GB T 27928.1-2011 金融业务.证书管理.第1部分：公钥证书.pdf

《GB T 27928.1-2011 金融业务.证书管理.第1部分：公钥证书.pdf》由会员分享，可在线阅读，更多相关《GB T 27928.1-2011 金融业务.证书管理.第1部分：公钥证书.pdf（92页珍藏版）》请在麦多课文档分享上搜索。

1、G雪ICS 35.240.40 All 金融业务和国国家标准主t-、中华人民证书管理GB/T 27928. 1-2011 金融业务证书管理第1部分:公钥证书第二部分 公钥证书Certificate management for financial services一Part 1 : Public key certificates (ISO 15782-1: 2003 , MOD) 2012-05-01实施发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会布一发nu qd-nJ-n-h段eb2-峙的中国标准出版社GB/T 27928.1-2011 目次前言.田引言.N I 范围2

2、 规范性引用文件3 术语和定义.4 符号和缩略语75 公钥基础设施86 认证机构系统. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 7 数据元和关系238 公钥证书和证书撤销列表扩展项31附录A(规范性附录)ASN.1模块附录B(规范性附录)参数和参数继承.附录c(规范性附录)金融机构第3版证书扩展项框架55附录D(规范性附录)对象标识符和属性64附录E(规范性附录)公钥及相关参数的编码附录F(规范性附录)认证机构审计日志的内容和使用71附录G(资料性附录)可选的信任模型.附录H(资料性附录)接受证书请求

3、数据的建议要求79附录1(资料性附录)灾难恢复的认证机构技术. . . . . . . . . . . 81 附录(资料性附录)证书和证书撤销列表的分发m参考文献. 84 I -GB/T 27928.1-20门目。昌GB/T 27928在总标题银行业务证书管理下，包括以下2个部分:一一第1部分:公钥证书;一一第2部分:证书扩展项。本部分为GB/T27928的第1部分。本部分修改采用ISO15782-1 :2003ublicKeylnfll) subjectPublicKeylnfo域中包含将被认证实体的公钥。SubjectPublicKeylnfo : = SEQUENCE ; ,algori

4、thm 且19orithmIdentifier !iSupportedAlgorithms 川，subjectPublicKey BIT STRING /, SupportedAlg叫hr卢且GORITHM-ID: = , , . GB/T 27928呵!今使用算法的对象标识符和ALGORIT脚盯附录队d) 有效期(requestedP.eriod) f 每一个证书应有一个有效期。该有效期应由notBefore和notAfter日期(时间)确定，使用以下定义的Time结构。如果时间被表示成UTCTime，世纪眩照以下方式推出。在Time的值进行比较操作之前，如作为搜索匹配规则的一部分，如果选择

5、Time与UTCTime类型的语法一样，两位年份宇段的值应如下所示，解释成四位年份字段的值。a) 如果两位数字值是包含在0049之间，值应增加2000; b) 如果两位数字值是包含在5099之间，值应增加1900。见GB/T16264.80 注:GeneralizedTime的使用能防止不清楚选择UTCTime或GeneralizedTime的可能性，导致实施的相互交叉。其由规定该字段的人员或机构负责。在该字段中，可使用GeneralizedTime时，将使用本目录规范所定义的证书，如，描述组。在任何情况下，UTCTime均不应用来表示超出2049的日期。Validity宇段可提供在证书请求中

6、，且可被CA在基于CertReqData所创建的证书中进行修改。见8.2.5给出的限制。有效期定义如下:卢Validity : = SEQUENCE notBeforeTime notAfter Time Time : = CHOICE utcTime UTCTime , generalizedTime GeneralizedTime e) 时间(timestamp) 可包含timestamp宇段，以允许CA探测到旧认证请求的重放。f) 扩展项(extensions) GB/T 27928.1-2011 extensions字段使得可增加结构的新宇段，而无须修改ASN.1的定义。个extens

7、ions宇段由一个惟一标识符(个功象IDl、扩展项的数据类型(某些ASN.1类型j和一个关键标志组成。如果标志是FALSE，实现时宜忽略未识别的扩展项。如果关键标志是TRUE，未识别的扩展项应导致结构视为无效。示例:在证fS中，未识别的关键扩展项将号致不能确认该证书的数字传名a7.5 公钥证书CA提供以F所示的证恒的宁段的定义CA可通过其他方式提供阵.f)JU信息的可川性。证书应包含如下内奋:Cert土ficate: = SIGNED i EncodedC色rt.ificate: EncodedCertificate ;: = TYPE-工DENrIFIER.&Type( Certificat

