电子政务数字证书技术应用规范

isaISAICS 35.240.60 L 67 湖 北 省 地 方 标 准 DB42 DB42/T 452 2008 湖北省电子政务数字证书技术应用规范 HuBei Province Electronic Government Digital Certificate Technical Application Specification 2008-01-04 发布 2008-02-01 实施 湖北省质量技术监督局 发布 DB42/T 452 2008 I 目 次 前 言 . III 引 言 . IV 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 1 3.1 术语和定义 . 1 3.2 缩略语 . 3 4 数字证书格式 . 3 4.1 政务数字证书通用格式 . 3 4.2 认证 机构证书格式 . 6 4.3 政务个人证书格式 . 7 4.4 政务机构证书格式 . 8 4.5 政务设备证书格式 . 8 4.6 政务服务器证书格式 . 9 4.7 政务应用系统证书格式 . 10 4.8 政务代码签名证书格式 . 11 5 政务数字证书应用接口 . 11 5.1 政务数字证书应用体系结构 . 11 5.2 政务数字证书应用接口组成和功能说明 . 12 5.3 政务数字证书应用程序接口函数定义 . 13 6 政务数字证书业务规则 . 20 6.1 政务数字证书签发 . 20 6.2 政务数字证书使用 . 21 6.3 政务数字证书维护 . 21 6.4 政务数字证书载体 . 22 6.5 政务数字证书实体查询 . 22 附 录 A （规范性附录） 基本域说明 . 23 A.1 版本（ Version ） . 23 A.2 序列号（ SerialNumber ） . 23 A.3 签名算法 （ SignatureAlgorithm ） . 23 A.4 颁发者 （ Issuer ） . 23 A.5 有效期 （ Validity ） . 23 A.6 主体（ Subject ） . 23 A.7 主体公钥信息（ SubjectPublic KeyInfo） . 23 A.8 颁发者唯一标识符（ IssuerUniqueID） . 23 A.9 主体唯一标识符（ SubjectUniqueID） . 23 附 录 B （规范性附录） 扩展域说明 . 24 B.1 政务数字证书通用格式扩展域说明 . 24 B.1.1 机构密钥标识符 . 24 DB42/T 452 2008 II B.1.2 主体密钥标识符 . 24 B.2 认证机构证书格式扩展域说明 . 26 B.3 政务个人证书格式扩展域说明 . 27 B.4 政务机构证书格式扩展域说明 . 28 B.5 政务设备证书格式扩展域说明 . 29 B.6 政务服务器证书格式扩展域说明 . 30 B.7 政务应用系统证书格式扩展域说明 . 31 B.8 政务代码签名证书格式扩展域说明 . 31 附 录 C （规范性附录） 政务数字证书模板 . 33 附 录 D （资料性附 录） 主体命名示例 . 34 D.1 政务个人证书 . 34 D.2 政务机构证书 . 34 D.3 政务设备证书 . 34 D.4 政务服务器证书 . 35 D.5 政务应用系统证书 . 35 D.6 政务代码签名证书 . 35 附 录 E （资料性附录） 主体可选替换名称命名示例 . 36 E.1 政务个人证书 . 36 E.2 政务机构证书 . 36 E.3 政务设备证书 . 36 E.4 政务服务器证书 . 37 E.5 政务应用系统证书 . 37 E.6 政务代码签名证书 . 37 附 录 F （资料性附录） 政务数字证书编码示例 . 37 附 录 G （规范性附录） 数字证书应用接口常量定义和说明 . 41 G.1 证书类型 . 41 G.2 证书信息 . 42 附 录 H （资料性附录） 数字证书典型应用示例 . 43 H.1 典型业务流程 . 43 H.2 登录程序基本流程 . 43 附 录 I （资料性附录） 政务数字证书注册机构和受理点建设样例 . 44 I.1 注册机构和受理点功能 . 44 I.2 注册机构和受理点在 PKI 体系中的位置 . 45 I.3 证书注册机构逻辑结构 . 45 I.4 受理点逻辑结构 . 45 DB42/T 452 2008 III 前 言 本标准的附录 A、附录 B、附录 C 和附录 G 为规范性附录，附录 D、附录 E、附录 F、附录 H 和附录 I 为资料性附录。 本标准由湖北省电子政务工作领导小组办公室提出。 本标准由湖北省标准化协会电子政务专业委员会归口。 本标准主要起草单位：湖北省数字证书认证管理中心有限公司、武汉大学计算机学院、湖北省标准化研究院。 本标准主要起草人：田造民、涂航、熊星、潘登、葛愿维、冯翔、吴焱。 DB42/T 452 2008 IV 引 言 随着我省电子政务平台的运行和省电子政务应用的深入开展，为了加强全省政务网的总体安全，保证全省数字证书策略的一致性，省电子政务办出台了规范全省数字证书的通知。本着这一精神，为指导我省电子政务数字证书应用，规范数字证书应用行为，确保数字证书在电子政务活动中能够通用，实现网络互联互通和信息共享并一证多用，满足湖北省信息化和电子政务发展的迫切需求， 故 制定 本标准 。 数字证书是 PKI 技术的关键要素之一，以 PKI 为核心的网络身份认证体系和信息加密技术已成为业界广泛认同的一种构造网络身份信任体系的重 要方式，并成为信息安全保障体系中极其重要的组成部分之一。 数字证书是传送和处理实体身份鉴别信息的重要载体，通过数字证书和身份认证确认电子政务参与方的各自身份，建立彼此间的信任关系以及保证信息的保密性、完整性和可用性。 本标准总体上同国家相关标准保持一致，并结合湖北省实际制定。 本标准 规定了政务数字证书的通用格式，规定了提供服务的认证机构证书、政务个人证书、政务机构证书、政务设备证书 、政务服务器证书、政务应用系统证书 和政务代码签名证书的格式和模板，对数字证书的应用接口进行描述，是湖北省电子政务数字证书应 用的依据。 本标准 不对属性证书作出详细的格式与应用的规定，但可作为属性证书应用的参考。 DB42/T 452 2008 1 湖北省电子政务数字证书技术应用规范 1 范围 本标准规定了湖北省电子政务数字证书格式、应用接口和业务规则。 本标准适用于电子认证服务机构、数字证书认证系统及相关产品的供应商、应用开发商的设计和开发。 本标准适用于 应用部门 在湖北省电子政务的办公、社会管理和公共服务等政务活动，也可适用于电子商务应用。 本标准规定的电子政务数字证书格式适用于认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证 书、政务代码签名证书。 本标准 规定的电子政务数字证书格式适用于加密证书和签名证书。 本标准 不涉及任何具体的密码运算，所有密码运算均在符合国家有关法律法规的密码设备中进行。 本标准 凡涉及密码相关内容，按国家有关法律法规实施。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 16284.4-1996 信息技术 文本通信 面向信报的文本交换系统 第 4部分：抽象服务定义和规程 GB/T 17969.1-2000 信息技术 开放系统互连 OSI登记机构的操作规程 第 1部分：一般规程 DB 42/T 362 2006 电子政务术语 ISO/IEC 9594-2:2001 Information technology -Open Systems Interconnection - The Directory: Models 信息技术 .开放系统互连 .目录 :模型 IETF RFC 791 Internet Protocol Internet协议 IETF RFC 822 Standard for the format of ARPA Internet text messages ARPA 英特网文本消息格式标准 IETF RFC 1034 Domain names - concepts and facilities 域名 -概念和设施 IETF RFC 1630 Universal Resource Identifiers in WWW: A Unifying Syntax for the Expression of Names and Addresses of Objects on the Network as used in the World-Wide Web WWW中的全球资源 标识符：类似 WWW的网络目标的名字和地址表达的统一句法 RFC1738 统一资源定位器 IETF RFC 1738 Uniform Resource Locators (URL) 统一资源定位器 (URL) IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile 因特网 X.509公开密钥基础设施证书与证书撤销列表轮廓 PKCS#7: Cryptographic Message Syntax Standard PKCS#7:密码消息语法标准 PKCS#11: Cryptographic Token Interface Standard PKCS#11:密码令牌接口标准 3 术语 、 定义 和 缩略语 3.1 术语和定义 DB42/T 452 2008 2 DB 42/T 362 2006 确立的 以及 下列 术语和定义适用于本标准 。 3.1.1 公钥基础设施（ PKI） Public Key Infrastructure 支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。 3.1.2 证书认证机构（ CA） Certificate Authority 负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥 。 3.1.3 证书注册机构（ RA） Registration Authority RA是 CA 的组成部分，对证书申请的业务受理审核子系统概称为 RA， RA按照 CA制定的政策和管理规范对用户的资信进行审查，以决定 是否为该用户发放证书。 3.1.4 密钥管理中心（ KMC） Key Management Centre 密钥管理中心。 主要负责数字证书用户密钥的生成和管理，解决系统密 钥和数字证书用户密钥自产生到最终销毁的整个生命周期中的相关问题。 3.1.5 在线证书状态协议（ OCSP） Online Certificate Status Protocol 在线证书状态协议 ，是 IETF 颁布的用于检查数字证书在某一时间是否有效的标准。 3.1.6 依赖方 Relying Party 即指依赖于证书真实性的实体。在电子签名应用中，即为电子签名依赖方。 3.1.7 公 钥证书 Public Key Certificate 用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。 3.1.8 证书吊销列表 (CRL) Certificate Revocation List 一种由证书签发者所认定的无效证书的清单。 3.1.9 终端实体 End Entity 不以签署证书为目的而使用其私钥的证书主体或者证书使用者。 3.1.10 政务数字证书 Government Affair Digital Certificate 用来标识电子政务参与方真实身份的数字证书 ， 根据参与方的不同类别分为认 证机构证书、政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代码签名证书。 3.1.11 政务个人证书 Government Affair Person Certificate 颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。 3.1.12 政务机构证书 Government Affair Unit Certificate 颁发给 参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。 3.1.13 政务设备证书 Government Affair Device Certificate 颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。 