GM-T 0015-2023 數(shù)字證書(shū)格式

代替GM/T0015—2012Digitalcertificate國(guó)家密碼管理局發(fā)布GM/T0015—2023 Ⅲ 1 1 14縮略語(yǔ) 15數(shù)字證書(shū)與CRL 25.1概述 2 25.3CRL格式 附錄A(規(guī)范性)證書(shū)結(jié)構(gòu) 附錄B(規(guī)范性)證書(shū)的結(jié)構(gòu)實(shí)例 25附錄C(規(guī)范性)證書(shū)內(nèi)容表 附錄D(資料性)SM2數(shù)字證書(shū)示例 45 Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GM/T0015—2012《基于SM2密碼算法的數(shù)字證書(shū)格式規(guī)范》。與GM/T0015—2012相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：(見(jiàn)和.1).GB/T25069(見(jiàn)第3章)和GM/L4001(見(jiàn)第3章),刪除了PKCS=7的引用(見(jiàn)第2章，2012年版的第2章);c)刪除了54概述的中表述不清的內(nèi)容(見(jiàn)5.1,2012年版的5.1);d)更改了“isOEC9594-2:2001”的描述為“GB/T16264.8—2005”(見(jiàn)2.3.62012年版的g)更改了個(gè)人身份標(biāo)慣鴻的定義(見(jiàn)518,20版的5.1218);k)增加Unmomsaatd0leadlo第社公易0見(jiàn)表A3)1)增加了密鑰使用(KeyUsage)項(xiàng)(見(jiàn)表B.1和表B.2);m)增加了sAN主體替換名稱(subjectalternativename)(見(jiàn)表B.2);n)刪除了SHA-1算法(見(jiàn)2012年版的附錄C);o)更改了附錄D的名稱，刪除了RSA數(shù)字證書(shū)編碼的舉例(見(jiàn)附錄D,2012年版的附錄D)。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本文件起草單位：格爾軟件股份有限公司、北京數(shù)字認(rèn)證股份有限公司、北京海泰方圓科技股份有限公司、廣東省電子商務(wù)認(rèn)證有限公司、上海智巡密碼檢測(cè)技術(shù)有限公司、無(wú)錫江南信息安全工程技術(shù)中心、上海市數(shù)字證書(shū)認(rèn)證中心有限公司、長(zhǎng)春吉大正元信息技術(shù)股份有限公司、中電科網(wǎng)絡(luò)安全科技股份有限公司、興唐通信科技有限公司、北京華大智寶電子系統(tǒng)有限公司、山東得安信息技術(shù)有限公司、山東大學(xué)、北京國(guó)脈信安科技有限公司、國(guó)家信息安全工程技術(shù)研究中心、國(guó)家密碼管理局商用密碼檢測(cè)中心。本文件及其所代替文件的歷次版本發(fā)布情況為： 2012年首次發(fā)布為GM/T0015—2012;——本次為第一次修訂。11范圍本文件規(guī)定了數(shù)字證書(shū)和證書(shū)撤銷列表的基本結(jié)構(gòu)，描述了數(shù)字證書(shū)和證書(shū)撤銷列表中的各數(shù)據(jù)項(xiàng)內(nèi)容。本文件適用于數(shù)字證書(shū)認(rèn)證系統(tǒng)的研發(fā)、數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)的運(yùn)營(yíng)以及基于數(shù)字證書(shū)的安全應(yīng)用。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中。注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T179691信息技術(shù)統(tǒng)互構(gòu)的際對(duì)象標(biāo)識(shí)符樹(shù)的頂級(jí)弧GB/T25069信息安金技術(shù)術(shù)語(yǔ)GM/T0006密碼應(yīng)用標(biāo)識(shí)GM/T0009SM2密碼算過(guò)使用規(guī)范GM/Z4001密碼術(shù)語(yǔ)3術(shù)語(yǔ)和定義GB/T25069和GM/Z4001界定的術(shù)語(yǔ)和定義適用于本文件。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。