8、eInfo ) GertificateInfo : = SEQUEN但、version OJ Version DEFAULT vl. serialNumber CertificateSerialNumber. sigMture且19orithmIderttifier SignatureAlgorithms门，issuer Name , vahd 均、二己Vaahd叫d让, subject二NamesubjectPubliceyInfo SubJectPublicKeyInfo issuerUniqueID lJ implicit UniqueIde时ifierOPTIONAL , subjec

9、tUniqueID 2J IMPLICIT Urliqueld臼tifierOPTIONAL , extensions 3J Extensions CertExtensions OPTIONAL a) 版本(version) Version用于区分证书的不同版本。Version : = INTEGER vl(O) ,v2 (1) ,v3(2) v1是X.509 (1988)定义的格式。v2是X.509(1993)定义的格式，其包含subjectUniquelD和issuerUniquelD宇段。v3是GB/T16264.8定义的格式。b) 序列号(serialN um ber ) 在CA签发的

10、所有证书之中，serialNumber宇段惟一确定证书。CertificateSerialN um ber应从不重复。基于某些目的，如应用证书撤销列表，签发方的名称和序列号的组合惟一标识一个证书。CertificateSerialNumber: = INTEGER 27 GB/T 27928.1-2011 c) 签名算法Csignature) signature宇段标识了用于签名证书的算法。CA创建证书时将其加入。d) 签发方名称Cissuer) issuer宇段包含CA的惟一识别名称。CA创建证书时将其加入。e) 有效性Cvalidity) validity宇段表明公私密钥对的有效期。每个证

11、书应具有一个有效期。有效期应由notBefore和notAfter日期确定。证书的有效期可与CertReqData中实体请求的有效期不同。证书里的notAfter时间应不迟于CertReqData里的notAfter时间。证书中的notBefore时间应不早于CertReqData里的notBefore时间。注意:CA的证书表明该CA公钥的有效期。依照既定的安全策略，为保证有效期宇段的完整性，应采取适当的机制和实施措施，以便使UTC时间既正确又安全。f) 名称Csubject) 该字段取自希望认证的实体所提交的CertReqData0 g) 主体公钥CsubjectPublicKeylnfo)

12、 该宇段取自希望认证的实体所提交的CertReqData。h) 签发方惟一IDCissuerUniquelD) 该可选字段用于辨别有相同名称的多个CA。惟一ID语法和语义如7.5所述。如果该CA的公钥被认证，那么这是来自CA证书的主体惟-ID。不应使用该宇段。i) 主体惟-IDCsubjectUniqueID) 该可选字段用于辨别有相同名称的多个实体。该字段不应使用。j) 扩展项见7.407.6 挂起指令代码证书挂起通告可包括一个可选的指令代码，传达附加信息给信任方。GB/T27928的本部分定义了下列代码:a) none 没有指令。b) callIssuer请与CA通讯。c) reject

13、被拒绝的证书可适合下面的情形之一: 预定的非紧急的挂起; 信任方作出不合适的物理动作的情况，例如，在主体是一个设备或过程的情况下。d) pickupToken 取回用户令牌，假定信任方已取得暂时的令牌所有权且物理的令牌事实上被签发CA或其他实体所有。以后可定义附加码。见D.4挂起结构代码的对象标识符COID)。7.7 认证更新数据CCertRenData) CertRenData包括实体为更新证书，与CA或RA应通讯的信息。CertRenDataSubmission由实体签名，然后提交给CA或RA。CertRenDataSubmission : = SIGNED EncodedCertRenD

14、ata EncodedCertRenData : = TYPE-IDENTIFIER. &TypeC CertRenData ) CertRenData : = SEQUENCE subject Name , 28 -、-G/T 27928.1-2011 serialNumber CertificateSerialNumber. validity Validity 字段定义如下:a) 主体名CsubjecOi亥宇段是希望更新证书的实体名称(见7.4b)里的定义)。b) 序列号CserialN umber) serialN umber在同一CA签发的所有证书中惟一地标识证书(见7.5b)里的定义

15、)0 c) 有效性Cvalidity) validity宇段指示公私密钥对有效的期限(见7.4d)里的定义)。7.8 CRL数据结构以下提供结构的信息。CRL定义见GB/T16264.8和ISO15782-2:2001。CertificateList : = CRL CRL : = SIGNED EncodedCertificateList EncodedCertificateList: = TYPE-IDENTIFIER.&TypeCCertificateListlnfo) CertificateListInfo : = SEQUENCE version Version OPTIONAL，一

