DB31T 777-2014 法人網(wǎng)上身份一證通 用數(shù)字證書格式規(guī)范

L70/84法人網(wǎng)上身份一證通用數(shù)字證書格式規(guī)范I 引言 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 24術(shù)語(yǔ)和定義 25法人一證通數(shù)字證書格式 35.1概述 5.2法人一證通數(shù)字證書基本格式 3 3 5基本域 5 5擴(kuò)展域 75.2.3簽名算法域( 25.2.4簽名值域( 25.3法人一證通數(shù)字證書格式 25.3.1概述 25.3.2法人一證通數(shù)字證書基本證書域 2法人一證通數(shù)字證書基本域 2法人一證通數(shù)字證書擴(kuò)展域 25.3.3法人一證通數(shù)字證書模板定義 法人一證通企業(yè)單位機(jī)構(gòu)證書模板 法人一證通事業(yè)單位機(jī)構(gòu)證書模板 法人一證通社會(huì)團(tuán)體機(jī)構(gòu)證書模板 一證通機(jī)關(guān)法人身份證書模板 5.4其他 6密碼算法技術(shù)的支持 本規(guī)范定義了上海市各級(jí)政務(wù)部門在開展社會(huì)管理、公共服務(wù)等活動(dòng)中所使用的法人網(wǎng)上身份統(tǒng)一認(rèn)證(以下簡(jiǎn)稱“法人一證通”)數(shù)字證書格式和模板。電子政務(wù)內(nèi)網(wǎng)有關(guān)要求不在本規(guī)范中本規(guī)范針對(duì)上海市電子政務(wù)業(yè)務(wù)活動(dòng)的特定需求，對(duì)法人數(shù)字證書的格式進(jìn)行規(guī)范，保障電子政務(wù)業(yè)務(wù)活動(dòng)中，本市認(rèn)證機(jī)構(gòu)簽發(fā)的法人數(shù)字證書格式的統(tǒng)一性和互認(rèn)性，實(shí)現(xiàn)數(shù)字證書在各個(gè)政府委辦局業(yè)務(wù)系統(tǒng)中的通用性。本部分由上海市經(jīng)濟(jì)和信息化委員會(huì)提出，由上海市信息標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。本部分主要起草單位：上海市經(jīng)濟(jì)和信息化委員會(huì)，上海市財(cái)政局，上海市人力資源和社會(huì)保障局，上海市城鄉(xiāng)建設(shè)和交通委員會(huì)，上海市地稅局，上海市工商行政管理局，上海市質(zhì)量技術(shù)監(jiān)督局，上海市密碼管理局，上海市機(jī)構(gòu)編制委員會(huì)辦公室，上海市社會(huì)團(tuán)體管理局，上海市公積金管理中心，上海市數(shù)字證書認(rèn)證中心有限公司。本部分主要起草人：劉楷、杜守國(guó)、黃志榮、俞桂平、楊東升、裘薇、馬富強(qiáng)、朱晨輝、朱建平、田民、康志剛、金赟、劉迎風(fēng)、沈宏、施敏、李國(guó)、崔久強(qiáng)、陳犖祺、于國(guó)斌、鄧敏艷。引言信息與網(wǎng)絡(luò)技術(shù)在極大促進(jìn)社會(huì)經(jīng)濟(jì)、科技、文化、教育和管理等各個(gè)方面發(fā)展的同時(shí)，也帶來(lái)了巨大的信息安全風(fēng)險(xiǎn)。隨著電子政務(wù)業(yè)務(wù)的快速發(fā)展和應(yīng)用的日益增多，迫切需要在電子政務(wù)網(wǎng)絡(luò)環(huán)境中建立真實(shí)、有效的身份信任體制，確認(rèn)電子政務(wù)業(yè)務(wù)參與方的有效身份，建立彼此間的信任關(guān)系以及保證信息的真實(shí)性、完整性、機(jī)密性和關(guān)鍵操作的不可否認(rèn)性。本規(guī)范根據(jù)《電子簽名法》、《電子認(rèn)證服務(wù)管理辦法》、《電子政務(wù)電子認(rèn)證服務(wù)管理辦法》的要求，以國(guó)家密碼管理局電子政務(wù)數(shù)字證書格式規(guī)范為基礎(chǔ)，遵從國(guó)家數(shù)字證書格式標(biāo)準(zhǔn)、人力資源和社會(huì)保障電子認(rèn)證數(shù)字證書格式規(guī)范、衛(wèi)生系統(tǒng)數(shù)字證書格式規(guī)范等國(guó)家和相關(guān)部委相關(guān)標(biāo)準(zhǔn)的要求，根據(jù)上海市法人網(wǎng)上身份一證通用(以下簡(jiǎn)稱一證通)的具體要求，定義了本格式規(guī)范，以保證法人單位數(shù)字證書可以在全市各委辦局網(wǎng)上業(yè)務(wù)系統(tǒng)內(nèi)實(shí)現(xiàn)通用。在本規(guī)范實(shí)施過(guò)程中，應(yīng)遵守國(guó)家有關(guān)法律、法規(guī)的規(guī)定。1法人網(wǎng)上身份一證通用數(shù)字證書格式規(guī)范本規(guī)范定義了上海市法人一證通數(shù)字證書的基本結(jié)構(gòu)，并對(duì)數(shù)字證書中的各數(shù)據(jù)項(xiàng)內(nèi)容進(jìn)行了描述，規(guī)范了證書擴(kuò)展域，并對(duì)每個(gè)擴(kuò)展域的結(jié)構(gòu)進(jìn)行了定義，在國(guó)家主管部門發(fā)布的相關(guān)標(biāo)準(zhǔn)基礎(chǔ)上，增加了滿足上海市法人一證通應(yīng)用需求的部分?jǐn)U展項(xiàng)。本規(guī)范以《電子政務(wù)數(shù)字證書格式規(guī)范》定義的機(jī)構(gòu)證書格式為基礎(chǔ)，定義了上海市各政府部門面向法人單位開展管理、服務(wù)、許可等活動(dòng)中，不同類型法人單位數(shù)字證書的相應(yīng)格式和模板。本標(biāo)準(zhǔn)適用于本市數(shù)字證書管理部門、電子認(rèn)證服務(wù)機(jī)構(gòu)、數(shù)字證書應(yīng)用部門、數(shù)字證書認(rèn)證系統(tǒng)開發(fā)商、數(shù)字證書安全應(yīng)用開發(fā)商、數(shù)字證書用戶等相關(guān)管理、服務(wù)、開發(fā)和應(yīng)用單位。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本標(biāo)準(zhǔn)。國(guó)家密碼管理局電子政務(wù)數(shù)字證書格式規(guī)范GM/T0015-2012基于SM2密碼算法的數(shù)字證書格式規(guī)范GB/T20518-2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式GB/T16262.1-2006抽象語(yǔ)法記法一(ASN.1)第1部分：基本記法規(guī)范(ISO/IEC8824-1:2002,IDT)GB/T16262.2-2006抽象語(yǔ)法記法一(ASN.1)第2部分：客體信息規(guī)范(ISO/IEC8824-2:2002,IDT)GB/T16262.3-2006抽象語(yǔ)法記法—(ASN.1)第3部分：約束規(guī)范(ISO/IEC8824-3:2002,IDT)GB/T16262.4-2006抽象語(yǔ)法記法—(ASN.1)第4部分：約束規(guī)范(ISO/IEC8824-4:2002,IDT)GB/T16264.8-2005信息技術(shù)開放系統(tǒng)互聯(lián)目錄第8部分：公鑰和屬性證書框架(ISO/IEC9594-8:2001,IDT)IEO/IEC9594-2:2001信息技術(shù)開放系統(tǒng)互聯(lián)目錄第2部分：模型GB/T17969.1-2000信息技術(shù)開放系統(tǒng)互聯(lián)OSI登記機(jī)構(gòu)的操作規(guī)程第1部分：一般規(guī)程(eqvISO/IEC983-1:1993)GB/T11714-1997全國(guó)組織機(jī)構(gòu)代碼編碼規(guī)則GB/T16284.4-1996信息技術(shù)文本通信面向信報(bào)的文本交換系統(tǒng)第4部分：抽象服務(wù)定義和規(guī)程(IDTISO/IET10021-4:1990)GB12402-1990干部職務(wù)名稱代碼2GB8561-1998專業(yè)技術(shù)職務(wù)代碼LD/T30.3-2009人力資源和社會(huì)保障電子認(rèn)證體系第3部分：證書及證書撤消列表格式規(guī)范衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)體系系列規(guī)范-衛(wèi)生系統(tǒng)數(shù)字證書格式規(guī)范國(guó)家密碼管理局?jǐn)?shù)字證書認(rèn)證系統(tǒng)互聯(lián)互通測(cè)試技術(shù)指南3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。公鑰基礎(chǔ)設(shè)施publickeyinfrastructure;PKI支持公鑰管理體制的基礎(chǔ)設(shè)施，提供鑒別、加密、完整性和不可否認(rèn)性服務(wù)。