DB11-T254-1-2018政務數(shù)字證書規(guī)范第1部分：格式

1、ICS 35.240.30L 70DB11北京市地方標準DB11/T 254.12018代替 DB11/T 254.1-2004政務數(shù)字證書規(guī)范第 1 部分:格式Specification for digital certificate for government affairs Part 1:Format2018 - 04 - 04 發(fā)布2018 - 07 - 01 實施北京市質(zhì)量技術監(jiān)督局發(fā) 布DB11/T 254.12018目次前言II引言III范圍1規(guī)范性引用文件1術語和定義、縮略語1政務數(shù)字證書基本格式2政務個人證書格式11政務機構(gòu)證書格式12政務設備證書格式13附錄A （資料性附

2、錄） 政務數(shù)字證書編碼示例14附錄B （規(guī)范性附錄） 主體命名示例18附錄C （規(guī)范性附錄） 主體可選替換名稱命名示例20附錄D （規(guī)范性附錄） 政務個人證書模板21附錄E （規(guī)范性附錄） 政務機構(gòu)證書模板25附錄F （規(guī)范性附錄） 政務設備證書規(guī)范29參考文獻32IDB11/T 254.12018前言本部分按照GB/T 1.12009給出的規(guī)則起草。DB11/T 2542018政務數(shù)字證書規(guī)范分為兩個部分：第1部分：格式；第2部分：應用接口。本部分為DB11/T 2542018的第1部分。本部分代替DB11/T 254.12004政務數(shù)字證書規(guī)范 第1部分：格式,本部分與DB11/T 254

3、.1-2004相比主要變化如下：修訂了引言；修訂了范圍；第2章增加了新的規(guī)范性引用文件；第4章，將“政務數(shù)字證書通用格式”改為“政務數(shù)字證書基本格式”，描述政務數(shù)字證書的語法編碼、基本結(jié)構(gòu)、基本證書域、簽名算法域、簽名值域、命名規(guī)范。將政務證書所使用的擴展都在“證書基本格式”的“擴展域”中統(tǒng)一描述；對“4.3.2擴展域”中，加入GM/T 0015所規(guī)定的證書擴展項，個人身份識別碼、個人社會保險號；加入北京市法人網(wǎng)上統(tǒng)一認證系統(tǒng)所需的證書擴展項包括統(tǒng)一社會信用代碼、機構(gòu)證書區(qū)分碼；在“4.4簽名算法域”中，加入“簽名算法應使用國家密碼管理局審核批準的密碼算法。”的描述；第5章，刪除“政務認證機構(gòu)

4、證書規(guī)范”，改為“政務個人證書格式”，增加原政務個人證書中的“個人身份證號”、“個人社會保險號”、“主體銀行帳號”、“政務實體唯一標識”擴展項，將政務個人證書模板移至附錄D；第6章，改為“政務機構(gòu)證書格式”，刪除原機構(gòu)證書中的“主體銀行基本帳號”和“政務機構(gòu)唯一標識”擴展，加入統(tǒng)一社會信用代碼、機構(gòu)證書區(qū)分碼，并將政務機構(gòu)證書模板移至附錄E；第7章，改為“政務設備證書格式”，將政務設備證書模板移至附錄F；刪除原標準第8章， “政務代碼簽名證書格式”；附錄A，改為“政務數(shù)字證書編碼示例”，原附錄A改為附錄B；附錄B，改為“主體命名示例”，原附錄B改為附錄C；附錄C，改為“主體可選替換名稱命名示例

5、”；添加附錄D 政務個人證書模板；添加附錄E 政務機構(gòu)證書模板；添加附錄F 政務設備證書模板。本部分由北京市經(jīng)濟和信息化委員會提出并歸口。本部分由北京市經(jīng)濟和信息化委員會組織實施。本部分主要起草單位：北京市經(jīng)濟和信息化委員會、北京數(shù)字認證股份有限公司、中國科學院信息工程研究所、北京市國家保密局、北京市密碼管理局。本部分主要起草人：潘鋒、劉惠剛、劉莎、姚世全、陳淑儀、高能、荊繼武、李述勝、李向鋒。IIDB11/T 254.12018引言信息技術和網(wǎng)絡技術在極大地促進了社會的經(jīng)濟、科技、文化、教育和管理等各個方面發(fā)展的同時， 也帶來了巨大的信息安全風險。隨著北京市電子政務工程的不斷深入和發(fā)展，迫切

