電子政務(wù)數(shù)字證書技術(shù)應(yīng)用規(guī)范

isaISAICS 35.240.60 L 67 湖 北 省 地 方 標(biāo) 準(zhǔn) DB42 DB42/T 452 2008 湖北省電子政務(wù)數(shù)字證書技術(shù)應(yīng)用規(guī)范 HuBei Province Electronic Government Digital Certificate Technical Application Specification 2008-01-04 發(fā)布 2008-02-01 實施 湖北省質(zhì)量技術(shù)監(jiān)督局 發(fā)布 DB42/T 452 2008 I 目 次 前 言 . III 引 言 . IV 1 范圍 . 1 2 規(guī)范性引用文件 . 1 3 術(shù)語、定義和縮略語 . 1 3.1 術(shù)語和定義 . 1 3.2 縮略語 . 3 4 數(shù)字證書格式 . 3 4.1 政務(wù)數(shù)字證書通用格式 . 3 4.2 認(rèn)證 機(jī)構(gòu)證書格式 . 6 4.3 政務(wù)個人證書格式 . 7 4.4 政務(wù)機(jī)構(gòu)證書格式 . 8 4.5 政務(wù)設(shè)備證書格式 . 8 4.6 政務(wù)服務(wù)器證書格式 . 9 4.7 政務(wù)應(yīng)用系統(tǒng)證書格式 . 10 4.8 政務(wù)代碼簽名證書格式 . 11 5 政務(wù)數(shù)字證書應(yīng)用接口 . 11 5.1 政務(wù)數(shù)字證書應(yīng)用體系結(jié)構(gòu) . 11 5.2 政務(wù)數(shù)字證書應(yīng)用接口組成和功能說明 . 12 5.3 政務(wù)數(shù)字證書應(yīng)用程序接口函數(shù)定義 . 13 6 政務(wù)數(shù)字證書業(yè)務(wù)規(guī)則 . 20 6.1 政務(wù)數(shù)字證書簽發(fā) . 20 6.2 政務(wù)數(shù)字證書使用 . 21 6.3 政務(wù)數(shù)字證書維護(hù) . 21 6.4 政務(wù)數(shù)字證書載體 . 22 6.5 政務(wù)數(shù)字證書實體查詢 . 22 附 錄 A （規(guī)范性附錄） 基本域說明 . 23 A.1 版本（ Version ） . 23 A.2 序列號（ SerialNumber ） . 23 A.3 簽名算法 （ SignatureAlgorithm ） . 23 A.4 頒發(fā)者 （ Issuer ） . 23 A.5 有效期 （ Validity ） . 23 A.6 主體（ Subject ） . 23 A.7 主體公鑰信息（ SubjectPublic KeyInfo） . 23 A.8 頒發(fā)者唯一標(biāo)識符（ IssuerUniqueID） . 23 A.9 主體唯一標(biāo)識符（ SubjectUniqueID） . 23 附 錄 B （規(guī)范性附錄） 擴(kuò)展域說明 . 24 B.1 政務(wù)數(shù)字證書通用格式擴(kuò)展域說明 . 24 B.1.1 機(jī)構(gòu)密鑰標(biāo)識符 . 24 DB42/T 452 2008 II B.1.2 主體密鑰標(biāo)識符 . 24 B.2 認(rèn)證機(jī)構(gòu)證書格式擴(kuò)展域說明 . 26 B.3 政務(wù)個人證書格式擴(kuò)展域說明 . 27 B.4 政務(wù)機(jī)構(gòu)證書格式擴(kuò)展域說明 . 28 B.5 政務(wù)設(shè)備證書格式擴(kuò)展域說明 . 29 B.6 政務(wù)服務(wù)器證書格式擴(kuò)展域說明 . 30 B.7 政務(wù)應(yīng)用系統(tǒng)證書格式擴(kuò)展域說明 . 31 B.8 政務(wù)代碼簽名證書格式擴(kuò)展域說明 . 31 附 錄 C （規(guī)范性附錄） 政務(wù)數(shù)字證書模板 . 33 附 錄 D （資料性附 錄） 主體命名示例 . 34 D.1 政務(wù)個人證書 . 34 D.2 政務(wù)機(jī)構(gòu)證書 . 34 D.3 政務(wù)設(shè)備證書 . 34 D.4 政務(wù)服務(wù)器證書 . 35 D.5 政務(wù)應(yīng)用系統(tǒng)證書 . 35 D.6 政務(wù)代碼簽名證書 . 35 附 錄 E （資料性附錄） 主體可選替換名稱命名示例 . 36 E.1 政務(wù)個人證書 . 36 E.2 政務(wù)機(jī)構(gòu)證書 . 36 E.3 政務(wù)設(shè)備證書 . 36 E.4 政務(wù)服務(wù)器證書 . 37 E.5 政務(wù)應(yīng)用系統(tǒng)證書 . 37 E.6 政務(wù)代碼簽名證書 . 37 附 錄 F （資料性附錄） 政務(wù)數(shù)字證書編碼示例 . 37 附 錄 G （規(guī)范性附錄） 數(shù)字證書應(yīng)用接口常量定義和說明 . 41 G.1 證書類型 . 41 G.2 證書信息 . 42 附 錄 H （資料性附錄） 數(shù)字證書典型應(yīng)用示例 . 43 H.1 典型業(yè)務(wù)流程 . 43 H.2 登錄程序基本流程 . 43 附 錄 I （資料性附錄） 政務(wù)數(shù)字證書注冊機(jī)構(gòu)和受理點建設(shè)樣例 . 44 I.1 注冊機(jī)構(gòu)和受理點功能 . 44 I.2 注冊機(jī)構(gòu)和受理點在 PKI 體系中的位置 . 45 I.3 證書注冊機(jī)構(gòu)邏輯結(jié)構(gòu) . 45 I.4 受理點邏輯結(jié)構(gòu) . 45 DB42/T 452 2008 III 前 言 本標(biāo)準(zhǔn)的附錄 A、附錄 B、附錄 C 和附錄 G 為規(guī)范性附錄，附錄 D、附錄 E、附錄 F、附錄 H 和附錄 I 為資料性附錄。 本標(biāo)準(zhǔn)由湖北省電子政務(wù)工作領(lǐng)導(dǎo)小組辦公室提出。 本標(biāo)準(zhǔn)由湖北省標(biāo)準(zhǔn)化協(xié)會電子政務(wù)專業(yè)委員會歸口。 本標(biāo)準(zhǔn)主要起草單位：湖北省數(shù)字證書認(rèn)證管理中心有限公司、武漢大學(xué)計算機(jī)學(xué)院、湖北省標(biāo)準(zhǔn)化研究院。 本標(biāo)準(zhǔn)主要起草人：田造民、涂航、熊星、潘登、葛愿維、馮翔、吳焱。 DB42/T 452 2008 IV 引 言 隨著我省電子政務(wù)平臺的運(yùn)行和省電子政務(wù)應(yīng)用的深入開展，為了加強(qiáng)全省政務(wù)網(wǎng)的總體安全，保證全省數(shù)字證書策略的一致性，省電子政務(wù)辦出臺了規(guī)范全省數(shù)字證書的通知。本著這一精神，為指導(dǎo)我省電子政務(wù)數(shù)字證書應(yīng)用，規(guī)范數(shù)字證書應(yīng)用行為，確保數(shù)字證書在電子政務(wù)活動中能夠通用，實現(xiàn)網(wǎng)絡(luò)互聯(lián)互通和信息共享并一證多用，滿足湖北省信息化和電子政務(wù)發(fā)展的迫切需求， 故 制定 本標(biāo)準(zhǔn) 。 數(shù)字證書是 PKI 技術(shù)的關(guān)鍵要素之一，以 PKI 為核心的網(wǎng)絡(luò)身份認(rèn)證體系和信息加密技術(shù)已成為業(yè)界廣泛認(rèn)同的一種構(gòu)造網(wǎng)絡(luò)身份信任體系的重 要方式，并成為信息安全保障體系中極其重要的組成部分之一。 數(shù)字證書是傳送和處理實體身份鑒別信息的重要載體，通過數(shù)字證書和身份認(rèn)證確認(rèn)電子政務(wù)參與方的各自身份，建立彼此間的信任關(guān)系以及保證信息的保密性、完整性和可用性。 本標(biāo)準(zhǔn)總體上同國家相關(guān)標(biāo)準(zhǔn)保持一致，并結(jié)合湖北省實際制定。 本標(biāo)準(zhǔn) 規(guī)定了政務(wù)數(shù)字證書的通用格式，規(guī)定了提供服務(wù)的認(rèn)證機(jī)構(gòu)證書、政務(wù)個人證書、政務(wù)機(jī)構(gòu)證書、政務(wù)設(shè)備證書 、政務(wù)服務(wù)器證書、政務(wù)應(yīng)用系統(tǒng)證書 和政務(wù)代碼簽名證書的格式和模板，對數(shù)字證書的應(yīng)用接口進(jìn)行描述，是湖北省電子政務(wù)數(shù)字證書應(yīng) 用的依據(jù)。 本標(biāo)準(zhǔn) 不對屬性證書作出詳細(xì)的格式與應(yīng)用的規(guī)定，但可作為屬性證書應(yīng)用的參考。 DB42/T 452 2008 1 湖北省電子政務(wù)數(shù)字證書技術(shù)應(yīng)用規(guī)范 1 范圍 本標(biāo)準(zhǔn)規(guī)定了湖北省電子政務(wù)數(shù)字證書格式、應(yīng)用接口和業(yè)務(wù)規(guī)則。 本標(biāo)準(zhǔn)適用于電子認(rèn)證服務(wù)機(jī)構(gòu)、數(shù)字證書認(rèn)證系統(tǒng)及相關(guān)產(chǎn)品的供應(yīng)商、應(yīng)用開發(fā)商的設(shè)計和開發(fā)。 本標(biāo)準(zhǔn)適用于 應(yīng)用部門 在湖北省電子政務(wù)的辦公、社會管理和公共服務(wù)等政務(wù)活動，也可適用于電子商務(wù)應(yīng)用。 本標(biāo)準(zhǔn)規(guī)定的電子政務(wù)數(shù)字證書格式適用于認(rèn)證機(jī)構(gòu)證書、政務(wù)個人證書、政務(wù)機(jī)構(gòu)證書、政務(wù)設(shè)備證書、政務(wù)服務(wù)器證書、政務(wù)應(yīng)用系統(tǒng)證 書、政務(wù)代碼簽名證書。 本標(biāo)準(zhǔn) 規(guī)定的電子政務(wù)數(shù)字證書格式適用于加密證書和簽名證書。 本標(biāo)準(zhǔn) 不涉及任何具體的密碼運(yùn)算，所有密碼運(yùn)算均在符合國家有關(guān)法律法規(guī)的密碼設(shè)備中進(jìn)行。 本標(biāo)準(zhǔn) 凡涉及密碼相關(guān)內(nèi)容，按國家有關(guān)法律法規(guī)實施。 2 規(guī)范性引用文件 下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。 GB/T 16284.4-1996 信息技術(shù) 文本通信 面向信報的文本交換系統(tǒng) 第 4部分：抽象服務(wù)定義和規(guī)程 GB/T 17969.1-2000 信息技術(shù) 開放系統(tǒng)互連 OSI登記機(jī)構(gòu)的操作規(guī)程 第 1部分：一般規(guī)程 DB 42/T 362 2006 電子政務(wù)術(shù)語 ISO/IEC 9594-2:2001 Information technology -Open Systems Interconnection - The Directory: Models 信息技術(shù) .開放系統(tǒng)互連 .目錄 :模型 IETF RFC 791 Internet Protocol Internet協(xié)議 IETF RFC 822 Standard for the format of ARPA Internet text messages ARPA 英特網(wǎng)文本消息格式標(biāo)準(zhǔn) IETF RFC 1034 Domain names - concepts and facilities 域名 -概念和設(shè)施 IETF RFC 1630 Universal Resource Identifiers in WWW: A Unifying Syntax for the Expression of Names and Addresses of Objects on the Network as used in the World-Wide Web WWW中的全球資源 標(biāo)識符：類似 WWW的網(wǎng)絡(luò)目標(biāo)的名字和地址表達(dá)的統(tǒng)一句法 RFC1738 統(tǒng)一資源定位器 IETF RFC 1738 Uniform Resource Locators (URL) 統(tǒng)一資源定位器 (URL) IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile 因特網(wǎng) X.509公開密鑰基礎(chǔ)設(shè)施證書與證書撤銷列表輪廓 PKCS#7: Cryptographic Message Syntax Standard PKCS#7:密碼消息語法標(biāo)準(zhǔn) PKCS#11: Cryptographic Token Interface Standard PKCS#11:密碼令牌接口標(biāo)準(zhǔn) 3 術(shù)語 、 定義 和 縮略語 3.1 術(shù)語和定義 DB42/T 452 2008 2 DB 42/T 362 2006 確立的 以及 下列 術(shù)語和定義適用于本標(biāo)準(zhǔn) 。 3.1.1 公鑰基礎(chǔ)設(shè)施（ PKI） Public Key Infrastructure 支持公鑰管理體制的基礎(chǔ)設(shè)施，提供鑒別、加密、完整性和不可否認(rèn)性服務(wù)。 3.1.2 證書認(rèn)證機(jī)構(gòu)（ CA） Certificate Authority 負(fù)責(zé)創(chuàng)建和分配證書，受用戶信任的權(quán)威機(jī)構(gòu)。用戶可以選擇該機(jī)構(gòu)為其創(chuàng)建密鑰 。 3.1.3 證書注冊機(jī)構(gòu)（ RA） Registration Authority RA是 CA 的組成部分，對證書申請的業(yè)務(wù)受理審核子系統(tǒng)概稱為 RA， RA按照 CA制定的政策和管理規(guī)范對用戶的資信進(jìn)行審查，以決定 是否為該用戶發(fā)放證書。 3.1.4 密鑰管理中心（ KMC） Key Management Centre 密鑰管理中心。 主要負(fù)責(zé)數(shù)字證書用戶密鑰的生成和管理，解決系統(tǒng)密 鑰和數(shù)字證書用戶密鑰自產(chǎn)生到最終銷毀的整個生命周期中的相關(guān)問題。 3.1.5 在線證書狀態(tài)協(xié)議（ OCSP） Online Certificate Status Protocol 在線證書狀態(tài)協(xié)議 ，是 IETF 頒布的用于檢查數(shù)字證書在某一時間是否有效的標(biāo)準(zhǔn)。 3.1.6 依賴方 Relying Party 即指依賴于證書真實性的實體。在電子簽名應(yīng)用中，即為電子簽名依賴方。 3.1.7 公 鑰證書 Public Key Certificate 用戶的公鑰連同其他信息，并由發(fā)布該證書的證書認(rèn)證機(jī)構(gòu)的私鑰進(jìn)行加密使其不可偽造。 3.1.8 證書吊銷列表 (CRL) Certificate Revocation List 一種由證書簽發(fā)者所認(rèn)定的無效證書的清單。 3.1.9 終端實體 End Entity 不以簽署證書為目的而使用其私鑰的證書主體或者證書使用者。 3.1.10 政務(wù)數(shù)字證書 Government Affair Digital Certificate 用來標(biāo)識電子政務(wù)參與方真實身份的數(shù)字證書 ， 根據(jù)參與方的不同類別分為認(rèn) 證機(jī)構(gòu)證書、政務(wù)個人證書、政務(wù)機(jī)構(gòu)證書、政務(wù)設(shè)備證書、政務(wù)服務(wù)器證書、政務(wù)應(yīng)用系統(tǒng)證書、政務(wù)代碼簽名證書。 