由國(guó)家認(rèn)可的，具有權(quán)威性、可信性和公正性的第三方電子認(rèn)證服務(wù)機(jī)構(gòu)進(jìn)行數(shù)字簽名的可信數(shù)字化文件，包含公開密鑰擁有者信息、公開密鑰、簽發(fā)者信息、有效期以及一些擴(kuò)展信息。證書撤銷列表certificaterevocationlist;CRL一個(gè)已標(biāo)識(shí)的列表，它指定了一套證書發(fā)布者認(rèn)為無(wú)效的證書。除了普通的CRL外，還定義了一些特殊的CRL類型用于覆蓋特殊領(lǐng)域的CRL。證書序列號(hào)certificateserialnumber為每個(gè)證書分配的唯一整數(shù)值，在CA頒發(fā)的證書范圍內(nèi)，此整數(shù)值與該CA所頒發(fā)的證書相關(guān)聯(lián)并一一對(duì)應(yīng)。電子認(rèn)證服務(wù)機(jī)構(gòu)certificationauthority;CA負(fù)責(zé)創(chuàng)建和分配證書，受用戶信任的權(quán)威機(jī)構(gòu)。用戶可以選擇該機(jī)構(gòu)為其創(chuàng)建密鑰。證書撤銷列表分布點(diǎn)CRLdistributionpoint一個(gè)CRL目錄項(xiàng)或其他CRL分發(fā)源，由CRL分布點(diǎn)分發(fā)的CRL可以包括僅對(duì)某CA所發(fā)證書全集某個(gè)子集的撤銷條目，或者可以包括有多個(gè)CA的撤銷條目。申請(qǐng)并持有數(shù)字證書的各類法人單位。法人網(wǎng)上身份以數(shù)字證書標(biāo)識(shí)的、各類法人單位在網(wǎng)絡(luò)空間中的真實(shí)身份。法人一證通法人網(wǎng)上身份統(tǒng)一認(rèn)證的簡(jiǎn)稱。為實(shí)現(xiàn)法人數(shù)字證書在政府部門網(wǎng)上業(yè)務(wù)系統(tǒng)中一證通用，上海市于2012年開始推進(jìn)法人網(wǎng)上身份統(tǒng)一認(rèn)證工作，依托市法人信息共享與應(yīng)用系統(tǒng)建設(shè)成果，建設(shè)面向在本市依法設(shè)立的各類法人的網(wǎng)上身份統(tǒng)一認(rèn)證系統(tǒng)，完善法人證書服務(wù)渠道和收費(fèi)模式，充分利用、整合現(xiàn)有法人數(shù)字證書，實(shí)現(xiàn)法人數(shù)字證書跨部門“一證通用”,為在本市依法設(shè)立的各類法人在政府部門在線辦理各類事項(xiàng)提供統(tǒng)一認(rèn)證服務(wù)。4術(shù)語(yǔ)和定義3DB/T777-2014下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)。ASN抽象語(yǔ)法表示法(AbstractCA電子認(rèn)證服務(wù)機(jī)構(gòu)(CertificateAuthority)CN通用名(CommonName)CRL證書撤銷列表(CertificateDIT目錄信息樹(DirectoryInformationTree)PKI公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)5法人一證通數(shù)字證書格式5.1概述數(shù)字證書由認(rèn)證機(jī)構(gòu)通過(guò)對(duì)信息集合的簽名來(lái)生成，信息集合包括可辨別的用戶名、公鑰以及一個(gè)可選的包含用戶附加信息的唯一性標(biāo)識(shí)符(UuniqueIdentifier)。數(shù)字證書不可偽造，可以被公開發(fā)布和信任。通常，法人證書具有下列的形式：CA<<A>>=CA{V,SN,AI,CA,UCA,A,UA,Ap,T'}可選的唯一性標(biāo)識(shí)符；UA為用戶A的可選的唯一性標(biāo)識(shí)符；Ap為用戶A的公鑰；T3表示證書的有效期，由兩個(gè)日期組成，之間的時(shí)間段即是證書的有效期。證書上的簽名可被任何知道認(rèn)證機(jī)構(gòu)公鑰CAp的用戶用來(lái)驗(yàn)證證書的有效性。5.2法人一證通數(shù)字證書基本格式數(shù)字證書由基本證書域(TBSCertificate)、簽名算法域(SignatureAlgorithm)和簽名值域(SignatureValue)三部分組成。數(shù)據(jù)結(jié)構(gòu)如下：tbsCertificateTBSCertificate,signatureAlgorithmAlgorithmIdentifier,signatureValueBITSTRING}version[0]EXPLICITVersionDEFAULTv1,serialNumberCertificateSerialNumber,signatureAlgorithmIdentifier,4issuerName,validityValidity,subjectName,subjectPunlicKeyInfoSubjectPublicKeyInfo,subjectUniquelD[2]IMPLICITUniqueIdentifierOPTIONAL,--如果出現(xiàn)，version必須是v3}Validity::=SEQUENCE{notBeforeTime,notAfterTime}Time::=CHOICE{utcTimeUTCTime,generalTimeGeneralizedTime}UniqueIdentifier::=BITSTRINGAlgorithmAlgorithmIdentifier,extnIDOBJECTIDENTIFIER,上述證書數(shù)據(jù)結(jié)構(gòu)中的tbsCertificate,signatureAlgorithm和signatureValue域的含義如下：——tbsCertificate域包含了主題名稱和簽發(fā)者名稱、主體的公鑰、證書的有效期以及其他的相關(guān)信息。——signatureAlgorithm域包含證書簽發(fā)機(jī)構(gòu)簽發(fā)該證書所使用的密碼算法標(biāo)識(shí)符。AlgorithmOBJECTIDENTIFIER,5ParametersANYDEFINEDBYalgorithmOPTIONAL}其中可選參數(shù)的內(nèi)容完全依賴于所標(biāo)識(shí)的算法。該域的算法標(biāo)識(shí)符必須與tbsCertificate中的signature標(biāo)識(shí)的簽名算法項(xiàng)相同。——signatureValue域保存對(duì)tbsCertificate域進(jìn)行數(shù)字簽名的結(jié)果。以經(jīng)過(guò)ASN.1DER編碼的tbsCertificate值作為數(shù)字簽名的輸入，簽名的結(jié)果則按照ASN.1編碼的方式，生成BITSTRING,保存在證書簽名值域內(nèi)。5.2.2基本證書域(TBSCertificate)基本證書域包含基本域和擴(kuò)展域兩部分?；居虬俗C書結(jié)構(gòu)中前十個(gè)項(xiàng)的信息，這些信息主要有主題和簽發(fā)者的名稱、主題公鑰、有效期、版本號(hào)和序列號(hào)等。版本Version本項(xiàng)描述了數(shù)字證書的版本號(hào)。.1序列號(hào)SerialNumber本項(xiàng)是CA分配給每個(gè)證書的一個(gè)正整數(shù)，一個(gè)CA簽發(fā)的每張證書的序列號(hào)必須是唯一的(這樣，通過(guò)簽發(fā)者的名字和序列號(hào)就可以唯一地確定一張證書),CA系統(tǒng)必須保證序列號(hào)是非負(fù)整數(shù)。序列號(hào)可以是長(zhǎng)整數(shù)，證書用戶必須能夠處理長(zhǎng)達(dá)20個(gè)8比特字節(jié)的序列號(hào)值。CA必須確保不使用大于20個(gè)8比特字節(jié)的序列號(hào)。.2簽名算法Signature本項(xiàng)包含CA系統(tǒng)簽發(fā)該證書所使用的密碼算法標(biāo)識(shí)符，這個(gè)算法標(biāo)識(shí)符必須與證書中signatureAlgorithm項(xiàng)的算法標(biāo)識(shí)符相同?？蛇x參數(shù)的內(nèi)容完全依賴所標(biāo)識(shí)的具體算法，可以支持用戶定義的簽名算法。.3頒發(fā)者Issuer本項(xiàng)標(biāo)識(shí)了證書簽名和證書頒發(fā)的實(shí)體。它必須包含一個(gè)非空的甄別名稱(DN-distinguishedname)。該項(xiàng)被定義為X.501的Name類型，其ASN.1的結(jié)構(gòu)如下：RelativeDistinguishedName::=SETOFAttributeTypeAndValueTypeAttributeType,ValueAttributeValue}AttributeType::=OBJECTIDENTIFIERAttributeValueDirectoryStringteletexStringTeletexString(SIZE(1..MAX)),printableStringPrintableString(SIZE91..MAX)),6universalStringUniversalString(SIZE91..MAX)),utf8StringUTF8String(SIZE91..MAX)),bmpStringBMPString(SIZE91..MAX))}Name描述了由一些屬性組成的層次結(jié)構(gòu)的名稱，如國(guó)家名、省、市名稱等。