6、需要在開放的網(wǎng)絡環(huán)境下建立一個真實、有效的身份信任體制，確認電子政務參與方的各自身份，建立彼此間的信任關系以及保證信息的保密性、完整性和可用性。以公開密鑰基礎設施（Public Key Infrastructure，PKI）為核心的網(wǎng)絡身份認證體系和信息加密技術已成為業(yè)界廣泛認同的一種構(gòu)造網(wǎng)絡身份信任體制的重要方 式，并成為信息安全保障體系中極其重要的組成部分之一。數(shù)字證書是PKI的關鍵要素之一，是傳送和處理實體身份鑒別信息的重要載體。為了確保數(shù)字證書在電子政務活動中能夠通用，實現(xiàn)網(wǎng)絡互聯(lián)互通和信息共享，形成統(tǒng)一的網(wǎng)絡信任體系，滿足首都信息化和電子政務發(fā)展的迫切需求，本部分遵照 GM/T 00

7、152012 基于SM2密碼算法的數(shù)字證書格式規(guī)范，對證書基本域和擴展域的取值和編碼進行了規(guī)范，規(guī)定了政務數(shù)字證書的基本格式、政務數(shù)字證書的主體命名規(guī)范和主體可選替換名稱的命名規(guī)范，定義了政務數(shù)字證書的私有擴展項，規(guī)定了政務數(shù)字證書的必備項，并給出了政務證書認證機構(gòu)數(shù)字證書、政務個人數(shù)字證書、政務機構(gòu)數(shù)字證書和政務設備數(shù)字證書的模板。IIIDB11/T 254.12018政務數(shù)字證書規(guī)范 第 1 部分：格式范圍本部分規(guī)定了電子政務外網(wǎng)中政務數(shù)字證書的格式，并給出了政務個人證書、政務機構(gòu)證書、政務設備證書的模板。本部分適用于數(shù)字證書認證機構(gòu)、數(shù)字證書認證系統(tǒng)的開發(fā)商、電子政務應用部門以及基于數(shù)字

8、證書的安全應用開發(fā)商，來設計和處理各類政務數(shù)字證書。規(guī)范性引用文件下列文件對于本部分的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本部分。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本部分。GB/T 8561專業(yè)技術職務代碼GB/T 12403干部職務名稱代碼GB/T 16262.1信息技術 抽象語法記法一(ASN.1) 第1部分:基本記法規(guī)范GB/T 16263.1信息技術 ASN.1 編碼規(guī)則 第1部分：基本編碼規(guī)則（BER）、正則編碼規(guī)則（CER） 和非典型編碼規(guī)則（DER）規(guī)范GB/T 250692010信息安全技術 術語GB 32100法人和其他組織統(tǒng)

9、一社會信用代碼編碼規(guī)則GM/T 00152012基于SM2密碼算法的數(shù)字證書格式規(guī)范術語和定義、縮略語術語和定義GB/T 250692010界定的以及下列術語和定義適用于本文件。3.1.1政務數(shù)字證書 government affairs digital certificate用來標識電子政務參與方真實身份的數(shù)字證書。根據(jù)參與方的不同類別分為政務證書認證機構(gòu)證書、政務個人證書、政務機構(gòu)證書、政務設備證書。3.1.2政務證書認證機構(gòu)證書 government affairs CA certificate頒發(fā)給參與電子政務的證書認證機構(gòu)的數(shù)字證書，簡稱政務CA證書。3.1.3政務個人證書 gove

10、rnment affairs personal certificate1DB11/T 254.12018頒發(fā)給參與電子政務的個人實體，用來唯一標識個人實體真實身份的數(shù)字證書。3.1.4政務機構(gòu)證書 government affairs unit certificate頒發(fā)給參與電子政務的機構(gòu)實體，用來唯一標識機構(gòu)實體真實身份的數(shù)字證書。3.1.5政務設備證書 government affairs device certificate頒發(fā)給參與電子政務的設備實體，用來唯一標識設備實體真實身份的數(shù)字證書?？s略語下列縮略語適用于本部分：CA證書認證機構(gòu)（Certification Authority