16、如存在，一定是v2signature Algorithm Identifier SignatureAlgorithms川，issuer Name , thisUpdate Time , nextUpdate Time OPTIONAL , revokedCertificates CRLEntryList OPTIONAL , crlExtensions OJ Extensions CRLExtensions OPTIONAL CRLEntryList : = SEQUENCE OF CRLEntry CRLEntry : = SEQUENCE userCertificate Certifica

17、teSerialNumber, revocation Date Time , crlEntryExtensions Extensions CRLE时ryExtensionsOPTIONAL ( =r e ol Nd nu1 TLr32om趴阻止EEE rIC E句IKn svdr nteL Os-bR lrm户USoua 口hNteLU14 tuRe xacd ub TIU DU 户issuerAltName issuing Distribution Point , 一希望GB/T27928本部分的以后的修正版里有其他的扩展对象一CRLEntryExtensions EXTENSION : =

18、 certificateIssuer holdlnstructionCode invalidityDate 29 GB/T 27928.1一2011reasonCode , 希望在GB/T27928本部分的以后的修正版里有其他的扩展对象一cRLNumber EXTENSION : = SYNTAX CRLNumber IDENTIFIED BY id-ce-cRLNumber CRLNumber : = INTEGER( o. . MAX) reasonCode EXTENSION : = SYNTAX CRLReason IDENTIFIED BY id-ce局teasonCodeCRLRe

19、ason : =剧tjMERATEDunspecifie. / /() , keyComprmise (1) , cACompromise (2) aff iliationChangecl (3) . superseded (4) , cessationOfOperation (5) certificateHold (6). removeFromCRL (8) holdInstructionCode EXTENSION : := SYNTAX HoldInstruction IDENTIFIED BY id-ce-instructionCode 一该扩展项总是非关键的一Holdlnstru山c

20、ti)n: =、OBJECTIDENTIFIER -一-附录C定义了L以1下标准指令的OIDs趴:non肘E盼e、cal旧IIssu陀阳町e臼町r，r呛啡eje创ct和pickup:roke始en。in飞validityDate EXTENS lON : = SYNTAX GeneralizedTime IDENTIFIED BY id-ce-invalidityDate version宇段用于区分CRL格式的不同版本。thisUpdate是CA停止接受该CRL的条目的时间。nextUpdate是CA发表下一个CRL的时间。CRL条目可包括reasonCode。如果该扩展项没有出现，那么，宜如

21、同具有unspecified的reasonCode一样进行处理。发表一个CRL，CRL数量增加1。这允许信任方察觉在最后一次接受的CRL的nextUpdate宇段中指明的下一个预定更新之前，什么时候发表CRL。CRL可有多种发布机制，包括递交给每个用户一个报文/交易条文、用户请求既定证书的当前状态和向CA查询其当前CertificateRevocationList。在任何情况下，在接近当前CertificateRevocationList的nextUpdate时间或之前，CA应发布一个新的CertificateRevoca tionLis t。6.3.8的规定允许CA通知其他实体个别的撤销，可

22、通过RevocationNotice实现:30 GB/T 27928.1-2011 RevocationNotice : = SIGNED EncodedRevNoticelnfo EncodedRevNoticelnfo : = TYPE-IDENTIFIER.&TypeCRevocationNoticelnfo) RevocationNoticelnfo : = SEQUENCE signature AlgorithmldentifierSignatureAlgorithms , issuer Name , crlEntry CRLEntry 8 公钥证书和证书撤销列表扩展项8.1 介绍

23、二/三GB/T 16264.8.但其仰证书的语法和语义。版本3CV3)的公钥卅提识了CA添加关于实体公钥、签发方公制和.发方CRL的附加信息的机制。其规定了标准的证书扩展项。由于GB/T 16264.8帚望院用于一个广泛多变的用户群体，因此，其提供了许多可选特性。本条款描述了GB/T 16264. B中的证书和C阳，扩展项杠架。i装框架!规定(金融JIfiJH面执行公钥证书的要求，也就是创建和处理公钥证书。该11五架也描述rCRL的类Wl百求3虽然GH/T16264. 8中定义的扩展现并非都适用于金融应用.但卒处仍包括所有的扩展项来确保完整性。至于ASN.1实施这岭要求方面，附录C提供了表格式