其中AttributeValue部分的類型是由AttributeType確定的，通常它是一個(gè)DirectorySting類簽發(fā)的證書必須使用UTF8String格式對(duì)DirectorySting項(xiàng)進(jìn)行編碼。.4有效期Validity本項(xiàng)是一個(gè)時(shí)間段，在這個(gè)時(shí)間段內(nèi)，CA系統(tǒng)擔(dān)保它將維護(hù)關(guān)于證書狀態(tài)的信息。該和證書有效期的終止時(shí)間(notAfter)。NotBefore和NotAfter這兩個(gè)時(shí)間都可以作為遵循本規(guī)范的CA系統(tǒng)在2049年之前必須將該時(shí)間編碼為UTCTime類型，在2050年之后，編碼為GeneralizedTime類型。a)世界時(shí)間UTCTime通過(guò)兩個(gè)低位數(shù)確定年，時(shí)間精確到1分鐘或1秒鐘。UTCTime包含Z(用于Zulu,或格林威治標(biāo)準(zhǔn)時(shí)間)或時(shí)間差。在本項(xiàng)中，UTCTime值必須用格林威治標(biāo)準(zhǔn)時(shí)間(Zulu)表示，并且必須包含秒，即使秒的數(shù)值為零(即時(shí)間格式為YYMMDDHHMMSSZ)。系統(tǒng)對(duì)年字段(YY)必須如下解釋：當(dāng)YY大于或等于50,年應(yīng)解釋為19YY;當(dāng)YY不到50,年應(yīng)解釋為20YY。b)通用時(shí)間類型GeneralizedTime本項(xiàng)是一個(gè)標(biāo)準(zhǔn)ASN.1類型，表示時(shí)間的可變精確度。GeneralizedTime字段能包含一個(gè)本地和格林威治標(biāo)準(zhǔn)時(shí)間之間的時(shí)間差。本項(xiàng)中，GeneralizedTime值必須用格林威治標(biāo)準(zhǔn)時(shí)間表示，必須包含秒，即使秒的數(shù)值為零(即時(shí)間格式為(fractionalseconds)。.5主題Subject本項(xiàng)描述了與主題公鑰項(xiàng)中的公鑰相對(duì)應(yīng)的實(shí)體情況。主題名稱可以出現(xiàn)在主題項(xiàng)、主題可選替換名稱擴(kuò)展項(xiàng)中(subjectAltName)。如果主題是一個(gè)CA系統(tǒng)，那么主題項(xiàng)必須是一個(gè)非空的與簽發(fā)者項(xiàng)的內(nèi)容相匹配的甄別名稱(distinguishedname)。如果主題的命名信息只出現(xiàn)在主題替換名稱擴(kuò)展項(xiàng)中(例如密鑰只與一個(gè)Email地址或者URL綁定),那么主題名稱必須是一個(gè)空序列，且主題可選替換名稱擴(kuò)展項(xiàng)必須被標(biāo)識(shí)成關(guān)鍵的。當(dāng)主題項(xiàng)非空時(shí)，這個(gè)項(xiàng)必須包含一個(gè)X.500的甄別名稱(DN),一個(gè)CA系統(tǒng)認(rèn)證的每個(gè)主題實(shí)體的甄別名稱必須是唯一的。一個(gè)CA系統(tǒng)可以為同一個(gè)主題實(shí)體以相同的甄別名稱簽發(fā)多個(gè)證書。主題名稱擴(kuò)展項(xiàng)被定義成X.501的名字類型。.6主題公鑰信息SubjectPublicKeyInfo7本項(xiàng)用來(lái)標(biāo)識(shí)公鑰和相應(yīng)的公鑰算法。公鑰算法使用算法標(biāo)識(shí)符AlgorithmIdentifier結(jié)構(gòu)來(lái)表示。.7頒發(fā)者唯一標(biāo)識(shí)符IssuerUniquelD本項(xiàng)主要用來(lái)處理主題或者頒發(fā)者名稱的重用問(wèn)題。本規(guī)范建議對(duì)不同的實(shí)體名稱不要重用，并且不建議使用此項(xiàng)，遵循本規(guī)范的證書簽發(fā)機(jī)構(gòu)不應(yīng)生成帶有頒發(fā)者唯一標(biāo)識(shí)符的證書，但是在應(yīng)用過(guò)程中應(yīng)該能夠解析唯一標(biāo)識(shí)符并進(jìn)行對(duì)比。.8主題唯一標(biāo)識(shí)符SubjectUniquelD本項(xiàng)主要用來(lái)處理主題名稱的重用問(wèn)題，本標(biāo)準(zhǔn)建議對(duì)不同的實(shí)體名稱不要重用，并且不建議使用此項(xiàng)，遵循本標(biāo)準(zhǔn)的證書簽發(fā)機(jī)構(gòu)不應(yīng)生成帶有主題唯一標(biāo)識(shí)符的證書，但是在應(yīng)用過(guò)程中應(yīng)該能夠解析唯一標(biāo)識(shí)符并進(jìn)行對(duì)比。本項(xiàng)是一個(gè)或多個(gè)證書擴(kuò)展的序列(SEQUENCE),其內(nèi)容和數(shù)據(jù)結(jié)構(gòu)在中定義。擴(kuò)展域本規(guī)范定義的證書擴(kuò)展項(xiàng)提供了把一些附加屬性同用戶或公鑰相關(guān)聯(lián)的方法以及證書結(jié)構(gòu)的管理方法。數(shù)字證書允許定義標(biāo)準(zhǔn)擴(kuò)展項(xiàng)和專用擴(kuò)展項(xiàng)。每個(gè)證書中的擴(kuò)展可以定義成關(guān)鍵性的和非關(guān)鍵性的。一個(gè)擴(kuò)展項(xiàng)含有三部分，分別是擴(kuò)展類型、擴(kuò)展關(guān)鍵度和擴(kuò)展項(xiàng)值。擴(kuò)展關(guān)鍵度(ExtensionCriticality告訴一個(gè)證書的使用者是否可以忽略某一擴(kuò)展類型。證書的應(yīng)用系統(tǒng)如果不能識(shí)別關(guān)鍵的擴(kuò)展時(shí)，必須拒絕接受該證書，如果不能識(shí)別非關(guān)鍵的擴(kuò)展，則可以忽略該擴(kuò)展項(xiàng)的信息。本條定義一些標(biāo)準(zhǔn)的擴(kuò)展項(xiàng)。需要特別注意的是，在實(shí)際應(yīng)用過(guò)程中，如果采用了關(guān)鍵性的擴(kuò)展，可能導(dǎo)致在一些通用的應(yīng)用中無(wú)法使用該證書。每個(gè)擴(kuò)展項(xiàng)包括一個(gè)對(duì)象標(biāo)識(shí)符OID和一個(gè)ASN.1結(jié)構(gòu)。當(dāng)證書中出現(xiàn)一個(gè)擴(kuò)展時(shí)，OID作為extnID項(xiàng)出現(xiàn)，其對(duì)應(yīng)的ASN.1編碼結(jié)構(gòu)就是8比特字符串extnValue的值。一個(gè)特定的證書中特定的擴(kuò)展只可出現(xiàn)一次。例如，一個(gè)證書只可以包含一個(gè)認(rèn)證機(jī)構(gòu)密鑰標(biāo)識(shí)符擴(kuò)展。一個(gè)擴(kuò)展中包含一個(gè)布爾型的值用來(lái)表示該擴(kuò)展的關(guān)鍵性，其缺省值為FALSE,即非關(guān)鍵的。每個(gè)擴(kuò)展的正文指出了關(guān)鍵性項(xiàng)的可接收值。遵循本規(guī)范的CA系統(tǒng)必須支持密鑰標(biāo)識(shí)符、基本限制、密鑰用法和證書策略等擴(kuò)展。如果CA系統(tǒng)簽發(fā)的證書中的主題項(xiàng)為空序列，該CA系統(tǒng)就必須支持主題可替換名稱擴(kuò)展。其他的擴(kuò)展是可選的。CA系統(tǒng)還可以支持本規(guī)范定義之外的其他的擴(kuò)展。證書的簽發(fā)者必須注意，如果這些擴(kuò)展被定義為關(guān)鍵的，則可能會(huì)給互操作性帶來(lái)障礙。遵循本規(guī)范的應(yīng)用必須至少能夠識(shí)別密鑰用法、主題替換名稱、基本限制、證書策略、和主題密鑰標(biāo)識(shí)符(SubjectKeyIdentifier)以及策略映射擴(kuò)展。.1機(jī)構(gòu)密鑰標(biāo)識(shí)符AuthorityKeyldentifier機(jī)構(gòu)密鑰標(biāo)識(shí)符擴(kuò)展提供了一種方式，以識(shí)別與證書簽名私鑰相應(yīng)的公鑰。當(dāng)頒發(fā)者由于有多個(gè)密鑰共存或由于發(fā)生變化而具有多個(gè)簽名密鑰時(shí)使用該擴(kuò)展。識(shí)別可基于頒發(fā)者證書中的主體密鑰標(biāo)識(shí)符或基于頒發(fā)者的名稱和序列號(hào)。相應(yīng)CA產(chǎn)生的所有證書應(yīng)包括authorityKeyIdentifier擴(kuò)展的keyIdentifier項(xiàng)，以8便于證書信任鏈的建立。