11、） CRL證書撤銷列表（Certificate Revocation List）DER可辨別編碼規(guī)則（Distinguished Encoding Rules) DN可識別名（Distinguished Name）OID對象標識符（Object Identifier）PKI公鑰基礎設施（Public Key Infrastructure）政務數(shù)字證書基本格式語法和編碼本部分的證書格式的語法描述遵循GB/T 16262.1，證書編碼采用GB/T 16263.1中的非典型規(guī)則（DER）對證書項中的各項信息進行編碼，組成特定的證書數(shù)據(jù)結(jié)構(gòu)。編碼示例參見附錄A?；窘Y(jié)構(gòu)政務數(shù)字證書的基本結(jié)構(gòu)由三部分組

12、成： 基本證書域TBSCertificate 、 簽名算法域 擴展域基本域SignatureAlgorithm、簽名值域SignatureValue。其中，基本證書域由基本域和擴展域組成，見圖1?；咀C書域簽名算法域簽名值域政務數(shù)字證書圖1政務數(shù)字證書結(jié)構(gòu)2DB11/T 254.12018基本證書域基本域組成及要求基本域由如下部分組成：版本 Version序列號 SerialNumber簽名算法 SignatureAlgorithm頒發(fā)者 Issuer有效期 Validity主體 Subject主體公鑰信息 SubjectPublicKeyInfo在政務數(shù)字證書中，證書頒發(fā)者名稱和證書主體名稱

13、不應重復使用。版本本項描述了政務數(shù)字證書的版本號。序列號是CA分配給每個證書的一個正整數(shù)，CA應保證頒發(fā)的每張證書的序列號是唯一的。證書用戶應處理長達20個8位字節(jié)的序列號值。CA應確保不使用大于20個8位字節(jié)的序列號。簽名算法此項為CA頒發(fā)該證書所使用的密碼算法的標識符，應與證書中簽名算法域中的簽名算法相同?？蛇x參數(shù)的內(nèi)容完全依賴所標識的具體算法。頒發(fā)者標識了證書簽名和證書頒發(fā)的實體。它應包含一個非空的甄別名稱。該項被定義為Name類型。其中， 頒發(fā)者可辨別名的C（Country）屬性的編碼使用PrintableString、Email屬性的編碼使用IA5String， 其它屬性的編碼一律使

14、用UTF8String。有效期一個時間段。在這個時間段內(nèi)，CA擔保它將維護關于證書狀態(tài)的信息。該項被表示成一個具有兩個時間值的SEQUENCE類型數(shù)據(jù)：證書有效期的起始時間（notBefore）和證書有效期的終止時間（notAfter）。在證書編碼時，2049年之前（含2049年）的時間值應編碼為UTCTime類型，2050年之后（含2050年）的時間值應編碼為GeneralizedTime類型。主體描述了與主體公鑰中的公鑰綁定的實體信息。在政務數(shù)字證書中，主體項不能為空。主體的內(nèi)容和編碼方式見4.5。主體公鑰信息用來標識證書主體公鑰和相應的公鑰算法。擴展域3DB11/T 254.12018證

15、書擴展組成及要求擴展項值擴展項2擴展關鍵度擴展項1擴展類型政務數(shù)字證書擴展域可包含多項擴展項。每項擴展項由擴展類型、擴展關鍵度和擴展項值組成，見圖2。其中，關鍵度告訴一個證書的使用者是否可以忽略某一擴展，取值為“關鍵”或“非關鍵”?！瓣P鍵”表示使用此證書的應用必須檢查此擴展項，如果不能識別應拒絕此證書；“非關鍵”表示可以應用可以不檢查此擴展項，如果不能識別可以忽略此擴展項。擴展項n擴展項3擴展域圖2擴展域構(gòu)成政務數(shù)字證書擴展項政務數(shù)字證書可使用如下證書擴展項：頒發(fā)機構(gòu)密鑰標識符 AuthorityKeyIdentifier主體密鑰標識符 SubjectKeyIdentifier密鑰用法 Key

16、Usage擴展密鑰用途 ExtendedKeyUsage私有密鑰使用期 PrivateKeyUsagePeriod證書策略 CertificatePolicies策略映射 PolicyMappings主體可選替換名稱 SubjectAlternativeName頒發(fā)者可選替換名稱 IssuerAlternativeName主體目錄屬性 SubjectDirectoryAttributes基本限制 BasicConstraints名稱限制 NameConstraints策略限制 PolicyConstraints證書撤銷列表分發(fā)點 CRLDistributionPoints限制任意策略 Inhi