CA:證書(shū)認(rèn)證機(jī)構(gòu)(CertificationAuthority)CRL:證書(shū)撤銷列表(CertificateRevocationList)DIT:日錄信息樹(shù)系統(tǒng)(DirectoryInformationTree)DNS:域名系統(tǒng)(DomainNameSystem)OID:對(duì)象標(biāo)識(shí)符(ObjectID)PKI:公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)URI:統(tǒng)一資源標(biāo)識(shí)符(UniformResourceIdentifier)2tbsCertificateTBSCertificate,signatureAlgorithmAlgEXPLICITVersionDEFName,Name,issuerUniqueID[1]subjectUniqueID[2]IMPLICITUniqueIde3Version::=INTEGER{vl(0),v2(1),v3(2)}CertificateSerialNuutcTimeUUniqueIdentifier::=BITExtensions::=SEQUENCESIZE(1..MAX)OFExt algorithmOBJECTIDENTIFIER,parametersANYDEFINEDBYalgorithmOPTIONAL}識(shí)的算法。該域中algorithm標(biāo)識(shí)的算法應(yīng)與tbsCertifi 存在signatureValue域內(nèi)。如果簽名算法為SM2密碼算法，則簽名數(shù)據(jù)格式應(yīng)遵循4本項(xiàng)標(biāo)識(shí)了進(jìn)行證書(shū)簽名和證書(shū)頒發(fā)的實(shí)體。它應(yīng)包含一個(gè)非空的甄別名稱(DNRDNSequence::=SEQUENCEOFRelatRelativeDistinguishedName::=SETOFAttributeTypeAndValueAttributeTypeAndValue::=SEQtypeAttributevalueAttributeValue}AttributeType::=OBJECTteletexStringTeletexString(SIZE(1..MAX)),printableStringPrintableString(SIZE(1.universalStringUniversalString(SIZE(1..MAX)),utf8StringUTF8String(SIZE(1..MAX)),bmpStringBMPString(SIZE(1..MAX))}書(shū)有效期的起始時(shí)間(notBefore)和證書(shū)有效期的終止時(shí)間(notAfter)兩個(gè)時(shí)間值的序列5當(dāng)YY大于或等于50,年字段應(yīng)解釋為19YY;當(dāng)YY小于50,年應(yīng)解釋為20YY。本文件中，GeneralizedTime值應(yīng)使用格林威治標(biāo)準(zhǔn)時(shí)間表示，且應(yīng)包含秒，即時(shí)間格式為當(dāng)公鑰算法為SM2時(shí)，Algorithmldentifier結(jié)構(gòu)定義應(yīng)遵循6id-ceOBJECTIDENTIFIER::=id-ce-authorityKeyldentifierOBJECTIDENTIFIER::={id-ce35}AuthorityKeyldentifier::=SEQUENCE{keyIdentifier[0]KeyIdenauthorityCertIssuer[1]GeneralNamesauthorityCertSerialNumber[2]CertificateSerialNumberOPTIONAL}(WITHCOMPONENTS{…,authorityCertIssuerWITHCOMPONENTS{…,authorityCertIssuerABSENT,authorit7編碼)的SM3雜湊值中最低位的160比特組成。b)keyldentifier由0100加上后跟的BITSTRINGsubjectPublicKey值(不包括標(biāo)簽、長(zhǎng)度和未使用的比特個(gè)數(shù)的編碼)的SM3雜湊值中最低位的60比特組成。此密鑰可通過(guò)keyldentifier字段中的密鑰標(biāo)識(shí)符來(lái)標(biāo)識(shí)，也可通過(guò)此密鑰的證書(shū)標(biāo)識(shí)(使用au-thorityCertIssur字段中的證書(shū)頒發(fā)者或authorityCertSerialNumber字段中的證書(shū)序列號(hào))來(lái)標(biāo)識(shí)，或是唯一的。