CA以“自簽”(Self-signed)證書形式發(fā)放其公鑰時(shí)，可以省略認(rèn)證機(jī)構(gòu)密鑰標(biāo)識(shí)符。此時(shí)，主題和認(rèn)證機(jī)構(gòu)密鑰標(biāo)識(shí)符是完全相同的。開密鑰。它能辨別同一CA使用的不同密鑰(例如，在密鑰更新發(fā)生時(shí))。本項(xiàng)定義如下：Id-ce-authorityKeyIdentifierOBJECTIDENTIFIER::={id-ce35}AuthorityKeyIdentifier::=SEQUENCE{keyIdentifier[0]KeyIdentifierauthorityCertIssuer[1]GeneralNamesauthorityCertSerialNumber[2]CertificateSerialNumberOPTIONAL}authorityCertSerialNumberPRESENT}|authorityCertSerialNumberABSENT}KeyIdentifierKeyIdentifier項(xiàng)的值應(yīng)從用于證實(shí)證書簽名的公鑰導(dǎo)出或用產(chǎn)生唯一值的方法導(dǎo)出。公開密鑰的密鑰標(biāo)識(shí)符KeyIdentifier可采用下述兩種通用的方法生成：a)keyIdentifier由BITSTRINGsubjectPublicKey值的160-bitSHA-1散列值組成(去掉標(biāo)簽、長(zhǎng)度和不使用的字節(jié)數(shù)目);b)keyIdentifier由0100加上subjectPublicKey值的SHA-1散列值中最低位的60比特組成。此密鑰可以通過(guò)keyIdentifier字段中的密鑰標(biāo)識(shí)符來(lái)標(biāo)識(shí)，也可以通過(guò)此密鑰的證書標(biāo)識(shí)(給出authorityCertIssuer字段中的證書頒發(fā)者以及authorityCertSerialNumber字段中的證書序列號(hào))來(lái)標(biāo)識(shí)，或者可以通過(guò)密鑰標(biāo)識(shí)符和此密鑰的證書標(biāo)識(shí)來(lái)標(biāo)識(shí)。如果使用兩種標(biāo)識(shí)形式，那么,證書或CRL的頒發(fā)者應(yīng)保證它們是一致的。對(duì)于頒發(fā)機(jī)構(gòu)包含擴(kuò)展的證書或CRL的所有密鑰標(biāo)識(shí)符而言，每個(gè)密鑰標(biāo)識(shí)符應(yīng)該是唯一的。不要求支持此擴(kuò)展的實(shí)現(xiàn)能夠處理authorityCertIssuer字段中的所有名字形式。證書認(rèn)證機(jī)構(gòu)指定或者自動(dòng)產(chǎn)生證書序列號(hào)，這樣頒發(fā)者和證書序列號(hào)相結(jié)合就唯一地標(biāo)識(shí)了一份證書。除自簽證書之外，所有的證書必須包含本擴(kuò)展，而且要包含keyIdentifier項(xiàng)。如果證書頒發(fā)者的證書有SubjectKeyIdentifier擴(kuò)展，則本擴(kuò)展中keyIdentifier項(xiàng)必須與頒發(fā)者證書的SubjectKeyIdentifier擴(kuò)展的值一致，如果證書頒發(fā)者的證書沒(méi)有SubjectKeyIdentifier擴(kuò)展，則可以使用上邊介紹的兩種方法之一來(lái)產(chǎn)生。結(jié)構(gòu)中的keyIdentifier,authorityCertSerialNumber擴(kuò)展建議為必選，但本擴(kuò)展必須是非關(guān)鍵的。.2主題密鑰標(biāo)識(shí)符SubjectKeyldentifier本項(xiàng)提供一種識(shí)別包含有一個(gè)特定公鑰的證書的方法。此擴(kuò)展標(biāo)識(shí)了被認(rèn)證的公開密鑰。它能夠區(qū)分同一主題使用的不同密鑰(例如，當(dāng)密鑰更新發(fā)生時(shí))。此項(xiàng)定義如下：Id-ce-subjectKeyIdentifierOBJECTIDENTIFIER::={id-ce14}9SubjectKeyIdentifier::=KeyIdentifier對(duì)于使用密鑰標(biāo)識(shí)符的主題的各個(gè)密鑰標(biāo)識(shí)符而言，每一個(gè)密鑰標(biāo)識(shí)符均應(yīng)是唯一的。此擴(kuò)展項(xiàng)總是非關(guān)鍵的。.3密鑰用法KeyUsage本項(xiàng)說(shuō)明已認(rèn)證的公開密鑰用于何種用途，該項(xiàng)定義如下：Id-ce-keyUsageOBJECTIDENTIFIER::={id-ce15}KeyUsage::=BITSTRING{digitalSignaturenonRepudiationkeyEncipherment(2),keyAgreement}KeyUsage類型中的用法如下：a)digitalSignature:驗(yàn)證下列b)、f)或g)所標(biāo)識(shí)的用途之外的數(shù)字簽名；b)nonRepudiation:驗(yàn)證用來(lái)提供抗抵賴服務(wù)的數(shù)字簽名，這種服務(wù)防止簽名實(shí)體不實(shí)地拒絕某種行為(不包括如f)或g)中的證書或CRL簽名);c)keyEncipherment:加密密鑰或其他安全信息，例如用于密鑰傳輸；d)dataEncipherment:加密用戶數(shù)據(jù)，但不包括上面c)中的密鑰或其他安全信息；e)keyAgreement:用作公開密鑰協(xié)商密鑰；f)keyCertSign:驗(yàn)證證書的CA簽名；g)CRLSign:驗(yàn)證CRL的CA簽名；h)EncipherOnly:當(dāng)本比特與已設(shè)置的keyAgreement比特一起使用時(shí)，公開密鑰協(xié)商密鑰僅用于加密數(shù)據(jù)(本比特與已設(shè)置的其他密鑰用法比特一起使用的含義未定義);i)DecipherOnly:當(dāng)本比特與已設(shè)置的keyAgreement比特一起使用時(shí)，公開密鑰協(xié)商密鑰僅用于加密數(shù)據(jù)(本比特與已設(shè)置的其他密鑰用法比特一起使用的含義未定義);keyCertSign只用于CA系統(tǒng)證書。如果KeyUsage被置為keyCertSign和基本限制擴(kuò)展存在于同一證書之中，那么,此擴(kuò)展的CA成分的值應(yīng)被置為TRUE。CA系統(tǒng)還中定義的其他密鑰用法比特，例如，提供鑒別和在線管理事務(wù)完整性的digitalSignature。若缺少keyAgreement比特，則不定義encipherOnly比特的含義。若確定encipherOnly比特，且keyAgreement比特也被確定時(shí)，主題公鑰可只用于加密數(shù)據(jù)，同時(shí)執(zhí)行密鑰協(xié)議。若未設(shè)置keyAgreement比特，則不定義decipherOnly比特的含義。若確定decipherOnly比特，且keyAgreement比特也被確定時(shí)，主題公鑰可只用于脫密數(shù)據(jù)，同時(shí)執(zhí)行密鑰協(xié)議。所有的CA系統(tǒng)證書必須包括本擴(kuò)展，而且必須包含keyCertSign這一用法。此擴(kuò)展可以定義為關(guān)鍵的或非關(guān)鍵的，由證書簽發(fā)者選擇。如果此擴(kuò)展標(biāo)記為關(guān)鍵的，那么該證書應(yīng)只用于相應(yīng)密鑰用法比特置為“1”的用途。如果此擴(kuò)展標(biāo)記為非關(guān)鍵的，那么它指明此密鑰的預(yù)期用途或其它多種用途，并可用于查找具有多密鑰/證書的實(shí)體的正確密鑰/證書。它是一個(gè)咨詢項(xiàng)，并不意指此密鑰的用法限于指定的用途。置為“0”的比特指明此密鑰不是預(yù)期的這一用途。如果所有比特均為“0”,它指明此密鑰預(yù)期用于所列用途之外的某種用途。在應(yīng)用中，使用該擴(kuò)展項(xiàng)對(duì)證書類型的進(jìn)行區(qū)別，當(dāng)設(shè)置了c)、d)、h)、i)比特中的一位時(shí)，表示該證書為加密證書；當(dāng)設(shè)置了a)、b)比特中的一位時(shí)，表示該證書為簽名證.4擴(kuò)展密鑰用途ExtKeyUsage本項(xiàng)指明已驗(yàn)證的公開密鑰可以用于一種用途或多種用途，它們可作為對(duì)密鑰用法擴(kuò)展項(xiàng)中指明的基本用途的補(bǔ)充或替代。此項(xiàng)定義如下：Id-ce-extKeyUsageOBJECTIDENTIFIER::={id-ce37}ExtKeyUsageSyntax::=SEQUENCESIZE(1..MAX)OFKeyPurposeIdKeyPurposeId::=OBJECTIDENTIFIER密鑰的用途可由有此需要的任何組織定義。