3.1.11 政務(wù)個人證書 Government Affair Person Certificate 頒發(fā)給參與電子政務(wù)的個人實體，用來唯一標(biāo)識個人實體真實身份的數(shù)字證書。 3.1.12 政務(wù)機(jī)構(gòu)證書 Government Affair Unit Certificate 頒發(fā)給 參與電子政務(wù)的機(jī)構(gòu)實體，用來唯一標(biāo)識機(jī)構(gòu)實體真實身份的數(shù)字證書。 3.1.13 政務(wù)設(shè)備證書 Government Affair Device Certificate 頒發(fā)給參與電子政務(wù)的設(shè)備實體，用來唯一標(biāo)識設(shè)備實體真實身份的數(shù)字證書。 DB42/T 452 2008 3 3.1.14 政務(wù) 服務(wù)器 證書 Government Affair Server Certificate 頒發(fā)給參與電子政務(wù)的 服務(wù)器 實體，用來唯一標(biāo)識 服務(wù)器 實體真實身份的數(shù)字證書。 3.1.15 政務(wù) 應(yīng)用系統(tǒng) 證書 Government Aaffair Application Certificate 頒發(fā)給參與電子政務(wù)的 應(yīng)用系統(tǒng) 實體，用來唯一標(biāo)識 應(yīng)用系統(tǒng) 實體真實身份的數(shù)字證書。 3.1.16 政務(wù)代碼簽名證書 Government Affair Code Signing Certificate 頒發(fā)給參與電子政務(wù)的各類實體，用來對其所開發(fā)的代碼進(jìn)行代碼簽名的數(shù)字證書。 3.2 縮略語 下列縮略語適用于本標(biāo)準(zhǔn)： ASN Abstract Syntax Notation 抽象語法表示法 BASE64 設(shè)計用來把任意序列的 8 位字節(jié)描述為一種不易被人直接識別的形式 BER Basic Encoding Rules 基本編碼規(guī)則 C Country 國家 CA Certificate Authority 證書認(rèn)證機(jī)構(gòu) CN Common Name 通用名 CRL Certificate Revocation List 證書吊銷列表 CSP Cryptographic Service Provider 加密服務(wù)提供者 DER Distinguished Encoding Rules 可區(qū)分編碼規(guī)則 DN Distinguished Name 甄別名 KMC Key Management Centre 密鑰管理中心 L Location 市州 LDAP Lightweight Directory Access Protocol 輕量級目錄訪問協(xié)議 O Organization 機(jī)構(gòu) OCSP Online Certificate Status Protocol 在線證書狀態(tài)協(xié)議 OID Object Identifier 對象標(biāo)識符 OU Organization Unit 機(jī)構(gòu)單位 PKCS The Public-Key Cryptography Standard 公鑰密碼使用標(biāo)準(zhǔn) PKI Public Key Infrastructure 公鑰基礎(chǔ)設(shè)施 RA Registration Authority 證書注冊機(jī)構(gòu) S State 省份 4 數(shù)字證書格式 4.1 政務(wù)數(shù)字證書通用格式 4.1.1 基本結(jié)構(gòu) 政務(wù)數(shù) 字證書 的基本 結(jié)構(gòu) 由三部 分組 成：基 本證書 域 TBSCertificate 、 簽名 算法域SignatureAlgorithm、簽名值域 SignatureValue。 政務(wù)數(shù)字證書的基本結(jié)構(gòu)，見圖 1。 DB42/T 452 2008 4 基 本 證 書 域T B S C e r t i f i c a t e簽 名 算 法 域S i g n a t u r e A l g o r i t h m簽 名 值 域S i g n a t u r e V a l u e政務(wù)數(shù)字證書基本結(jié)構(gòu) 圖 1 政務(wù)數(shù)字證書的基本結(jié)構(gòu) 4.1.2 基本證書域 基本證書域由基本域和擴(kuò)展域組成?；咀C書域結(jié)構(gòu)，見圖 2。 基本證書域基 本 域擴(kuò) 展 域 圖 2 基本證書域結(jié)構(gòu) 4.1.3 基本域 基本域由如下部分組成： 版本 Version 序列號 SerialNumber 簽名算法 SignatureAlgorithm 頒發(fā)者 Issuer 有效期 Validity 主體 Subject 主體公鑰信息 SubjectPublicKeyInfo 頒發(fā)者唯一標(biāo)識符 IssuerUniqueID 主體唯一標(biāo)識符 SubjectUniqueID 基本域應(yīng)符合 附錄 A 的規(guī)定。 4.1.4 擴(kuò)展域 政務(wù)數(shù)字證書可使用擴(kuò)展域。 政務(wù)數(shù)字證書擴(kuò)展域可包含多項擴(kuò)展項。每項擴(kuò)展項由擴(kuò)展類型、擴(kuò)展關(guān)鍵度和擴(kuò)展項值組成。 政務(wù)數(shù)字證書可使用 IETF RFC 3280 中定義的如下證書擴(kuò)展項： 機(jī)構(gòu)密鑰標(biāo)識符 AuthorityKeyIdentifier 主體密鑰標(biāo)識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 策略映射 PolicyMappings 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints DB42/T 452 2008 5 名稱限制 NameConstraints 策略限制 PolicyConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 限制任意策略 InhibitAnyPolicy 最新證書撤銷列表 FreshestCRL 機(jī)構(gòu)信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 除上述證書擴(kuò)展項， 本標(biāo)準(zhǔn) 還支持如下私有擴(kuò)展項： 個人身份證號碼 IdentifyCardNumber 個人社會保險號 InsuranceNumber 組織機(jī)構(gòu)代碼 OrganizationCode 工商注冊號 ICRegistrationNumber 稅號 TaxationNumber 主體銀行基本賬號 SubjectBasicAccount 政務(wù)數(shù)字證書擴(kuò)展域 應(yīng)符合 附錄 B.1 的規(guī)定 。 4.1.5 簽名算法域 包含 CA 頒發(fā)該證書所使用的密碼算法的標(biāo)識符，應(yīng)與基本證書域中的簽名算法 項 所標(biāo)識的簽名算法相同?？蛇x參數(shù)的內(nèi)容完全依賴所標(biāo)識的具體算法。 4.1.6 簽名值域 包含對基本證書域進(jìn)行數(shù)字簽名的結(jié)果。經(jīng)過 ASN.1 DER 編碼的基本證書域作為數(shù)字簽名算法的輸入，簽名的結(jié)果按照 ASN.1 編碼成 BIT STRING 類型并保存在簽名值域。 4.1.7 命名規(guī)范 主體 政務(wù)數(shù)字證書中的主體 DN 應(yīng)是 C=CN 命名空間下的 X.500 目錄唯一名字。 C（ Country）屬性的編 碼使用 PrintableString，其它屬性的編碼使用 UTF8String。主體的 X.500 DN 如下： C=CN S= L= O= OU= CN= a) C（ Country）應(yīng)為 CN，表示中國。 b) S（ State）應(yīng)為證書主體所在省份。 c) L（ Location）應(yīng)為證書主體所在 市州 。 d) O（ Organization）應(yīng)為證書主體所屬單位的上一級單位的名稱 全稱； e) OU（ OrganizationUnit）應(yīng)為證書主體或者證書主體所屬單位的名稱全稱； f) CN（ CommonName）中的內(nèi)容分為 6 種： 1） 政務(wù)個人證書中應(yīng)為證書主體的姓名； 2） 政務(wù)機(jī)構(gòu)證書中應(yīng)為證書主體單位的 名稱 ； 3） 政務(wù)設(shè)備證書中應(yīng)為證書主體設(shè)備的設(shè)備編碼； 4） 政務(wù)服務(wù)器證書中應(yīng)為證書主體服務(wù)器的域名或 IP，宜為域名； 5） 政務(wù)應(yīng)用系統(tǒng)證書中應(yīng)為證書主體應(yīng)用系統(tǒng)的應(yīng)用系統(tǒng)編碼； 6） 政務(wù)代碼簽名證書中應(yīng)為負(fù)責(zé)人的姓名，或者是所屬單位的 名稱 。 主體命名示例 參 見附錄 D。 DB42/T 452 2008 6 主體替換名稱 政務(wù)數(shù)字證書的主體替換名稱擴(kuò)展項包含一個或多個替換名供實體使用， CA 把該實體與認(rèn)證的公開密鑰綁定在一起。 主體替換名稱擴(kuò)展允許把附加身份加到證書的主體上。所定義的選項包括因特網(wǎng)電子郵件地址、DNS 名稱、 IP 地址和統(tǒng)一資源標(biāo)識符（ URI），及純本地定義的選項。 此項定義如下： a) otherName 是按照 OTHER-Name 信息客體類別實例定義的任一種形式的名稱； b) rfc822Name 是按照 Internet RFC822 定義的 Internet 電子郵件地址，政務(wù)個人證書、政務(wù)機(jī)構(gòu)證書、政務(wù)設(shè)備 證書、政務(wù)服務(wù)器證書、政務(wù)應(yīng)用系統(tǒng)證書、政務(wù)代碼簽名證書宜包含電子郵件地址 Email； c) DNSName 是按照 RFC1034 定義的 Internet 域名，政務(wù)設(shè)備證書、政務(wù)服務(wù)器證書、政務(wù)應(yīng)用系統(tǒng)證書可包含域名地址； d) x400Address 是按照 GB/T 16284.4-1996 定義的 O/R 地址； e) directoryName 是按照 ISO/IEC 9594-2:2001 定義的目錄名稱； f) ediPartyName 是通信的電子數(shù)據(jù)交換雙方之間商定的形式名稱， nameAssigner 成分標(biāo)識了分配partyName 中 唯一名稱值的機(jī)構(gòu)； g) uniformResourceIdentifier 是按 Internet RFC1630 定義的用于 WWW 的 UniformResourceIdentifer，RFC1738 中定義的 URL 語法和編碼規(guī)則； h) iPAddress 是按照 Internet RFC791 定義的用二進(jìn)制串表示的 Internet Protocol 地址； i) registeredID 是按照 GB/T 17969.1-2000 對注冊的客體分配的標(biāo)識符。 directoryName 的 X.500 DN 應(yīng)是 C=CN 命名空間下的 X.500 目錄 唯一名字。 主體替換名稱命名示例參見附錄 E。 4.1.8 政務(wù)數(shù)字證書編碼示例 政務(wù)數(shù)字證書編碼參見 附錄 F。 4.2 認(rèn)證機(jī)構(gòu)證書格式 4.2.1 概述 認(rèn)證機(jī)構(gòu)證書為 頒發(fā)給參與電子政務(wù)的證書認(rèn)證機(jī)構(gòu)的數(shù)字證書 。 認(rèn)證機(jī)構(gòu)證書簡稱電子政務(wù) CA 證書。 認(rèn)證機(jī)構(gòu)證書由基本證書域、簽名算法域和簽名值域組成。 4.2.2 認(rèn)證機(jī)構(gòu)證書基本證書域 基本證書域由基本域和擴(kuò)展域組成。 4.2.3 認(rèn)證機(jī)構(gòu)證書基本域 認(rèn)證機(jī)構(gòu)證書基本域應(yīng)符合附錄 A 的規(guī)定。 4.2.4 認(rèn)證機(jī)構(gòu)證書擴(kuò)展域 CA 證書可包含如下擴(kuò)展項： 機(jī)構(gòu)密鑰標(biāo)識符 AuthorityKeyIdentifier 主體密鑰標(biāo)識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 策略映射 PolicyMappings 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName DB42/T 452 2008 7 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 名稱限制 NameConstraints 策略限制 PolicyConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 限制任意策略 InhibitAnyPolicy 最新證書撤銷列表 FreshestCRL 機(jī)構(gòu)信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 認(rèn)證機(jī)構(gòu) 數(shù)字證書擴(kuò)展域 應(yīng)符合附錄 B.2 的規(guī)定。 4.2.5 認(rèn)證機(jī)構(gòu)證書簽名算法域 認(rèn)證機(jī)構(gòu)證書簽名算法域 應(yīng) 符合 4.1.3 的規(guī)定。 4.2.6 認(rèn)證機(jī)構(gòu)證書簽名值域 認(rèn)證機(jī)構(gòu)證書簽名值域 應(yīng) 符合 4.1.4 的規(guī)定。 4.2.7 認(rèn)證機(jī)構(gòu)證書模板 認(rèn)證機(jī)構(gòu)證書模板應(yīng)符合附錄 C 的規(guī)定。 4.3 政務(wù)個人證書格式 4.3.1 概述 政務(wù)個人證書為 頒發(fā)給參與電子政務(wù)的個人實體，用來唯一標(biāo)識個人實體真實身份的數(shù)字證書。 政務(wù)個人證書由基本證書域、簽名算法域和簽名值域組成。 4.3.2 政務(wù)個人證書基本證書域 基本證書域由基本域和擴(kuò)展域組成。 4.3.3 政務(wù)個人證書基本域 政務(wù)個人證書基本域應(yīng)符合附錄 A 的規(guī)定。 4.3.4 政務(wù)個人證書擴(kuò)展域 政務(wù)個人證書擴(kuò)展域可包含如下擴(kuò)展項： 機(jī)構(gòu)密鑰標(biāo) 識符 AuthorityKeyIdentifier 主體密鑰標(biāo)識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機(jī)構(gòu)信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 個人身份證號碼 IdentifyCardNumber 個人社會保險號 InsuranceNumber 主體銀行基本賬號 SubjectBasicAccount 政務(wù) 個人 證書擴(kuò)展域 應(yīng)符合附錄 B.3 的規(guī)定。 DB42/T 452 2008 8 4.3.5 政務(wù)個人證書簽名算法域 政務(wù)個人證書簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 4.3.6 政務(wù)個人證書簽名值域 政務(wù)個人證書簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.3.7 政務(wù)個人證書模板 政務(wù)個人證書模板應(yīng)符合附錄 C 的規(guī)定。 