 附录A （规范性附录） 主体命名示例. 32 A.1 政务个人证书. 32 A.2 政务机构证书. 32 A.3 政务设备证书. 33 A.4 政务代码签名证书. 33 附录B （规范性附录） 主体可选替换名称命名示例. 35 B.1 政务个人证书. 35 B.2 政务机构证书. 35 B.3 政务设备证书. 35 B.4 政务代码签名证书. 36 附录C （资料性附录） 政务数字证书编码示例. 37 II DB11/T 254.1-2004前 言DB11/T 254-2004政务数字证书规范分为二个部分：第1部分：格式；第2部分：应用

5、接口。本部分为DB11/T 254-2004的第1部分。本部分从总体上同国家相关标准保持一致 结 定。本部分的附录A、附录B为规范性附录 附录C为资料性附录。本部分 口。本部分主 ： 数字证书认证 、 国 国家 currency1 、 国家保“、 国 、 部、 政fi 、 人fl“。本部分主 人： 、 、”、 、 、国、 、 、 文、 、 述 、 。III DB11/T 254.1-2004引 言术和 术 的 、 、文 、 和 个 的同 的 。 政务 的 和 需 开放的 环境下立一个真 、有效的身份 任体 确认 政务参与的自身份 立彼此间的 任关系以及保证 的保性、完整性和可用性。以PKI为核

6、 的 身份认证体系和 加 术已成为业界广泛认同的一种构造 身份 任体 的 式 成为 保障体系 其 的成部分之一。数字证书是PKI的关键 素之一 是传送和处 体身份鉴别 的 载体。国 标准IETF RFC3280对数字证书的基本格式 行 规定 但是未对数字证书的扩 项 行明确。为 确保数字证书 政务活动 能够通用 现 互联互通和 共享 形成统一的 任体系 满足首都 和 政务的 的 需求 本部分 国 标准IETF RFC 3280的基础上对证书基本域和扩 域的取值和编码 行 规范 规定 政务数字证书的通用格式、政务数字证书的主体命名规范和主体可选替换名称的命名规范 定义 主体银行基本帐号、政务个人

7、唯一标识和政务机构唯一标识三项私有扩 项 规定 政务数字证书的必备项 规定 政务证书认证机构证书、政务个人证书、政务机构证书、政务设备证书和政务代码签名证书的格式和模板。IV DB11/T 254.1-2004政务数字证书规范 第1部分：格式1 范围本部分规定 政务数字证书通用格式 以及政务证书认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务代码签名证书的格式和模板。本部分规定的政务数字证书格式适用于加证书和签名证书。本部分规定的政务数字证书格式同 适用于终端 体证书和证书认证机构证书。本部分适用于数字证书认证机构、数字证书认证系统的开 商、 政务应用部门以及基于数字证书的应用开

8、商设计和处 类政务数字证书。应用于 商务领域的数字证书格式也可以参照本部分。2 规范性引用文件下列文件 的条款通过DB11/T 254的本部分的引用 成为本部分的条款。 是 的引用文件 其 有的 （ 的 ） 适用于本部分 本部分 成的是 可 用 文件的 本。 是 的引用文件 其 本适用于本部分。GB 8561-1988 业 术务代码GB/T 117141997 国机构代码编码规GB 12403-1990 部务名称代码GB/T 16264.1-1996 术 开放系统互 录 第一部分：概、模currency1和务的概述ISO/IEC 9594-8:2001“ITU-T X.509 Informat

9、ion technology - Open Systems Interconnection The Directory: Public-key and attribute certificate frameworks 术 开放系统互 录： 与性证书fiIETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and CertificateRevocation List (CRL) Profile fl X.509 开基础设 证书与证书列 3 术语和定义、缩略语下列术语、定义和缩略语适用于 DB11/T 254 的本部分

10、。3.1 术语和定义3.1.1公开密钥基础设施（PKI） public key infrastructure持 体 的基础设 鉴别、加、完整性和可 认性务。3.1.2公开密钥证书 public key certificate用的 同其 ”证书的证书认证机构的私 行加 其可造。3.1.3证书认证机构（CA） certification authority用 任 和分证书的机构。3.1.4数字证书（或证书） digital certificate1 DB11/T 254.1-2004国家认可的 有性、可 性和 性的第三证书认证机构（CA） 行数字签名的一个可 的数字 文件。数字证书 有 开有的 、