DB42/T 452 2008 3 3.1.14 政务 服务器 证书 Government Affair Server Certificate 颁发给参与电子政务的 服务器 实体，用来唯一标识 服务器 实体真实身份的数字证书。 3.1.15 政务 应用系统 证书 Government Aaffair Application Certificate 颁发给参与电子政务的 应用系统 实体，用来唯一标识 应用系统 实体真实身份的数字证书。 3.1.16 政务代码签名证书 Government Affair Code Signing Certificate 颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字证书。 3.2 缩略语 下列缩略语适用于本标准： ASN Abstract Syntax Notation 抽象语法表示法 BASE64 设计用来把任意序列的 8 位字节描述为一种不易被人直接识别的形式 BER Basic Encoding Rules 基本编码规则 C Country 国家 CA Certificate Authority 证书认证机构 CN Common Name 通用名 CRL Certificate Revocation List 证书吊销列表 CSP Cryptographic Service Provider 加密服务提供者 DER Distinguished Encoding Rules 可区分编码规则 DN Distinguished Name 甄别名 KMC Key Management Centre 密钥管理中心 L Location 市州 LDAP Lightweight Directory Access Protocol 轻量级目录访问协议 O Organization 机构 OCSP Online Certificate Status Protocol 在线证书状态协议 OID Object Identifier 对象标识符 OU Organization Unit 机构单位 PKCS The Public-Key Cryptography Standard 公钥密码使用标准 PKI Public Key Infrastructure 公钥基础设施 RA Registration Authority 证书注册机构 S State 省份 4 数字证书格式 4.1 政务数字证书通用格式 4.1.1 基本结构 政务数 字证书 的基本 结构 由三部 分组 成：基 本证书 域 TBSCertificate 、 签名 算法域SignatureAlgorithm、签名值域 SignatureValue。 政务数字证书的基本结构，见图 1。 DB42/T 452 2008 4 基 本 证 书 域T B S C e r t i f i c a t e签 名 算 法 域S i g n a t u r e A l g o r i t h m签 名 值 域S i g n a t u r e V a l u e政务数字证书基本结构 图 1 政务数字证书的基本结构 4.1.2 基本证书域 基本证书域由基本域和扩展域组成。基本证书域结构，见图 2。 基本证书域基 本 域扩 展 域 图 2 基本证书域结构 4.1.3 基本域 基本域由如下部分组成： 版本 Version 序列号 SerialNumber 签名算法 SignatureAlgorithm 颁发者 Issuer 有效期 Validity 主体 Subject 主体公钥信息 SubjectPublicKeyInfo 颁发者唯一标识符 IssuerUniqueID 主体唯一标识符 SubjectUniqueID 基本域应符合 附录 A 的规定。 4.1.4 扩展域 政务数字证书可使用扩展域。 政务数字证书扩展域可包含多项扩展项。每项扩展项由扩展类型、扩展关键度和扩展项值组成。 政务数字证书可使用 IETF RFC 3280 中定义的如下证书扩展项： 机构密钥标识符 AuthorityKeyIdentifier 主体密钥标识符 SubjectKeyIdentifier 密钥用法 KeyUsage 扩展密钥用途 ExtendedKeyUsage 私有密钥使用期 PrivateKeyUsagePeriod 证书策略 CertificatePolicies 策略映射 PolicyMappings 主体替换名称 SubjectAlternativeName 颁发者替换名称 IssuerAlternativeName 主体目录属性 SubjectDirectoryAttributes 基本限制 BasicConstraints DB42/T 452 2008 5 名称限制 NameConstraints 策略限制 PolicyConstraints 证书撤销列表分发点 CRLDistributionPoints 限制任意策略 InhibitAnyPolicy 最新证书撤销列表 FreshestCRL 机构信息访问 AuthorityInformationAccess 主体信息访问 SubjectInformationAccess 除上述证书扩展项， 本标准 还支持如下私有扩展项： 个人身份证号码 IdentifyCardNumber 个人社会保险号 InsuranceNumber 组织机构代码 OrganizationCode 工商注册号 ICRegistrationNumber 税号 TaxationNumber 主体银行基本账号 SubjectBasicAccount 政务数字证书扩展域 应符合 附录 B.1 的规定 。 4.1.5 签名算法域 包含 CA 颁发该证书所使用的密码算法的标识符，应与基本证书域中的签名算法 项 所标识的签名算法相同。可选参数的内容完全依赖所标识的具体算法。 4.1.6 签名值域 包含对基本证书域进行数字签名的结果。经过 ASN.1 DER 编码的基本证书域作为数字签名算法的输入，签名的结果按照 ASN.1 编码成 BIT STRING 类型并保存在签名值域。 4.1.7 命名规范 主体 政务数字证书中的主体 DN 应是 C=CN 命名空间下的 X.500 目录唯一名字。 C（ Country）属性的编 码使用 PrintableString，其它属性的编码使用 UTF8String。主体的 X.500 DN 如下： C=CN S= L= O= OU= CN= a) C（ Country）应为 CN，表示中国。 b) S（ State）应为证书主体所在省份。 c) L（ Location）应为证书主体所在 市州 。 d) O（ Organization）应为证书主体所属单位的上一级单位的名称 全称； e) OU（ OrganizationUnit）应为证书主体或者证书主体所属单位的名称全称； f) CN（ CommonName）中的内容分为 6 种： 1） 政务个人证书中应为证书主体的姓名； 2） 政务机构证书中应为证书主体单位的 名称 ； 3） 政务设备证书中应为证书主体设备的设备编码； 4） 政务服务器证书中应为证书主体服务器的域名或 IP，宜为域名； 5） 政务应用系统证书中应为证书主体应用系统的应用系统编码； 6） 政务代码签名证书中应为负责人的姓名，或者是所属单位的 名称 。 主体命名示例 参 见附录 D。 DB42/T 452 2008 6 主体替换名称 政务数字证书的主体替换名称扩展项包含一个或多个替换名供实体使用， CA 把该实体与认证的公开密钥绑定在一起。 主体替换名称扩展允许把附加身份加到证书的主体上。所定义的选项包括因特网电子邮件地址、DNS 名称、 IP 地址和统一资源标识符（ URI），及纯本地定义的选项。 此项定义如下： a) otherName 是按照 OTHER-Name 信息客体类别实例定义的任一种形式的名称； b) rfc822Name 是按照 Internet RFC822 定义的 Internet 电子邮件地址，政务个人证书、政务机构证书、政务设备 证书、政务服务器证书、政务应用系统证书、政务代码签名证书宜包含电子邮件地址 Email； c) DNSName 是按照 RFC1034 定义的 Internet 域名，政务设备证书、政务服务器证书、政务应用系统证书可包含域名地址； d) x400Address 是按照 GB/T 16284.4-1996 定义的 O/R 地址； e) directoryName 是按照 ISO/IEC 9594-2:2001 定义的目录名称； f) ediPartyName 是通信的电子数据交换双方之间商定的形式名称， nameAssigner 成分标识了分配partyName 中 唯一名称值的机构； g) uniformResourceIdentifier 是按 Internet RFC1630 定义的用于 WWW 的 UniformResourceIdentifer，RFC1738 中定义的 URL 语法和编码规则； h) iPAddress 是按照 Internet RFC791 定义的用二进制串表示的 Internet Protocol 地址； i) registeredID 是按照 GB/T 17969.1-2000 对注册的客体分配的标识符。 directoryName 的 X.500 DN 应是 C=CN 命名空间下的 X.500 目录 唯一名字。 主体替换名称命名示例参见附录 E。 4.1.8 政务数字证书编码示例 政务数字证书编码参见 附录 F。 4.2 认证机构证书格式 4.2.1 概述 认证机构证书为 颁发给参与电子政务的证书认证机构的数字证书 。 认证机构证书简称电子政务 CA 证书。 认证机构证书由基本证书域、签名算法域和签名值域组成。 4.2.2 认证机构证书基本证书域 基本证书域由基本域和扩展域组成。 4.2.3 认证机构证书基本域 认证机构证书基本域应符合附录 A 的规定。 4.2.4 认证机构证书扩展域 CA 证书可包含如下扩展项： 机构密钥标识符 AuthorityKeyIdentifier 主体密钥标识符 SubjectKeyIdentifier 密钥用法 KeyUsage 扩展密钥用途 ExtendedKeyUsage 私有密钥使用期 PrivateKeyUsagePeriod 证书策略 CertificatePolicies 策略映射 PolicyMappings 主体替换名称 SubjectAlternativeName 颁发者替换名称 IssuerAlternativeName DB42/T 452 2008 7 主体目录属性 SubjectDirectoryAttributes 基本限制 BasicConstraints 名称限制 NameConstraints 策略限制 PolicyConstraints 证书撤销列表分发点 CRLDistributionPoints 限制任意策略 InhibitAnyPolicy 最新证书撤销列表 FreshestCRL 机构信息访问 AuthorityInformationAccess 主体信息访问 SubjectInformationAccess 认证机构 数字证书扩展域 应符合附录 B.2 的规定。 4.2.5 认证机构证书签名算法域 认证机构证书签名算法域 应 符合 4.1.3 的规定。 4.2.6 认证机构证书签名值域 认证机构证书签名值域 应 符合 4.1.4 的规定。 4.2.7 认证机构证书模板 认证机构证书模板应符合附录 C 的规定。 4.3 政务个人证书格式 4.3.1 概述 政务个人证书为 颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。 政务个人证书由基本证书域、签名算法域和签名值域组成。 4.3.2 政务个人证书基本证书域 基本证书域由基本域和扩展域组成。 4.3.3 政务个人证书基本域 政务个人证书基本域应符合附录 A 的规定。 