4.4 政務(wù)機(jī)構(gòu)證書格式 4.4.1 概述 政務(wù)機(jī)構(gòu)證書為 頒發(fā)給參與電子政務(wù)的機(jī)構(gòu)實體，用來唯一標(biāo)識機(jī)構(gòu)實體真實身份的數(shù)字證書。 政務(wù)機(jī)構(gòu)證書由基本證書域、簽名算法域和簽名值域組成。 4.4.2 政務(wù)機(jī)構(gòu)基本證書域 基本證書域由基本域和擴(kuò)展域組成。 4.4.3 政務(wù)機(jī)構(gòu)證書基本域 政務(wù)機(jī)構(gòu)證書基本域應(yīng)符合附錄 A 的規(guī)定。 4.4.4 政務(wù)機(jī)構(gòu)證書擴(kuò)展 域 政務(wù)機(jī)構(gòu)證書擴(kuò)展域可包含如下擴(kuò)展項： 機(jī)構(gòu)密鑰標(biāo)識符 AuthorityKeyIdentifier 主體密鑰標(biāo)識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體 目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機(jī)構(gòu)信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 工商注冊號 ICRegistrationNumber 組織機(jī)構(gòu)代碼 OrganizationCode 稅號 TaxationNumber 主體銀行基本賬號 SubjectBasicAccount 政務(wù) 機(jī)構(gòu) 證書擴(kuò)展域 應(yīng)符合附錄 B.4 的規(guī)定。 4.4.5 政務(wù)機(jī)構(gòu)證書簽名算法域 政務(wù)機(jī)構(gòu)證書簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 4.4.6 政務(wù)機(jī)構(gòu)證書簽名值域 政務(wù)機(jī)構(gòu)證書簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.4.7 政務(wù)機(jī)構(gòu)證書模板 政務(wù)機(jī)構(gòu)證書模板應(yīng)符合附錄 C 的規(guī)定。 4.5 政務(wù)設(shè)備證書格式 4.5.1 概述 政務(wù)設(shè)備證書為 頒發(fā)給參與電子政務(wù)的設(shè)備實體，用來唯一標(biāo)識設(shè)備實體真實身份的數(shù)字證書。 DB42/T 452 2008 9 政務(wù)設(shè)備證書由基本證書域、簽名算法域和簽名值域組成。 4.5.2 政務(wù)設(shè)備基本證書域 基本證書域由基本 域和擴(kuò)展域組成。 4.5.3 政務(wù)設(shè)備證書基本域 政務(wù)設(shè)備證書基本域應(yīng)符合附錄 A 的規(guī)定。 4.5.4 政務(wù)設(shè)備證書擴(kuò)展域 政務(wù)設(shè)備證書擴(kuò)展域可包含如下擴(kuò)展項： 機(jī)構(gòu)密鑰標(biāo)識符 AuthorityKeyIdentifier 主體密鑰標(biāo)識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機(jī)構(gòu)信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務(wù) 設(shè)備 證書擴(kuò)展域 應(yīng)符合附錄 B.5 的規(guī)定。 4.5.5 政務(wù) 設(shè)備證書簽名算法域 政務(wù)設(shè)備證書簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 4.5.6 政務(wù)設(shè)備證書簽名值域 政務(wù)設(shè)備證書簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.5.7 政務(wù)設(shè)備證書模板 政務(wù)設(shè)備證書模板應(yīng)符合附錄 C 的規(guī)定。 4.6 政務(wù)服務(wù)器證書格式 4.6.1 概述 政務(wù)服務(wù)器證書為頒發(fā)給參與電子政務(wù)的各服務(wù)器實體，用來唯一標(biāo)識服務(wù)器實體真實身份的數(shù)字證書。 政務(wù)服務(wù)器證書由基本證書域、簽名算法域和簽名值域組成。 4.6.2 政務(wù)服務(wù)器基本證書域 基本證書域由基本域和擴(kuò)展域組成。 4.6.3 政務(wù)服務(wù)器證書基本域 政務(wù)服務(wù)器證書基本域應(yīng)符合附錄 A 的規(guī)定。 4.6.4 政務(wù)服務(wù)器證書擴(kuò)展 域 政務(wù)服務(wù)器證書擴(kuò)展域可包如下擴(kuò)展項： 機(jī)構(gòu)密鑰標(biāo)識符 AuthorityKeyIdentifier 主體密鑰標(biāo)識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod DB42/T 452 2008 10 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機(jī)構(gòu)信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務(wù) 服務(wù)器 證書擴(kuò)展域 應(yīng)符合附錄 B.6 的規(guī)定。 4.6.5 政務(wù)服務(wù)器證書簽名算法域 政務(wù)服務(wù)器證書簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 4.6.6 政務(wù)服務(wù)器證書簽名值域 政 務(wù)服務(wù)器證書簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.6.7 政務(wù)服務(wù)器證書模板 政務(wù)服務(wù)器證書模板應(yīng)符合附錄 C 的規(guī)定。 4.7 政務(wù)應(yīng)用系統(tǒng)證書格式 4.7.1 概述 政務(wù)應(yīng)用系統(tǒng)證書為頒發(fā)給參與電子政務(wù)的各應(yīng)用系統(tǒng)實體，用來唯一標(biāo)識應(yīng)用系統(tǒng)實體真實身份的數(shù)字證書。 政務(wù)應(yīng)用系統(tǒng)證書由基本證書域、簽名算法域和簽名值域組成。 4.7.2 政務(wù)應(yīng)用系統(tǒng)基本證書域 基本證書域由基本域和擴(kuò)展域組成。 4.7.3 政務(wù)應(yīng)用系統(tǒng)基本證書域 政務(wù)應(yīng)用系統(tǒng)基本證書域應(yīng)符合附錄 A 的規(guī)定。 4.7.4 政務(wù)應(yīng)用系統(tǒng)證書擴(kuò)展域 政務(wù)應(yīng)用系統(tǒng)證書擴(kuò)展域可包如下擴(kuò)展項： 機(jī)構(gòu)密鑰標(biāo)識符 AuthorityKeyIdentifier 主體密鑰標(biāo)識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機(jī)構(gòu)信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務(wù) 應(yīng)用系統(tǒng) 證書擴(kuò)展域 應(yīng)符合附錄 B.7 的規(guī)定。 4.7.5 政務(wù)應(yīng)用系統(tǒng)證書簽名算法域 政務(wù)應(yīng)用系統(tǒng)證書簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 DB42/T 452 2008 11 4.7.6 政務(wù)應(yīng)用系統(tǒng)證書簽名值域 政務(wù)應(yīng)用系統(tǒng)證書簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.7.7 政務(wù)應(yīng)用系統(tǒng)證書 模板 政務(wù)應(yīng)用系統(tǒng)證書模板應(yīng)符合附錄 C 的規(guī)定。 4.8 政務(wù)代碼簽名證書格式 4.8.1 概述 政務(wù)代碼簽名證書為 頒發(fā)給參與電子政務(wù)的各類實體，用來對其所開發(fā)的代碼進(jìn)行代碼簽名的數(shù)字證書。 政務(wù)代碼簽名證書由基本證書域、簽名算法域和簽名值域組成。 4.8.2 政務(wù)代碼簽名基本證書域 基本證書域由基本域和擴(kuò)展域組成。 4.8.3 政務(wù)代碼簽名證書基本域 政務(wù)代碼簽名證書基本域應(yīng)符合附錄 A 的規(guī)定。 4.8.4 政務(wù)代碼簽名證書擴(kuò)展域 政務(wù)代碼簽名證書擴(kuò)展域可包含如下擴(kuò)展項： 機(jī)構(gòu)密鑰標(biāo)識符 AuthorityKeyIdentifier 主體密鑰標(biāo)識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴(kuò)展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機(jī)構(gòu)信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務(wù) 代碼簽名 證書擴(kuò)展域 應(yīng)符合附錄 B.8 的規(guī)定。 4.8.5 政務(wù)代碼簽名證書簽名算法域 政務(wù)代碼簽名證書簽名算法域應(yīng)符合 4.1.3 的規(guī)定。 4.8.6 政務(wù)代碼簽名證書簽名值域 政務(wù)代碼簽名證書簽名值域應(yīng)符合 4.1.4 的規(guī)定。 4.8.7 政務(wù)代碼簽名證書模板 政務(wù)代碼簽名證書模板應(yīng)符合附錄 C 的規(guī)定。 5 政務(wù)數(shù)字證書應(yīng)用 接口 5.1 政務(wù)數(shù)字證書應(yīng)用 體系結(jié)構(gòu) 政務(wù)數(shù)字證書應(yīng)用 體系結(jié)構(gòu)如圖 3 所示。 政務(wù)數(shù)字證書支持多種應(yīng)用方式，可利用 CA 提供的數(shù)字證書應(yīng)用程序接口進(jìn)行定制開發(fā)，實現(xiàn)登錄和身份認(rèn)證等基本應(yīng)用，也可 應(yīng)用已有標(biāo)準(zhǔn)協(xié)議和標(biāo)準(zhǔn)中間件，例如： 1) 安全套接層協(xié)議（ SSL， Security Socket Layer） ， SSL 協(xié)議指定了一種在應(yīng)用程序協(xié)議（如 HTTP、 Telnet、 NMTP 和 FTP 等）和 TCP/IP 協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制，它為 TCP/IP 連接DB42/T 452 2008 12 提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證。 2) 安全 多媒體 Internet郵件擴(kuò)展協(xié)議（ S/MIME）主要用于保障電子郵件的安全傳輸。例如：微軟的 outlook express中使用該協(xié)議，采用數(shù)字標(biāo)識、數(shù)字憑證、數(shù)字簽名以及非對稱密鑰系統(tǒng)等技術(shù)，構(gòu)成一種簽名加密的郵件收發(fā)方式。 3) XML 密鑰信息服務(wù)規(guī)范（ XKISS） ， XKMS為允許客戶機(jī)應(yīng)用程序認(rèn)證經(jīng)過加密 /簽名的數(shù)據(jù)提供機(jī)制。 身 份 認(rèn) 證 保 密 性 完 整 性 不 可 否 認(rèn) 性應(yīng) 用 程 序數(shù) 字 證 書 應(yīng) 用 中 間 件應(yīng) 用 程 序 接 口S / M I M E 協(xié) 議 X K M S 協(xié) 議 S S L 協(xié) 議數(shù) 字 證 書密 碼 設(shè) 備 （ 加 密 機(jī) 、 密 碼 卡 、 u s b k e y 等 ）應(yīng) 用 層接 口 層系 統(tǒng) 層 圖 3 政務(wù)數(shù)字證書應(yīng)用 體系結(jié)構(gòu) 5.2 政務(wù)數(shù)字證書應(yīng)用接口組成和功能說明 政務(wù) 數(shù)字證書應(yīng)用接口位于應(yīng)用系統(tǒng)和 政務(wù)數(shù)字證書 之間，應(yīng) 用程序通過調(diào)用 政務(wù)數(shù)字證書 應(yīng)用接口實現(xiàn)身份認(rèn)證、實現(xiàn)信息的保密性、完整性和不可否認(rèn)性； 政務(wù)數(shù)字證書 應(yīng)用接口通過標(biāo)準(zhǔn)接口，在密碼設(shè)備中實現(xiàn)具體的密碼運(yùn)算和密鑰使用。 政務(wù)數(shù)字證書 應(yīng)用接口支持 PKCS#11和 CSP接口方式，提供的消息函數(shù)符合 PKCS#7格式。 政務(wù)數(shù)字證書 應(yīng)用接口由以下部分組成： 初始化函數(shù) 證書函數(shù) 算法服務(wù)函數(shù) 原文操作函數(shù) 文件操作函數(shù) 除上述程序接口以外， CA應(yīng)提供字符串編碼及異常處理等輔助函數(shù)。 5.2.1 初始化函數(shù) 初始化函數(shù)負(fù)責(zé)創(chuàng)建和管理安全程序空間， 加載 和管理安全程序空間中所需的各種資源，完成與系統(tǒng)、密碼設(shè)備的連接準(zhǔn)備。 可 通過初始化函數(shù)加載配置文件對 以下內(nèi)容進(jìn)行設(shè)置 ： 應(yīng)用工作路徑 系統(tǒng)字符集 應(yīng)用程序字符集 日志文件 系統(tǒng) 可 信任的 證書 DB42/T 452 2008 13 CRL 在具體的應(yīng)用中可通過直接加載配置文件進(jìn)行 應(yīng)用配置， 不必調(diào)用 初始化函數(shù)。 5.2.2 證書函數(shù) 證書函數(shù) 用于 獲取 和驗證政務(wù)數(shù)字證書及提取證書信息。 應(yīng)用程序 可 通過 該類 函數(shù)，實現(xiàn)基于 政務(wù)數(shù)字證書的身份認(rèn)證、 授權(quán)管理、訪問控制等安全機(jī)制。 應(yīng) 先獲取相關(guān)證書的 CRL或證書的狀態(tài)，然后調(diào)用相關(guān)函數(shù)進(jìn)行證 書驗證， 在確 定證書的有效性后調(diào)用該類函數(shù) 。 5.2.3 算法服務(wù)函數(shù) 算法服務(wù)函數(shù) 用于 設(shè)置簽名和加密算法 。 不 調(diào) 用 該 函數(shù) 將 采用 系統(tǒng) 初始化 時確定的 默認(rèn)算法。 5.2.4 原文操作函數(shù) 原文操作函數(shù) 對字符串?dāng)?shù)據(jù) 進(jìn)行操作實現(xiàn)以下功能： 數(shù)據(jù)簽名，數(shù)據(jù)加密，驗證簽名數(shù)據(jù)，驗證加密數(shù)據(jù)，獲取簽名信息，獲取加密信息等操作，實現(xiàn)信息的保密性、完整性和不可否認(rèn)性。 對原文進(jìn)行操作前，應(yīng)使用證書函數(shù)對 證書 進(jìn)行設(shè)置 。 5.2.5 文件操作函數(shù) 文件操作函數(shù) 對數(shù)據(jù)文件 進(jìn)行操作實現(xiàn)以下功能 ：數(shù)據(jù)簽名，數(shù)據(jù)加密，驗證簽名數(shù)據(jù)，驗證加密數(shù)據(jù)，獲取簽名信息，獲取加密信息等操 作，實現(xiàn)文件信息的保密性、完整性和不可否認(rèn)性。 