支持此擴(kuò)展的實(shí)現(xiàn)不必處理authorityCertIssuer字段證書(shū)認(rèn)證機(jī)構(gòu)指定或者自動(dòng)產(chǎn)生證書(shū)序列號(hào)，這樣頒發(fā)者和證書(shū)序列號(hào)相結(jié)合書(shū)有主體密鑰標(biāo)識(shí)符擴(kuò)展，則本護(hù)展中keyldentifier項(xiàng)應(yīng)與頒發(fā)者的讓臨中Sube本擴(kuò)展應(yīng)是非關(guān)鍵的。對(duì)于使用密鑰標(biāo)識(shí)符的主體的者個(gè)密鑰而言一二鑰標(biāo)識(shí)符印服是的。此擴(kuò)展項(xiàng)總是非方法中導(dǎo)出。終端實(shí)體誕書(shū)的主體密鑰標(biāo)識(shí)符應(yīng)從公鑰中導(dǎo)出。從公鑰中生成密鑰標(biāo)識(shí)符，應(yīng)使用.4密鑰用法(keyUsage)id-ce-keyUsageOBJEC8id-ce-extKeyUsageOBJECTExtKeyUsageSyntax::=SEQUENCESIZE(1·MAX)OFKeyPurpKeyPurposeld::=OBJECTIDENTIFIER9id-kpOBJECTIDENTIFIER::={id-pkix3}id-kp-serverAuthOBJECTIDENT Keyusage可設(shè)置為digitalSignature,keyEncipherment或keyAgreement——TLSWebserver鑒別id-kp-codeSigningOBJECTIDENTFIER::={id- Keyusage可設(shè)置為digital8ignatureid-kp-emailProtectionOBPECTIDENTIFIER::={id-kp4 ——將對(duì)象的Hash與同一時(shí)間源提供的酶椅綁定 本項(xiàng)指明與已驗(yàn)證的公開(kāi)密傭和的積行醉魏的硬用期服。它儀于夏字簽密鈕。此項(xiàng)定義id-ce-privatekeyUsagePeriodOBJECTIDENTIFIER::={id-ce16}PrivateKeyUsagPeriody:=SEQUENCE{關(guān)私有密鑰有效使用期何時(shí)開(kāi)始的信息。motAfiter字段指明私有密鑰可用于.7證書(shū)策略(certifica本項(xiàng)列出了由頒發(fā)的CA所認(rèn)可的證書(shū)策略，這些策略適用于證書(shū)以及關(guān)于這些證書(shū)策略的任選證書(shū)策略擴(kuò)展包含了一系列策略信息條日，每個(gè)條目都由一個(gè)OID和一個(gè)可選的限定條件組成。id-ce-certificatePoliciesOBJCertificatePolicies::=SEQUENCESIZE(1..MAX)OFPolicyInformationPolicyInformation::=SpolicyldentifierpolicyQualifiersSEQUENCPolicyQualifierInfoOPTIONCertPolicyId::=OBJECTIDENTIFIERPolicyQualifierInfo::=SEQUENCE{policyQualifierldPolicyQualifierId,qualifierANYDEFINEDBYpolicyQualifie——policyQualifierldsforInternetpolicyquid-qt-unoticeOBJECTIDENTIFIER::={idPolicyQualifierld::=OBJECTIDENTIFIER(id-qnoticeRefNoticeReexplicitTextDisplayTvisibleStringVisibleStringutf8StringUTF8String(SIZE(1200))}CPSPointer限定語(yǔ)包含一個(gè)CA發(fā)布的CPS(CertificationPracticeStatement),指示字的形式為URI。UserNotice有兩種可選字段：noticeRef字段和explicitText字段。noticeRef字段命名一個(gè)組中，且如果應(yīng)用軟件可找出由noticeRef選項(xiàng)指明的通知文本，則應(yīng)展示該文本，否則應(yīng)展示explicitText的值。