4.3.4 政务个人证书扩展域 政务个人证书扩展域可包含如下扩展项： 机构密钥标 识符 AuthorityKeyIdentifier 主体密钥标识符 SubjectKeyIdentifier 密钥用法 KeyUsage 扩展密钥用途 ExtendedKeyUsage 私有密钥使用期 PrivateKeyUsagePeriod 证书策略 CertificatePolicies 主体替换名称 SubjectAlternativeName 颁发者替换名称 IssuerAlternativeName 主体目录属性 SubjectDirectoryAttributes 基本限制 BasicConstraints 证书撤销列表分发点 CRLDistributionPoints 最新证书撤销列表 FreshestCRL 机构信息访问 AuthorityInformationAccess 主体信息访问 SubjectInformationAccess 个人身份证号码 IdentifyCardNumber 个人社会保险号 InsuranceNumber 主体银行基本账号 SubjectBasicAccount 政务 个人 证书扩展域 应符合附录 B.3 的规定。 DB42/T 452 2008 8 4.3.5 政务个人证书签名算法域 政务个人证书签名算法域应符合 4.1.3 的规定。 4.3.6 政务个人证书签名值域 政务个人证书签名值域应符合 4.1.4 的规定。 4.3.7 政务个人证书模板 政务个人证书模板应符合附录 C 的规定。 4.4 政务机构证书格式 4.4.1 概述 政务机构证书为 颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。 政务机构证书由基本证书域、签名算法域和签名值域组成。 4.4.2 政务机构基本证书域 基本证书域由基本域和扩展域组成。 4.4.3 政务机构证书基本域 政务机构证书基本域应符合附录 A 的规定。 4.4.4 政务机构证书扩展 域 政务机构证书扩展域可包含如下扩展项： 机构密钥标识符 AuthorityKeyIdentifier 主体密钥标识符 SubjectKeyIdentifier 密钥用法 KeyUsage 扩展密钥用途 ExtendedKeyUsage 私有密钥使用期 PrivateKeyUsagePeriod 证书策略 CertificatePolicies 主体替换名称 SubjectAlternativeName 颁发者替换名称 IssuerAlternativeName 主体 目录属性 SubjectDirectoryAttributes 基本限制 BasicConstraints 证书撤销列表分发点 CRLDistributionPoints 最新证书撤销列表 FreshestCRL 机构信息访问 AuthorityInformationAccess 主体信息访问 SubjectInformationAccess 工商注册号 ICRegistrationNumber 组织机构代码 OrganizationCode 税号 TaxationNumber 主体银行基本账号 SubjectBasicAccount 政务 机构 证书扩展域 应符合附录 B.4 的规定。 4.4.5 政务机构证书签名算法域 政务机构证书签名算法域应符合 4.1.3 的规定。 4.4.6 政务机构证书签名值域 政务机构证书签名值域应符合 4.1.4 的规定。 4.4.7 政务机构证书模板 政务机构证书模板应符合附录 C 的规定。 4.5 政务设备证书格式 4.5.1 概述 政务设备证书为 颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。 DB42/T 452 2008 9 政务设备证书由基本证书域、签名算法域和签名值域组成。 4.5.2 政务设备基本证书域 基本证书域由基本 域和扩展域组成。 4.5.3 政务设备证书基本域 政务设备证书基本域应符合附录 A 的规定。 4.5.4 政务设备证书扩展域 政务设备证书扩展域可包含如下扩展项： 机构密钥标识符 AuthorityKeyIdentifier 主体密钥标识符 SubjectKeyIdentifier 密钥用法 KeyUsage 扩展密钥用途 ExtendedKeyUsage 私有密钥使用期 PrivateKeyUsagePeriod 证书策略 CertificatePolicies 主体替换名称 SubjectAlternativeName 颁发者替换名称 IssuerAlternativeName 主体目录属性 SubjectDirectoryAttributes 基本限制 BasicConstraints 证书撤销列表分发点 CRLDistributionPoints 最新证书撤销列表 FreshestCRL 机构信息访问 AuthorityInformationAccess 主体信息访问 SubjectInformationAccess 政务 设备 证书扩展域 应符合附录 B.5 的规定。 4.5.5 政务 设备证书签名算法域 政务设备证书签名算法域应符合 4.1.3 的规定。 4.5.6 政务设备证书签名值域 政务设备证书签名值域应符合 4.1.4 的规定。 4.5.7 政务设备证书模板 政务设备证书模板应符合附录 C 的规定。 4.6 政务服务器证书格式 4.6.1 概述 政务服务器证书为颁发给参与电子政务的各服务器实体，用来唯一标识服务器实体真实身份的数字证书。 政务服务器证书由基本证书域、签名算法域和签名值域组成。 4.6.2 政务服务器基本证书域 基本证书域由基本域和扩展域组成。 4.6.3 政务服务器证书基本域 政务服务器证书基本域应符合附录 A 的规定。 4.6.4 政务服务器证书扩展 域 政务服务器证书扩展域可包如下扩展项： 机构密钥标识符 AuthorityKeyIdentifier 主体密钥标识符 SubjectKeyIdentifier 密钥用法 KeyUsage 扩展密钥用途 ExtendedKeyUsage 私有密钥使用期 PrivateKeyUsagePeriod DB42/T 452 2008 10 证书策略 CertificatePolicies 主体替换名称 SubjectAlternativeName 颁发者替换名称 IssuerAlternativeName 主体目录属性 SubjectDirectoryAttributes 基本限制 BasicConstraints 证书撤销列表分发点 CRLDistributionPoints 最新证书撤销列表 FreshestCRL 机构信息访问 AuthorityInformationAccess 主体信息访问 SubjectInformationAccess 政务 服务器 证书扩展域 应符合附录 B.6 的规定。 4.6.5 政务服务器证书签名算法域 政务服务器证书签名算法域应符合 4.1.3 的规定。 4.6.6 政务服务器证书签名值域 政 务服务器证书签名值域应符合 4.1.4 的规定。 4.6.7 政务服务器证书模板 政务服务器证书模板应符合附录 C 的规定。 4.7 政务应用系统证书格式 4.7.1 概述 政务应用系统证书为颁发给参与电子政务的各应用系统实体，用来唯一标识应用系统实体真实身份的数字证书。 政务应用系统证书由基本证书域、签名算法域和签名值域组成。 4.7.2 政务应用系统基本证书域 基本证书域由基本域和扩展域组成。 4.7.3 政务应用系统基本证书域 政务应用系统基本证书域应符合附录 A 的规定。 4.7.4 政务应用系统证书扩展域 政务应用系统证书扩展域可包如下扩展项： 机构密钥标识符 AuthorityKeyIdentifier 主体密钥标识符 SubjectKeyIdentifier 密钥用法 KeyUsage 扩展密钥用途 ExtendedKeyUsage 私有密钥使用期 PrivateKeyUsagePeriod 证书策略 CertificatePolicies 主体替换名称 SubjectAlternativeName 颁发者替换名称 IssuerAlternativeName 主体目录属性 SubjectDirectoryAttributes 基本限制 BasicConstraints 证书撤销列表分发点 CRLDistributionPoints 最新证书撤销列表 FreshestCRL 机构信息访问 AuthorityInformationAccess 主体信息访问 SubjectInformationAccess 政务 应用系统 证书扩展域 应符合附录 B.7 的规定。 4.7.5 政务应用系统证书签名算法域 政务应用系统证书签名算法域应符合 4.1.3 的规定。 DB42/T 452 2008 11 4.7.6 政务应用系统证书签名值域 政务应用系统证书签名值域应符合 4.1.4 的规定。 4.7.7 政务应用系统证书 模板 政务应用系统证书模板应符合附录 C 的规定。 4.8 政务代码签名证书格式 4.8.1 概述 政务代码签名证书为 颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字证书。 政务代码签名证书由基本证书域、签名算法域和签名值域组成。 4.8.2 政务代码签名基本证书域 基本证书域由基本域和扩展域组成。 4.8.3 政务代码签名证书基本域 政务代码签名证书基本域应符合附录 A 的规定。 4.8.4 政务代码签名证书扩展域 政务代码签名证书扩展域可包含如下扩展项： 机构密钥标识符 AuthorityKeyIdentifier 主体密钥标识符 SubjectKeyIdentifier 密钥用法 KeyUsage 扩展密钥用途 ExtendedKeyUsage 私有密钥使用期 PrivateKeyUsagePeriod 证书策略 CertificatePolicies 主体替换名称 SubjectAlternativeName 颁发者替换名称 IssuerAlternativeName 主体目录属性 SubjectDirectoryAttributes 基本限制 BasicConstraints 证书撤销列表分发点 CRLDistributionPoints 最新证书撤销列表 FreshestCRL 机构信息访问 AuthorityInformationAccess 主体信息访问 SubjectInformationAccess 政务 代码签名 证书扩展域 应符合附录 B.8 的规定。 4.8.5 政务代码签名证书签名算法域 政务代码签名证书签名算法域应符合 4.1.3 的规定。 4.8.6 政务代码签名证书签名值域 政务代码签名证书签名值域应符合 4.1.4 的规定。 4.8.7 政务代码签名证书模板 政务代码签名证书模板应符合附录 C 的规定。 5 政务数字证书应用 接口 5.1 政务数字证书应用 体系结构 政务数字证书应用 体系结构如图 3 所示。 政务数字证书支持多种应用方式，可利用 CA 提供的数字证书应用程序接口进行定制开发，实现登录和身份认证等基本应用，也可 应用已有标准协议和标准中间件，例如： 1) 安全套接层协议（ SSL， Security Socket Layer） ， SSL 协议指定了一种在应用程序协议（如 HTTP、 Telnet、 NMTP 和 FTP 等）和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接DB42/T 452 2008 12 提供数据加密、服务器认证、消息完整性以及可选的客户机认证。 2) 安全 多媒体 Internet邮件扩展协议（ S/MIME）主要用于保障电子邮件的安全传输。例如：微软的 outlook express中使用该协议，采用数字标识、数字凭证、数字签名以及非对称密钥系统等技术，构成一种签名加密的邮件收发方式。 3) XML 密钥信息服务规范（ XKISS） ， XKMS为允许客户机应用程序认证经过加密 /签名的数据提供机制。 身 份 认 证 保 密 性 完 整 性 不 可 否 认 性应 用 程 序数 字 证 书 应 用 中 间 件应 用 程 序 接 口S / M I M E 协 议 X K M S 协 议 S S L 协 议数 字 证 书密 码 设 备 （ 加 密 机 、 密 码 卡 、 u s b k e y 等 ）应 用 层接 口 层系 统 层 图 3 政务数字证书应用 体系结构 5.2 政务数字证书应用接口组成和功能说明 政务 数字证书应用接口位于应用系统和 政务数字证书 之间，应 用程序通过调用 政务数字证书 应用接口实现身份认证、实现信息的保密性、完整性和不可否认性； 政务数字证书 应用接口通过标准接口，在密码设备中实现具体的密码运算和密钥使用。 政务数字证书 应用接口支持 PKCS#11和 CSP接口方式，提供的消息函数符合 PKCS#7格式。 