對 文件 進(jìn)行操作前， 應(yīng)使用證書函數(shù)對 證書 進(jìn)行設(shè)置 。 5.3 政務(wù)數(shù)字證書應(yīng)用程序接口函數(shù)定義 5.3.1 初始化函數(shù) 初始化函數(shù) Init，定義如表 1。 表 1 初始化函數(shù) Init 函數(shù)名稱 Init( String str ) 功能 初始化簽名系統(tǒng) 參數(shù)說明 str - 配置文件路徑 返回值 無 5.3.2 證書函數(shù) 證書函數(shù)包括如下函數(shù)： 設(shè)置證書函數(shù)： SetCert 證書選擇方式函數(shù)： SetCertChooseType 證書信息函數(shù)： GetCertInfo 證書選擇方 式函數(shù) 證書 選擇方式 函數(shù) SetCertChooseType，定義如表 2。 表 2 證書選擇方式函數(shù) SetCertChooseType 函數(shù)名稱 SetCertChooseType( int nType ) 功能 指定證書選擇的方式 參數(shù)說明 nType - 證書選擇的類型 (0 表示只有一張證書時也彈出證書選擇框 ,1 表示只有一張證書時將不彈出證書選擇框 ,默認(rèn)值為 0) 返回值 類型為 long 0 表示成功， 0 表示失敗的錯誤碼 設(shè)置證書函數(shù) 設(shè)置證書函數(shù) SetCert，定義如表 3。 DB42/T 452 2008 14 表 3 設(shè)置證書函數(shù) SetCert 函數(shù)名稱 SetCert( String strCertType, String strDN, String strSN, String strEmail, String strDNIssuer, String strCertBase64 ) 功能 通過指定參數(shù)來設(shè)置證書 參數(shù)說明 strCertType 證書的類型 (見附錄 G.1) strDN - 證書的主題 (Distinguished Name) strSN - 證書的序列號 (Serial Number) strEmail - 證 書的主題中的 Email 項 strDNIssuer - 證書的頒發(fā)者主題 (Distinguished Name of Issuer) strCertBase64 - 證書的 BASE64 編碼 返回值 成功： 0 失?。?long型錯誤代碼 證書信息函數(shù) 證書 信息 函數(shù) GetCertInfo，定義如表 4。 表 4 證書信息函數(shù) GetCertInfo 函數(shù)名稱 GetCertInfo( String strCertType, int nInfoType, String strOID ) 功能 獲得證書 中的相應(yīng)信息 參數(shù)說明 strCertType - 證書的類型 ,見附錄 G.1 nInfoType - 證書信息的類型 , 見附錄 G.2 strOID - 證書擴(kuò)展標(biāo)識，如果 type等于證書擴(kuò)展， strOID輸入項不可為空 返回值 成功：返回字符型證書信息 失?。悍祷?null 5.3.3 算法服務(wù)函數(shù) 算法服務(wù) 函數(shù) SetAlgorithm，定義如表 5。 表 5 算法服務(wù)函數(shù) SetAlgorithm 函數(shù)名稱 SetAlgorithm( String strSignType, String strEncType ) 功 能 設(shè)置簽名算法、加密算法 參數(shù)說明 strSignType - 簽名算法類型 strEncType - 加密算法類型 返回值 成功：返回 0 失?。悍祷劐e誤代碼 DB42/T 452 2008 15 5.3.4 原文操作函數(shù) 原文操作函數(shù)包括如下函數(shù)： 簽名函數(shù) 驗證簽名函數(shù) 加密函數(shù) 解密函數(shù) 添加原文函數(shù) 獲得原文函數(shù) 簽名函數(shù) 簽名函數(shù)有如下兩種： a) 帶原文的簽名函數(shù) AttachSign，定義如表 6； 表 6 帶原文函數(shù) AttachSign 函數(shù)名稱 AttachSign( String strDN, byte bOrgData ) 功能 制作一個包含原文的數(shù)字簽名 參數(shù)說明 strDN - 指定證書的主題 bOrgData byte型原文數(shù)據(jù) 返回值 成功：返回一個 P7 格式的 Base64 編碼簽名 失?。悍祷?null b) 不帶原文的簽名函數(shù) DetachSign，定義如表 7。 表 7 不帶原文函數(shù) DetachSign 函數(shù)名稱 DetachSign( String strDN, byte bOrgData ) 功能 制作一個不包含原文的數(shù)字簽名 參數(shù)說明 strDN - 指定證書 的主題 bOrgData byte原文數(shù)據(jù) 返回值 成功：返回一個 P7格式的 Base64編碼簽名 失?。悍祷?null 驗證簽名函數(shù) 驗證簽名函數(shù)有如下兩種： a) 帶原文簽名的驗證函數(shù) VerifyAttachedSign，定義如表 8； 表 8 驗證函數(shù) VerifyAttachedSign 函數(shù)名稱 VerifyAttachedSign( byte bAtchSignedData ) 功能 對 Attached做的數(shù)字簽名做驗證 參數(shù)說明 bAtchSignedData - Attached簽名 結(jié)果（ Base64編碼格式） 返回值 成功：返回 0 失?。悍祷劐e誤代碼 b) 不帶原文簽名的驗證函數(shù) VerifyDetachedSign，定義如表 。 DB42/T 452 2008 16 表 9 驗證函數(shù) VerifyDetachedSign 函數(shù)名稱 VerifyDetachedSign( byte bDtchSignedData, byte bOrgData ) 功能 Detached函數(shù)做的數(shù)字簽名做驗證 參數(shù)說明 bDtchSignedData Detached簽名結(jié)果（ Base64編碼格式） bOrgData byte原文數(shù)據(jù) 返回值 成功：返回 0 失?。悍祷劐e誤碼 加密函數(shù) 加密函數(shù)有如下兩種： a) 數(shù)字信封函數(shù) EncryptEnvelop，定義如表 10； 表 10 數(shù)字信封函數(shù) EncryptEnvelop 函數(shù)名稱 EncryptEnvelop( String strDN, byte bOrgData ) 功能 制作數(shù)字信封 參數(shù)說明 strDN 接收者的證書主題 bOrgData byte原文數(shù)組 返回值 成功：返回 P7格式 Base64編碼數(shù)字信封 失?。悍祷?null b) 帶簽名的數(shù)字信封函數(shù) CreateSignedEnvelop，定義如表 11。 表 11 帶簽名數(shù)字信封函數(shù) CreateSignedEnvelop 函數(shù)名稱 CreateSignedEnvelop ( String strDNSignCert, String strDNEncCert, ArrayList alOrgData ) 功能 指定原文、加密證書和簽名證書制作帶簽名的數(shù)字信封 參數(shù)說明 strDNSignCert - 簽名證書的主題 strDNEncCert - 加密證書的主題 alOrgData byte原文數(shù)組 返回值 成功：返回 P7格式 Base64編碼帶簽名數(shù)字信封 失?。悍祷?null 解密函數(shù) 解密函數(shù)有如下兩種： a) 解密數(shù)字信封函數(shù) DecryptEnvelop，定義如表 12； DB42/T 452 2008 17 表 12 解密數(shù)字信封函數(shù) DecryptEnvelop 函數(shù)名稱 DecryptEnvelop( byte bEnvelop ) 功能 解密 EncryptEnvelop函數(shù)制作的數(shù)字信封 參數(shù)說明 bEnvelop - byte型數(shù)字信封 返回值 成功：返回 0 失?。悍祷劐e誤碼 b) 解密帶數(shù)字簽名的數(shù)字信封函數(shù) VerifySignedEnvelop，定義如表 13。 表 13 解密帶簽名數(shù)字信封函數(shù) VerifySignedEnvelop 函數(shù)名稱 VerifySignedEnvelop( byte bEnvelop ) 功能 解密并驗證 CreateSignedEnvelop函數(shù)制作的 帶簽名的數(shù)字信封 參數(shù)說明 bEnvelop - 數(shù)字信封 返回值 成功：返回 0 失敗：返回錯誤碼 添加原文函數(shù) 添加原文的函數(shù) AddData， 定義如表 14。 表 14 添加原文函數(shù) AddData 函數(shù)名 稱 AddData( byte bOrgData ) 功能 添加多個原文數(shù)據(jù) 參數(shù)說明 bOrgData - 原文數(shù)據(jù) 返回值 成功：返回 0 失?。悍祷劐e誤代碼 獲得原文函數(shù) 獲得原文的函數(shù) GetData， 定義如表 15。 表 15 獲得原文函數(shù) GetData 函數(shù)名稱 GetData() 功能 從對象中獲得原文 參數(shù)說明 無 返回值 如果存儲對象中有原文，返回原文 如果存儲對象中無原文，返回 null 5.3.5 文件操作函數(shù) 文件操作函數(shù)包括如下函數(shù)： 簽名函數(shù) 驗證簽名函數(shù) 加密函 數(shù) 解密函數(shù) 添加原文函數(shù) 獲得原文函數(shù) 簽名函數(shù) 簽名函數(shù)有如下兩種： a) 帶原文件的簽名函數(shù) AttachSign，定義如表 16； DB42/T 452 2008 18 表 16 帶原文件簽名函數(shù) AttachSign 函數(shù)名稱 AttachSign( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作一個包含原文件的數(shù)字簽名 參數(shù)說明 strDN - 指定證書的主題 strFileNameIn 原文文件名 strFileNameOut 簽名 輸出結(jié)果保存的文件名 ,字 符型 返回值 strFileNameOut=null 返回一個 P7格式的 Base64編碼簽名 strFileNameOut!=null 返回 b) 不帶原文件的簽名函數(shù) DetachSign，定義如表 17。 表 17 不帶原文件簽名函數(shù) DetachSign 函數(shù)名稱 DetachSign( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作一個不包含原文件的數(shù)字簽名 參數(shù)說明 strDN - 簽名證書的 DN strFileNameIn - 文件名 strFileNameOut 簽名輸出結(jié)果保存的文件名 ,字符型 返回值 成功 : strFileNameOut=null 返回一個 P7格式的 Base64編碼簽名 strFileNameOut!=null 返回 失?。悍祷?null 驗證簽名函數(shù) 驗證簽名函數(shù)有如下兩種 : a) 帶原文件簽名的驗證函數(shù) VerifyAttachedSign，定義如表 18； 表 18 帶原文件簽名驗證函數(shù) VerifyAttachedSign 函數(shù)名稱 VerifyAttachedSign( String strFileNameAttached ) 功能 通過接口參數(shù)傳入文件信息，對文件的 Attached函數(shù)的數(shù)字簽名做驗證 參數(shù)說明 strFileNameAttached - 存放 Attached簽名結(jié)果的文件名 返回值 成功：返回 0 失?。悍祷劐e誤代碼 b) 不帶原文件簽名的驗證函數(shù) VerifyDetachedSign，定義如表 19。 DB42/T 452 2008 19 表 19 不帶原文件簽名驗證函數(shù) VerifyDetachedSign 函數(shù)名稱 VerifyDetachedSign( String strFileNameIn, byte bDetachedData, String strFileNameDetached ) 功能 通過接口參數(shù)傳入文件信息，對文件的 Detached函數(shù)的數(shù)字簽名做驗證 參數(shù)說明 strFileNameIn Detached 驗簽名時用到的原文文件名 bDetachedData byte 型簽名結(jié)果（ Base64編碼格式） strFileNameDetached - 存放 detached簽名結(jié)果的文件名 返回值 成 功：返回 0 失?。悍祷劐e誤碼 加密函數(shù) 對文件的加密函數(shù)有如下兩種： a) 數(shù)字信封函數(shù) EncryptEnvelop，定義如表 20； 表 20 數(shù)字信封函數(shù) EncryptEnvelop 函數(shù)名稱 EncryptEnvelop( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作數(shù)字信封 參數(shù)說明 strDN 接收者的證書主題 strFileNameIn - 需要做數(shù)字信封的文件名稱數(shù)組 strFileNameOut - 數(shù)字信封結(jié)果輸出的全路徑文件名稱 返回值 成功： strFileNameOut=null 返回一個 P7格式的 Base64編碼數(shù)字信封 strFileNameOut!=null 返回 失敗：返回 null b) 帶簽名的數(shù)字信封函數(shù) CreateSignedEnvelop，定義如表 21。 表 21 帶簽名數(shù)字信封函數(shù) CreateSignedEnvelop 函數(shù)名稱 CreateSignedEnvelop ( String strDNSignCert, String strDNEncCert, String strFileNameIn, String strFileNameOut ) 功能 指定文件、加密證書和簽名證書制作帶簽名的數(shù)字信封 參數(shù)說明 strDNSignCert - 簽名證書的主題 strDNEncCert - 加密證書的主題 strFileNameIn - 需要做操作的文件名稱 strFileNameOut - 操作結(jié)果輸出的文件名稱 返回值 成功：返回 P7格式 Base64編碼帶簽名數(shù)字信封 失?。悍祷?null DB42/T 452 2008 20 解密函數(shù) 解密函數(shù)有如下兩種： a) 解密數(shù)字信 封函數(shù) DecryptEnvelop，定義如表 22； 表 22 解密數(shù)字信封函數(shù) DecryptEnvelop 函數(shù)名稱 DecryptEnvelop（ String strFileNameIn ) 功能 解密 EncryptEnvelop函數(shù)制作的數(shù)字信封 參數(shù)說明 strFileNameIn 存放數(shù)字信封結(jié)果的文件名 返回值 成功：返回 0 失?。悍祷劐e誤碼 b) 解密帶數(shù)字簽名的數(shù)字信封函數(shù) VerifySignedEnvelop，定義如表 23。 