ICS 35.240 L67 保 DB5305 山 市 地 方 标 准 DB 5305/T 19.50—2019 替代 DG5305/T 19.50—2017 保山市信息惠民工程综合标准 第 50 部分:数字证书技术应用标准 2019 - 10 - 30 发布 保山市市场监督管理局 2019 - 11 - 01 实施 发 布 DB5305/T 19.50—2019 前    言 本标准按照GB/T 1.1—2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则起草。 本标准中附录A为规范性附录、附录B为规范性附录、附录C为规范性附录、附录D为资料性附录、附 录E为资料性附录、附录F为资料性附录、附录G为规范性附录、附录H为资料性附录、附录I为资料性附 录。 本标准由保山市大数据管理局提出。 本标准由保山市工业和信息化委员会归口。 本标准起草单位：保山市大数据管理局。 本标准主要起草人：刘志胡、王明超、李祖燕、丁威、银孟璐。 本标准替代DG5305/T 19.50—2017。 DB5305/T 19.50—2019 保山市信息惠民工程综合标准 第 50 部分 数字证书技术应用标准 1 范围 本标准规定了保山市信息惠民工程数字证书技术应用规范的术语和定义、缩略语、数字证书格式、 政务数字证书应用接口、政务数字证书业务规则，本标准适用于保山市信息惠民工程数字证书技术应用 规范建设。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 16284.4 信息技术 文本通信 面向信报的文本交换系统 第 4 部分：抽象服务定义和规程 GB/T 17969.1 信息技术 开放系统互连 OSI 登记机构的操作规程 第 1 部分：一般规程 DB5305/T 19.3-2019 保山市信息惠民工程综合标准 术语 3 术语和定义 DB5305/T 19.3-2019 确立的以及下列术语和定义适用于本标准。 3.1 公钥基础设施（PKI） 公钥基础设施指支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。 3.2 证书认证机构（CA） 证书认证机构指负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。 3.3 证书注册机构（RA） 证书注册机构是 CA 的组成部分，对证书申请的业务受理审核子系统概称为 RA，RA 按照 CA 制定的 政策和管理规范对用户的资信进行审查，以决定是否为该用户发放证书。 3.4 密钥管理中心（KMC） 密钥管理中心主要负责数字证书用户密钥的生成和管理，解决系统密钥和数字证书用户密钥自产生 到最终销毁的整个生命周期中的相关问题。 3.5 在线证书状态协议（OCSP） 在线证书状态协议是 IETF 颁布的用于检查数字证书在某一时间是否有效的标准。 3.6 依赖方 依赖方即指依赖于证书真实性的实体。在电子签名应用中，即为电子签名依赖方。 3.7 公钥证书 1 DB5305/T 19.50—2019 公钥证书指用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪 造。 3.8 证书吊销列表(CRL) 证书吊销列表是一种由证书签发者所认定的无效证书的清单。 3.9 终端实体 终端实体指不以签署证书为宗旨而使用其私钥的证书主体或者证书使用者。 3.10 政务数字证书 政务数字证书指用来标识电子政务参与方真实身份的数字证书，根据参与方的不同类别分为认证机 构证书、政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代 码签名证书。 3.11 政务个人证书 政务个人证书指颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。 3.12 政务机构证书 政务机构证书指颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。 3.13 政务设备证书 政务设备证书指颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。 3.14 政务服务器证书 政务服务器证书指颁发给参与电子政务的服务器实体，用来唯一标识服务器实体真实身份的数字证 书。 3.15 政务应用系统证书 政务应用系统证书指颁发给参与电子政务的应用系统实体，用来唯一标识应用系统实体真实身份的 数字证书。 3.16 政务代码签名证书 政务代码签名证书指颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字 证书。 4 缩略语 下列缩略语适用于本标准。 ——ASN：Abstract Syntax Notation，抽象语法表示法 ——BASE64 设计用来把任意序列的 8 位字节描述为一种不易被人直接识别的形式 ——BER：Basic Encoding Rules，基本编码规则 ——C：Country，国家 ——CA：Certificate Authority，证书认证机构 ——CN：Common Name，通用名 ——CRL：Certificate Revocation List，证书吊销列表 ——CSP：Cryptographic Service Provider，加密服务提供者 ——DER：Distinguished Encoding Rules，可区分编码规则 2 DB5305/T 19.50—2019 ——DN：Distinguished Name，甄别名 ——KMC：Key Management Centre，密钥管理中心 ——LDAP：Lightweight Directory Access Protocol，轻量级目录访问协议 ——O：Organization，机构 ——OCSP：Online Certificate Status Protocol，在线证书状态协议 ——OID：Object Identifier，对象标识符 ——OU：Organization Unit，机构单位 ——PKCS：The Public-Key Cryptography Standard，公钥密码使用标准 ——PKI：Public Key Infrastructure，公钥基础设施 ——RA：Registration Authority，证书注册机构 5 数字证书格式 5.1 政务数字证书通用格式 5.1.1 基本结构 政 务 数 字 证 书 的 基 本 结 构 由 三 部 分 组 成 ： 基 本 证 书 域 TBSCertificate 、 签 名 算 法 域 SignatureAlgorithm、签名值域 SignatureValue。政务数字证书的基本结构见图 1 所示。 图 1 政务数字证书的基本结构 政 务 数 字 证 书 基 本 结 构 5.1.2 基本证书域 TBSCertificate 签名算法域 SignatureAlgorithm 签名值域 SignatureValue 基本证书域 基本证书域由基本域和扩展域组成,基本证书域的结构见图 2 所示。 图 2 基本证书域的结构 基 本 证 书 域 5.1.3 基本域 扩展域 基本域 基本域包括但不限于如下部分组成：基本域应符合附录 A 的规定。 ——版本 Version ——序列号 SerialNumber ——签名算法 SignatureAlgorithm 3 DB5305/T 19.50—2019 ——颁发者 Issuer ——有效期 Validity ——主体 Subject ——主体公钥信息 SubjectPublicKeyInfo ——颁发者唯一标识符 IssuerUniqueID ——主体唯一标识符 SubjectUniqueID 5.1.4 扩展域 5.1.4.1 政务数字证书扩展域 政务数字证书可使用扩展域。政务数字证书扩展域可包含多项扩展项。每项扩展项由扩展类型、扩 展关键度和扩展项值组成。政务数字证书可使用 IETF RFC 3280 中定义的包括但不限于如下证书扩展项： 政务数字证书扩展域应符合附录 B.1 的规定。 ——机构密钥标识符 AuthorityKeyIdentifier ——主体密钥标识符 SubjectKeyIdentifier ——密钥用法 KeyUsage ——扩展密钥用途 ExtendedKeyUsage ——私有密钥使用期 PrivateKeyUsagePeriod ——证书策略 CertificatePolicies ——策略映射 PolicyMappings ——主体替换名称 SubjectAlternativeName ——颁发者替换名称 IssuerAlternativeName ——主体目录属性 SubjectDirectoryAttributes ——基本限制 BasicConstraints ——名称限制 NameConstraints ——策略限制 PolicyConstraints ——证书撤销列表分发点 CRLDistributionPoints ——限制任意策略 InhibitAnyPolicy ——最新证书撤销列表 FreshestCRL ——机构信息访问 AuthorityInformationAccess ——主体信息访问 SubjectInformationAccess 5.1.4.2 政务数字证书私有扩展项 本标准还包括但不限于如下私有扩展项： ——个人身份证号码 IdentifyCardNumber ——个人社会保险号 InsuranceNumber ——组织机构代码 OrganizationCode ——工商注册号 ICRegistrationNumber ——税号 TaxationNumber ——主体银行基本账号 SubjectBasicAccount 5.1.5 签名算法域 包含 CA 颁发该证书所使用的密码算法的标识符，应与基本证书域中的签名算法项所标识的签名算 法相同。可选参数的内容完全依赖所标识的具体算法。 5.1.6 签名值域 包含对基本证书域进行数字签名的结果。经过 ASN.1 DER 编码的基本证书域作为数字签名算法的输 入，签名的结果按照 ASN.1 编码成 BIT STRING 类型并保存在签名值域。 5.1.7 5.1.7.1 命名规范 主体 4 DB5305/T 19.50—2019 政务数字证书中的主体 DN 应是 C=CN 命名空间下的 X.500 目录唯一名字。C（Country）属性的编码