24、的陈述。注:ISO 15782亿提取自G丛TlG2.G4. 8 , certiji山和CRL!:_川ISlOns改编以满Ji:金融应用要求。8.2 证书扩展明8.2. 1 认证机构密钥标识符本非关键扩展明标识了f1Jf习的1EilEH上数宁结轩的公告L它能清楚地区分friJ-CA使用的密钥。该扩展项可拥有一个报式密钥标识符或一个显式证书标识符。当CA使用多个密钥时(例如，当CA密钥进行再次加密日们，该节展项是有用的。在试图查找一个特定证书时，使用该扩展项可提高效率。叫能在所刊cA?实体证书中产生该扩展项o增加该扩展项目i丁27刊8本部分。产生列指定每个要素的!吁IlIj的支持等级u支持等级包含

25、支持分充.)生汁类是根据处理证书信任方要求的。产生列分为两种证j5类刑:1在名和密匙管理。答名列又分(j飞丰11最终实体证书(与KM证书的要求没有区别)。在每种证15形式中公布的信息均确定到每一个相天罗IJ1 c备注列指出该项所涉及的表格底部的附加信息。C. 2. 2 支持分类在C2.3及C巳4中列出的每个协议元均指定成拥有强制或可选的支持要求。在协议元嵌套(即要素中包含子要素)的地方，仅当要求支持直接包含的父要素时，才要求支持相应的嵌套要素(即如果顶级 要素指派成可选的(0川其子要举仍可因此指派成强制的(m)，如果执行顶级要素，指派成强制的子要素也应执行)。C. 2. 3 静态性能以下分类用

26、于详细说明静态性能。f) 强制支持(m)CA应能生成协议元。信任方应能接收协议元，并能适当地运行所有相关程序(即能处理要素的语法及语意)。构成协议元的信息是基于GB/T27928本部分的实施细节。g) 可选择性(0)CA不要求支持生成协议元。如果要求支持(即如果执行该选择性要素)，则该要素应指定为强制支持，可能存在的子要素，也应指定为支持(即可选的要素可拥有指示成强制的子要素;这表明如果执行可选要素，则子元素也应指定为执行)。声明处理证书的执行机制可忽略协议元并继续处理证书，除非其标志成关键的。见建议书X.509处理关键扩展项的规则。h)元应用(-)55 GB/T 27928.1-20门要素不

27、应用在其分类被使用的特定内容中。C. 2. 4 动态行为下面的分类用于指定动态一致性(即行为)。i) 禁止(x) CA应确保要素从未生成。当遇到禁止的要素时，处理证书的过程应产生及返回适当的错误。j) 关键性(k) 某要素，如果存在于证书中且无法被信任方所认知，应导致系统认为该证书元效。某要素，如果出现在CRL条目中且无法被信任方认知，应指示用户:CRL可不如用户希望的那样完整。k)要求(r)证书一旦生成，就应生成本协议元的信息。表C.1基本证书产生项目协议元处理签名备注表KM CA 最终实体Certificate 盯1口Hmr mr 2 Version 日1mr 口H盯lr3 SerialN

28、umber 口1日H口H口H4 Signature 盯1mr mr 口HC2/l 5 Issuer 口1mr 日H口H6 Validity 盯lmr mr 口H7 notBefore 自1盯H日H日H8 notAfter 盯1口H口H口H9 Subject m 口H口lr口lr10 SubjectPubHcKeylnfo 日1口lfmr 口lr11 algorithm 自1口lr口lrmr C2/1 12 subjectPublicKey 盯1口H口H口lr13 Iss uerU niqueldentifier X x X X 14 Subj ect U niq ueldentifier X

29、X X X 15 Extension 口1mr mr 日HC3/1 表C.2算法标识符产生项目协议元处理签名备注表KM CA 最终实体l Algorithm Identifier 2 algorithm 口1口lr盯H口H3 parameters 口1。1 注:见附录E关于公钥的编码及相关参数。56 GB/T 27928.1-2011 表C.3扩展项产生项目协议元处理签名备注表KM CA 最终实体1 Extensions 口1mr 口1rmr 2 Extension 日1口1r口1rmr 3 extnID 盯1口1r盯1r日1r4 critical 口lmr mr 口1r5 extnValue

30、 m mr 盯1r1r 表C.4标准扩展项产生项目协议元处理签名备注表KM CA 最终实体AuthorityKeyldentifier 。m 盯1l C5/1 2 SubjectKeyldentifier 。m 口1盯1l C5/15 3 KeyUsage 口1kmr kmr kmr C5/16 4 ExtendedKey U sage 。C5/26 5 PrivateKeyUsagePeriod 。C5/27 6 Ccrtificate Policies 口1(k)mr (k)mr (k)mr C5/30 7 Policy4日ppings日1m C5/36 8 SubjectAlt:Jame