表 23 解密帶數(shù)字簽名數(shù)字信封函數(shù) VerifySignedEnvelop 函數(shù)名稱 VerifySignedEnvelop( String strFileNameIn ) 功能 解密并驗證 CreateSignedEnvelop函數(shù)制作的 帶簽名的數(shù)字信封 參數(shù)說明 strFileNameIn - 存放數(shù)字信封結(jié)果的文件名 返回值 成功：返回 0 失?。悍祷劐e誤碼 添加原文件函數(shù) 添加原文件函數(shù) AddFile， 定義如表 24。 表 24 添加原文件函數(shù) AddFile 函數(shù)名稱 AddFile( String strFileName ) 功能 添加多個原文文件 參數(shù)說明 strFileName - 原文文件名 返回值 成功：返回 0 失?。悍祷劐e誤代碼 獲得原文件函數(shù) 獲得原文件函數(shù) GetFile， 定義如表 25。 表 25 獲得原文件函數(shù) GetFile 函數(shù)名稱 GetFile( String strFilePath ) 功能 從對象中獲得原文文件 參數(shù)說明 strFilePath 結(jié)果文件存放的路徑 返回值 如果存儲對象中有文件名，返回文件名 如果存儲對象中無文件名，返回 錯誤返回 null 6 政務(wù)數(shù)字證書業(yè)務(wù)規(guī)則 6.1 政務(wù)數(shù)字證書簽發(fā) 6.1.1 證書簽發(fā)中 RA 和 CA 的行為 RA 業(yè)務(wù)管理員使用證書登錄到 RA系統(tǒng)的業(yè)務(wù)終端，查詢并審核系統(tǒng)的申請記錄。審核 通過 的信息將發(fā)送到證書認(rèn)證機(jī)構(gòu)的 CA 系統(tǒng)， CA系統(tǒng)簽發(fā)證書并返回給 RA系統(tǒng)供終端實體下載。 政務(wù)數(shù)字證書注冊機(jī)構(gòu) （ RA） 和受理點 建設(shè)參見附錄 I。 6.1.2 密鑰對的安全技術(shù)控制 CA 公鑰 的發(fā)送 證書認(rèn)證機(jī)構(gòu)的根 CA 公鑰， 通過如下方式傳輸給依賴方： a) 依賴方訪問證書認(rèn)證機(jī)構(gòu)的網(wǎng)站下載 CA 根證書； DB42/T 452 2008 21 b) 證書認(rèn)證機(jī)構(gòu)到依賴方業(yè)務(wù)系統(tǒng)現(xiàn)場將 CA 根證書安裝到業(yè)務(wù)系統(tǒng)中； c) 證書認(rèn)證機(jī)構(gòu)通過簽名電子郵件將 CA 根證書傳輸給依賴方； d) 證書認(rèn)證機(jī)構(gòu)將 CA 根證書綁定在分發(fā)給 依賴方的軟件中。 終端實體 密鑰對的產(chǎn)生和發(fā)送 對于 政務(wù) 個人 證書、 機(jī)構(gòu)證書 和代碼簽名證書 ， 終端實體 的簽名密鑰應(yīng)使用 USB Key 產(chǎn)生；對于政務(wù) 設(shè)備證書、服務(wù)器證書和應(yīng)用系統(tǒng)證書， 終端實體 可利用 設(shè)備或 服務(wù) 器自帶 程序軟件提供的密鑰生成功能產(chǎn)生密鑰對 ，也可采用專門硬件 模塊產(chǎn)生密鑰對。 終端實體 的加密密鑰對應(yīng)由國家密碼管理部門許可的、證書認(rèn)證機(jī)構(gòu)簽發(fā)系統(tǒng)支持的加密機(jī)設(shè)備產(chǎn)生，由 KMC 管理。 終端實體 的加密私鑰只保存在 KMC 和 終端實體 介質(zhì)。在加密私鑰從 KMC 到 終端實體 的傳遞過程中應(yīng)采用國家密碼管理部門許可的算法加密。 終端實體 的簽名證書公鑰通過安全通道經(jīng) RA 傳遞到 CA。 終端實體 的加密證書公鑰，由 KMC 通過安全通道傳遞到 CA。 終端實體 的公鑰在從 RA到 CA 以及從 KMC 到 CA傳遞過程中，應(yīng)采用國際密碼管理部門許可的通訊協(xié)議及密 碼 算法。 密鑰對使用期限 密鑰對的使用期限和其對應(yīng)的終端實體證書的有效期 一致。 6.1.3 政務(wù)數(shù)字證書發(fā)布 證書認(rèn)證機(jī)構(gòu)在證書簽發(fā)完成后，將數(shù)字證書發(fā)布到 服務(wù)器中 供 終端實體 和依賴方查詢和下載。 6.2 政務(wù)數(shù)字證書使用 6.2.1 政務(wù)數(shù)字證書使用范圍 在湖北省電子政務(wù) 中涉及到身份認(rèn)證 、 數(shù)據(jù)傳輸 、 安全郵件 、 數(shù)據(jù)交換 活動，通過本標(biāo)準(zhǔn) 的應(yīng)用接口與相關(guān)技術(shù)協(xié)議支持?jǐn)?shù)字證書。 在湖北省電子政務(wù) 中 ， 涉及到各級政務(wù)門戶的身份認(rèn)證和登錄應(yīng)支持?jǐn)?shù)字證書 。 在湖北省電子政務(wù) 中 ， 涉及到跨部門或跨市州的應(yīng)用系統(tǒng)應(yīng)使用數(shù)字證書。 在湖北省電子政務(wù) 中 ， 涉及到部門內(nèi)部和市州內(nèi)部系統(tǒng)宜使用數(shù)字證書。 6.2.2 依賴方的證書使用 依賴方接收到經(jīng)數(shù)字簽名的信息后： a) 獲得數(shù)字簽名對應(yīng)的證書及信任鏈； b) 確認(rèn)該簽名對應(yīng)的證書是依賴方信任的證書； c) 檢查 證書的有效期，確認(rèn)該證書在有效期內(nèi)； d) 查詢證書狀態(tài)，確認(rèn)該證書沒有被注銷； e) 證書的用途適用于對應(yīng)的 功能 ； f) 使用證書上的公鑰驗證簽名。 以上任一環(huán)節(jié)失敗，依賴方 拒絕接受簽名信息。 依賴方需發(fā)送加密信息給接受方時，應(yīng)先獲取接受方的加密證書，并使用證書公鑰對信息加密，將加密證書連同加密信息一起發(fā)送給接受方。 6.2.3 政務(wù)數(shù)字證書一證多用 政務(wù)數(shù)字證書支持在不改變證書信息的前提下，支持在省電子政務(wù)各應(yīng)用系統(tǒng)中的通用。 政務(wù)數(shù)字證書各參與實體 ，在設(shè)計、開發(fā)和使用政務(wù)數(shù)字證書的過程中，應(yīng)實現(xiàn)政務(wù)數(shù)字證書的一證多用。 6.3 政務(wù)數(shù)字證書維護(hù) 電子政務(wù)證書認(rèn)證機(jī)構(gòu)實現(xiàn)對政務(wù)數(shù)字證書的更新、變更、吊銷與掛起。 DB42/T 452 2008 22 6.4 政務(wù)數(shù)字證書載體 對于 政務(wù)設(shè)備證書、服務(wù)器證書和應(yīng)用系統(tǒng)證 書，載體為設(shè)備 硬盤或加密硬件設(shè)備。 對于政務(wù)個人證書、機(jī)構(gòu)證書和代碼簽名證書，載體 為 USB Key，功能 包括： a）提供數(shù)據(jù)、私鑰和算法安全存貯功能，私鑰不可復(fù)制，對外不可讀， 具備多密鑰存儲功能； b）采用國家密碼管理部門 批準(zhǔn)的硬件物理噪音源生成隨機(jī)數(shù)； c）支持 PKCS#11、 X.509 V3 證書存儲 及 Microsoft CrptoAPI 應(yīng)用接口 標(biāo)準(zhǔn)； d） USB Key 的設(shè)備驅(qū)動程序 附有主流操作系統(tǒng)的 硬件設(shè)備認(rèn)證簽名； e）提供 PIN 口令保護(hù)機(jī)制； f） 密鑰 在 USB Key 硬件內(nèi)部生成； g）具有 LED 用于電源指示和通訊指示。 6.5 政務(wù)數(shù)字證書實體查詢 證書認(rèn)證機(jī)構(gòu)通過以下方式提供政務(wù)數(shù)字證書的實體查詢 ： a) 在其網(wǎng)站提供證書實體查詢及公鑰證書下載服務(wù)； b) 發(fā)布 CRL 提供證書狀態(tài)查詢服務(wù)； c) 根據(jù)依賴方應(yīng)用系統(tǒng)實時性和并發(fā)量需求協(xié)商提供在線證書查詢（ OCSP）服務(wù)或目錄服務(wù)器（ LDAP）查詢服務(wù)。 DB42/T 452 2008 23 附 錄 A （規(guī)范性附錄） 基本域說明 A.1 版本（ Version ） 本項描述了編碼證書的版本號。規(guī)定政務(wù)數(shù)字證書應(yīng)使用版本 3（對應(yīng)的值是整數(shù) 2）。 A.2 序列號（ SerialNumber ） 本項是 CA 分配給每個證書的一個正整數(shù)。一 個 CA 頒發(fā)的每張證書的序列號必須是唯一的， CA必須保證序列號是非負(fù)整數(shù)。序列號可以是長整數(shù)，證書用戶必須能夠處理長達(dá) 20 個 8bit 字節(jié)的序列號值， CA 必須確保不使用大于 20 個 8 比特字節(jié)的序列號。 A.3 簽名算法 （ SignatureAlgorithm ） 本項包含 CA 簽發(fā)該證書所使用的密碼算法的標(biāo)識符，這個算法標(biāo)識符必須與證書中簽名算法域中的算法標(biāo)識符相同?？蛇x參數(shù)的內(nèi)容完全依賴所標(biāo)識的具體算法。 A.4 頒發(fā)者 （ Issuer ） 本項標(biāo)識了證書簽名和證書頒發(fā)的實體。它必須包含一個非空的可辨別名。該項被定義為 Name 類型。 頒發(fā)者可辨別名的 C（ Country）屬性的編碼使用 PrintableString、 Email 屬性的編碼使用 IA5String，其它屬性的編碼一律使用 UTF8String。 A.5 有效期 （ Validity ） 本項是一個時間段。在這個時間段內(nèi)， CA 擔(dān)保它將維護(hù)關(guān)于證書狀態(tài)的信息。該項被表示成一個具有兩個時間值的 SEQUENCE 類型數(shù)據(jù)：證書有效期的起始時間（ notBefore）和證書有效期的終止時間（ notAfter）。 NotBefore 和 NotAfter 這兩個時間都可以作為 UTCTime 類型或者 GeneralizedTime 類型進(jìn)行編碼。 遵循本標(biāo)準(zhǔn)的 CA 在 2049 年之前必須將該時間編碼為 UTCTime 類型，在 2050 年之后編碼為GeneralizedTime 類型。 A.6 主體（ Subject ） 本項描述了與主體公鑰項中的公鑰相對應(yīng)的實體。該項不能為空。終端實體數(shù)字證書主體的內(nèi)容和編碼方式見 A.4。 A.7 主體公鑰信息（ SubjectPublicKeyInfo） 本項用來標(biāo)識公鑰和相應(yīng)的公鑰算法。 A.8 頒發(fā)者唯一標(biāo)識符（ IssuerUniqueID） 本項主要用來處理頒發(fā)者名稱重用問題。本標(biāo)準(zhǔn)建議不同 的實體名稱不要重用， Internet 網(wǎng)的證書不要使用唯一標(biāo)識符。遵循本標(biāo)準(zhǔn)的證書簽發(fā)機(jī)構(gòu)不應(yīng)生成帶有頒發(fā)者唯一標(biāo)識符的證書，但是在應(yīng)用過程中應(yīng)該能夠解析這個項并進(jìn)行對比。 A.9 主體唯一標(biāo)識符（ SubjectUniqueID） 本項主要用來處理主體名稱重用問題。本標(biāo)準(zhǔn)建議不同的實體名稱不要重用，并且不建議使用此項，遵循本標(biāo)準(zhǔn)的證書簽發(fā)機(jī)構(gòu)不應(yīng)生成帶有主體唯一標(biāo)識符的證書，但是在應(yīng)用過程中應(yīng)該能夠解析唯一標(biāo)識并進(jìn)行對比。 DB42/T 452 2008 24 附 錄 B （規(guī)范性附錄） 擴(kuò)展域說明 B.1 政務(wù)數(shù)字證書通用格式擴(kuò)展域說明 B.1.1 機(jī)構(gòu)密鑰標(biāo)識符 本項標(biāo)識用來 驗證在證書或 CRL 上簽名的公開密鑰。 CA 自簽證書形式發(fā)放其公鑰時，可以省略認(rèn)證機(jī)構(gòu)密鑰標(biāo)識符。此時，主體和認(rèn)證機(jī)構(gòu)密鑰標(biāo)識符是完全相同的。除些之外，所有證書應(yīng)具有機(jī)構(gòu)密鑰標(biāo)識符擴(kuò)展項。 政務(wù)數(shù)字證書的機(jī)構(gòu)密鑰標(biāo)識符應(yīng)使用 keyIdentifier 的形式，從 CA對應(yīng)數(shù)字證書中的 BIT STRING subjectPublicKey 的 160 比特散列值（不包括標(biāo)簽、長度和不使用的字節(jié)數(shù)目）生成。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.2 主體密鑰標(biāo)識符 本項提供一種識別包含有一個特定公鑰的證書的方法。此擴(kuò)展標(biāo)識了被認(rèn) 證的公開密鑰。 所有證書應(yīng)具有主體密鑰標(biāo)識符擴(kuò)展項。 政務(wù)數(shù)字證書的主體密鑰標(biāo)識符應(yīng)從該數(shù)字證書中的 BIT STRING subjectPublicKey 的 160 比特散列值（不包括標(biāo)簽、長度和不使用的字節(jié)數(shù)目）生成。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.3 密鑰用法 本項說明已認(rèn)證的公開密鑰用于何種用途。 所有證書應(yīng)具有密鑰用法擴(kuò)展項。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 政務(wù)數(shù)字證書支持雙證書體制， CA 通過密鑰用法擴(kuò)展項區(qū)分加密和簽名的密鑰，加密證書僅用于加密，簽名證書僅用于簽名。 B.1.4 擴(kuò)展密鑰用途 本項指明已 驗證的公開密鑰可以用于一種用途或多種用途，它們可作為對密鑰用法擴(kuò)展項中指明的基本用途的補(bǔ)充或替代。 政務(wù)數(shù)字證書可使用擴(kuò)展密鑰用途擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.5 私有密鑰使用期 本項指明與已驗證的公開密鑰相對應(yīng)的私有密鑰的使用期限。該項只能用于數(shù)字簽名密鑰。 政務(wù)簽名證書可使用私有密鑰使用期擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.6 證書策略 本項列出了由頒發(fā)的 CA 所認(rèn)可的證書策略。 在 CA 證書中，證書策略擴(kuò)展項表示了通過該 CA 證書的認(rèn)證路徑中允許的證書策略。 在終端實體證書中，證書策略擴(kuò)展項表示 了該終端實體證書頒發(fā)過程中所使用的證書策略。 政務(wù)數(shù)字證書中可使用證書策略擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.7 策略映射 本項只用于 CA 證書。它列出一個或多個 OID 對，每對包括一個 issuerDomainPolicy 和一個subjectDomainPolicy。這種成對形式表明，頒發(fā)者 CA 認(rèn)為其 issuerDomainPolicy 與主體 CA 的subjectDomainPolicy 是等效的。頒發(fā)者 CA 的用戶可以為某應(yīng)用接收一個 issuerDomainPolicy。策略映射告知頒發(fā)者 CA 的用戶，哪些同 CA 有 關(guān)的策略可以與它們接收到的策略是等效的。 政務(wù) CA 證書中可使用策略限制擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 DB42/T 452 2008 25 B.1.8 主體替換名稱 本項包含一個或多個可選替換名（可使用多種名稱形式中的任一個）供實體使用。 主體替換名稱擴(kuò)展允許把附加身份加到證書的主體上。主體替換名稱擴(kuò)展項的名稱形式包括：電子郵件地址、 DNS 名稱、 IP 地址和統(tǒng)一資源標(biāo)識符（ URI），還有一些純本地定義的選項?？梢园ǘ喾N名稱形式和每個名稱形式的多個范例。