id-ce-policyMappingsOBJECTIDENTIFIER::={id-ce3PolicyMappingsSyntax::=Sid-cesubjectAltName.uniformResourceIdentifvalue[0]EXPLICITANYDEFINEDBYtype}——x400Address是O/R地址； ——uniformResourceldentifier是用于WWW的UniformRAesourceldentifier,RFC1738中id-ce-issuerAltNameOBJECTid-ce-subjectDirectoryAttributesSubjectDirectoryAttributesAttributesSyntax::=SEQUENCESIZE(1..MAX)OFAttributeid-ce-basicConstraintsOBJECTIDENTIFIER::={id-ce19}BasicConstraintsSyntax::=cABOOLEANDEFAULTpathLenConstraintINTEGER(0..MAX id-ce-nameConstraintsOBJECNameConstraintsSyntax::=SEQUENCSIZE(1..MAX)OFGeneralSubtreeBaseDistance::=INTEGER如果存在permittedSubtrees和excludedSubtrees字段，則它們每個(gè)都規(guī)定一個(gè)或多個(gè)命名子名稱形式的多個(gè)名稱時(shí)(在directoryName名稱形式情況下，包括證書(shū)主體項(xiàng)中的名稱，如果非PolicyConstraints::=Sid-ce-CRLDistributionPoincRLDistributionPoits::={CRLDisCRLDistPointsSyntax::=SEQUENCESIZE(1..MAX)OFDistributionPointDistributionPoint::=SDistributionPointName::nameRelativeToCRLIsDistributionPointNameOP當(dāng)使用foName或應(yīng)用黑躍時(shí)分發(fā)志輕可有多種徑陶形式間空名稱應(yīng)存奄于頒發(fā)CRL的果不能處理某一分發(fā)點(diǎn)0間咨稱形能從信任源組理臨度的撒銷信息，砌如，另一個(gè)分發(fā)點(diǎn)或CA目錄項(xiàng)，則證南應(yīng)用系統(tǒng)仍能亥證書(shū)如果CRL分發(fā)點(diǎn)被賦與1屬于CRi發(fā)者的名稱的自錄名，則應(yīng)只使用mameRela-cRLIssuer字段標(biāo)識(shí)頒發(fā)和簽署CRL的機(jī)構(gòu)。如果沒(méi)有此字段，CRL頒發(fā)者的名稱默認(rèn)為證如果該擴(kuò)展標(biāo)記為關(guān)鍵，CA則要保證分發(fā)點(diǎn)包含所用的撤銷塬肉代碼Compromise。若沒(méi)有首先從一個(gè)包含了原因代碼keyCompromise(對(duì)終端實(shí)體證書(shū))或cACompromise(對(duì)CA證書(shū))的指定的分發(fā)點(diǎn)檢索和核對(duì)CRL,證書(shū)使用系統(tǒng)應(yīng)不使用該證書(shū)。在分發(fā)點(diǎn)條日為所有撤銷原因代碼和由CA(包括作為關(guān)鍵擴(kuò)展的cRLDistributionPoint)發(fā)布的CRL信息 它能從CA獲得一份完整CRL并檢查它(通過(guò)在CRL中設(shè)有發(fā)布點(diǎn)擴(kuò)展項(xiàng)來(lái)指示最近的CRL是完整的); id-ce-CRLfreshestCRLOBJECTIDENTIFIER::={id-ce46}reshestCRL::={CRLDistPointsid-IdentifyCodeOBJECTIDENTIFIER::={0260.4.1.residenterCardNumber::=PrintableresidenterCardNumber——身份證號(hào)碼id-IdentifyCodeOBJECTIDENTIFIER::={0260.4.1.passportNumber::=UTF8StrID-InsuranceNumberOBJECTIDENTIFIER::={1.2.156.InsuranceNumber::=PrintID-ICRegistrationNumberOBJECTIDENTIFIER::={02ICRegistrationNumber::=PrinID-OrganizationCodeOBJECTIDENTIFIER::={1.2.1OrganizationCode::=Pri此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。.22企業(yè)稅號(hào)(taxationNumeber)企業(yè)稅號(hào)擴(kuò)展項(xiàng)用于表示企業(yè)稅號(hào)碼，其定義如下：ID-TaxationNumeberOBJECTIDENTIFIER::={02TaxationNumeber::=Prin此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的。