17、bitAnyPolicy最新證書撤銷列表 FreshestCRL機構(gòu)信息訪問 AuthorityInformationAccess4DB11/T 254.12018主體信息訪問 SubjectInformationAccess個人身份證號碼 IdentifyCode個人社會保險號 InsuranceNumber證書實體唯一標識 EntityUniqueID地稅計算機代碼 TaxationComputerNumber統(tǒng)一社會信用代碼 UnifiedSocialCreditCode納稅人識別號 TaxIdentifictionNumber機構(gòu)證書區(qū)分碼 UnitUniqueID頒發(fā)機構(gòu)密鑰標識符用

18、于標識與CA頒發(fā)該證書的簽名私鑰相對應的公鑰。政務數(shù)字證書中，可使用頒發(fā)機構(gòu)密鑰標識符擴展項，使用時應滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .2 的規(guī)定；該擴展項應為非關鍵擴展項。主體密鑰標識符提供一種識別包含有一個特定公鑰的證書的方法。政務數(shù)字證書中，可使用主體密鑰標識符擴展項， 使用時應滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .3 的規(guī)定；該擴展項應為非關鍵擴展項。密鑰用法指示證書中的公開密鑰用于何種用途。政務數(shù)字證書中，應使用密鑰用法擴展項，使用時應滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .4 的規(guī)定；該擴展項應為關鍵擴展項。注：政

19、務數(shù)字證書支持雙證書體制，CA應區(qū)分用于機密性和其它用途的密鑰。擴展密鑰用途指示證書中的公開密鑰可以用于何種用途，它可作為對密鑰用法擴展項中指明的基本用途的補充。政務數(shù)字證書中，可使用擴展密鑰用途擴展項，使用時應滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .5 的規(guī)定；該擴展項應為非關鍵擴展項。私有密鑰使用期指明與證書中的公開密鑰相對應的私有密鑰的使用期限。該項只能用于數(shù)字簽名密鑰。政務數(shù)字證書中，可使用私有密鑰使用期擴展項，使用時應滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .6 的規(guī)定；該擴展項應為非關鍵擴展項。證書策略列出了由頒發(fā)的CA所認可的證書策略。在政務

20、CA證書中，證書策略擴展項表示了通過該政務CA證書的認證路徑中允許的證書策略。在終端實體證書中，證書策略擴展項表示了該終端實體證書頒發(fā)過程中5DB11/T 254.12018所使用的證書策略。政務數(shù)字證書中，證書策略擴展項應明確列出一系列策略信息條目，每個條目都有一個證書策略對應的OID，使用時滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .7 的規(guī)定；該擴展項應為非關鍵擴展項。策略映射列出了在認證路徑中等價的證書策略對。策略映射擴展項只用于政務CA證書。政務數(shù)字證書中，可使用策略映射擴展項，使用時應滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .8 的規(guī)定；該擴展項應

21、為非關鍵擴展項。主體可選替換名稱包含一個或多個可選替換名（可使用多種名稱形式中的任一個）。該擴展項中包含證書主體的附加信息。主體可選替換名稱擴展項可以包括多種名稱形式如：電子郵件地址、DNS名稱、IP地址和統(tǒng)一資源標識符（URI），每種名稱形式可以有多個實例。政務數(shù)字證書中，可使用主體可替換名稱擴展項， 使用時應滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .9 的規(guī)定；主體可選替換名稱擴展項中的所有信息必須經(jīng)過 CA 驗證；該擴展項應為非關鍵擴展項。頒發(fā)者可選替換名稱包含一個或多個可選替換名（可使用多種名稱形式中的任一個）。該擴展項中包含證書頒發(fā)者的附加信息。頒發(fā)者可選替換名稱擴

22、展項可以包括多種名稱形式，如：電子郵件地址、DNS名稱、IP地址和統(tǒng)一資源標識符（URI）。每種名稱形式可以有多個實例。政務數(shù)字證書中，可使用頒發(fā)者可替換名稱擴展項，使用時應滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .10 的規(guī)定；該擴展項應為非關鍵擴展項。主體目錄屬性包含證書主體期望的任何目錄屬性值。政務數(shù)字證書中不宜使用主體目錄屬性擴展項?；鞠拗朴糜跇俗R證書的主體是否是一個CA、并標識通過該CA可能存在的認證路徑的最大長度。政務數(shù)字證書中可使用基本限制擴展項，使用時應滿足如下要求：在政務個人證書、政務機構(gòu)證書和政務設備證書中可使用基本限制擴展項，此時該擴展項應為非關鍵擴展