主體替換名稱擴(kuò)展項中的所有信息必須經(jīng)過 CA 驗證。 政務(wù)數(shù)字證書中可使用主體可選替換名稱擴(kuò)展項 。主體替換名稱內(nèi)容和編碼方式見 4.5。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.9 頒發(fā)者替換名稱 本項包含一個或多個替換名（可使用多種名稱形式中的任一個）。 頒發(fā)者替換名稱擴(kuò)展項中包含證書頒發(fā)者的附加信息。頒發(fā)者替換名稱必須按 B.1.8 的說明進(jìn)行編碼。 政務(wù)數(shù)字證書中可使用頒發(fā)者替換名稱擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.10 主體目錄屬性 本項為證書主體傳送其期望的任何目錄屬性值。 政務(wù)數(shù)字證書中不宜使用主體目錄屬性擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.11 基本限制 本項用于標(biāo)識證書的主體是否是一個 CA、通過該 CA 可能存在的認(rèn)證路徑的最大長度。 政務(wù)終端實體證書可使用基本限制擴(kuò)展項。在政務(wù)終端實體證書中應(yīng)為非關(guān)鍵擴(kuò)展項。 政務(wù) CA 證書應(yīng)使用基本限制擴(kuò)展項。在政務(wù) CA 證書中應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.12 名稱限制 本項僅用于 CA 證書，它指示了一個名稱空間，在此空間設(shè)置了認(rèn)證路徑可以在后續(xù)證書的主體名稱中被找到。 政務(wù) CA 證書中可使用名稱限制擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.13 策略限制 本項用于 CA 頒發(fā)的證書中，提供了 CA 對于認(rèn)證路徑的附加要求。該擴(kuò)展項可用于禁止策略映射或要求認(rèn)證路徑中的每個證書包含一個認(rèn)可的證書策略 OID。 策略限制擴(kuò)展項只用于 CA 證書。 政務(wù) CA 證書中可使用策略限制擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項 B.1.14 證書撤銷列表分發(fā)點 本項用來標(biāo)識如何獲得證書相應(yīng)的 CRL 信息，本擴(kuò)展僅作為證書擴(kuò)展使用。 政務(wù)數(shù)字證書中應(yīng)具有證書撤銷列表分發(fā)點擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.15 限制所有策略 本項指定了一個限制，它指出了任何策略，對于從指定 CA 開始的認(rèn)證路徑中的所有證書的證書策略，都不是顯式匹配。 限制所有策略擴(kuò)展項只用于 CA 證書。 政務(wù) CA 證書中可使用名稱限制擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.16 最新證書撤銷列表 本項一般作為證書擴(kuò)展使用，或在發(fā)給認(rèn)證機(jī)構(gòu)和用戶的證書中使用。該項標(biāo)識了 CRL，對 CRL來說證書用戶應(yīng)包含最新的撤銷信息（例如：最新的增量 CRL）。 政務(wù)數(shù)字證書中可使用最新證書撤銷列表擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.17 機(jī)構(gòu)信息訪問 本項描述了包含該擴(kuò)展的證書的簽發(fā)者如何訪問 CA 的信息以及服務(wù)。包括在線驗證服務(wù)和 CA 策略數(shù)據(jù)。 政務(wù)數(shù)字證書中不宜使用機(jī)構(gòu)信息訪問擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.18 主體信息訪問 DB42/T 452 2008 26 本項描述了證書主體如何訪問信息以及服務(wù)。如果主體是 CA，則包括證書驗證服務(wù)和 CA策略數(shù)據(jù)， 如果主體是用戶，則描述了提供的服務(wù)的類型以及如何訪問它們。 政務(wù)數(shù)字證書中不宜使用主體信息訪問擴(kuò)展項。該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.1.19 個人身份標(biāo)識碼 個人身份標(biāo)識碼擴(kuò)展項用于表示個人身份證件的號碼，此擴(kuò)展項標(biāo)記為非關(guān)鍵的。 B.1.20 個人社會保險號 個人社會保險號擴(kuò)展項用于表示個人社會保險號碼，此擴(kuò)展項標(biāo)記為非關(guān)鍵的。 B.1.21 工商注冊號 工商注冊號擴(kuò)展項用于表示工商注冊號碼，此擴(kuò)展項標(biāo)記為非關(guān)鍵的。 B.1.22 稅號 稅號擴(kuò)展項用于表示稅號碼，此擴(kuò)展項標(biāo)記為非關(guān)鍵的。 B.1.23 主體銀行基本賬號 主體銀行基本 賬號擴(kuò)展項用于表示主體的基本銀行賬號信息，此擴(kuò)展項標(biāo)記為非關(guān)鍵的。 B.2 認(rèn)證機(jī)構(gòu)證書格式擴(kuò)展域說明 B.2.1 機(jī)構(gòu)密鑰標(biāo)識符 認(rèn)證機(jī)構(gòu)證書機(jī)構(gòu)密鑰標(biāo)識符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.2.2 主體密鑰標(biāo)識符 認(rèn)證機(jī)構(gòu)證書主體密鑰標(biāo)識符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.2.3 密鑰用法 認(rèn)證機(jī)構(gòu)證書密鑰用法應(yīng)符合 附錄 B.1.3 的規(guī)定 。 B.2.4 擴(kuò)展密鑰用途 認(rèn)證機(jī)構(gòu)證書擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.2.5 私有密鑰使用期 認(rèn)證機(jī)構(gòu)證書私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.2.6 證書策略 認(rèn)證機(jī)構(gòu)證書證書策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.2.7 策略映射 認(rèn) 證機(jī)構(gòu)證書策略映射應(yīng)符合附錄 B.1.7 的規(guī)定。 B.2.8 主體替換名稱 認(rèn)證機(jī)構(gòu)證書主體替換名稱應(yīng)符合附錄 B.1.8 的規(guī)定。 B.2.9 頒發(fā)者替換名稱 認(rèn)證機(jī)構(gòu)證書頒發(fā)者替換名稱應(yīng)符合附錄 B.1.9 的規(guī)定。 B.2.10 主體目錄屬性 認(rèn)證機(jī)構(gòu)證書主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.2.11 基本限制 認(rèn)證機(jī)構(gòu)證書基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 B.2.12 名稱限制 認(rèn)證機(jī)構(gòu)證書名稱限制應(yīng)符合附錄 B.1.12 的規(guī)定。 B.2.13 策略限制 認(rèn)證機(jī)構(gòu)證書策略限制應(yīng)符合附錄 B.1.13 的規(guī)定。 B.2.14 證書撤銷列表分發(fā)點 認(rèn)證機(jī)構(gòu)證書證書撤銷列表分發(fā)點應(yīng)符合附錄 B.1.14 的規(guī)定。 B.2.15 限制所有策略 DB42/T 452 2008 27 認(rèn)證機(jī)構(gòu)證書限制所有策略應(yīng)符合附錄 B.1.15 的規(guī)定。 B.2.16 最新證書撤銷列表 認(rèn)證機(jī)構(gòu)證書最新證書撤銷列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.2.17 機(jī)構(gòu)信息訪問 認(rèn)證機(jī)構(gòu)證書機(jī)構(gòu)信息訪問應(yīng)符合附錄 B.1.17 的規(guī)定。 B.2.18 主體信息訪問 認(rèn)證機(jī)構(gòu)證書主體信息訪問應(yīng)符合附錄 B.1.18 的規(guī)定。 B.3 政務(wù)個人證書格式擴(kuò)展域說明 B.3.1 機(jī)構(gòu)密鑰標(biāo)識符 政務(wù)個人證書機(jī)構(gòu)密鑰標(biāo)識符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.3.2 主體密鑰標(biāo)識符 政務(wù)個人證書主體密鑰標(biāo)識符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.3.3 密鑰用法 政務(wù)個人證書中應(yīng)具有密 鑰用法擴(kuò)展項，區(qū)分簽名證書和加密證書，支持雙證書體系。 政務(wù)個人簽名證書的密鑰用法擴(kuò)展項的設(shè)置見 附錄 C 表 2。 政務(wù)個人加密證書的密鑰用法擴(kuò)展項的設(shè)置見 附錄 C 表 2。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.3.4 擴(kuò)展密鑰用途 政務(wù)個人證書擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.3.5 私有密鑰使用期 政務(wù)個人證書私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.3.6 證書策略 政務(wù)個人證書證書策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.3.7 主體替換名稱 政務(wù)個人證書主體替換名稱應(yīng)符合附錄 B.1.8 的規(guī)定。 B.3.8 頒發(fā)者替換名稱 政務(wù)個人證書頒發(fā)者 替換名稱應(yīng)符合附錄 B.1.9 的規(guī)定。 B.3.9 主體目錄屬性 政務(wù)個人證書主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.3.10 基本限制 政務(wù)個人證書基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 B.3.11 證書撤銷列表分發(fā)點 政務(wù)個人證書證書撤銷列表分發(fā)點應(yīng)符合附錄 B.114 的規(guī)定。 B.3.12 最新證書撤銷列表 政務(wù)個人證書最新證書撤銷列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.3.13 機(jī)構(gòu)信息訪問 政務(wù)個人證書機(jī)構(gòu)信息訪問應(yīng)符合附錄 B.1.17 的規(guī)定。 B.3.14 主體信息訪問 政務(wù)個人證書主體信息訪問應(yīng)符合附錄 B.1.18 的規(guī)定。 B.3.15 個人身份證號碼 包含證書主體的 身份證號碼。其定義如下： id-cce-identifyCode OBJECT IDENTIFIER := 1 2 86 11 7 1 IdentifyCode :=SET DB42/T 452 2008 28 residenterCardNumber 0 PRINTABLESTRING OPTIONAL, militaryOfficerCardNumber 1 UTF8STRING OPTIONAL, passportNumber 2 PRINTABLESTRING OPTIONAL, . 政務(wù)個人證書應(yīng)使用個人身份證號碼擴(kuò)展項。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.3.16 個人社會保險號 用于表示證書主體的個人社會保險號碼，其定義如下： id-cce-insuranceNumber OBJECT IDENTIFIER := 1 2 86 11 7 2 InsuranceNumber:= PRINTABLESTRING 政務(wù)個人證書可使用個人社會保險號擴(kuò)展項。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.3.17 主體銀行基本帳號 表示證書主體的銀行基本 帳號信息，其定義如下： id-cce-subjectBasicAccount OBJECT IDENTIFIER := 1 2 86 11 7 7 SubjectBasicAccount := UTF8STRING 政務(wù)個人證書可使用主體銀行基本帳號擴(kuò)展項，表示證書主體的個人銀行基本帳號。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.4 政務(wù)機(jī)構(gòu)證書格式擴(kuò)展域說明 B.4.1 機(jī)構(gòu)密鑰標(biāo)識符 政務(wù)機(jī)構(gòu)證書機(jī)構(gòu)密鑰標(biāo)識符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.4.2 主體密鑰標(biāo)識符 政務(wù)機(jī)構(gòu)證書主體密鑰標(biāo)識符應(yīng)符合附錄 B.1.2 的規(guī)定 。 B.4.3 密鑰用法 政務(wù)機(jī)構(gòu)證書中應(yīng)具有密鑰用法擴(kuò)展項，區(qū)分簽名證書和加密證書，支持雙證書體系。 政務(wù)機(jī)構(gòu)簽名證書的密鑰用法擴(kuò)展項的設(shè)置見 附錄 C 表 2。 政務(wù)機(jī)構(gòu)加密證書的密鑰用法擴(kuò)展項的設(shè)置見 附錄 C 表 2。 該擴(kuò)展項應(yīng)為關(guān)鍵擴(kuò)展項。 B.4.4 擴(kuò)展密鑰用途 政務(wù)機(jī)構(gòu)證書擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.4.5 私有密鑰使用期 政務(wù)機(jī)構(gòu)證書私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.4.6 證書策略 政務(wù)機(jī)構(gòu)證書證書策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.4.7 主體替換名稱 政務(wù)機(jī)構(gòu)證書主體替換名稱應(yīng)符合附錄 B.1.8 的規(guī)定。 B.4.8 頒發(fā)者替 換名稱 政務(wù)機(jī)構(gòu)證書頒發(fā)者替換名稱應(yīng)符合附錄 B.1.9 的規(guī)定。 B.4.9 主體目錄屬性 政務(wù)機(jī)構(gòu)證書主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.4.10 基本限制 政務(wù)機(jī)構(gòu)證書基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 DB42/T 452 2008 29 B.4.11 證書撤銷列表分發(fā)點 政務(wù)機(jī)構(gòu)證書證書撤銷列表分發(fā)點應(yīng)符合附錄 B.1.14 的規(guī)定。 B.4.12 最新證書撤銷列表 政務(wù)機(jī)構(gòu)證書最新證書撤銷列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.4.13 機(jī)構(gòu)信息訪問 政務(wù)機(jī)構(gòu)證書機(jī)構(gòu)信息訪問應(yīng)符合附錄 B.1.17 的規(guī)定。 