用來(lái)標(biāo)識(shí)密鑰用途的客體標(biāo)識(shí)符應(yīng)按照GB/T17969.1—2000來(lái)分配。由證書簽發(fā)者確定此擴(kuò)展是關(guān)鍵的或非關(guān)鍵的。如果此擴(kuò)展標(biāo)記為關(guān)鍵的，那么,此證書應(yīng)只用于所指示的用途之一。如果此擴(kuò)展標(biāo)記為非關(guān)鍵的，那么,它指明此密鑰的預(yù)期用途或其它用途，并可用于查找多密鑰/證書的實(shí)體的正確密鑰/證書。它是一個(gè)咨詢項(xiàng)，并不表示認(rèn)證機(jī)構(gòu)將此密鑰的用法限于所指示的用途。然而，進(jìn)行應(yīng)用的證書仍然可以要求指明特定的用途，以便證書為此應(yīng)用接受。如果證書包含關(guān)鍵的密鑰用途項(xiàng)和關(guān)鍵的擴(kuò)展密鑰項(xiàng)，那么,兩個(gè)項(xiàng)應(yīng)獨(dú)立地處理，并且證書應(yīng)只用于與兩個(gè)項(xiàng)一致的用途。如果沒(méi)有與兩個(gè)項(xiàng)一致的用途，那么,此證書不能用于任何用途。本規(guī)范定義下列密鑰用途：id-kpOBJECTIDENTIFIER::={id-pkix3}--Keyusage可以設(shè)置為digitalSignature,keyEncipherment或keyAgreement一致id-kp-clientAuthOBJECTIDENT--Keyusage可以設(shè)置為digitalSignature和/或keyAgreement一致id-kp-codeSigningOBJECTIDENTIFIER::={id-kp3}DB/T777-2014--可下載執(zhí)行代碼的簽名--Keyusage可以設(shè)置為digitalSignature一致id-kp-emailProtectionOBJECTIDENTIFIER::={id-kp4}--Keyusage可以設(shè)置為digitalSignature,nonRepudiation和/或(keyEncipherment或keyAgreement)一致id-kp-timeStampingOBJECTIDENTIFIER::={id-kp8}--將對(duì)象的散列值與同一時(shí)間源提供的時(shí)間綁定--Keyusage比特可與digitalSignature,nonRepudiation一致id-kp-OCSPSigningOBJECTIDENTIFIER::={id-kp9}--0CSP應(yīng)答簽名--Keyusage比特可與digitalSignature,nonRepudiation一致.5私有密鑰使用期PrivateKeyUsagePeriod本項(xiàng)指明與已驗(yàn)證的公開密鑰相對(duì)應(yīng)的私有密鑰的使用期限。它只能用于數(shù)字簽名密鑰。此項(xiàng)定義如下：id-ce-privateKeyUsagePeriodOBJECTIDENTIFIER::={id-ce16}PrivateKeyUsagePeriod::=SEQUENCE{notBefore[0]GeneralizedTimeOPTIONAL,notBefore字段指明私有密鑰可能用于簽名的最早日期和時(shí)間。如果沒(méi)有notBefore字段，就不提供有關(guān)私有密鑰有效使用期何時(shí)開始的信息。NotAfter字段指明私有密鑰可以用于簽名的最遲日期和時(shí)間。如果沒(méi)有notAfter字段，就不提供有關(guān)私有密鑰有效使用期何時(shí)結(jié)束的信息。這個(gè)擴(kuò)展總是為非關(guān)鍵的。注1:私有密鑰有效使用期可以與證書有效性周期指明的已驗(yàn)證的公開密鑰有效性不同。就數(shù)字簽名密鑰而言，簽名的私有密鑰使用期一般比驗(yàn)證公開密鑰的時(shí)間短。注2:數(shù)字簽名的驗(yàn)證者想要檢查直到驗(yàn)證時(shí)刻此密鑰是否未被撤銷，例如，由于密鑰泄露，那么,在驗(yàn)證時(shí)，必須有包含公開密鑰的有效證書。在公開密鑰的證書期滿之后，簽名驗(yàn)證者不能依賴CRL驗(yàn)證機(jī)制來(lái)驗(yàn)證密鑰是否有效。本項(xiàng)列出了由頒發(fā)的CA所認(rèn)可的證書策略，這些策略適用于證書以及關(guān)于這些證書策略的任選的限定符信息。證書策略擴(kuò)展包含了一系列策略信息條目，每個(gè)條目都有一個(gè)OID和一個(gè)可選的限定條件。這個(gè)可選的限定條件不能改變策略的定義。在用戶證書中，這些策略信息條目描述了證書發(fā)放所依據(jù)的策略以及證書的應(yīng)用目的；在CA證書中，這些策略條目指定了包含這個(gè)證書的驗(yàn)證路徑的策略集合。具有特定策略需求的應(yīng)用系統(tǒng)應(yīng)該擁有它們將接受的策略的列表，并把證書中的策略O(shè)ID與該列表進(jìn)行比較。如果該擴(kuò)展是關(guān)鍵的，則路徑有效性軟件必須能夠解釋該擴(kuò)展(包括選擇性限定語(yǔ)),否則必須拒絕該證書。建議使用本條定義的限定語(yǔ)。certificatePolicies::=SEQUENCESIZE(1..MAX)OFPolicyInformaitonpolicyIdentifierCertPolicyId,CerPolicyId::=OBJECTIDENTIFIERPolicyQualifierInfo::=SEQUENCE{policyQualifierIdPolicyQualifierId,qualifierANYDEFINEDBYpolicyQualifierId}—-policyQualifierIdsforInternetpolicyqualifiersid-qtOBJECTIDENTIFIER::={id-pkix2}id-qt-cpsOBJECTIDENTIFIER::={id-qt1}id-qt-unoticeOBJECTIDENTIFIER::={id-qt2}PolicyQualifierId::=0BJECTIDENTIFIER(id-qt-cps|CPSuri::=IA5StrnoticeRefNoticeReferenceOPTIONAL,NoticeReference::=SEQUENCE{organizationDisplayText,noticeNumbersSEQUENCEOFINTEGER}visibleStringVisibleString(SIZE(1..200)),bmpStringBMPString(SIZE(1..200)),utf8StringUTF8String(SIZE(1..200))}指示字的形式為URI。Usernotice有兩種可選字段：notDB/T777-2014內(nèi)直接包括文本聲明，該字段是一個(gè)最多含有200字符的串。如果noticeRef和explicitText選項(xiàng)都在同一個(gè)限定語(yǔ)中，且如果應(yīng)用軟件可以找出由noticeRef選項(xiàng)指明的通知文本，則應(yīng)展示該文本，否則應(yīng)展示explicitText串。.7主題可選替換名稱SubjectAltName本項(xiàng)包含一個(gè)或多個(gè)可選替換名(可使用多種名稱形式中的任一個(gè))供實(shí)體使用，CA把該實(shí)體與認(rèn)證的公開密鑰綁定在一起。主題可選替換名擴(kuò)展允許把附加身份加到證書的主題上。所定義的選項(xiàng)包括因特網(wǎng)電子郵件地址、DNS名稱、IP地址和統(tǒng)一資源標(biāo)識(shí)符(URI)。還有一些純本地定義的選項(xiàng)?？梢园ǘ嗝Q形式和每個(gè)名稱形式的多個(gè)范例。當(dāng)這樣的身份被附加到一個(gè)證書中時(shí)，必須使用主題選擇名稱或頒發(fā)者選擇名稱擴(kuò)展。由于主體可替換名被認(rèn)為是與公鑰綁在一起的，主題可選替換名的所有部分必須由CA認(rèn)證。此項(xiàng)定義如下：id-ce-subjectAltNameOBJECTIDENTIFIER::={id-ceSubjectAltName::=GeneralNamesGeneralNames::=SEQUENCESIZE(1..MAX)OFGeneralNameGeneralName::=CHOICE{rfc822NameIA5String,dNSNameIA5String,ORAddress,directoryNameName,ediPartyNameEDIPartyName,uniformResourceIdentifier[6]IA5String,iPAddressOTHERNAME::=SEQUENCE{type-idOBJECTIDENTIFIER,value[0]EXPLICITANYDEFINEDBYtype-id}EDIPartyName::=SEQUENCE{nameAssigner[0]DirectoryStringOPTIONAL,partyName[1]DirectoryString}GeneralName類型中可替換的值是下列各種形式的名稱：——rfc822Name是按照InternetRFC822定義的Internet電子郵件地址；——dNSName是按照RFC1034定義的Internet域名；——x400Address是按照GB/T16284.4—1996定義的0/R地址；——directoryName是按照ISO/IEC9594-2:2001定義的目錄名稱；——ediPartyName是通信的電子數(shù)據(jù)交換雙方之間商定的形式名稱，nameAssigner成分標(biāo)識(shí)了分配partyName中唯一名稱值的機(jī)構(gòu)；——uniformResourceIdentifier是按照InternetRFC1630定義的用于RAesourceIdentifier,RFC1738中定義的URL語(yǔ)法和編碼規(guī)則；——iPAddress是按照InternetRFC791定義的用二進(jìn)制串表示的InternetProtocol——registeredID是按照GB/T17969.1—2000對(duì)注冊(cè)的客體分配的標(biāo)識(shí)符。