政务数字证书 应用接口由以下部分组成： 初始化函数 证书函数 算法服务函数 原文操作函数 文件操作函数 除上述程序接口以外， CA应提供字符串编码及异常处理等辅助函数。 5.2.1 初始化函数 初始化函数负责创建和管理安全程序空间， 加载 和管理安全程序空间中所需的各种资源，完成与系统、密码设备的连接准备。 可 通过初始化函数加载配置文件对 以下内容进行设置 ： 应用工作路径 系统字符集 应用程序字符集 日志文件 系统 可 信任的 证书 DB42/T 452 2008 13 CRL 在具体的应用中可通过直接加载配置文件进行 应用配置， 不必调用 初始化函数。 5.2.2 证书函数 证书函数 用于 获取 和验证政务数字证书及提取证书信息。 应用程序 可 通过 该类 函数，实现基于 政务数字证书的身份认证、 授权管理、访问控制等安全机制。 应 先获取相关证书的 CRL或证书的状态，然后调用相关函数进行证 书验证， 在确 定证书的有效性后调用该类函数 。 5.2.3 算法服务函数 算法服务函数 用于 设置签名和加密算法 。 不 调 用 该 函数 将 采用 系统 初始化 时确定的 默认算法。 5.2.4 原文操作函数 原文操作函数 对字符串数据 进行操作实现以下功能： 数据签名，数据加密，验证签名数据，验证加密数据，获取签名信息，获取加密信息等操作，实现信息的保密性、完整性和不可否认性。 对原文进行操作前，应使用证书函数对 证书 进行设置 。 5.2.5 文件操作函数 文件操作函数 对数据文件 进行操作实现以下功能 ：数据签名，数据加密，验证签名数据，验证加密数据，获取签名信息，获取加密信息等操 作，实现文件信息的保密性、完整性和不可否认性。 对 文件 进行操作前， 应使用证书函数对 证书 进行设置 。 5.3 政务数字证书应用程序接口函数定义 5.3.1 初始化函数 初始化函数 Init，定义如表 1。 表 1 初始化函数 Init 函数名称 Init( String str ) 功能 初始化签名系统 参数说明 str - 配置文件路径 返回值 无 5.3.2 证书函数 证书函数包括如下函数： 设置证书函数： SetCert 证书选择方式函数： SetCertChooseType 证书信息函数： GetCertInfo 证书选择方 式函数 证书 选择方式 函数 SetCertChooseType，定义如表 2。 表 2 证书选择方式函数 SetCertChooseType 函数名称 SetCertChooseType( int nType ) 功能 指定证书选择的方式 参数说明 nType - 证书选择的类型 (0 表示只有一张证书时也弹出证书选择框 ,1 表示只有一张证书时将不弹出证书选择框 ,默认值为 0) 返回值 类型为 long 0 表示成功， 0 表示失败的错误码 设置证书函数 设置证书函数 SetCert，定义如表 3。 DB42/T 452 2008 14 表 3 设置证书函数 SetCert 函数名称 SetCert( String strCertType, String strDN, String strSN, String strEmail, String strDNIssuer, String strCertBase64 ) 功能 通过指定参数来设置证书 参数说明 strCertType 证书的类型 (见附录 G.1) strDN - 证书的主题 (Distinguished Name) strSN - 证书的序列号 (Serial Number) strEmail - 证 书的主题中的 Email 项 strDNIssuer - 证书的颁发者主题 (Distinguished Name of Issuer) strCertBase64 - 证书的 BASE64 编码 返回值 成功： 0 失败： long型错误代码 证书信息函数 证书 信息 函数 GetCertInfo，定义如表 4。 表 4 证书信息函数 GetCertInfo 函数名称 GetCertInfo( String strCertType, int nInfoType, String strOID ) 功能 获得证书 中的相应信息 参数说明 strCertType - 证书的类型 ,见附录 G.1 nInfoType - 证书信息的类型 , 见附录 G.2 strOID - 证书扩展标识，如果 type等于证书扩展， strOID输入项不可为空 返回值 成功：返回字符型证书信息 失败：返回 null 5.3.3 算法服务函数 算法服务 函数 SetAlgorithm，定义如表 5。 表 5 算法服务函数 SetAlgorithm 函数名称 SetAlgorithm( String strSignType, String strEncType ) 功 能 设置签名算法、加密算法 参数说明 strSignType - 签名算法类型 strEncType - 加密算法类型 返回值 成功：返回 0 失败：返回错误代码 DB42/T 452 2008 15 5.3.4 原文操作函数 原文操作函数包括如下函数： 签名函数 验证签名函数 加密函数 解密函数 添加原文函数 获得原文函数 签名函数 签名函数有如下两种： a) 带原文的签名函数 AttachSign，定义如表 6； 表 6 带原文函数 AttachSign 函数名称 AttachSign( String strDN, byte bOrgData ) 功能 制作一个包含原文的数字签名 参数说明 strDN - 指定证书的主题 bOrgData byte型原文数据 返回值 成功：返回一个 P7 格式的 Base64 编码签名 失败：返回 null b) 不带原文的签名函数 DetachSign，定义如表 7。 表 7 不带原文函数 DetachSign 函数名称 DetachSign( String strDN, byte bOrgData ) 功能 制作一个不包含原文的数字签名 参数说明 strDN - 指定证书 的主题 bOrgData byte原文数据 返回值 成功：返回一个 P7格式的 Base64编码签名 失败：返回 null 验证签名函数 验证签名函数有如下两种： a) 带原文签名的验证函数 VerifyAttachedSign，定义如表 8； 表 8 验证函数 VerifyAttachedSign 函数名称 VerifyAttachedSign( byte bAtchSignedData ) 功能 对 Attached做的数字签名做验证 参数说明 bAtchSignedData - Attached签名 结果（ Base64编码格式） 返回值 成功：返回 0 失败：返回错误代码 b) 不带原文签名的验证函数 VerifyDetachedSign，定义如表 。 DB42/T 452 2008 16 表 9 验证函数 VerifyDetachedSign 函数名称 VerifyDetachedSign( byte bDtchSignedData, byte bOrgData ) 功能 Detached函数做的数字签名做验证 参数说明 bDtchSignedData Detached签名结果（ Base64编码格式） bOrgData byte原文数据 返回值 成功：返回 0 失败：返回错误码 加密函数 加密函数有如下两种： a) 数字信封函数 EncryptEnvelop，定义如表 10； 表 10 数字信封函数 EncryptEnvelop 函数名称 EncryptEnvelop( String strDN, byte bOrgData ) 功能 制作数字信封 参数说明 strDN 接收者的证书主题 bOrgData byte原文数组 返回值 成功：返回 P7格式 Base64编码数字信封 失败：返回 null b) 带签名的数字信封函数 CreateSignedEnvelop，定义如表 11。 表 11 带签名数字信封函数 CreateSignedEnvelop 函数名称 CreateSignedEnvelop ( String strDNSignCert, String strDNEncCert, ArrayList alOrgData ) 功能 指定原文、加密证书和签名证书制作带签名的数字信封 参数说明 strDNSignCert - 签名证书的主题 strDNEncCert - 加密证书的主题 alOrgData byte原文数组 返回值 成功：返回 P7格式 Base64编码带签名数字信封 失败：返回 null 解密函数 解密函数有如下两种： a) 解密数字信封函数 DecryptEnvelop，定义如表 12； DB42/T 452 2008 17 表 12 解密数字信封函数 DecryptEnvelop 函数名称 DecryptEnvelop( byte bEnvelop ) 功能 解密 EncryptEnvelop函数制作的数字信封 参数说明 bEnvelop - byte型数字信封 返回值 成功：返回 0 失败：返回错误码 b) 解密带数字签名的数字信封函数 VerifySignedEnvelop，定义如表 13。 表 13 解密带签名数字信封函数 VerifySignedEnvelop 函数名称 VerifySignedEnvelop( byte bEnvelop ) 功能 解密并验证 CreateSignedEnvelop函数制作的 带签名的数字信封 参数说明 bEnvelop - 数字信封 返回值 成功：返回 0 失败：返回错误码 添加原文函数 添加原文的函数 AddData， 定义如表 14。 表 14 添加原文函数 AddData 函数名 称 AddData( byte bOrgData ) 功能 添加多个原文数据 参数说明 bOrgData - 原文数据 返回值 成功：返回 0 失败：返回错误代码 获得原文函数 获得原文的函数 GetData， 定义如表 15。 表 15 获得原文函数 GetData 函数名称 GetData() 功能 从对象中获得原文 参数说明 无 返回值 如果存储对象中有原文，返回原文 如果存储对象中无原文，返回 null 5.3.5 文件操作函数 文件操作函数包括如下函数： 签名函数 验证签名函数 加密函 数 解密函数 添加原文函数 获得原文函数 签名函数 签名函数有如下两种： a) 带原文件的签名函数 AttachSign，定义如表 16； DB42/T 452 2008 18 表 16 带原文件签名函数 AttachSign 函数名称 AttachSign( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作一个包含原文件的数字签名 参数说明 strDN - 指定证书的主题 strFileNameIn 原文文件名 strFileNameOut 签名 输出结果保存的文件名 ,字 符型 返回值 strFileNameOut=null 返回一个 P7格式的 Base64编码签名 strFileNameOut!=null 返回 b) 不带原文件的签名函数 DetachSign，定义如表 17。 表 17 不带原文件签名函数 DetachSign 函数名称 DetachSign( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作一个不包含原文件的数字签名 参数说明 strDN - 签名证书的 DN strFileNameIn - 文件名 strFileNameOut 签名输出结果保存的文件名 ,字符型 返回值 成功 : strFileNameOut=null 返回一个 P7格式的 Base64编码签名 strFileNameOut!=null 返回 失败：返回 null 验证签名函数 验证签名函数有如下两种 : a) 带原文件签名的验证函数 VerifyAttachedSign，定义如表 18； 表 18 带原文件签名验证函数 VerifyAttachedSign 函数名称 VerifyAttachedSign( String strFileNameAttached ) 功能 通过接口参数传入文件信息，对文件的 Attached函数的数字签名做验证 参数说明 strFileNameAttached - 存放 Attached签名结果的文件名 返回值 成功：返回 0 失败：返回错误代码 b) 不带原文件签名的验证函数 VerifyDetachedSign，定义如表 19。 