23、項；政務 CA 證書應使用基本限制擴展項。此時該擴展項應為關鍵擴展項；內(nèi)容應遵循 GM/T 00152012 中 .12 的規(guī)定。名稱限制包含一個名稱空間，表明了在通過該CA的認證路徑中后續(xù)的證書主體的名稱空間。政務數(shù)字證書中，可使用名稱限制擴展項，使用時應滿足如下要求：名稱限制擴展項只用于政務 CA 證書；政務 CA 證書中可使用名稱限制擴展項，內(nèi)容應遵循 GM/T 00152012 中 .13 的規(guī)定；6DB11/T 254.12018該擴展項應為關鍵擴展項。策略限制提供了CA對于認證路徑的附加要求。該擴展項可用于禁止策略映射或要求認證路徑中的每個證書包含一個認可的證書策略OID。政務數(shù)字

24、證書中，可使用策略限制擴展項，使用時應滿足如下要求：策略限制擴展項只用于政務 CA 證書；政務 CA 證書中可使用策略限制擴展項，內(nèi)容應遵循 GM/T 00152012 中 .14 的規(guī)定；該擴展項應為非關鍵擴展項。證書撤銷列表分發(fā)點標識如何獲得證書相應的CRL信息。政務數(shù)字證書中，應使用證書撤銷列表發(fā)布點擴展項，使用時應滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .15 的規(guī)定；該擴展項應為非關鍵擴展項。限制任意策略描述使用anyPolicy OID 2.0 時的限制。政務CA證書中，可使用限制任意策略擴展項， 使用時應滿足如下要求：限制任意策略擴展項只用于政務 CA 證書；內(nèi)

25、容應遵循 GM/T 00152012 中 .16 的規(guī)定；該擴展項應為關鍵擴展項。最新證書撤銷列表標識如何獲得最新的撤銷信息（例如最新的增量CRL）。政務數(shù)字證書中，可使用最新證書撤銷列表擴展項，使用時應滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .17 的規(guī)定；該擴展項應為非關鍵擴展項。機構(gòu)信息訪問標識如何訪問證書頒發(fā)者的信息以及服務。政務數(shù)字證書中不宜使用機構(gòu)信息訪問擴展項。主體信息訪問包含如何訪問證書主體的信息以及服務。政務數(shù)字證書中不宜使用主體信息訪問擴展項。個人身份標識碼用于標識證書主體的個人身份證件的號碼。政務個人證書可使用個人身份標識碼擴展項，使用時應應滿足如下要求

26、：內(nèi)容應遵循 GM/T 00152012 中 .18 的規(guī)定；該擴展項應為非關鍵擴展項。個人社會保險號用于表示證書主體的個人社會保險號碼。政務個人證書可使用個人社會保險號擴展項，使用時應滿足如下要求：內(nèi)容應遵循 GM/T 00152012 中 .19 的規(guī)定；7DB11/T 254.12018該擴展項應為非關鍵擴展項。地稅計算機代碼用于表示企業(yè)計算機代碼。計算機代碼指主管地稅機關為納稅人辦理稅務登記后核發(fā)的征收管理碼。政務機構(gòu)證書可使用計算機代碼擴展項。該擴展項應為非關鍵擴展項。企業(yè)計算機代碼擴展項定義如下：id-taxationComputerNumber OBJECT IDENTIFIER

27、 := 125.1 TaxationComputerNumber:= UTF8String證書實體唯一標識定義用來唯一標識參與電子政務的實體。政務證書應使用政務機構(gòu)唯一標識擴展項。該擴展項應為非關鍵擴展項。證書實體唯一標識擴展項定義如下：id-EntityUniqueID OBJECT IDENTIFIER := 125.23 EntityUniqueID := UTF8String內(nèi)容其中，“證書實體唯一標識”擴展內(nèi)容的編碼應為：用戶編號+ “” + CA編號（4位）+證件類型代碼（2位）+安全標識（1位）+證件號碼其中各部分內(nèi)容取值如下：用戶編號是一個證書實體的證書序號。CA 編號應為 C