CA系統(tǒng)不得簽發(fā)帶有subjectAltName卻包含空GeneralName項(xiàng)的證書。如果證書中的唯一主題身份是一個(gè)選擇格式(如一個(gè)電子郵件地址),則主題的甄別名必須是空的(一個(gè)空序列),且subjectAltName擴(kuò)展必須存在。如果主題字段包括一個(gè)空序列，則subjectAltName擴(kuò)展必須標(biāo)識(shí)為關(guān)鍵性的。如果出現(xiàn)subjectAltName擴(kuò)展，則序列必須至少包含一個(gè)條目。對(duì)GeneralName類型中使用的每個(gè)名稱形式，應(yīng)有一個(gè)名稱注冊(cè)系統(tǒng)，以保證所使用的任何名稱能向證書頒發(fā)者和證書使用者無(wú)歧義地標(biāo)識(shí)一個(gè)實(shí)體。此擴(kuò)展可以是關(guān)鍵的或非關(guān)鍵的，由證書簽發(fā)者選擇。不要求支持此擴(kuò)展的實(shí)現(xiàn)能處理否則，應(yīng)認(rèn)為此證書無(wú)效。除先前的限制以外，允許證書使用系統(tǒng)忽略具有不能識(shí)別的或不被支持的名稱形式的任何名稱。倘若，證書的主題項(xiàng)包含無(wú)二義地標(biāo)識(shí)主體的目錄名稱，推薦將此項(xiàng)標(biāo)記為非關(guān)鍵的。TYPE-IDENTIFIER類別的使用在GB/T16262.2—2006的附錄A和C中描述。如果存在此擴(kuò)展并標(biāo)記為關(guān)鍵的，證書的subject項(xiàng)可以包含空名稱(例如，相關(guān)可甄別名的一個(gè)“0”序列),在此情況下，主題只能用此擴(kuò)展中的名稱或一些擴(kuò)展名稱來(lái)標(biāo)識(shí)。注3:進(jìn)一步說(shuō)明可參考RFC2459中的..8頒發(fā)者可選替換名稱IssuerAltName本項(xiàng)包含一個(gè)或多個(gè)可選替換名稱(可使用多種名稱形式中的任一個(gè)),以供證書或CRL頒發(fā)者使用。此項(xiàng)定義如下：id-ce-issuerAltNameOBJECTIDENTIFIER::={id-ce18}IssuerAltName::=GeneralNames此項(xiàng)可以是關(guān)鍵的或非關(guān)鍵的，由證書或CRL頒發(fā)者選擇。不要求支持此項(xiàng)擴(kuò)展的實(shí)際應(yīng)用能處理所有名稱形式。如果此擴(kuò)展標(biāo)記為關(guān)鍵的，那么至少應(yīng)能識(shí)別和處理存在的名稱形式之一，否則，應(yīng)認(rèn)為此證書無(wú)效。除先前的限制以外，允許證書使用系統(tǒng)忽略具有不能識(shí)別的或不支持的名稱形式的任何名稱。倘若，證書或CRL的頒發(fā)者項(xiàng)包含了一個(gè)明確標(biāo)識(shí)頒發(fā)機(jī)構(gòu)的目錄名稱，推薦將此項(xiàng)標(biāo)記為非關(guān)鍵的。如果存在此擴(kuò)展，并標(biāo)記為關(guān)鍵的，證書或CRL的issuer項(xiàng)可以包含空名稱(例如，對(duì)應(yīng)可甄別名的一個(gè)“0”序列),在此情況下，頒發(fā)者只能用名稱或此擴(kuò)展中的一些名稱來(lái)標(biāo)識(shí)。簽發(fā)者替換名稱必須按.7的說(shuō)明進(jìn)行編碼。.9主題目錄屬性SubjectDirectoryAttributes本項(xiàng)為證書主題傳送其期望的任何目錄屬性值。定義如下：id-ce-subjectDirectoryAttributesOBJECTIDENTIFIER::={id-ce9}DB/T777-2014SubjectDirectoryAttributes::=SEQUENCESIZE(1..MAX)OFAttributeAttributesSyntax::=SEQUENCESIZE(1..MAX)OFAttr該擴(kuò)展總是非關(guān)鍵的。本項(xiàng)用來(lái)標(biāo)識(shí)證書的主題是否是一個(gè)CA,通過(guò)該CA可能存在的認(rèn)證路徑有多長(zhǎng)。此項(xiàng)id-ce-basicConstraintsOBJECTIDENTIFIER::={id-ce19}BasicConstraintsSyntax::=SEQUENCE{CABOOLEANDEFAULTFALSE,pathLenConstraintINTEGER(0..MAX)OPTIONAL}PathLenConstraint字段僅在CA設(shè)置為TRUE時(shí)才有意義。它給出此證書之后認(rèn)證路徑中最多的CA證書數(shù)目。0值表明在路徑中只可以向終端實(shí)體簽發(fā)證書，而不可以簽發(fā)下級(jí)CA證書。PathLenConstraint字段出現(xiàn)時(shí)必須大于或等于0.如果在認(rèn)證路徑的任何書中未出現(xiàn)pathLenConstraint字段，則對(duì)認(rèn)證路徑的允許長(zhǎng)度沒(méi)有限制。CA證書中必須包括本擴(kuò)展，而且必須是關(guān)鍵的，否則，未被授權(quán)為CA的實(shí)體便可以簽發(fā)證書，同時(shí)證書使用系統(tǒng)會(huì)在不知情的情況下使用這樣的證書。如果此擴(kuò)展存在，并標(biāo)記為關(guān)鍵的，那么:——如果CA字段的值置為FALSE,則密鑰用法不能包含keyCertSign這一用法，其公開密鑰應(yīng)不能用來(lái)驗(yàn)證證書簽名；——如果CA字段的值置為TRUE,并且pathLenConstraint存在，則證書使用系統(tǒng)應(yīng)檢查被處理的認(rèn)證路徑是否與pathLenConstraint的值一致。注1:如果此擴(kuò)展不存在或標(biāo)記為非關(guān)鍵項(xiàng)的并且未被證書使用系統(tǒng)認(rèn)可，該證書被系統(tǒng)視為終端用戶證書，并且不能用來(lái)驗(yàn)證證書簽名。注2:為限制一證書主題只是一個(gè)端實(shí)體，即，不是CA,頒發(fā)者可以在擴(kuò)展中只包含一本項(xiàng)僅在一張CA證書使用，它指示了一個(gè)名稱空間，在此空間設(shè)置的認(rèn)證路徑可以在后續(xù)證書中主體名稱中被找到。此項(xiàng)定義如下：id-ce-nameConstraintsOBJECTIDENTIFIER::-{id-ce30}NameConstraintsSyntax::=SEQUENCE{permittedSubtrees[0]GeneralSubtreesOPTIONAL,GeneralSubtrees::=SEQUECNESIZE(1..MAX)OFGeneralSubtreeGeneralSubtree::=SEQUENCE{baseGeneralName,BaseDistanceDEFAULT0,BaseDistanceOPTIONAL}BaseDistance::=INTEGER(0..MAX)通過(guò)GeneralName字段定義的命名格式，需要那些具有良好定義的分層結(jié)構(gòu)的名稱形式用于這些字段，DirectoryName名稱形式滿足這種要求；使用這些命名格式命名的子樹對(duì)應(yīng)于DIT子樹。在應(yīng)用中不需要檢查和識(shí)別所有可能的命名格式。如果此擴(kuò)展標(biāo)記為關(guān)鍵項(xiàng)，并且證書使用中不能識(shí)別用于base項(xiàng)的命名格式，應(yīng)視同遇到未識(shí)別的關(guān)鍵項(xiàng)擴(kuò)展那樣來(lái)處理此證書。如果此擴(kuò)展標(biāo)記為非關(guān)鍵的，并且證書在使用中不能識(shí)別用于base項(xiàng)的命名格式，那么,可以忽略此子樹規(guī)范。當(dāng)證書主題具有同一名稱形式的多個(gè)名稱時(shí)(在directoryName名稱形式情況下，包括證書主題項(xiàng)中的名稱，如果非“0”),對(duì)于同一名稱形式的名稱限制應(yīng)檢驗(yàn)所有這些名稱一致性?？