DB42/T 452 2008 19 表 19 不带原文件签名验证函数 VerifyDetachedSign 函数名称 VerifyDetachedSign( String strFileNameIn, byte bDetachedData, String strFileNameDetached ) 功能 通过接口参数传入文件信息，对文件的 Detached函数的数字签名做验证 参数说明 strFileNameIn Detached 验签名时用到的原文文件名 bDetachedData byte 型签名结果（ Base64编码格式） strFileNameDetached - 存放 detached签名结果的文件名 返回值 成 功：返回 0 失败：返回错误码 加密函数 对文件的加密函数有如下两种： a) 数字信封函数 EncryptEnvelop，定义如表 20； 表 20 数字信封函数 EncryptEnvelop 函数名称 EncryptEnvelop( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作数字信封 参数说明 strDN 接收者的证书主题 strFileNameIn - 需要做数字信封的文件名称数组 strFileNameOut - 数字信封结果输出的全路径文件名称 返回值 成功： strFileNameOut=null 返回一个 P7格式的 Base64编码数字信封 strFileNameOut!=null 返回 失败：返回 null b) 带签名的数字信封函数 CreateSignedEnvelop，定义如表 21。 表 21 带签名数字信封函数 CreateSignedEnvelop 函数名称 CreateSignedEnvelop ( String strDNSignCert, String strDNEncCert, String strFileNameIn, String strFileNameOut ) 功能 指定文件、加密证书和签名证书制作带签名的数字信封 参数说明 strDNSignCert - 签名证书的主题 strDNEncCert - 加密证书的主题 strFileNameIn - 需要做操作的文件名称 strFileNameOut - 操作结果输出的文件名称 返回值 成功：返回 P7格式 Base64编码带签名数字信封 失败：返回 null DB42/T 452 2008 20 解密函数 解密函数有如下两种： a) 解密数字信 封函数 DecryptEnvelop，定义如表 22； 表 22 解密数字信封函数 DecryptEnvelop 函数名称 DecryptEnvelop（ String strFileNameIn ) 功能 解密 EncryptEnvelop函数制作的数字信封 参数说明 strFileNameIn 存放数字信封结果的文件名 返回值 成功：返回 0 失败：返回错误码 b) 解密带数字签名的数字信封函数 VerifySignedEnvelop，定义如表 23。 表 23 解密带数字签名数字信封函数 VerifySignedEnvelop 函数名称 VerifySignedEnvelop( String strFileNameIn ) 功能 解密并验证 CreateSignedEnvelop函数制作的 带签名的数字信封 参数说明 strFileNameIn - 存放数字信封结果的文件名 返回值 成功：返回 0 失败：返回错误码 添加原文件函数 添加原文件函数 AddFile， 定义如表 24。 表 24 添加原文件函数 AddFile 函数名称 AddFile( String strFileName ) 功能 添加多个原文文件 参数说明 strFileName - 原文文件名 返回值 成功：返回 0 失败：返回错误代码 获得原文件函数 获得原文件函数 GetFile， 定义如表 25。 表 25 获得原文件函数 GetFile 函数名称 GetFile( String strFilePath ) 功能 从对象中获得原文文件 参数说明 strFilePath 结果文件存放的路径 返回值 如果存储对象中有文件名，返回文件名 如果存储对象中无文件名，返回 错误返回 null 6 政务数字证书业务规则 6.1 政务数字证书签发 6.1.1 证书签发中 RA 和 CA 的行为 RA 业务管理员使用证书登录到 RA系统的业务终端，查询并审核系统的申请记录。审核 通过 的信息将发送到证书认证机构的 CA 系统， CA系统签发证书并返回给 RA系统供终端实体下载。 政务数字证书注册机构 （ RA） 和受理点 建设参见附录 I。 6.1.2 密钥对的安全技术控制 CA 公钥 的发送 证书认证机构的根 CA 公钥， 通过如下方式传输给依赖方： a) 依赖方访问证书认证机构的网站下载 CA 根证书； DB42/T 452 2008 21 b) 证书认证机构到依赖方业务系统现场将 CA 根证书安装到业务系统中； c) 证书认证机构通过签名电子邮件将 CA 根证书传输给依赖方； d) 证书认证机构将 CA 根证书绑定在分发给 依赖方的软件中。 终端实体 密钥对的产生和发送 对于 政务 个人 证书、 机构证书 和代码签名证书 ， 终端实体 的签名密钥应使用 USB Key 产生；对于政务 设备证书、服务器证书和应用系统证书， 终端实体 可利用 设备或 服务 器自带 程序软件提供的密钥生成功能产生密钥对 ，也可采用专门硬件 模块产生密钥对。 终端实体 的加密密钥对应由国家密码管理部门许可的、证书认证机构签发系统支持的加密机设备产生，由 KMC 管理。 终端实体 的加密私钥只保存在 KMC 和 终端实体 介质。在加密私钥从 KMC 到 终端实体 的传递过程中应采用国家密码管理部门许可的算法加密。 终端实体 的签名证书公钥通过安全通道经 RA 传递到 CA。 终端实体 的加密证书公钥，由 KMC 通过安全通道传递到 CA。 终端实体 的公钥在从 RA到 CA 以及从 KMC 到 CA传递过程中，应采用国际密码管理部门许可的通讯协议及密 码 算法。 密钥对使用期限 密钥对的使用期限和其对应的终端实体证书的有效期 一致。 6.1.3 政务数字证书发布 证书认证机构在证书签发完成后，将数字证书发布到 服务器中 供 终端实体 和依赖方查询和下载。 6.2 政务数字证书使用 6.2.1 政务数字证书使用范围 在湖北省电子政务 中涉及到身份认证 、 数据传输 、 安全邮件 、 数据交换 活动，通过本标准 的应用接口与相关技术协议支持数字证书。 在湖北省电子政务 中 ， 涉及到各级政务门户的身份认证和登录应支持数字证书 。 在湖北省电子政务 中 ， 涉及到跨部门或跨市州的应用系统应使用数字证书。 在湖北省电子政务 中 ， 涉及到部门内部和市州内部系统宜使用数字证书。 6.2.2 依赖方的证书使用 依赖方接收到经数字签名的信息后： a) 获得数字签名对应的证书及信任链； b) 确认该签名对应的证书是依赖方信任的证书； c) 检查 证书的有效期，确认该证书在有效期内； d) 查询证书状态，确认该证书没有被注销； e) 证书的用途适用于对应的 功能 ； f) 使用证书上的公钥验证签名。 以上任一环节失败，依赖方 拒绝接受签名信息。 依赖方需发送加密信息给接受方时，应先获取接受方的加密证书，并使用证书公钥对信息加密，将加密证书连同加密信息一起发送给接受方。 6.2.3 政务数字证书一证多用 政务数字证书支持在不改变证书信息的前提下，支持在省电子政务各应用系统中的通用。 政务数字证书各参与实体 ，在设计、开发和使用政务数字证书的过程中，应实现政务数字证书的一证多用。 6.3 政务数字证书维护 电子政务证书认证机构实现对政务数字证书的更新、变更、吊销与挂起。 DB42/T 452 2008 22 6.4 政务数字证书载体 对于 政务设备证书、服务器证书和应用系统证 书，载体为设备 硬盘或加密硬件设备。 对于政务个人证书、机构证书和代码签名证书，载体 为 USB Key，功能 包括： a）提供数据、私钥和算法安全存贮功能，私钥不可复制，对外不可读， 具备多密钥存储功能； b）采用国家密码管理部门 批准的硬件物理噪音源生成随机数； c）支持 PKCS#11、 X.509 V3 证书存储 及 Microsoft CrptoAPI 应用接口 标准； d） USB Key 的设备驱动程序 附有主流操作系统的 硬件设备认证签名； e）提供 PIN 口令保护机制； f） 密钥 在 USB Key 硬件内部生成； g）具有 LED 用于电源指示和通讯指示。 6.5 政务数字证书实体查询 证书认证机构通过以下方式提供政务数字证书的实体查询 ： a) 在其网站提供证书实体查询及公钥证书下载服务； b) 发布 CRL 提供证书状态查询服务； c) 根据依赖方应用系统实时性和并发量需求协商提供在线证书查询（ OCSP）服务或目录服务器（ LDAP）查询服务。 DB42/T 452 2008 23 附 录 A （规范性附录） 基本域说明 A.1 版本（ Version ） 本项描述了编码证书的版本号。规定政务数字证书应使用版本 3（对应的值是整数 2）。 A.2 序列号（ SerialNumber ） 本项是 CA 分配给每个证书的一个正整数。一 个 CA 颁发的每张证书的序列号必须是唯一的， CA必须保证序列号是非负整数。序列号可以是长整数，证书用户必须能够处理长达 20 个 8bit 字节的序列号值， CA 必须确保不使用大于 20 个 8 比特字节的序列号。 A.3 签名算法 （ SignatureAlgorithm ） 本项包含 CA 签发该证书所使用的密码算法的标识符，这个算法标识符必须与证书中签名算法域中的算法标识符相同。可选参数的内容完全依赖所标识的具体算法。 A.4 颁发者 （ Issuer ） 本项标识了证书签名和证书颁发的实体。它必须包含一个非空的可辨别名。该项被定义为 Name 类型。 颁发者可辨别名的 C（ Country）属性的编码使用 PrintableString、 Email 属性的编码使用 IA5String，其它属性的编码一律使用 UTF8String。 A.5 有效期 （ Validity ） 本项是一个时间段。在这个时间段内， CA 担保它将维护关于证书状态的信息。该项被表示成一个具有两个时间值的 SEQUENCE 类型数据：证书有效期的起始时间（ notBefore）和证书有效期的终止时间（ notAfter）。 NotBefore 和 NotAfter 这两个时间都可以作为 UTCTime 类型或者 GeneralizedTime 类型进行编码。 遵循本标准的 CA 在 2049 年之前必须将该时间编码为 UTCTime 类型，在 2050 年之后编码为GeneralizedTime 类型。 A.6 主体（ Subject ） 本项描述了与主体公钥项中的公钥相对应的实体。该项不能为空。终端实体数字证书主体的内容和编码方式见 A.4。 A.7 主体公钥信息（ SubjectPublicKeyInfo） 本项用来标识公钥和相应的公钥算法。 A.8 颁发者唯一标识符（ IssuerUniqueID） 本项主要用来处理颁发者名称重用问题。本标准建议不同 的实体名称不要重用， Internet 网的证书不要使用唯一标识符。遵循本标准的证书签发机构不应生成带有颁发者唯一标识符的证书，但是在应用过程中应该能够解析这个项并进行对比。 A.9 主体唯一标识符（ SubjectUniqueID） 本项主要用来处理主体名称重用问题。本标准建议不同的实体名称不要重用，并且不建议使用此项，遵循本标准的证书签发机构不应生成带有主体唯一标识符的证书，但是在应用过程中应该能够解析唯一标识并进行对比。 DB42/T 452 2008 24 附 录 B （规范性附录） 扩展域说明 B.1 政务数字证书通用格式扩展域说明 B.1.1 机构密钥标识符 本项标识用来 验证在证书或 CRL 上签名的公开密钥。 CA 自签证书形式发放其公钥时，可以省略认证机构密钥标识符。此时，主体和认证机构密钥标识符是完全相同的。除些之外，所有证书应具有机构密钥标识符扩展项。 政务数字证书的机构密钥标识符应使用 keyIdentifier 的形式，从 CA对应数字证书中的 BIT STRING subjectPublicKey 的 160 比特散列值（不包括标签、长度和不使用的字节数目）生成。 该扩展项应为非关键扩展项。 B.1.2 主体密钥标识符 本项提供一种识别包含有一个特定公钥的证书的方法。此扩展标识了被认 证的公开密钥。 所有证书应具有主体密钥标识符扩展项。 