11、 开、签名算法和CA的数字签名。3.1.5终端实体 end entity以签 证书为的 用其私的证书主体 证书 用。3.1.6政务数字证书 government affair digital certificate用标识 政务参与真 身份的数字证书。 参与的同类别分为政务证书认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务代码签名证书。3.1.7政务证书认证机构证书 government affair CA certificate 参与 政务的证书认证机构的数字证书 称政务CA证书。3.1.8政务个人证书 government affair person certificate 参

12、与 政务的个人 体 用唯一标识个人 体真 身份的数字证书。3.1.9政务机构证书 government affair unit certificate 参与 政务的机构 体 用唯一标识机构 体真 身份的数字证书。3.1.10政务设备证书 government affair device certificate 参与 政务的设备 体 用唯一标识设备 体真 身份的数字证书。3.1.11政务代码签名证书 government affair code signing certificate 参与 政务的类 体 用对其 开 的代码 行代码签名的数字证书。3.2 缩略语下列缩略语适用于本部分：ASN 语法

13、示法（Abstract Syntax Notation）BER 基本编码规（Basic Encoding Rules）C 国家（Country）CA 证书认证机构（Certification Authority）CN 通用名（Common Name）CRL 证书列（Certificate Revocation List）DER 可分编码规（Distinguished Encoding Rules）DN 可别名（Distinguished Name）O 机构（Organization）OID 对标识 （Object Identifier）OU 机构 （Organization Unit）PKI

14、基础设 （Public Key Infrastructure）4 政务数字证书通用格式4.1 基本结构政务数字证书的基本结构 三部分成：基本证书域TBSCertificate、签名算法域SignatureAlgorithm、签名值域SignatureValue。基本证书域 基本域和扩 域成 1。2 DB11/T 254.1-2004政务数字证书基本证书域签名算法域签名值域基本域扩 域图1 政务数字证书结构：本 述的是政务数字证书的通用格式 定格式的 述 相应 。4.2 基本证书域4.2.1 基本域基本域 下部分成：本Version列号SerialNumber签名算法SignatureAlgor

15、ithm Issuer有效 Validity主体Subject主体 SubjectPublicKeyInfo本部分规定证书 名称和证书主体名称能用。 证书基本域 唯一标识 IssuerUniqueID和主体唯一标识 SubjectUniqueID。4.2.1.1 版本述 数字证书的 本号。政务数字证书 扩 域 fl此规定政务数字证书应 用 本3（对应的值是整数2）。4.2.1.2 序列号CA分 个证书的一个整数。一个CA 的 证书的 列号应是唯一的 CA应保证 列号是 整数。 列号可以是 整数 CA应确保 用 于20个8 字 的 列号。4.2.1.3 签名算法CA 证书 用的码算法的标识 应与

16、证书 签名算法域 的签名算法相同。可选参数的 完 标识的体算法。4.2.1.4 颁发者标识 证书签名和证书 的 体。必 一个 的可别名。项 定义为X.500的Name类currency1。 可别名的C（Country）性的编码 用PrintableString、Email性的编码 用IA5String 其性的编码一 用UTF8String。4.2.1.5 有效期一个 间 。 个 间 CA 保关于证书 的 。项 示成一个有 个 间值的SEQUENCE类currency1数 ：证书有效 的 间（notBefore）和证书有效 的终 间（notAfter）。2049 之前（2049 ）的 间值应编码

17、为UTCTime类currency1 2050 之 （2050 ）的 间值应编码为GeneralizedTime类currency1。4.2.1.6 主体3 DB11/T 254.1-2004述 与主体 的 定的 体 。项能为。终端 体数字证书主体的 和编码式 4.5。4.2.1.7 主体公钥信息用标识证书主体 和相应的 算法。4.2.2 扩展域政务数字证书可 用扩 域。政务数字证书扩 域可 项扩 项。 项扩 项 扩 类currency1、扩 关键 和扩 项值成 2。扩 域扩 项1扩 项2扩 项3扩 项n扩 类currency1扩 关键 扩 项值图2 扩展域构成政务数字证书可 用IETF RF