31、 口1(k)m (k)m (k)m C5/39 9 IssuerAltName m (k)m (k)m (k)m C5/39 10 Subj ectDirectory A ttri bu tes 。11 BasicConstraints 口1kmr kmr 。C5/51 12 :JameConstraints 日1km 2 C5/54 13 PoiicyConstraints 盯1km C5/71 14 CRLDistributionPoints 。C5/74 注1:尽管不是强制的，仍推荐本扩展项用于证书处理。注2:鼓励增加本扩展项到尽可能完整的范围。57 GB/T 27928.1-2011

32、表C.5标准扩展项语法产生项目协议元处理签名备注表| 最终实体KM CA 1 AuthorityKeyldentifier 2 Keyldentifier 日1口1口1口17 3 AuthorityCertIssuer 。4 GeneraIName 5 otherName 。、，0/ 6 rfc822Name 。飞、7 dNSName 。 、8 x4川仙ss。o 、9 direc10ryNarrw (1 当(1 。10 ediFarty N a me () 1 () () 卜一11 uniformRQsourceldentificr () 。u 。12 IPAddre,;s 0 。13 re同

33、istendID。口寸14 Authority(、ertSerialNumltr。() 一15 Subj，、ctKeyldentifierrh 口1口1口l16 Keyu age 17 digi tafSigna (lre m 1ll m 卜一一一-18 nonRepdia tiOll、。19 keyEnciptmrm1t: 日1/口/ 20 dataEncipher叶nt、;二口1m二21 key Agreement 、口1t)r 22 keyCertSign 日1m 23 cRLSign 盯1m 24 encipherOnly 。25 decipherOnly 。26 KeyPurpose

34、ld m 口1口1口127 Priva teKey U sagePeriod 28 NotBefore 口1口1口1口15 29 NotAfter 日1口1m 盯I5 30 Policy Information 31 Policyldentifier 口1口lr口lr口ul 32 PolicyQualifiers 。58 ,.-GB/T 27928.1一2011表C.5(续)产生项目协议元处理签名备注表KM CA 最终实体33 PolicyQualifierInfo 34 PolicyQualifierld m 日1自1日16 35 Qualifier 。35 PolicyMappingsSy

35、ntax 37 IssuerDomainPolicy ?丁1日H38 SubjectDomainr5licy 日1口H气、 、 / 39 GeneralNam,l. 、 、/ 40 otherN;me 。41 rfc822:-1am飞n 口o 。42 dlSNaml! 。U ) 。43 xlOOAddress n 。o 口44 directMyName 。口45 l:diParty0lame 。盯I口1日145 Iame八sSlgner。口1盯1盯147 jlartyNime 。口111l 口14 48 uniform武esourceldent i fi,r 口1口可1 m 49 iPAddr

36、ess 。II 。50 registnedID m 日1口1口151 BasicConstr只intsSy，仆t严J 52 cA 日1mr 。d(false) 53 pathLenConstraint 盯l口1J 54 NameConstraintsSyntax 55 PermittedSubtrees m I江E55 GeneralSubtree 57 Base m 口lr3 58 GeneralName 59 otherName 。50 rfc822Name 口1口151 dNSName 。52 x400Address 。53 directory:-lame 口1盯154 ediParty

37、Name 。59 -GB/T 27928.1-20门表C.5 (续)产生项目协议元处理签名备注表KM CA 最终实体65 uniformResourceldent fier 日1口166 iPAddress 。67 registeredID 。68 Minimum 。d(0) ,2 69 Maximum 。70 ExdudedSubtrees m 日1C5/55 71 PolicyConstraintsSyntax 72 RequireExplicitPolicy 盯1m 口173 InhibitPolicyMapping 口1日1m 74 CRLDistPointsSyntax 75 Dis

38、tributionPoint 。76 DistributionPointName 。77 Full;!ame 。78 GeneralName 79 otherName 。80 rfc822Name 。81 d;!SName 。82 x400Address 。83 directoryName 。84 ediParty;!ame 。85 uniformResourcelden tifier 。86 iPAd dress 。87 nameRela tive ToCRLIssuer 。88 Reasons 89 ReasonFlags 90 unused 。91 keyCom promise 日1盯l