政务数字证书的主体密钥标识符应从该数字证书中的 BIT STRING subjectPublicKey 的 160 比特散列值（不包括标签、长度和不使用的字节数目）生成。 该扩展项应为非关键扩展项。 B.1.3 密钥用法 本项说明已认证的公开密钥用于何种用途。 所有证书应具有密钥用法扩展项。 该扩展项应为非关键扩展项。 政务数字证书支持双证书体制， CA 通过密钥用法扩展项区分加密和签名的密钥，加密证书仅用于加密，签名证书仅用于签名。 B.1.4 扩展密钥用途 本项指明已 验证的公开密钥可以用于一种用途或多种用途，它们可作为对密钥用法扩展项中指明的基本用途的补充或替代。 政务数字证书可使用扩展密钥用途扩展项。该扩展项应为非关键扩展项。 B.1.5 私有密钥使用期 本项指明与已验证的公开密钥相对应的私有密钥的使用期限。该项只能用于数字签名密钥。 政务签名证书可使用私有密钥使用期扩展项。该扩展项应为非关键扩展项。 B.1.6 证书策略 本项列出了由颁发的 CA 所认可的证书策略。 在 CA 证书中，证书策略扩展项表示了通过该 CA 证书的认证路径中允许的证书策略。 在终端实体证书中，证书策略扩展项表示 了该终端实体证书颁发过程中所使用的证书策略。 政务数字证书中可使用证书策略扩展项。该扩展项应为非关键扩展项。 B.1.7 策略映射 本项只用于 CA 证书。它列出一个或多个 OID 对，每对包括一个 issuerDomainPolicy 和一个subjectDomainPolicy。这种成对形式表明，颁发者 CA 认为其 issuerDomainPolicy 与主体 CA 的subjectDomainPolicy 是等效的。颁发者 CA 的用户可以为某应用接收一个 issuerDomainPolicy。策略映射告知颁发者 CA 的用户，哪些同 CA 有 关的策略可以与它们接收到的策略是等效的。 政务 CA 证书中可使用策略限制扩展项。该扩展项应为非关键扩展项。 DB42/T 452 2008 25 B.1.8 主体替换名称 本项包含一个或多个可选替换名（可使用多种名称形式中的任一个）供实体使用。 主体替换名称扩展允许把附加身份加到证书的主体上。主体替换名称扩展项的名称形式包括：电子邮件地址、 DNS 名称、 IP 地址和统一资源标识符（ URI），还有一些纯本地定义的选项。可以包括多种名称形式和每个名称形式的多个范例。主体替换名称扩展项中的所有信息必须经过 CA 验证。 政务数字证书中可使用主体可选替换名称扩展项 。主体替换名称内容和编码方式见 4.5。 该扩展项应为非关键扩展项。 B.1.9 颁发者替换名称 本项包含一个或多个替换名（可使用多种名称形式中的任一个）。 颁发者替换名称扩展项中包含证书颁发者的附加信息。颁发者替换名称必须按 B.1.8 的说明进行编码。 政务数字证书中可使用颁发者替换名称扩展项。该扩展项应为非关键扩展项。 B.1.10 主体目录属性 本项为证书主体传送其期望的任何目录属性值。 政务数字证书中不宜使用主体目录属性扩展项。该扩展项应为非关键扩展项。 B.1.11 基本限制 本项用于标识证书的主体是否是一个 CA、通过该 CA 可能存在的认证路径的最大长度。 政务终端实体证书可使用基本限制扩展项。在政务终端实体证书中应为非关键扩展项。 政务 CA 证书应使用基本限制扩展项。在政务 CA 证书中应为非关键扩展项。 B.1.12 名称限制 本项仅用于 CA 证书，它指示了一个名称空间，在此空间设置了认证路径可以在后续证书的主体名称中被找到。 政务 CA 证书中可使用名称限制扩展项。该扩展项应为非关键扩展项。 B.1.13 策略限制 本项用于 CA 颁发的证书中，提供了 CA 对于认证路径的附加要求。该扩展项可用于禁止策略映射或要求认证路径中的每个证书包含一个认可的证书策略 OID。 策略限制扩展项只用于 CA 证书。 政务 CA 证书中可使用策略限制扩展项。该扩展项应为非关键扩展项 B.1.14 证书撤销列表分发点 本项用来标识如何获得证书相应的 CRL 信息，本扩展仅作为证书扩展使用。 政务数字证书中应具有证书撤销列表分发点扩展项。该扩展项应为非关键扩展项。 B.1.15 限制所有策略 本项指定了一个限制，它指出了任何策略，对于从指定 CA 开始的认证路径中的所有证书的证书策略，都不是显式匹配。 限制所有策略扩展项只用于 CA 证书。 政务 CA 证书中可使用名称限制扩展项。该扩展项应为非关键扩展项。 B.1.16 最新证书撤销列表 本项一般作为证书扩展使用，或在发给认证机构和用户的证书中使用。该项标识了 CRL，对 CRL来说证书用户应包含最新的撤销信息（例如：最新的增量 CRL）。 政务数字证书中可使用最新证书撤销列表扩展项。该扩展项应为非关键扩展项。 B.1.17 机构信息访问 本项描述了包含该扩展的证书的签发者如何访问 CA 的信息以及服务。包括在线验证服务和 CA 策略数据。 政务数字证书中不宜使用机构信息访问扩展项。该扩展项应为非关键扩展项。 B.1.18 主体信息访问 DB42/T 452 2008 26 本项描述了证书主体如何访问信息以及服务。如果主体是 CA，则包括证书验证服务和 CA策略数据， 如果主体是用户，则描述了提供的服务的类型以及如何访问它们。 政务数字证书中不宜使用主体信息访问扩展项。该扩展项应为非关键扩展项。 B.1.19 个人身份标识码 个人身份标识码扩展项用于表示个人身份证件的号码，此扩展项标记为非关键的。 B.1.20 个人社会保险号 个人社会保险号扩展项用于表示个人社会保险号码，此扩展项标记为非关键的。 B.1.21 工商注册号 工商注册号扩展项用于表示工商注册号码，此扩展项标记为非关键的。 B.1.22 税号 税号扩展项用于表示税号码，此扩展项标记为非关键的。 B.1.23 主体银行基本账号 主体银行基本 账号扩展项用于表示主体的基本银行账号信息，此扩展项标记为非关键的。 B.2 认证机构证书格式扩展域说明 B.2.1 机构密钥标识符 认证机构证书机构密钥标识符应符合附录 B.1.1 的规定。 B.2.2 主体密钥标识符 认证机构证书主体密钥标识符应符合附录 B.1.2 的规定。 B.2.3 密钥用法 认证机构证书密钥用法应符合 附录 B.1.3 的规定 。 B.2.4 扩展密钥用途 认证机构证书扩展密钥用途应符合附录 B.1.4 的规定。 B.2.5 私有密钥使用期 认证机构证书私有密钥使用期应符合附录 B.1.5 的规定。 B.2.6 证书策略 认证机构证书证书策略应符合附录 B.1.6 的规定。 B.2.7 策略映射 认 证机构证书策略映射应符合附录 B.1.7 的规定。 B.2.8 主体替换名称 认证机构证书主体替换名称应符合附录 B.1.8 的规定。 B.2.9 颁发者替换名称 认证机构证书颁发者替换名称应符合附录 B.1.9 的规定。 B.2.10 主体目录属性 认证机构证书主体目录属性应符合附录 B.1.10 的规定。 B.2.11 基本限制 认证机构证书基本限制应符合附录 B.1.11 的规定。 B.2.12 名称限制 认证机构证书名称限制应符合附录 B.1.12 的规定。 B.2.13 策略限制 认证机构证书策略限制应符合附录 B.1.13 的规定。 B.2.14 证书撤销列表分发点 认证机构证书证书撤销列表分发点应符合附录 B.1.14 的规定。 B.2.15 限制所有策略 DB42/T 452 2008 27 认证机构证书限制所有策略应符合附录 B.1.15 的规定。 B.2.16 最新证书撤销列表 认证机构证书最新证书撤销列表应符合附录 B.1.16 的规定。 B.2.17 机构信息访问 认证机构证书机构信息访问应符合附录 B.1.17 的规定。 B.2.18 主体信息访问 认证机构证书主体信息访问应符合附录 B.1.18 的规定。 B.3 政务个人证书格式扩展域说明 B.3.1 机构密钥标识符 政务个人证书机构密钥标识符应符合附录 B.1.1 的规定。 B.3.2 主体密钥标识符 政务个人证书主体密钥标识符应符合附录 B.1.2 的规定。 B.3.3 密钥用法 政务个人证书中应具有密 钥用法扩展项，区分签名证书和加密证书，支持双证书体系。 政务个人签名证书的密钥用法扩展项的设置见 附录 C 表 2。 政务个人加密证书的密钥用法扩展项的设置见 附录 C 表 2。 该扩展项应为非关键扩展项。 B.3.4 扩展密钥用途 政务个人证书扩展密钥用途应符合附录 B.1.4 的规定。 B.3.5 私有密钥使用期 政务个人证书私有密钥使用期应符合附录 B.1.5 的规定。 B.3.6 证书策略 政务个人证书证书策略应符合附录 B.1.6 的规定。 B.3.7 主体替换名称 政务个人证书主体替换名称应符合附录 B.1.8 的规定。 B.3.8 颁发者替换名称 政务个人证书颁发者 替换名称应符合附录 B.1.9 的规定。 B.3.9 主体目录属性 政务个人证书主体目录属性应符合附录 B.1.10 的规定。 B.3.10 基本限制 政务个人证书基本限制应符合附录 B.1.11 的规定。 B.3.11 证书撤销列表分发点 政务个人证书证书撤销列表分发点应符合附录 B.114 的规定。 B.3.12 最新证书撤销列表 政务个人证书最新证书撤销列表应符合附录 B.1.16 的规定。 B.3.13 机构信息访问 政务个人证书机构信息访问应符合附录 B.1.17 的规定。 B.3.14 主体信息访问 政务个人证书主体信息访问应符合附录 B.1.18 的规定。 B.3.15 个人身份证号码 包含证书主体的 身份证号码。其定义如下： id-cce-identifyCode OBJECT IDENTIFIER := 1 2 86 11 7 1 IdentifyCode :=SET DB42/T 452 2008 28 residenterCardNumber 0 PRINTABLESTRING OPTIONAL, militaryOfficerCardNumber 1 UTF8STRING OPTIONAL, passportNumber 2 PRINTABLESTRING OPTIONAL, . 政务个人证书应使用个人身份证号码扩展项。 该扩展项应为非关键扩展项。 B.3.16 个人社会保险号 用于表示证书主体的个人社会保险号码，其定义如下： id-cce-insuranceNumber OBJECT IDENTIFIER := 1 2 86 11 7 2 InsuranceNumber:= PRINTABLESTRING 政务个人证书可使用个人社会保险号扩展项。 该扩展项应为非关键扩展项。 B.3.17 主体银行基本帐号 表示证书主体的银行基本 帐号信息，其定义如下： id-cce-subjectBasicAccount OBJECT IDENTIFIER := 1 2 86 11 7 7 SubjectBasicAccount := UTF8STRING 政务个人证书可使用主体银行基本帐号扩展项，表示证书主体的个人银行基本帐号。 该扩展项应为非关键扩展项。 B.4 政务机构证书格式扩展域说明 B.4.1 机构密钥标识符 政务机构证书机构密钥标识符应符合附录 B.1.1 的规定。 B.4.2 主体密钥标识符 政务机构证书主体密钥标识符应符合附录 B.1.2 的规定 。 B.4.3 密钥用法 政务机构证书中应具有密钥用法扩展项，区分签名证书和加密证书，支持双证书体系。 政务机构签名证书的密钥用法扩展项的设置见 附录 C 表 2。 政务机构加密证书的密钥用法扩展项的设置见 附录 C 表 2。 该扩展项应为关键扩展项。 B.4.4 扩展密钥用途 政务机构证书扩展密钥用途应符合附录 B.1.4 的规定。 B.4.5 私有密钥使用期 政务机构证书私有密钥使用期应符合附录 B.1.5 的规定。 B.4.6 证书策略 政务机构证书证书策略应符合附录 B.1.6 的规定。 B.4.7 主体替换名称 政务机构证书主体替换名称应符合附录 B.1.8 的规定。 B.4.8 颁发者替 换名称 政务机构证书颁发者替换名称应符合附录 B.1.9 的规定。 B.4.9 主体目录属性 政务机构证书主体目录属性应符合附录 B.1.10 的规定。 B.4.10 基本限制 政务机构证书基本限制应符合附录 B.1.11 的规定。 DB42/T 452 2008 29 B.4.11 证书撤销列表分发点 政务机构证书证书撤销列表分发点应符合附录 B.1.14 的规定。 B.4.12 最新证书撤销列表 政务机构证书最新证书撤销列表应符合附录 B.1.16 的规定。 