梢詫?duì)主題名稱或主題選擇名稱進(jìn)行限制。只有當(dāng)確定的名稱格式出現(xiàn)時(shí)才應(yīng)用限制。如果證書中沒(méi)有類型的名稱，則證書是可以接受的。當(dāng)對(duì)于命名格式限制的一致性測(cè)試證書主題名稱時(shí)，即使擴(kuò)展中標(biāo)識(shí)為非關(guān)鍵項(xiàng)也應(yīng)予以處理。Minimum字段規(guī)定了子樹內(nèi)這一區(qū)域的上邊界。最后的命名形式在規(guī)定的級(jí)別之上的所有名稱不包含在此區(qū)域內(nèi)。等于“0”(默認(rèn))的minimum值對(duì)應(yīng)于此基部(Base),即，子樹的頂節(jié)點(diǎn)。例如，如果Minimum置為“1”,則命名子樹不包含根節(jié)點(diǎn)而只包含下級(jí)節(jié)點(diǎn)。Maximum字段規(guī)定了子樹內(nèi)這一區(qū)域的下邊界。最后的命名形式在規(guī)定的級(jí)別之下所有字段指出不應(yīng)把下限值施加到子樹內(nèi)的此區(qū)域上。例如，如果Maximum置為“1”,那么,命名子樹不包含除子樹根節(jié)點(diǎn)及其直接下級(jí)外的所有節(jié)點(diǎn)。本規(guī)范建議將它標(biāo)記為關(guān)鍵項(xiàng)，否則，證書用戶不能檢驗(yàn)認(rèn)證路徑中的后續(xù)證書是否位于簽發(fā)CA指定的命名域中。如果此擴(kuò)展存在，并標(biāo)記為關(guān)鍵的，則證書用戶系統(tǒng)應(yīng)檢驗(yàn)所處理的認(rèn)證路徑與此擴(kuò)展中的值是否一致。本規(guī)范中，任何名稱格式都不使用最小和最大字段，最小數(shù)總為0,最大數(shù)總是空缺的。本項(xiàng)用于向CA頒發(fā)的證書中，本擴(kuò)展以兩種方式限制路徑確認(rèn)。它可以用來(lái)禁止策略映射或要求路徑中的每個(gè)證書包含一個(gè)認(rèn)可的策略標(biāo)示符。本項(xiàng)定義如下：id-ce-policyConstraintsOBJECTIDENTIFIER::={id-ce36}requireExplicitPolicy[0]SkipCertsOPTIONAL,inhibitPolicyMapping[1]SkipCertsOPTIONAL}SkipCerts::=INTEGER(0..MAX)如果requireExplicitPolicy字段存在，并且證書路徑包含一個(gè)由指定CA簽發(fā)的證書，所有在此路徑中的證書都有必要在證書擴(kuò)展項(xiàng)中包含合適的策略標(biāo)識(shí)符。合適的策略標(biāo)識(shí)符是由用戶在證書策略中定義的標(biāo)識(shí)符，或聲明通過(guò)策略映射與其等價(jià)的策略的標(biāo)識(shí)符。指定的CA是指包含此擴(kuò)展信息的認(rèn)證機(jī)構(gòu)(如果requireExplicitpolicy的值為“0”)或是認(rèn)證路徑中后續(xù)認(rèn)證機(jī)構(gòu)CA(由非“0”值指示的)。如果inhibitPolicyMapping字段存在，它表明在認(rèn)證路徑中所指定的CA開始直到認(rèn)證路徑結(jié)束為止的所有證書中，不允許策略映射。指定的CA指包含此擴(kuò)展信息的認(rèn)證機(jī)構(gòu)(如SkipCerts類型的值表示在某一限制生效之前需要在認(rèn)證路徑中跳過(guò)證書的個(gè)數(shù)。此擴(kuò)展由證書簽發(fā)者選擇是關(guān)鍵的還是非關(guān)鍵的。本規(guī)范建議將它標(biāo)記為關(guān)鍵的，否則證書用戶可能不能正確地解釋認(rèn)證機(jī)構(gòu)設(shè)定的規(guī)則。.13證書撤銷列表分發(fā)點(diǎn)CRLDistributionPointsCRL分發(fā)點(diǎn)擴(kuò)展用來(lái)標(biāo)識(shí)如何獲得CRL信息，本擴(kuò)展僅作為證書擴(kuò)展使用。它可用于認(rèn)證機(jī)構(gòu)證書，終端實(shí)體證書以及屬性證書中。本項(xiàng)指定了CRL分發(fā)點(diǎn)或證書用戶的查閱點(diǎn)以確定證書是否已被撤銷。證書用戶能從可用分發(fā)點(diǎn)獲得一個(gè)CRL,或者可以從認(rèn)證機(jī)構(gòu)目錄項(xiàng)獲得當(dāng)前完整的CRL。該項(xiàng)定義如下：id-ce-CRLDistributionPointsOBJECTIDENTIFIER::={id-ce31}cRLDistributionPoints::={CRLDistPointsSyntax}CRLDistPointsSyntax::=SEQUENCESIZE(1..MAX)OFDistributionPointDistributionPoint::=SEQUENCE{DistributionPointName::=CHOICE{nameRelativeToCRLIssuer[1]DistributionPointNameOPTIONAL,GeneralNames,RelativeDistinguishedName}ReasonFlags::=BITSTRING{DB/T777-2014cessationOfOperation(5),distributionPoint字段標(biāo)識(shí)如何能夠獲得CRL的位置。如果此字段缺省，分發(fā)點(diǎn)名稱當(dāng)使用fullName替代名稱或應(yīng)用默認(rèn)時(shí)，分發(fā)點(diǎn)名稱可以有多種名稱形式。同一名稱 (至少用其名稱形式之一)應(yīng)存在于頒發(fā)CRL的分發(fā)點(diǎn)擴(kuò)展的distributionPoint字段中。不要求證書使用系統(tǒng)能處理所有名稱形式。它可以只處理分發(fā)點(diǎn)提供的諸多名稱形式中的一種。如果不能處理某一分發(fā)點(diǎn)的任何名稱形式，但能從另一個(gè)信任源得到必要的撤銷信息，例如另一個(gè)分發(fā)點(diǎn)或CA目錄項(xiàng)，則證書應(yīng)用系統(tǒng)仍能使用該證書。如果CRL分發(fā)點(diǎn)被賦予一個(gè)直接從屬于CRL頒發(fā)者的目錄名稱的目錄名，則只能使用nameRelativeToCRLIssuer字段。此時(shí)，nameRelativeToCRLIssuer字段傳送與CRL頒發(fā)者Reasons字段指明由此CRL所包含的撤銷原因。如果沒(méi)有Reasons字段，相應(yīng)的CRL分發(fā)點(diǎn)發(fā)布包含此證書(如果此證書已被撤銷)的項(xiàng)的CRL,而不管撤銷原因。否則，Reasons值指明相應(yīng)的CRL分發(fā)點(diǎn)所包含的那些撤銷原因。CRLIssuer字段標(biāo)識(shí)頒發(fā)和簽署CRL的機(jī)構(gòu)。如果沒(méi)有此字段，CRL頒發(fā)者的名稱默認(rèn)為證書簽發(fā)者的名稱。此擴(kuò)展可以是關(guān)鍵的或非關(guān)鍵的，由證書頒發(fā)者選擇，建議該擴(kuò)展設(shè)置為非關(guān)鍵的，但如果該擴(kuò)展標(biāo)記為關(guān)鍵，CA則要保證分發(fā)點(diǎn)包含所用的撤銷原因代碼keyCompromise和CACompromise,或者二者之一。若沒(méi)有首先從一個(gè)包含了原因代碼keyCompromise(對(duì)終端實(shí)體證書)或CACompromise(對(duì)CA證書)的指定的分發(fā)點(diǎn)檢索和核對(duì)CRL,證書使用系統(tǒng)將不使用該證書。在分配點(diǎn)為所有撤銷與原因代碼和由CA(包括作為關(guān)鍵擴(kuò)展的CRLDistributionPoint)發(fā)布的所有證書分配CRL信息的項(xiàng)中，CA不需要在CA項(xiàng)發(fā)布一個(gè)完整的CRL。如果此擴(kuò)展標(biāo)記為非關(guān)鍵的，當(dāng)證書使用系統(tǒng)未能識(shí)別此擴(kuò)展項(xiàng)類型時(shí)，則只有在下列情況中，該系統(tǒng)使用此證書：——它能從CA獲得一份完整CRL并檢查該證書(通過(guò)在CRL中設(shè)有發(fā)布點(diǎn)擴(kuò)展項(xiàng)來(lái)指示最近的CRL是完整的);——根據(jù)本地策略不要求撤銷檢查；——用其他手段完成撤銷檢查。注1:一個(gè)以上的CRL分發(fā)者對(duì)應(yīng)一個(gè)證書CRL簽發(fā)者是可能的。這些CRL分發(fā)者與簽發(fā)CA的協(xié)調(diào)是CA策略的一個(gè)方面。注2:證書撤銷列表CRL的應(yīng)用，請(qǐng)參照RFC2459中的第5章。.14最新證書撤銷列表FreshestCRL最新證書撤銷列表擴(kuò)展一般作為證書擴(kuò)展使用，或在發(fā)給認(rèn)證機(jī)構(gòu)和用戶的證書中使用。