B.4.14 主體信息訪問 政務(wù)機(jī)構(gòu)證書主體信息訪問應(yīng)符合附錄 B.1.18 的規(guī)定。 B.4.15 工 商注冊號 用于表示工商注冊號碼，其定義如下： id-cce-iCRegistrationNumber OBJECT IDENTIFIER := 1 2 86 11 7 4 ICRegistrationNumber:= PRINTABLESTRING 政務(wù)機(jī)構(gòu)證書可使用 工商注冊號 擴(kuò)展項。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.4.16 組織機(jī)構(gòu)代碼 用于表示 組織機(jī)構(gòu)代碼 ，其定義如下： id-cce-organizationCode OBJECT IDENTIFIER := 1 2 86 11 7 3 OrganizationCode:= PRINTABLESTRING 政務(wù)機(jī)構(gòu)證書應(yīng)使用 組織機(jī)構(gòu)代碼 擴(kuò)展項，用于標(biāo)識 企業(yè) 、 機(jī)關(guān) 、 事業(yè)單位 、 社會團(tuán)體 和 其他組織機(jī)構(gòu) 的組織機(jī)構(gòu)代碼 。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.4.17 稅號 用于表示 稅號 碼，其定義如下： id-cce-taxationNumber OBJECT IDENTIFIER := 1 2 86 11 7 5 TaxationNumber:= PRINTABLESTRING 政務(wù)機(jī)構(gòu)證書可使用 稅號 擴(kuò)展項，用于標(biāo)識 企業(yè) 、 機(jī)關(guān) 、 事業(yè)單位 、 社會團(tuán)體 和 其他組織機(jī)構(gòu) 的稅號 。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.4.18 主體銀行基本帳號 表示證書主體的銀行基本帳號信息，其定義如下： id-cce-subjectBasicAccount OBJECT IDENTIFIER := 1 2 86 11 7 7 SubjectBasicAccount := UTF8STRING 政務(wù)機(jī)構(gòu)證書可使用主體銀行基本帳號擴(kuò)展項，表示證書主體的機(jī)構(gòu)銀行基本帳號。 該擴(kuò)展項應(yīng)為非關(guān)鍵擴(kuò)展項。 B.5 政務(wù)設(shè)備證書格式擴(kuò)展域說明 B.5.1 機(jī)構(gòu)密鑰標(biāo)識符 政務(wù)設(shè)備證書機(jī)構(gòu)密鑰標(biāo)識符應(yīng)符 合附錄 B.1.1 的規(guī)定。 B.5.2 主體密鑰標(biāo)識符 政務(wù)設(shè)備證書主體密鑰標(biāo)識符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.5.3 密鑰用法 政務(wù)設(shè)備證書密鑰用法應(yīng)符合 附錄 B.1.3 的規(guī)定 。 B.5.4 擴(kuò)展密鑰用途 政務(wù)設(shè)備證書擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 DB42/T 452 2008 30 B.5.5 私有密鑰使用期 政務(wù)設(shè)備證書私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.5.6 證書策略 政務(wù)設(shè)備證書證書策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.5.7 主體替換名稱 政務(wù)設(shè)備證書主體替換名稱應(yīng)符合附錄 B.1.8 的規(guī)定。 B.5.8 頒發(fā)者替換名稱 政務(wù)設(shè)備證書頒發(fā)者替換名稱應(yīng)符合附錄 B.1.9 的規(guī)定。 B.5.9 主體目錄屬性 政務(wù)設(shè)備證書主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.5.10 基本限制 政務(wù)設(shè)備證書基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 B.5.11 證書撤銷列表分發(fā)點 政務(wù)設(shè)備證書證書撤銷列表分發(fā)點應(yīng)符合附錄 B.1.14 的規(guī)定。 B.5.12 最新證書撤銷列表 政務(wù)設(shè)備證書最新證書撤銷列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.5.13 機(jī)構(gòu)信息訪問 政務(wù)設(shè)備證書機(jī)構(gòu)信息訪問應(yīng)符合附錄 B.1.17 的規(guī)定。 B.5.14 主體信息訪問 政務(wù)設(shè)備證書主體信息訪問應(yīng)符合附錄 B.1.18 的規(guī)定。 B.6 政務(wù)服務(wù)器證書格式擴(kuò)展域說明 B.6.1 機(jī)構(gòu)密鑰標(biāo)識 符 政務(wù)服務(wù)器證書機(jī)構(gòu)密鑰標(biāo)識符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.6.2 主體密鑰標(biāo)識符 政務(wù)服務(wù)器證書主體密鑰標(biāo)識符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.6.3 密鑰用法 政務(wù)服務(wù)器證書密鑰用法應(yīng)符合 附錄 B.1.3 的規(guī)定 。 B.6.4 擴(kuò)展密鑰用途 政務(wù)服務(wù)器證書擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.6.5 私有密鑰使用期 政務(wù)服務(wù)器證書私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.6.6 證書策略 政務(wù)服務(wù)器證書證書策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.6.7 主體替換名稱 政務(wù)服務(wù)器證書主體替換名稱應(yīng)符合附錄 B.1.8 的規(guī)定。 B.6.8 頒發(fā)者替換名 稱 政務(wù)服務(wù)器證書頒發(fā)者替換名稱應(yīng)符合附錄 B.1.9 的規(guī)定。 B.6.9 主體目錄屬性 政務(wù)服務(wù)器證書主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.6.10 基本限制 政務(wù)服務(wù)器證書基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 B.6.11 證書撤銷列表分發(fā)點 政務(wù)服務(wù)器證書證書撤銷列表分發(fā)點應(yīng)符合附錄 B.1.14 的規(guī)定。 DB42/T 452 2008 31 B.6.12 最新證書撤銷列表 政務(wù)服務(wù)器證書最新證書撤銷列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.6.13 機(jī)構(gòu)信息訪問 政務(wù)服務(wù)器證書機(jī)構(gòu)信息訪問應(yīng)符合附錄 B.1.17 的規(guī)定。 B.6.14 主體信息訪問 政務(wù)服務(wù)器證書主體信息訪問應(yīng)符合附錄 B.1.18 的規(guī)定。 B.7 政務(wù)應(yīng)用系統(tǒng)證書格式擴(kuò)展域說明 B.7.1 機(jī)構(gòu)密鑰標(biāo)識符 政務(wù)應(yīng)用系統(tǒng)證書機(jī)構(gòu)密鑰標(biāo)識符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.7.2 主體密鑰標(biāo)識符 政務(wù)應(yīng)用系統(tǒng)證書主體密鑰標(biāo)識符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.7.3 密鑰用法 政務(wù)應(yīng)用系統(tǒng)證書密鑰用法應(yīng)符合 附錄 B.1.3 的規(guī)定 。 B.7.4 擴(kuò)展密鑰用途 政務(wù)應(yīng)用系統(tǒng)證書擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.7.5 私有密鑰使用期 政務(wù)應(yīng)用系統(tǒng)證書私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.7.6 證書策略 政務(wù)應(yīng)用系統(tǒng)證書證書策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.7.7 主體替換名稱 政務(wù)應(yīng) 用系統(tǒng)證書主體替換名稱應(yīng)符合附錄 B.1.8 的規(guī)定。 B.7.8 頒發(fā)者替換名稱 政務(wù)應(yīng)用系統(tǒng)證書頒發(fā)者替換名稱應(yīng)符合附錄 B.1.9 的規(guī)定。 B.7.9 主體目錄屬性 政務(wù)應(yīng)用系統(tǒng)證書主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定。 B.7.10 基本限制 政務(wù)應(yīng)用系統(tǒng)證書基本限制應(yīng)符合附錄 B.1.11 的規(guī)定。 B.7.11 證書撤銷列表分發(fā)點 政務(wù)應(yīng)用系統(tǒng)證書證書撤銷列表分發(fā)點應(yīng)符合附錄 B.1.14 的規(guī)定。 B.7.12 最新證書撤銷列表 政務(wù)應(yīng)用系統(tǒng)證書最新證書撤銷列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.7.13 機(jī)構(gòu)信息訪問 政務(wù)應(yīng)用系統(tǒng)證書機(jī)構(gòu)信息訪問應(yīng)符合附錄 B.1.17 的規(guī) 定。 B.7.14 主體信息訪問 政務(wù)應(yīng)用系統(tǒng)證書主體信息訪問應(yīng)符合附錄 B.1.18 的規(guī)定。 B.8 政務(wù)代碼簽名證書格式擴(kuò)展域說明 B.8.1 機(jī)構(gòu)密鑰標(biāo)識符 政務(wù)代碼簽名證書機(jī)構(gòu)密鑰標(biāo)識符應(yīng)符合附錄 B.1.1 的規(guī)定。 B.8.2 主體密鑰標(biāo)識符 政務(wù)代碼簽名證書主體密鑰標(biāo)識符應(yīng)符合附錄 B.1.2 的規(guī)定。 B.8.3 密鑰用法 政務(wù)代碼簽名證書中應(yīng)使用密鑰用法擴(kuò)展項，明確表示可用于數(shù)字簽名。 DB42/T 452 2008 32 政務(wù)代碼簽名證書的密鑰用法擴(kuò)展項的設(shè)置見 附錄 C 表 2。 該擴(kuò)展項應(yīng)為關(guān)鍵擴(kuò)展項。 B.8.4 擴(kuò)展密鑰用途 政務(wù)代碼簽名證書擴(kuò)展密鑰用途應(yīng)符合附錄 B.1.4 的規(guī)定。 B.8.5 私有密鑰使用期 政務(wù)代碼簽名證書私有密鑰使用期應(yīng)符合附錄 B.1.5 的規(guī)定。 B.8.6 證書策略 政務(wù)代碼簽名證書證書策略應(yīng)符合附錄 B.1.6 的規(guī)定。 B.8.7 主體替換名稱 政務(wù)代碼簽名證書主體替換名稱應(yīng)符合附錄 B.1.8 的規(guī)定。 B.8.8 頒發(fā)者替換名稱 政務(wù)代碼簽名證書頒發(fā)者替換名稱應(yīng)符合附錄 B.1.9 的規(guī)定。 B.8.9 主體目錄屬性 政務(wù)代碼簽名證書主體目錄屬性應(yīng)符合附錄 B.1.10 的規(guī)定 B.8.10 基本限制 政務(wù)代碼簽名證書基本限制應(yīng)符合附錄 B.1.11 的規(guī)定 。 B.8.11 證書撤銷列表分發(fā)點 政務(wù)代碼簽名證書證書撤銷列表分發(fā)點應(yīng)符合附錄 B.1.14 的規(guī)定。 B.8.12 最新證書撤銷列 表 政務(wù)代碼簽名證書最新證書撤銷列表應(yīng)符合附錄 B.1.16 的規(guī)定。 B.8.13 機(jī)構(gòu)信息訪問 政務(wù)代碼簽名證書機(jī)構(gòu)信息訪問應(yīng)符合附錄 B.1.17 的規(guī)定。 B.8.14 主體信息訪問 政務(wù)代碼簽名證書主體信息訪問應(yīng)符合附錄 B.1.18 的規(guī)定。 DB42/T 452 2008 33 附 錄 C （規(guī)范性附錄） 政務(wù)數(shù)字證書模板 本 標(biāo)準(zhǔn)規(guī)定了認(rèn)證機(jī)構(gòu)證書模板、政務(wù)個人證書模板、政務(wù)機(jī)構(gòu)證書模板、政務(wù)設(shè)備證書模板、政務(wù)服務(wù)器證書模板、政務(wù)應(yīng)用系統(tǒng)證書模板、政務(wù)代碼簽名證書模板，如表 C.1 所示 。 表 C.1 政務(wù)數(shù)字證書模板 證書域 名稱 描述 說明 基本域 Version 版本號 必備， 2 表示版本 3 serialNumber 序列號 必備， 16 進(jìn)制，正整數(shù) Signature 簽名算法 必備 issuer 頒發(fā)者 必備，證書頒發(fā) CA 的 X.500 DN Validity 有效日期 必備 Subject 主體 必備，證書主體的 X.500 DN subjectPublicKeyInfo 主體公鑰信息 必備 ,BIT STRING 擴(kuò)展域 authorityKeyIdentifier 機(jī)構(gòu)密鑰標(biāo)識符 必備 ,非關(guān)鍵， OCTET STRING subjectKeyIdentifier 主體密鑰標(biāo)識符 必備 ,非關(guān)鍵， OCTET STRING keyUsage 密鑰用法 非關(guān)鍵，見附錄 C 表 2 extKeyUsage 擴(kuò)展密鑰用途 非關(guān)鍵 privateKeyUsagePeriod 私有密鑰使用期 非關(guān)鍵，宜在簽名證書中使用 certificatePolicies 證書策略 非關(guān)鍵 policyMappings 策略映射 非關(guān)鍵 subjectAltName 主體替換名稱 非關(guān)鍵 issuerAltName 頒發(fā)者替換名稱 非關(guān)鍵 subjectDirectoryAttributes 主體目錄屬性 非關(guān)鍵，不宜使用 basicConstraints 基本限制 認(rèn)證機(jī)構(gòu)證書必備，非關(guān)鍵 nameConstraints 名稱限制 非關(guān)鍵 policyConstraints 策略限制 非關(guān)鍵 CRLDistributionPoints CRL 分發(fā)點 必備，非關(guān)鍵 inhibitAnyPolicy 限制所有策略 非關(guān)鍵 freshestCRL 最新的 CRL 非關(guān)鍵 authorityInfoAccess 機(jī)構(gòu)信息訪 問 非關(guān)鍵，不宜使用 SubjectInformationnAccess 主體信息訪問 非關(guān)鍵，不宜使用 IdentifyCardNumber 個人身份證號碼 非關(guān)鍵，政務(wù)個人證書應(yīng)使用 InsuranceNumber 個人社會保險號 非關(guān)鍵，政務(wù)個人證書可使用 ICRegistrationNumber 工商注冊號 非關(guān)鍵，政務(wù)機(jī)構(gòu)證書可使用 OrganizationCode 組織機(jī)構(gòu)代碼 非關(guān)鍵，政務(wù)機(jī)構(gòu)證書應(yīng)使用 TaxationNumber 稅號 非關(guān)鍵，政務(wù)機(jī)構(gòu)證書可使用 SubjectBasicAccount 主體銀行基本賬號 非關(guān)鍵，政務(wù)個人證書、政務(wù)機(jī)構(gòu)證書可使用 DB42/T 452 2008 34 密鑰用法擴(kuò)展項的設(shè)置如表 C.2 所示 。 