B.4.13 机构信息访问 政务机构证书机构信息访问应符合附录 B.1.17 的规定。 B.4.14 主体信息访问 政务机构证书主体信息访问应符合附录 B.1.18 的规定。 B.4.15 工 商注册号 用于表示工商注册号码，其定义如下： id-cce-iCRegistrationNumber OBJECT IDENTIFIER := 1 2 86 11 7 4 ICRegistrationNumber:= PRINTABLESTRING 政务机构证书可使用 工商注册号 扩展项。 该扩展项应为非关键扩展项。 B.4.16 组织机构代码 用于表示 组织机构代码 ，其定义如下： id-cce-organizationCode OBJECT IDENTIFIER := 1 2 86 11 7 3 OrganizationCode:= PRINTABLESTRING 政务机构证书应使用 组织机构代码 扩展项，用于标识 企业 、 机关 、 事业单位 、 社会团体 和 其他组织机构 的组织机构代码 。 该扩展项应为非关键扩展项。 B.4.17 税号 用于表示 税号 码，其定义如下： id-cce-taxationNumber OBJECT IDENTIFIER := 1 2 86 11 7 5 TaxationNumber:= PRINTABLESTRING 政务机构证书可使用 税号 扩展项，用于标识 企业 、 机关 、 事业单位 、 社会团体 和 其他组织机构 的税号 。 该扩展项应为非关键扩展项。 B.4.18 主体银行基本帐号 表示证书主体的银行基本帐号信息，其定义如下： id-cce-subjectBasicAccount OBJECT IDENTIFIER := 1 2 86 11 7 7 SubjectBasicAccount := UTF8STRING 政务机构证书可使用主体银行基本帐号扩展项，表示证书主体的机构银行基本帐号。 该扩展项应为非关键扩展项。 B.5 政务设备证书格式扩展域说明 B.5.1 机构密钥标识符 政务设备证书机构密钥标识符应符 合附录 B.1.1 的规定。 B.5.2 主体密钥标识符 政务设备证书主体密钥标识符应符合附录 B.1.2 的规定。 B.5.3 密钥用法 政务设备证书密钥用法应符合 附录 B.1.3 的规定 。 B.5.4 扩展密钥用途 政务设备证书扩展密钥用途应符合附录 B.1.4 的规定。 DB42/T 452 2008 30 B.5.5 私有密钥使用期 政务设备证书私有密钥使用期应符合附录 B.1.5 的规定。 B.5.6 证书策略 政务设备证书证书策略应符合附录 B.1.6 的规定。 B.5.7 主体替换名称 政务设备证书主体替换名称应符合附录 B.1.8 的规定。 B.5.8 颁发者替换名称 政务设备证书颁发者替换名称应符合附录 B.1.9 的规定。 B.5.9 主体目录属性 政务设备证书主体目录属性应符合附录 B.1.10 的规定。 B.5.10 基本限制 政务设备证书基本限制应符合附录 B.1.11 的规定。 B.5.11 证书撤销列表分发点 政务设备证书证书撤销列表分发点应符合附录 B.1.14 的规定。 B.5.12 最新证书撤销列表 政务设备证书最新证书撤销列表应符合附录 B.1.16 的规定。 B.5.13 机构信息访问 政务设备证书机构信息访问应符合附录 B.1.17 的规定。 B.5.14 主体信息访问 政务设备证书主体信息访问应符合附录 B.1.18 的规定。 B.6 政务服务器证书格式扩展域说明 B.6.1 机构密钥标识 符 政务服务器证书机构密钥标识符应符合附录 B.1.1 的规定。 B.6.2 主体密钥标识符 政务服务器证书主体密钥标识符应符合附录 B.1.2 的规定。 B.6.3 密钥用法 政务服务器证书密钥用法应符合 附录 B.1.3 的规定 。 B.6.4 扩展密钥用途 政务服务器证书扩展密钥用途应符合附录 B.1.4 的规定。 B.6.5 私有密钥使用期 政务服务器证书私有密钥使用期应符合附录 B.1.5 的规定。 B.6.6 证书策略 政务服务器证书证书策略应符合附录 B.1.6 的规定。 B.6.7 主体替换名称 政务服务器证书主体替换名称应符合附录 B.1.8 的规定。 B.6.8 颁发者替换名 称 政务服务器证书颁发者替换名称应符合附录 B.1.9 的规定。 B.6.9 主体目录属性 政务服务器证书主体目录属性应符合附录 B.1.10 的规定。 B.6.10 基本限制 政务服务器证书基本限制应符合附录 B.1.11 的规定。 B.6.11 证书撤销列表分发点 政务服务器证书证书撤销列表分发点应符合附录 B.1.14 的规定。 DB42/T 452 2008 31 B.6.12 最新证书撤销列表 政务服务器证书最新证书撤销列表应符合附录 B.1.16 的规定。 B.6.13 机构信息访问 政务服务器证书机构信息访问应符合附录 B.1.17 的规定。 B.6.14 主体信息访问 政务服务器证书主体信息访问应符合附录 B.1.18 的规定。 B.7 政务应用系统证书格式扩展域说明 B.7.1 机构密钥标识符 政务应用系统证书机构密钥标识符应符合附录 B.1.1 的规定。 B.7.2 主体密钥标识符 政务应用系统证书主体密钥标识符应符合附录 B.1.2 的规定。 B.7.3 密钥用法 政务应用系统证书密钥用法应符合 附录 B.1.3 的规定 。 B.7.4 扩展密钥用途 政务应用系统证书扩展密钥用途应符合附录 B.1.4 的规定。 B.7.5 私有密钥使用期 政务应用系统证书私有密钥使用期应符合附录 B.1.5 的规定。 B.7.6 证书策略 政务应用系统证书证书策略应符合附录 B.1.6 的规定。 B.7.7 主体替换名称 政务应 用系统证书主体替换名称应符合附录 B.1.8 的规定。 B.7.8 颁发者替换名称 政务应用系统证书颁发者替换名称应符合附录 B.1.9 的规定。 B.7.9 主体目录属性 政务应用系统证书主体目录属性应符合附录 B.1.10 的规定。 B.7.10 基本限制 政务应用系统证书基本限制应符合附录 B.1.11 的规定。 B.7.11 证书撤销列表分发点 政务应用系统证书证书撤销列表分发点应符合附录 B.1.14 的规定。 B.7.12 最新证书撤销列表 政务应用系统证书最新证书撤销列表应符合附录 B.1.16 的规定。 B.7.13 机构信息访问 政务应用系统证书机构信息访问应符合附录 B.1.17 的规 定。 B.7.14 主体信息访问 政务应用系统证书主体信息访问应符合附录 B.1.18 的规定。 B.8 政务代码签名证书格式扩展域说明 B.8.1 机构密钥标识符 政务代码签名证书机构密钥标识符应符合附录 B.1.1 的规定。 B.8.2 主体密钥标识符 政务代码签名证书主体密钥标识符应符合附录 B.1.2 的规定。 B.8.3 密钥用法 政务代码签名证书中应使用密钥用法扩展项，明确表示可用于数字签名。 DB42/T 452 2008 32 政务代码签名证书的密钥用法扩展项的设置见 附录 C 表 2。 该扩展项应为关键扩展项。 B.8.4 扩展密钥用途 政务代码签名证书扩展密钥用途应符合附录 B.1.4 的规定。 B.8.5 私有密钥使用期 政务代码签名证书私有密钥使用期应符合附录 B.1.5 的规定。 B.8.6 证书策略 政务代码签名证书证书策略应符合附录 B.1.6 的规定。 B.8.7 主体替换名称 政务代码签名证书主体替换名称应符合附录 B.1.8 的规定。 B.8.8 颁发者替换名称 政务代码签名证书颁发者替换名称应符合附录 B.1.9 的规定。 B.8.9 主体目录属性 政务代码签名证书主体目录属性应符合附录 B.1.10 的规定 B.8.10 基本限制 政务代码签名证书基本限制应符合附录 B.1.11 的规定 。 B.8.11 证书撤销列表分发点 政务代码签名证书证书撤销列表分发点应符合附录 B.1.14 的规定。 B.8.12 最新证书撤销列 表 政务代码签名证书最新证书撤销列表应符合附录 B.1.16 的规定。 B.8.13 机构信息访问 政务代码签名证书机构信息访问应符合附录 B.1.17 的规定。 B.8.14 主体信息访问 政务代码签名证书主体信息访问应符合附录 B.1.18 的规定。 DB42/T 452 2008 33 附 录 C （规范性附录） 政务数字证书模板 本 标准规定了认证机构证书模板、政务个人证书模板、政务机构证书模板、政务设备证书模板、政务服务器证书模板、政务应用系统证书模板、政务代码签名证书模板，如表 C.1 所示 。 表 C.1 政务数字证书模板 证书域 名称 描述 说明 基本域 Version 版本号 必备， 2 表示版本 3 serialNumber 序列号 必备， 16 进制，正整数 Signature 签名算法 必备 issuer 颁发者 必备，证书颁发 CA 的 X.500 DN Validity 有效日期 必备 Subject 主体 必备，证书主体的 X.500 DN subjectPublicKeyInfo 主体公钥信息 必备 ,BIT STRING 扩展域 authorityKeyIdentifier 机构密钥标识符 必备 ,非关鍵， OCTET STRING subjectKeyIdentifier 主体密钥标识符 必备 ,非关鍵， OCTET STRING keyUsage 密钥用法 非关鍵，见附录 C 表 2 extKeyUsage 扩展密钥用途 非关鍵 privateKeyUsagePeriod 私有密钥使用期 非关鍵，宜在签名证书中使用 certificatePolicies 证书策略 非关鍵 policyMappings 策略映射 非关鍵 subjectAltName 主体替换名称 非关鍵 issuerAltName 颁发者替换名称 非关鍵 subjectDirectoryAttributes 主体目录属性 非关鍵，不宜使用 basicConstraints 基本限制 认证机构证书必备，非关鍵 nameConstraints 名称限制 非关鍵 policyConstraints 策略限制 非关鍵 CRLDistributionPoints CRL 分发点 必备，非关鍵 inhibitAnyPolicy 限制所有策略 非关鍵 freshestCRL 最新的 CRL 非关鍵 authorityInfoAccess 机构信息访 问 非关鍵，不宜使用 SubjectInformationnAccess 主体信息访问 非关鍵，不宜使用 IdentifyCardNumber 个人身份证号码 非关鍵，政务个人证书应使用 InsuranceNumber 个人社会保险号 非关鍵，政务个人证书可使用 ICRegistrationNumber 工商注册号 非关鍵，政务机构证书可使用 OrganizationCode 组织机构代码 非关鍵，政务机构证书应使用 TaxationNumber 税号 非关鍵，政务机构证书可使用 SubjectBasicAccount 主体银行基本账号 非关鍵，政务个人证书、政务机构证书可使用 DB42/T 452 2008 34 密钥用法扩展项的设置如表 C.2 所示 。 表 C.2 密钥用法扩展项设置 KeyUsage 说明 DigitalSignature 政务个人签名证书、政务机构签名证书、政务代码签名证书应使用 NonRequdiation 政务个人签名证书、政务机构签名证书、政务代码签名证书应使用 KeyEncipherment 政务个人加密证书、政务机构加密证书应使用 DataEncipherment 政务个 人加密证书、政务机构加密证书应使用 KeyAgreement 政务个人加密证书、政务机构加密证书应使用 KeyCertSign 认证机构证书应使用 CRLSign EncipherOnly DecipherOnly 附 录 D （资料性附录） 主体命名示例 D.1 政务个人证书 所列示例均系虚构。 湖北省 某局信息中心网络管理处工作人员李四，其政务个人证书主体的 X.500 DN 为： C=CN S=湖北省 L=武汉市 O=湖北省 某局信息中心 OU=湖北某 局 信息中心网络管理处 D.2 政务机构证书 所列示例均系虚构。 湖北省 某局信息中心网络管理处，其政务机构证书主体的 X.500 DN 为： C=CN C=CN S=湖北省 L=武汉市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心网络管理处 CN=湖北省 某局信息中心网管处 D.3 政务设备证书 所列示例均系虚构。 