統(tǒng)一社會(huì)信用號(hào)擴(kuò)展項(xiàng)用于每一個(gè)法人和其他組織在全國(guó)范腳內(nèi)唯一的，終身不變的法定身份識(shí)ID-UniformSociaiCredifldentifierOBJECTIDENTIFIER::={Q26UniformSociaICredildentifier::=Printabl此擴(kuò)展項(xiàng)標(biāo)記為非關(guān)鍵的本條定義了兩個(gè)應(yīng)用于鑰基礎(chǔ)4新擴(kuò)于應(yīng)用來(lái)要?jiǎng)e支持CA的在線驗(yàn)證服務(wù)。其對(duì)象標(biāo)識(shí)符如卡每個(gè)擴(kuò)展是一個(gè)IA5String值的序列，每個(gè)值分別代表一個(gè)URI。URI直接確定信息的位置和格式以及獲得信息的方式。本擴(kuò)展項(xiàng)描述了包含該護(hù)展的證書(shū)的簽發(fā)者如何訪問(wèn)CA的信息以及服務(wù)。包括在線驗(yàn)證服務(wù)和CA策略數(shù)據(jù)。該擴(kuò)展可在用戶證書(shū)租CA證書(shū)中，且應(yīng)為非關(guān)鍵的id-pe-authorityInfoAccessOBJECTIDENAuthorityInfoAccessSyntaxSEQUENCESIZE(1..MAX)OFAccessDescriptionAccessDescription::accessMethodOBJECTid-ad-caIssuersOBJECTIDENTIFIER:id-ad-ocspOBJECTIDENTIF序列AuthorityInfoAccessSyntax表示頒發(fā)含有該擴(kuò)展的證書(shū)的CA附加信息格式和位置。信息的類型和格式由accessMethod字段說(shuō)明；信息的位置由accessLocation字段說(shuō)明。檢索機(jī)制可由ac-定義用于accessMethod的兩個(gè)OID,id-ad-caIssuers和id-ad-ocsp。id-ad-caIssuers用于獲取CAid-pe-SubjectInformationAccessOBJECTIDENTIFSEQUENCESIZE(1..MAX)OFAccessDescriptAccessDescription::=SEQUCertificateList::=SEQUENCEsignatureAlgorithmAlgorithmldentifier,userCertificateVersionOPTIONAL,Name,crlEntryExtensionsExtensionsOPTIO crlExtensions[0]EXPLICIT Algorithmldentifier::=SEQUENCE{algorithmOBJECparametersANYDEFINEDBYalgorithmOPTIONAL}算法。該域中algorithm標(biāo)識(shí)的算法應(yīng)與tbsCertList域中signature標(biāo)識(shí)的簽名算法相同。——signatureValue域包含了對(duì)tbsCertList域進(jìn)行數(shù)字簽名的結(jié)果。采用ASN.1DER編碼的(用整數(shù)1表示)。本項(xiàng)標(biāo)識(shí)了簽名和頒發(fā)CRL的實(shí)體。它應(yīng)包含一個(gè)非空的甄別名稱(DNdistinguished在2049年之前(包括2049年)頒發(fā)的CRL,時(shí)間值應(yīng)采用UTCTime類型編碼，在2050年之后頒對(duì)于在2049年之前(包括2049年)頒發(fā)的CRL,應(yīng)將該時(shí)間編碼為UTCTime類型；id-ce-cRLNumberOBJECTid-ce-deltaCRLIndicatorOBJECTIDENTIFIER::={id-ce27id-ce-issuingDistributiIssuingDistributionPoint::distributionPointonlyContainsUserCerts[1]BOOLEANDEFAULTFALSE,onlyContainsCACerts[2]BOOLEANDEFAULTFALSE,onlySomeReasonsonlyContainsAttributeCertsid-ce-freshestCRLOBJECTIDENTIFIER::={id-ce46}FreshestCRL::=CRLDistributid-ce-cRLReasonsOBJECTIDENTIFIER::={id-ce——reasonCode::={CRLReason}id-ce-invalidityDateOBJECTIDENTIFIER::={id-ce2InvalidityDate::=Generaid-ce-certificatelssuerOBJECTIDENTIFIER::=(id-ce29}(規(guī)范性)證書(shū)結(jié)構(gòu)基本證書(shū)域(TBSCertificate)簽名算法域(signatureAlgoribm)述主體公鑰信息本文件中不使用本文件中不體用按本文件的擴(kuò)展項(xiàng)進(jìn)行定義，見(jiàn)A.3標(biāo)準(zhǔn)的擴(kuò)展域見(jiàn)表A.3。如果密鑰的用法只限于所指示的用途時(shí)標(biāo)記為關(guān)鍵，否基本限制名稱限制中的值是否一致時(shí)標(biāo)記為關(guān)鍵，否則標(biāo)記為非關(guān)鍵策略限制如果證書(shū)用戶需要正確地解釋認(rèn)證機(jī)構(gòu)CA設(shè)定的規(guī)則時(shí)標(biāo)識(shí)為關(guān)鍵，否則標(biāo)識(shí)為非關(guān)鍵CRL分發(fā)點(diǎn)限制所有策略如果證書(shū)用戶需要正確地解釋認(rèn)證機(jī)構(gòu)CA設(shè)定的規(guī)則時(shí)標(biāo)識(shí)為關(guān)鍵，否則標(biāo)識(shí)為非關(guān)鍵最新的CRL機(jī)構(gòu)信息訪問(wèn)主體信息訪問(wèn)統(tǒng)一社會(huì)信用號(hào)(規(guī)范性)用戶證書(shū)的結(jié)構(gòu)實(shí)例見(jiàn)表B.1。表B.1用戶證書(shū)的結(jié)構(gòu)實(shí)例版本(version)序列號(hào)(serialNumber)簽名算法(signature)頒發(fā)者(issuer)有效期(validity)終止有效期主體(subject)國(guó)家(countryName)省份(stateOrProvinceName)地市(localityName)組織名稱(organizationNamc)機(jī)構(gòu)名稱(organizationalUnitName)用戶名稱(CommanName)主體公鑰信息(subjectPublicKeyInfo)頒發(fā)機(jī)構(gòu)的密鑰標(biāo)識(shí)(authorityKeyldentifier)密鑰用法(KeyUsage)CRL分發(fā)點(diǎn)CRLDistributio服務(wù)器證書(shū)的結(jié)構(gòu)實(shí)例見(jiàn)表B.2。版本(version)序列號(hào)(serialNumber)簽名算法(signature)頒發(fā)者(issuer)有效期(validity)起始有效期終止有效期主體(subject)國(guó)家(coimtryName)省份(stateOnProvinceName)組織名稱(organizationName)機(jī)構(gòu)名稱(organizationalUnitName)服務(wù)器名稱(CommanNamc)頒發(fā)機(jī)構(gòu)的馨鑰標(biāo)識(shí)(authorityliSAN主體替換名稱(subjectalne) 域關(guān)鍵項(xiàng)標(biāo)識(shí)值當(dāng)為SM2密碼算法時(shí)，此項(xiàng)不需要2表C.1基本證書(shū)域結(jié)構(gòu)(續(xù))域關(guān)鍵項(xiàng)標(biāo)識(shí)值唯一正整數(shù)，見(jiàn)用于2049之前的年份(含2049) 用于2049之前的年份(含2049)公鑰算法，RSA公鑰或橢圓曲線公鑰當(dāng)使用SM2密碼算法時(shí)，為SM2表C.1基本證書(shū)域結(jié)構(gòu)(續(xù))域關(guān)鍵項(xiàng)標(biāo)識(shí)值查詢公鑰值的SM3哈希算法摘要CA證書(shū)中自簽名證書(shū)至少要包括存儲(chǔ)方法URI名字形成LDAP訪問(wèn)目錄服WEB服務(wù)器。每一個(gè)URI應(yīng)指向uniformResourceIden數(shù)字簽名(digitalSignature)0防抵賴(nonRepudiation)0密鑰加密(keyEncipherment)0數(shù)據(jù)加密(dataEncipherment)0密鑰協(xié)議(keyAgreement)0證書(shū)簽發(fā)(KeyCertSign)黑名單簽名(CRLSign)1僅加密(encipherOnly)0僅解密(decipherOnly)0表C.1基本證書(shū)域結(jié)構(gòu)(續(xù))域關(guān)鍵項(xiàng)標(biāo)識(shí)值下級(jí)CA證書(shū)內(nèi)容表見(jiàn)表C.2。