該項(xiàng)標(biāo)識(shí)了CRL,對(duì)CRL來(lái)說(shuō)證書用戶應(yīng)包含最新的撤銷信息(例如：最新的CRL)。該項(xiàng)定義如下：freshestCRL::={CRLDistPointsSyntax}根據(jù)證書頒發(fā)者的選擇，這個(gè)擴(kuò)展可能是關(guān)鍵的，也可能是非關(guān)鍵的。如果最新的CRL擴(kuò)展是關(guān)鍵的，那么證書使用系統(tǒng)不使用沒(méi)有首先進(jìn)行撤銷和核對(duì)的最新CRL的證書。如果擴(kuò)展被標(biāo)記為不關(guān)鍵的，證書使用系統(tǒng)能使用本地策略來(lái)決定是否需要檢查最新的CRL。.15增強(qiáng)型密鑰用法ExtendedKeyUsage增強(qiáng)型密鑰用法用于說(shuō)明證書用于何種擴(kuò)展性的用途，其定義如下：extendedKeyUsageEXTENSION::={IDENTIFIEDBYid-ce-extKeyUsage}KeyPurposedId::=0BJECTIDENTIFIER--PKIX-definedextendedkeypurposeOIDSid-kp-serverAuthid-kp-clientAuthid-kp-codeSigningid-kp-emailProtectionOBJECTIDENTIFIER::={id-kp4}id-kp-ipsecEndSystemOBJECTIDENTIFIER::={id-kp5}id-kp-ipsecUserOBJECTIDENTIFIER::={id-kp7}.16頒發(fā)機(jī)構(gòu)信息訪問(wèn)AuthoritylnfoAccess本項(xiàng)描述了包含該擴(kuò)展的證書的簽發(fā)者如何訪問(wèn)CA的信息以及服務(wù)。包括在線驗(yàn)證服務(wù)和CA策略數(shù)據(jù)。該擴(kuò)展可包括在用戶證書和CA證書中，且必須為非關(guān)鍵的。id-pe-authorityInfoAccessOBJECTIDENTIFIER::={id-pe1}AuthorityInfoAccessSyntax::=SEQUENCESIZE(1..MAX)OFAccessDescriptionaccessLocationGeneralName}id-adOBJECTIDENTIFIER::={id-pkix48}id-ad-caIssuersOBJECTIDENTIFIER::={id-ad2}id-ad-ocspOBJECTIDENTIFIER::={id-ad1}序列AuthorityInfoAccessSyntax中的每個(gè)入口描述有關(guān)頒發(fā)含有該擴(kuò)展的證書的CA附加信息格式和位置。信息的類型和格式由accessMethod協(xié)議的形式。AccessLocation字段定義為GeneralName,它可有幾種形式：當(dāng)信息可以通過(guò)http,ftp或ldap獲得時(shí)，accessLocatio當(dāng)信息可以通過(guò)目錄訪問(wèn)協(xié)議獲得時(shí)，accessLocation必須是一個(gè)directoryName類型。當(dāng)信息可以通過(guò)電子郵件獲得時(shí)，accessLocation必須是一個(gè)rfc822Name類型。策略數(shù)據(jù)，如果主體是用戶，則描述了提供的服務(wù)的類型以及如何訪問(wèn)它們，在這種情況下，id-pe-SubjectInformationAccessOBJECTIDENTIFIER::={id-pe11}SubjectInfoAccessSyntax::=SEQUENCESIZE(1..MAX)OFAccessDescriptionAccessDescription::=SEQUENCE{accessMethodOBJECTIDENTIFIER,ID-InsuranceNumberOBJECTIDENTIFIER::={02}InsuranceNumber::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。ID-ICRegistrationNumberOBJECTIDENTIFIER::={02}此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。ID-OrganizationCodeOBJECTIDENTIFIER::={02}此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。納稅人識(shí)別號(hào)擴(kuò)展項(xiàng)用于表示各類機(jī)構(gòu)的納稅人識(shí)別號(hào)碼，其定義如下：ID-TaxationNumberOBJECTIDENTIFIER::={02}TaxationNumber::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。住房公積金賬號(hào)擴(kuò)展項(xiàng)用于表示各類機(jī)構(gòu)的住房公積金賬號(hào)號(hào)碼，其定義如下：ID-HousingProvidentFundAccountOBJECTIDENTIFIER::={12570.11.201}HousingProvidentFundAccount::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.23事業(yè)單位法人編碼InstitutionsNumber事業(yè)單位法人編碼擴(kuò)展項(xiàng)用于表示事業(yè)法人類機(jī)構(gòu)編碼，其定義如下：ID-InstitutionsNumberOBJECTIDENTIFIER::={12570.11.202}InstitutionsNumber::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.24社會(huì)組織法人編碼AssociationNumber社會(huì)組織法人編碼擴(kuò)展項(xiàng)用于表示社會(huì)組織法人類機(jī)構(gòu)編碼，其定義如下：ID-AssociationNumberOBJECTIDENTIFIER::={12570.11.203}AssociationNumber::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.25政府機(jī)關(guān)法人編碼GovernmentInstitutionsNumber政府機(jī)關(guān)法人編碼擴(kuò)展項(xiàng)用于表示政府機(jī)關(guān)法人編碼，其定義如下：ID-GovernmentInstitutionsNumberOBJECTIDENTIFIER::={12570.11.204}GovernmentInstitutionsNumber::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.26通用實(shí)體唯一標(biāo)識(shí)號(hào)GeneralSubjectUniqueID通用實(shí)體唯一標(biāo)識(shí)號(hào)擴(kuò)展項(xiàng)用于表示CA系統(tǒng)中證書持有者身份的唯一編碼。此項(xiàng)在證書申請(qǐng)時(shí)由CA生成唯一標(biāo)識(shí)號(hào)，采用不超過(guò)32字節(jié)的字符串；此項(xiàng)在證書更新、變更和恢復(fù)時(shí)保持不變。ID-GeneralSubjectUniqueIDOBJECTIDENTIFIER::={12570.11.205}GeneralSubjectUniqueID::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.27證書類別標(biāo)識(shí)CertTypelD證書類別標(biāo)識(shí)擴(kuò)展項(xiàng)用于表示證書根據(jù)應(yīng)用范圍、證書持有人等確定的證書類別。本規(guī)范此擴(kuò)展項(xiàng)取值為：“1”。ID-CertTypeIDOBJECTIDENTIFIER::={12570.11.206}CertTypeID::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.28特殊業(yè)務(wù)編碼SpecialAffairNumber12570.11.300開始預(yù)留擴(kuò)展，用于特殊業(yè)務(wù)編碼，其定義如下：ID-SpecialAffairNumberOBJECTIDENTIFIER::={12570.11.300}SpecialAffairNumber::=PRINTABLESTRING此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.29人保用戶唯一標(biāo)識(shí)號(hào)HRSSSubjectUn人保用戶唯一標(biāo)識(shí)號(hào)擴(kuò)展項(xiàng)用于兼容人保主管部門數(shù)字證書標(biāo)準(zhǔn)，代表證書持有者身份在相應(yīng)業(yè)務(wù)系統(tǒng)中