湖北省 某局信息中心网络管理处的设备（设备编码为 HBDS000001），其政务设备证书主体的 X.500 DB42/T 452 2008 35 DN 为 : C=CN S=湖北省 L=武汉市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心网络管理处 CN=HBDS000001 D.4 政务服务器证书 所列示例均系虚构。 湖北省 某局信息中心网络管理处的服务器（服务器域名为 ， IP 地址为1），其政务服务器证书主体的 X.500 DN 为 : C=CN S=湖北省 L=武汉市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心网络管理处 CN= 或 C=CN S=湖北省 L=武汉市 O=湖北省某 局信息中心 OU=湖北省某 局信息中心网络管理处 CN=1 政务服务器证书宜使用域名。 D.5 政务应用系统证书 所列示例均系虚构。 湖北省某 局应用系统（应用系统编码为 hbxx_system001），其政务应用系统证书主体的 X.500 DN 为 : C=CN S=湖北省 L=武汉市 O=湖北省某 局 OU=湖北省某 局应用系统 CN= hbxx_system001 D.6 政务代码签名证书 所列示例均系虚构。 湖北省某 局信息中心网络管理处，其政务代码签名证书主体的 X.500 DN 为 : C=CN S=湖北省 L=武汉市 O=湖北省 某局 DB42/T 452 2008 36 OU=湖北省某 局信息中心 CN=省某 局信息中心网管处 或 湖北省某 局信息中心网络管理处（代码签名负责人为李四），其政务代码签名证书主体的 X.500 DN为 : C=CN S=湖北省 L=武汉市 O=湖北省某 局信息中心 OU=湖北省某 局信息中心网络管理处 CN=李四 附 录 E （资料性附录） 主体可选替换名称命名示例 E.1 政务个人证书 所列示例均系虚构。 湖北省 某局信息中心网络管理处工作人员李四（个人电子邮件 地址为 Email=），其政务个人证书主体可选替换名称的 directoryName 的 X.500 DN 为： Email= 或者包含其中的部分属性。 E.2 政务机构证书 所列示例均系虚构。 湖北省 某局信息中心网络管理处的（负责人电子邮件地址为 Email=），其政务机构证书主体可 选替换名称的 directoryName 的 X.500 DN 为 : Email= 或者包含其中的部分属性。 E.3 政 务设备证书 所列示例均系虚构。 湖北省某 局信息中心网络管理处的设备（设备负责人的电子邮件地址为 Email=， IP 地址为 1），其政务设备证书主体可 选替换名称的 directoryName 的 X.500 DN 为 : Email= IPAddress=1 或者包含其中的部分属性。 DB42/T 452 2008 37 E.4 政务服务器证书 所列示例 均系虚构。 湖北省 某局信息中心网络管理处的服务器（服务器负责人的电子邮件地址为 Email=， IP 地址为 1，域名为 ），其政务设备证书主体可 选替换名称的 directoryName 的 X.500 DN 为 : Email= IPAddress=1 DNS= 或者包含其 中的部分属性。 E.5 政务应用系统证书 所列示例均系虚构。 湖北省 某局的应用系统（负责人电子邮件地址为 Email= ， 资源地址为），其政务设备证书主体可 选替换名称的 directoryName 的 X.500 DN 为 : Email= URL= 或者包含其中的部分属性。 E.6 政务代码签名证书 所列示例均系虚构。 湖北省某局信息中心网络管理处（代码签名负责人的电子邮件地址为 Email=），其政务设备证书主体可 选替换名称的 directoryName 的 X.500 DN 为 : Email= 或者包含其中的部分属性。 附 录 F （ 资料性附录） 政务数字证书编码示例 以下内容将以 X.509 版本 3 证书为例，证书包含下列信息： a）序列号是 04a59cc78df58536237af65793cd3d7； b）签名算法是 sha1RSA； c）颁发者是： C=CN S=HUBEI L=WUHAN O=HuiBei Digital Certificate Authority Center CO.LTD CN=HBCA DB42/T 452 2008 38 d）主体是： C=CN S=湖北省 L=武汉市 O=测试总部 OU=测试第一分部 CN=湖北省电子政务测试证书 e）有效期是从 2007 年 2 月 2 日 到 2010年 2月 2日 ； f）主体公钥信息中包含 1024 比特的 RSA 密钥； g）机构密钥标识符扩展项； h）主体密钥标识符扩展； i）密钥用法扩展项； j）基本限制扩展项； k）证书撤销列表分发点扩展项。 以下为政务数字证书的编码示例： 0000 30 82 03 3E 830: SEQUENCE 0004 30 82 02 A7 679: . SEQUENCE 0008 A0 03 3: . . 0 0010 02 01 1: . . . INTEGER 2 : 02 0013 02 10 16: . . INTEGER : 0C 8D E6 7D 7C 6B 7A F2 72 E7 B8 AD E5 C0 97 75 0031 30 0D 13: . . SEQUENCE 0033 06 09 9: . . . OID 1.2.840.1135 sha1withRSAEncryption : 2a 86 48 86 f7 0d 01 01 05 0044 05 00 0: . . . NULL 0046 30 2B 43: . . SEQUENCE 0048 31 0D 13: . . . SET 0050 30 0B 11: . . . . SEQUENCE 0052 06 03 3: . . . . . OID 2.8.3: CN : 55 04 03 0057 13 04 4: . . . . . PrintableString HBCA : 48 42 43 41 0063 31 0D 13: . . . SET 0065 30 0B 11: . . . . SEQUENCE 0067 06 03 3: . . . . . OID 2.8.10: O : 55 04 0A 0072 13 04 4: . . . . . PrintableString TEST : 54 45 53 54 0078 31 0B 11: . . . SET 0080 30 09 9: . . . . SEQUENCE 0082 06 03 3:. . . . . OID 2.8.6: C : 55 04 06 DB42/T 452 2008 39 0087 13 02 2: . . . . . PrintableString CN : 43 4e 0091 30 1E 30: . . . . SEQUENCE 0093 17 0D 13: . . . UTCTime 071026030002Z : 30 37 31 30 32 36 30 33 30 30 30 32 5a 0108 17 0D 13: . . . UTCTime 081025030002Z : 30 38 31 30 32 35 30 33 30 30 30 32 5a 0123 30 7A 122: . . SEQUENCE 0125 31 1F 31: . . . SET 0127 30 1D 29: . . . . SEQUENCE 0129 06 03 3: . . . . . OID 2.8.3: CN : 55 04 03 0134 1E 16 22: . . . . . UTF8String 湖北省电子政务测试证书 : 16 6e 56 53 17 77 01 75 35 5b 50 65 3f 52 a1 6d 4b 8b d5 8b c1 4e 66 0158 31 15 21: . . . SET 0160 30 13 19: . . . . SEQUENCE 0162 06 03 3: . . . . . OID 2.8.11 OU : 55 04 0B 0167 1E 0C 12: . . . . . UTF8String 测试第一分部 : 6d 4b 8b d5 7b 2c 4e 00 52 06 90 e8 0181 31 11 17: . . . SET 0183 30 0F 15: . . . . SEQUENCE 0185 06 03 3: . . . . . OID 2.8.10 O :55 04 0A 0190 1E 08 8: . . . . . UTF8String 测试总部 : 6d 4b 8b d5 60 3b 90 e8 0200 31 0F 15: . . . SET 0202 30 0D 13: . . . .SEQUENCE 0204 06 03 3: . . . . . OID 2.8.7 L : 55 04 07 0209 1E 06 6: . . . . . UTF8String 武汉市 : 6b 66 6c 49 5e 02 0217 31 0F 15: . . . SET 0219 30 0D 13: . . . .SEQUENCE 0221 06 03 3: . . . . . OID 2.8.8 S : 55 04 08 0226 1E 06 6: . . . . . UTF8String 湖北省 : 6e 56 53 17 77 01 0234 31 0B 11: . . . SET 0236 30 09 9: . . . .SEQUENCE 0238 06 03 3: . . . . . OID 2.8.6 C : 55 04 06 0243 13 02 2: . . . . . PrintableString CN : 43 4e DB42/T 452 2008 40 0247 30 81 9F 159: . . SEQUENCE 0250 30 0D 13: . . . SEQUENCE 0252 06 09 9: . . . . . OID 1.2.840.1135 rsaEncryption : 2A 86 48 86 F7 0D 01 01 01 0263 05 00 0: . . . . . NULL 0265 03 81 8D 141: . . . BIT STRING : 00 （ 0 unused bits） 30 81 89 02 81 81 00 cb bb 54 18 ad 3e 80 44 8f b2 9f ac 07 18 bb 30 ba f2 42 60 84 88 85 7a d9 ad 4b bc 13 af ba 65 e3 3c 17 c9 d8 c5 ae 24 fc 29 73 c2 10 ce d1 7b 25 8a 55 8c 4e f7 bc 66 3a 54 7d 32 b3 03 77 e7 6f d3 28 bf a8 c1 ac fa 6b d7 97 ae 67 f6 40 f5 e1 3a 58 ef 19 24 1b 1e f5 11 e8 1d 7a 29 3c 60 ad 1e bb ac af 33 ac 92 0f 3f 0e c6 0b e2 65 a5 90 29 15 0a 10 3f 37 bc 69 d5 8c 20 aa 8b 0b b7 02 03 01 00 01 0409 A3 82 01 12 274: . . 3 0413 30 82 01 0E 270: . . . SEQUENCE 0417 30 1f 31: . . . . SEQUENCE 0419 06 03 3: . . . . . OID 5 AuthorityKeyIdentifier : 55 1D 23 0424 04 18 24: . . . . . OCTET STRING : 30 16 80 14 32 75 bb 19 06 88 37 2e d9 de 40 40 37 77 00 ab 9b 46 4e c7 0450 30 1D 29: . . . . SEQUENCE 0452 06 03 3: . . . . . OID 4 SubjectKeyIdentifier : 55 1D 0E 0457 04 16 22: . . . . . OCTET STRI