表C.2下級(jí)CA證書(shū)內(nèi)容表域關(guān)鍵項(xiàng)標(biāo)識(shí)值當(dāng)為SM2算法時(shí)，此項(xiàng)不需要2唯一正整數(shù)用于2049之前的年份(含2049)用于2049之前的年份(含2049)表C.2下級(jí)CA證書(shū)內(nèi)容表(續(xù))域關(guān)鍵項(xiàng)標(biāo)識(shí)值公鑰算法，RSA公鑰或橢圓曲線公鑰查詢公鑰值的SM3哈希算法摘要數(shù)字簽名(digitalSignature)0防抵賴(nonRepudiation)0密鑰加密(keyEncipherment)0數(shù)據(jù)加密(dataEnciphcrmen)0密鑰協(xié)議(keyAgreement)0證書(shū)簽發(fā)(KeyCertSign)1表C.2下級(jí)CA證書(shū)內(nèi)容表(續(xù))域值黑名單簽名(CRLSign)1僅加密(encipherOnly)0僅解密(decipher(Only)C訪同方法一uniformResourceldent表C.2下級(jí)CA證書(shū)內(nèi)容表(續(xù))域關(guān)鍵項(xiàng)標(biāo)識(shí)值uniformResourcclden法。只有一種存儲(chǔ)方法被定義為CA證書(shū)中自簽名證書(shū)至少要包括存儲(chǔ)方法URI名字形成LDAP訪問(wèn)目錄服WEB服務(wù)器。每一個(gè)URI應(yīng)指向uniformResourcelden終端實(shí)體簽名證書(shū)內(nèi)容表見(jiàn)表C.3。域關(guān)鍵項(xiàng)標(biāo)識(shí)值用于2049之前的年份(含2049)用于2049之前的年份(含2049)域值公鑰算法，RSA公鑰或橢圓曲線公鑰SM2算法曲線的OID對(duì)RSA算法，模長(zhǎng)至少應(yīng)是2048查詢數(shù)字簽名(digitalSignature)1防抵賴(nonRepudiation)1密鑰加密(keyEncipherment)0數(shù)據(jù)加密(dataEnciphermen)0密鑰協(xié)議(keyAgreement)0證書(shū)簽發(fā)(KeyCertSign)0黑名單簽名(CRLSign)0僅加密(encipherOnly)0僅解密(decipherOnly)表C.3終端實(shí)體簽名證書(shū)內(nèi)容表(續(xù))域值uniformResourceldent訪問(wèn)方法一uniformResourceldentuniformResourceldent表C.3終端實(shí)體簽名證書(shū)內(nèi)容表(續(xù))域關(guān)鍵項(xiàng)標(biāo)識(shí)值uniformResourcclden終端實(shí)體加密證書(shū)內(nèi)容表見(jiàn)表C.4。域關(guān)鍵項(xiàng)標(biāo)識(shí)值2唯一正整數(shù) 用于2049之前的年份(含2049)用于2049之前的年份(含2049)域值公鑰算法，RSA公鑰或橢圓曲線公鑰SM2算法曲線的OID對(duì)RSA算法，模長(zhǎng)至少應(yīng)是2048查詢OCTET字符串?dāng)?shù)字簽名(digitalSignature)0防抵賴(nonRepudiation)0密鑰加密(keyEncipherment)1數(shù)據(jù)加密(dataEnciphermen)1密鑰協(xié)議(keyAgreement)1證書(shū)簽發(fā)(KeyCertSign)0黑名單簽名(CRLSign)0僅加密(encipherOnly)0僅解密(decipherOnly)0域關(guān)鍵項(xiàng)標(biāo)識(shí)值域關(guān)鍵項(xiàng)標(biāo)識(shí)值一uniformResourceIden證書(shū)撤銷列表內(nèi)容表見(jiàn)表C.5。表C.5證書(shū)撤銷列表內(nèi)容表域關(guān)鍵項(xiàng)標(biāo)識(shí)值2版本2(整數(shù)1)用于2049之前的年份(含2049)YYYYMVI形HHTMMSSZ用于2049之前的年份(含2049)用于2049之前的年份(含2049)廢除原因表C.5證書(shū)撤銷列表內(nèi)容表(續(xù))域關(guān)鍵項(xiàng)標(biāo)識(shí)值sede