表 C.2 密鑰用法擴(kuò)展項設(shè)置 KeyUsage 說明 DigitalSignature 政務(wù)個人簽名證書、政務(wù)機(jī)構(gòu)簽名證書、政務(wù)代碼簽名證書應(yīng)使用 NonRequdiation 政務(wù)個人簽名證書、政務(wù)機(jī)構(gòu)簽名證書、政務(wù)代碼簽名證書應(yīng)使用 KeyEncipherment 政務(wù)個人加密證書、政務(wù)機(jī)構(gòu)加密證書應(yīng)使用 DataEncipherment 政務(wù)個 人加密證書、政務(wù)機(jī)構(gòu)加密證書應(yīng)使用 KeyAgreement 政務(wù)個人加密證書、政務(wù)機(jī)構(gòu)加密證書應(yīng)使用 KeyCertSign 認(rèn)證機(jī)構(gòu)證書應(yīng)使用 CRLSign EncipherOnly DecipherOnly 附 錄 D （資料性附錄） 主體命名示例 D.1 政務(wù)個人證書 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處工作人員李四，其政務(wù)個人證書主體的 X.500 DN 為： C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北某 局 信息中心網(wǎng)絡(luò)管理處 D.2 政務(wù)機(jī)構(gòu)證書 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處，其政務(wù)機(jī)構(gòu)證書主體的 X.500 DN 為： C=CN C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網(wǎng)絡(luò)管理處 CN=湖北省 某局信息中心網(wǎng)管處 D.3 政務(wù)設(shè)備證書 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處的設(shè)備（設(shè)備編碼為 HBDS000001），其政務(wù)設(shè)備證書主體的 X.500 DB42/T 452 2008 35 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網(wǎng)絡(luò)管理處 CN=HBDS000001 D.4 政務(wù)服務(wù)器證書 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處的服務(wù)器（服務(wù)器域名為 ， IP 地址為1），其政務(wù)服務(wù)器證書主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網(wǎng)絡(luò)管理處 CN= 或 C=CN S=湖北省 L=武漢市 O=湖北省某 局信息中心 OU=湖北省某 局信息中心網(wǎng)絡(luò)管理處 CN=1 政務(wù)服務(wù)器證書宜使用域名。 D.5 政務(wù)應(yīng)用系統(tǒng)證書 所列示例均系虛構(gòu)。 湖北省某 局應(yīng)用系統(tǒng)（應(yīng)用系統(tǒng)編碼為 hbxx_system001），其政務(wù)應(yīng)用系統(tǒng)證書主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省某 局 OU=湖北省某 局應(yīng)用系統(tǒng) CN= hbxx_system001 D.6 政務(wù)代碼簽名證書 所列示例均系虛構(gòu)。 湖北省某 局信息中心網(wǎng)絡(luò)管理處，其政務(wù)代碼簽名證書主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局 DB42/T 452 2008 36 OU=湖北省某 局信息中心 CN=省某 局信息中心網(wǎng)管處 或 湖北省某 局信息中心網(wǎng)絡(luò)管理處（代碼簽名負(fù)責(zé)人為李四），其政務(wù)代碼簽名證書主體的 X.500 DN為 : C=CN S=湖北省 L=武漢市 O=湖北省某 局信息中心 OU=湖北省某 局信息中心網(wǎng)絡(luò)管理處 CN=李四 附 錄 E （資料性附錄） 主體可選替換名稱命名示例 E.1 政務(wù)個人證書 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處工作人員李四（個人電子郵件 地址為 Email=），其政務(wù)個人證書主體可選替換名稱的 directoryName 的 X.500 DN 為： Email= 或者包含其中的部分屬性。 E.2 政務(wù)機(jī)構(gòu)證書 所列示例均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處的（負(fù)責(zé)人電子郵件地址為 Email=），其政務(wù)機(jī)構(gòu)證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= 或者包含其中的部分屬性。 E.3 政 務(wù)設(shè)備證書 所列示例均系虛構(gòu)。 湖北省某 局信息中心網(wǎng)絡(luò)管理處的設(shè)備（設(shè)備負(fù)責(zé)人的電子郵件地址為 Email=， IP 地址為 1），其政務(wù)設(shè)備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= IPAddress=1 或者包含其中的部分屬性。 DB42/T 452 2008 37 E.4 政務(wù)服務(wù)器證書 所列示例 均系虛構(gòu)。 湖北省 某局信息中心網(wǎng)絡(luò)管理處的服務(wù)器（服務(wù)器負(fù)責(zé)人的電子郵件地址為 Email=， IP 地址為 1，域名為 ），其政務(wù)設(shè)備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= IPAddress=1 DNS= 或者包含其 中的部分屬性。 E.5 政務(wù)應(yīng)用系統(tǒng)證書 所列示例均系虛構(gòu)。 湖北省 某局的應(yīng)用系統(tǒng)（負(fù)責(zé)人電子郵件地址為 Email= ， 資源地址為），其政務(wù)設(shè)備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= URL= 或者包含其中的部分屬性。 E.6 政務(wù)代碼簽名證書 所列示例均系虛構(gòu)。 湖北省某局信息中心網(wǎng)絡(luò)管理處（代碼簽名負(fù)責(zé)人的電子郵件地址為 Email=），其政務(wù)設(shè)備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= 或者包含其中的部分屬性。 附 錄 F （ 資料性附錄） 政務(wù)數(shù)字證書編碼示例 以下內(nèi)容將以 X.509 版本 3 證書為例，證書包含下列信息： a）序列號是 04a59cc78df58536237af65793cd3d7； b）簽名算法是 sha1RSA； c）頒發(fā)者是： C=CN S=HUBEI L=WUHAN O=HuiBei Digital Certificate Authority Center CO.LTD CN=HBCA DB42/T 452 2008 38 d）主體是： C=CN S=湖北省 L=武漢市 O=測試總部 OU=測試第一分部 CN=湖北省電子政務(wù)測試證書 e）有效期是從 2007 年 2 月 2 日 到 2010年 2月 2日 ； f）主體公鑰信息中包含 1024 比特的 RSA 密鑰； g）機(jī)構(gòu)密鑰標(biāo)識符擴(kuò)展項； h）主體密鑰標(biāo)識符擴(kuò)展； i）密鑰用法擴(kuò)展項； j）基本限制擴(kuò)展項； k）證書撤銷列表分發(fā)點擴(kuò)展項。 以下為政務(wù)數(shù)字證書的編碼示例： 0000 30 82 03 3E 830: SEQUENCE 0004 30 82 02 A7 679: . SEQUENCE 0008 A0 03 3: . . 0 0010 02 01 1: . . . INTEGER 2 : 02 0013 02 10 16: . . INTEGER : 0C 8D E6 7D 7C 6B 7A F2 72 E7 B8 AD E5 C0 97 75 0031 30 0D 13: . . SEQUENCE 0033 06 09 9: . . . OID 1.2.840.1135 sha1withRSAEncryption : 2a 86 48 86 f7 0d 01 01 05 0044 05 00 0: . . . NULL 0046 30 2B 43: . . SEQUENCE 0048 31 0D 13: . . . SET 0050 30 0B 11: . . . . SEQUENCE 0052 06 03 3: . . . . . OID 2.8.3: CN : 55 04 03 0057 13 04 4: . . . . . PrintableString HBCA : 48 42 43 41 0063 31 0D 13: . . . SET 0065 30 0B 11: . . . . SEQUENCE 0067 06 03 3: . . . . . OID 2.8.10: O : 55 04 0A 0072 13 04 4: . . . . . PrintableString TEST : 54 45 53 54 0078 31 0B 11: . . . SET 0080 30 09 9: . . . . SEQUENCE 0082 06 03 3:. . . . . OID 2.8.6: C : 55 04 06 DB42/T 452 2008 39 0087 13 02 2: . . . . . PrintableString CN : 43 4e 0091 30 1E 30: . . . . SEQUENCE 0093 17 0D 13: . . . UTCTime 071026030002Z : 30 37 31 30 32 36 30 33 30 30 30 32 5a 0108 17 0D 13: . . . UTCTime 081025030002Z : 30 38 31 30 32 35 30 33 30 30 30 32 5a 0123 30 7A 122: . . SEQUENCE 0125 31 1F 31: . . . SET 0127 30 1D 29: . . . . SEQUENCE 0129 06 03 3: . . . . . OID 2.8.3: CN : 55 04 03 0134 1E 16 22: . . . . . UTF8String 湖北省電子政務(wù)測試證書 : 16 6e 56 53 17 77 01 75 35 5b 50 65 3f 52 a1 6d 4b 8b d5 8b c1 4e 66 0158 31 15 21: . . . SET 0160 30 13 19: . . . . SEQUENCE 0162 06 03 3: . . . . . OID 2.8.11 OU : 55 04 0B 0167 1E 0C 12: . . . . . UTF8String 測試第一分部 : 6d 4b 8b d5 7b 2c 4e 00 52 06 90 e8 0181 31 11 17: . . . SET 0183 30 0F 15: . . . . SEQUENCE 0185 06 03 3: . . . . . OID 2.8.10 O :55 04 0A 0190 1E 08 8: . . . . . UTF8String 測試總部 : 6d 4b 8b d5 60 3b 90 e8 0200 31 0F 15: . . . SET 0202 30 0D 13: . . . .SEQUENCE 0204 06 03 3: . . . . . OID 2.8.7 L : 55 04 07 0209 1E 06 6: . . . . . UTF8String 武漢市 : 6b 66 6c 49 5e 02 0217 31 0F 15: . . . SET 0219 30 0D 13: . . . .SEQUENCE 0221 06 03 3: . . . . . OID 2.8.8 S : 55 04 08 0226 1E 06 6: . . . . . UTF8String 湖北省 : 6e 56 53 17 77 01 0234 31 0B 11: . . . SET 0236 30 09 9: . . . .SEQUENCE 0238 06 03 3: . . . . . OID 2.8.6 C : 55 04 06 0243 13 02 2: . . . . . PrintableString CN : 43 4e DB42/T 452 2008 40 0247 30 81 9F 159: . . SEQUENCE 0250 30 0D 13: . . . SEQUENCE 0252 06 09 9: . . . . . OID 1.2.840.1135 rsaEncryption : 2A 86 48 86 F7 0D 01 01 01 0263 05 00 0: . . . . . NULL 0265 03 81 8D 141: . . . BIT STRING : 00 （ 0 unused bits） 30 81 89 02 81 81 00 cb bb 54 18 ad 3e 80 44 8f b2 9f ac 07 18 bb 30 ba f2 42 60 84 88 85 7a d9 ad 4b bc 13 af ba 65 e3 3c 17 c9 d8 c5 ae 24 fc 29 73 c2 10 ce d1 7b 25 8a 55 8c 4e f7 bc 66 3a 54 7d 32 b3 03 77 e7 6f d3 28 bf a8 c1 ac fa 6b d7 97 ae 67 f6 40 f5 e1 3a 58 ef 19 24 1b 1e f5 11 e8 1d 7a 29 3c 60 ad 1e bb ac af 33 ac 92 0f 3f 0e c6 0b e2 65 a5 90 29 15 0a 10 3f 37 bc 69 d5 8c 20 aa 8b 0b b7 02 03 01 00 01 0409 A3 82 01 12 274: . . 3 0413 30 82 01 0E 270: . . . SEQUENCE 0417 30 1f 31: . . . . SEQUENCE 0419 06 03 3: . . . . . OID 5 AuthorityKeyIdentifier : 55 1D 23 0424 04 18 24: . . . . . OCTET STRING : 30 16 80 14 32 75 bb 19 06 88 37 2e d9 de 40 40 37 77 00 ab 9b 46 4e c7 0450 30 1D 29: . . . . SEQUENCE 0452 06 03 3: . . . . . OID 4 SubjectKeyIdentifier : 55 1D 0E 0457 04 16 22: . . . . . OCTET STRI