39、口1口192 caCompromise 盯1m m 口193 affilia tionChanged 盯1日1口1盯194 superseded 日1口1日Im 95 cessationOfOperation 口1口1m 口196 certificateHold 自1日1盯1口160 、FG/T 27928.1-2011 表C.5(续)产生项目协议元处理签名备注表KM CA 最终实体97 CRLIssuer 口1口1r口1rmr 98 General:-.J ame 99 otherName 。100 rfc822Name 。101 dNSName 。102 x400Address 。103

40、directoryName 口1盯1日1口1104 ediPartyName 。105 uniformResourceldentifier 。106 IPAddress 。107 registered ID 。如果requireExplicitPolicy字段出现在policyConstraints扩展项里，该字段应至少包含一个应用于证书的策略。证书中包扩展项含时，mznzrnum属性应一直存在。尽管nameConstraints扩展项不是总要求出现在证书中，但存在nameConstraints时，基本属性应一直存在。证书中包含ediPartyname时，partyName应一直存在。本扩展项

41、中应包括notBefore和notAfter要素中的一个或两个。证书中包含PolicyQualifierld时，应存在PolicyQualifierld。存在AuthorityKeyldentifier时，则keyldentifier也应存在。表C.6CRL 项目协议元处理产生备注表1 CertificateList 2 verSlOn 日1mr 3 Signature 口1口lfC2/2 4 Issuer 口1盯lf5 ThisUpdate 日1口lf6 nextUpdate 盯1mr 7 RevokedCertificates m mr 8 userCertificate 盯1口lf9 r

42、evocationDate 口1盯lr10 crlEntryExtensions m 盯HC9 11 CrlExtensions 口1盯lrC8 61 -GB/T 27928.1-2011 表C.7CRL扩展项项目协议元处理产生备注表AuthorityKeyldentifier 。口1C5/1 2 IssuerAltName 。盯1C5/39 3 CRLNumber 。口lrC8/1 4 IssuingDistributionPoint 。C8/2 5 DeltaCRUndicator 。C8/8 表C.8CRL扩展项语法/ / 项目协议兀处理产生 备j变表 N l CRLNumber 口1口

43、lr2 lss uingi)is tPofn t Synt fI X m m 3 DistributionPoint 。() C5 /75 4 OnlyContains U serl飞主rl:-;m m d ( false) 5 。nlyContainsC:飞(飞rt民口1m d( false) 6 OnlySomeR(1t,-ons 。C5/89 7 InrlirectCRL 口1lr I (false) 8 Basel RLN umber 盯lm 1 该要素的i且应与基本证书的CIL:llml川-一一一一一表C.9CRL条目扩展项/ 项目协议元处理产生备注表l ReasonCode 。日1

44、CI0/l 2 HoldlnstructionCode 。3 InvalidityDate 。口14 CertificateIssuer 盯1km 表C.10CRL条目扩展项语法项目协议元处理产生备注表1 CRLReason 2 unspecified 日1口13 keyCompromise 口1盯162 、GB/T 27928.1-20门表C.10 (续)项目协议元处理产生备注表4 cACompromise 口1口15 affilia tionChanged 盯1口16 superseded 盯1m 7 cessationOfOperation m 口18 certifica te Hold

45、 日1口19 removeFromCRL 。63 -GB/T 27928.1-2011 D.1 概述附录D(规范性附录)对象标识符和属性本附录列出了GB/T27928本部分使用的所有对象标识符。对象标识符用于识别一些信息对象，如算法，并给出适当的规范。这些规范使用X.500的类定义和语法，且使用以下定义。ID : = OBJECT IDENTIFIER secsig ID : = iso(1) identif ied-organization(3) oiw(14) secsig(3) x9cm ID : = = iso (1) member-body (2) us(840) x9-30-3(

46、10040) module ID: = x9cm 1 heldinstruction ID : = x9cm 2 attribute ID : = x9cm 3 D.2 算法GB/T 27928本部分要求的对象标识符(OIDs)由TC68定义，并应取自TC68网站发表的OID。D.3 模块本条款列出了适合于附录A中ASN.l模块的对象标识符。id-x9f1-cert-mgmt : = module 1 D.4 证书挂起指令id-holdinstruction-none ID : = holdinstruction 1 id-holdinstruction-callIssuer ID : = holdinstruction 2 id-holdinstruction-reject ID : = holdinstruction 3 id-holdinstruction-pickupToken ID : = holdinstruction 4 64 、.-GB/T 27928.1-20门附录E(规范性附录)公钥及相关参数的编码E. 1 DSA公钥DSA公钥应编码成INTEGER。编码应当作Subj e