18、C 3280 定义的 下证书扩 项：机构标识 AuthorityKeyIdentifier主体标识 SubjectKeyIdentifier用法KeyUsage扩 用ExtendedKeyUsage私有 用 PrivateKeyUsagePeriod证书 略CertificatePolicies略 PolicyMappings主体可选替换名称SubjectAlternativeName 可选替换名称IssuerAlternativeName主体录性SubjectDirectoryAttributes基本 BasicConstraints名称 NameConstraints略 PolicyCon

19、straints证书列分 CRLDistributionPoints 任 略InhibitAnyPolicy证书列FreshestCRL机构 AuthorityInformationAccess主体 SubjectInformationAccess4 DB11/T 254.1-2004上述证书扩 项 本部分 持 下私有扩 项：个人身份证号码IdentifyCardNumber个人 保 号InsuranceNumber业 商 册号ICRegistrationNumber业机构代码OrganizationCode业税号TaxationNumber上述证书扩 项 本部分 定义 下私有扩 项：主体银行

20、基本账号SubjectBasicAccount政务个人唯一标识GovernmentAffairPersonUniqueID政务机构唯一标识GovernmentAffairUnitUniqueID4.2.2.1 机构密钥标 用于标识与CA 证书的签名私相对应的 。CA自签名证书外 有证书应有机构标识 扩 项。政务数字证书的机构标识 应 用keyIdentifier的形式 从CA对应数字证书 的BIT STRINGsubjectPublicKey的160 散列值（ 标签、 和 用的字 数）成。扩 项应为 关键扩 项。4.2.2.2 主体密钥标 证书 的 开的 一步标识。有证书应有主体标识 扩 项。

21、政务数字证书的主体标识 应从数字证书 的BIT STRING subjectPublicKey的160 散列值（ 标签、 和 用的字 数）成。扩 项应为 关键扩 项。4.2.2.3 密钥用法指示证书 的 开用于何种用。有证书应有用法扩 项。扩 项应为 关键扩 项。：政务数字证书持双证书体 CA应分用于机性和其用的。4.2.2.4 扩展密钥用 指示证书 的 开可以用于何种用 可 为对用法扩 项 指明的基本用的补充。扩 用以对标识 OID的形式示。政务数字证书可 用扩 用扩 项。扩 项应为 关键扩 项。4.2.2.5 有密钥 用期指明与证书 的 开相对应的私有的 用 。项只能用于数字签名。政务签名

22、证书宜 用私有 用 扩 项。扩 项应为 关键扩 项。4.2.2.6 证书 略列 的CA 认可的证书 略。CA证书 证书 略扩 项示 通过CA证书的认证路径 允许的证书 略。终端 体证书 证书 略扩 项示 终端 体证书 过 用的证书 略。政务数字证书 可 用证书 略扩 项。扩 项应为 关键扩 项。4.2.2.7 略 列 认证路径 价的证书 略对。5 DB11/T 254.1-2004略 扩 项只用于CA证书。政务CA证书 可 用 略 扩 项。扩 项应为 关键扩 项。4.2.2.8 主体 名 一个 个可选替换名（可 用 种名称形式 的任一个）。主体可选替换名称扩 项 证书主体的附加 。主体可选替换

23、名称扩 项的名称形式 ：邮件 址、DNS名称、IP 址和统一资源标识 （URI）。主体可选替换名称扩 项可以 种名称形式、 种名称形式可以有 个 例。主体可选替换名称扩 项 的 有 必 过CAcurrency1证。政务数字证书 可 用主体可选替换名称扩 项。主体可选替换名称 和编码式 4.5。扩 项应为 关键扩 项。4.2.2.9 颁发者 名 一个 个可选替换名（可 用 种名称形式 的任一个）。 可选替换名称扩 项 证书 的附加 。 可选替换名称扩 项的名称形式 ： 邮件 址、DNS名称、IP 址和统一资源标识 （URI）。 可选替换名称扩 项可以 种名称形式、 种名称形式可以有 个 例。政务数字证书 可 用 可选替换名称扩 项。扩 项应为 关键扩 项。4.2.2.10 主体目 性证书主体 望的任何录性值。政务数字证书 宜 用主体录性扩 项。扩 项应为 关键扩 项。4.2.2.11 基本 用于标识证书的主体是 是一个CA、通过CA可能存 的认证路径的 。政务终端 体证书可 用基本 扩 项