28、A 機構(gòu)的電子認證服務許可證上的“許可證編號”的后四位數(shù)字。證件類型代碼是證書用戶申請數(shù)字證書使用的關鍵證件的編碼，證書類型和號碼類型的代碼應遵循表 1：表1證書類型與證件類型代碼對應表證書類型辦理證書時可使用的證件名稱證件類型代碼個人證書身份證SF軍官證JG護照HZ回鄉(xiāng)證HX其他QT安全標識使用 1 位數(shù)字代表不同含義，其意義如下： 0：代表其后的“證件號碼”為明文格式簽發(fā)； 1：代表其后的“證件號碼”為BASE64編碼格式簽發(fā)； 2：其它編碼方式。各類證書中證件號碼的安全標識的定義根據(jù)應用需求而定。 用戶根據(jù)不同的證書類型，應提供不同的證件辦理數(shù)字證書。8DB11/T 254.12018示

29、例：例如某個人證書的辦理時提供的證件為身份證，身份證號碼為CA機構(gòu)編號為1001，該CA中心為用戶簽發(fā)的第一張數(shù)字證書的實體唯一標識為：1)安全標識為0時的值應為：11001SF03422221972050536182)安全標識為1時的值應為：11001SF1+ Base64實體唯一標識項數(shù)據(jù)的總長度不應超過128字節(jié)。統(tǒng)一社會信用代碼統(tǒng)一社會信用代碼是一組長度為18位的用于法人和其他組織身份識別的代碼。用于企業(yè)“一證多用” 業(yè)務。政務機構(gòu)證書可使用企業(yè)信用代碼，該擴展項應為非關鍵擴展項，內(nèi)容應遵循GB 32100

30、的要求。統(tǒng)一社會信用代碼擴展項定義如下：id-UnifiedSocialCreditCode OBJECT IDENTIFIER := 125.17 UnifiedSocialCreditCode:= UTF8String企業(yè)納稅識別號企業(yè)納稅識別號由稅務系統(tǒng)按照統(tǒng)一規(guī)則產(chǎn)生并分配給企業(yè)用戶。政務機構(gòu)證書可使用企業(yè)納稅識別號。該擴展項應為非關鍵擴展項。企業(yè)納稅識別號擴展項定義如下：id-TaxIdentifictionNumber OBJECT IDENTIFIER := 125.31 TaxIdentifictionNumber:= UTF8String機構(gòu)證書區(qū)別碼定義用來區(qū)分同一機構(gòu)實體

31、的不同用戶。政務機構(gòu)證書應使用機構(gòu)證書區(qū)別碼擴展項。該擴展項應為非關鍵擴展項。機構(gòu)證書區(qū)別碼擴展項定義如下：id-UnitUniqueID OBJECT IDENTIFIER := 125.29 UnitUniqueID := UTF8String內(nèi)容其中，“機構(gòu)證書區(qū)別碼”擴展內(nèi)容的編碼應為： 用戶編號+ “” +證件類型代碼（2位）+證件號碼。其中，用戶編號是一個證書實體的證書序號。證件類型代碼是證書用戶申請數(shù)字證書使用的關鍵證件的編碼，應采用統(tǒng)一社會信用代碼（JJ）。示例：例如某機構(gòu)證書，統(tǒng)一社會信用代碼為:123456789123456789，該CA中心為用戶簽發(fā)的第一張數(shù)字證書的證書

32、區(qū)別碼為：1BJJ123456789123456789。簽名算法域包含CA頒發(fā)該證書所使用的密碼算法的標識符，應與基本證書域中的簽名算法所標識的簽名算法相同?？蛇x參數(shù)的內(nèi)容完全依賴所標識的具體算法。簽名算法應使用國家密碼管理局審核批準的密碼算法。簽名值域9DB11/T 254.12018包含對基本證書域進行數(shù)字簽名的結(jié)果。經(jīng)過ASN.1 DER編碼的基本證書域作為數(shù)字簽名算法的輸入，簽名的結(jié)果按照ASN.1編碼成BIT STRING類型并保存在簽名值域。命名規(guī)范主體主體命名要求政務數(shù)字證書中的主體應是C=CN命名空間下的唯一名字。層次主體DN應為4級或者5級。4級表示為： C=CNO=OU=C

33、N=5級表示為： C=CNO=OU=CN=Email=編碼C（Country）屬性的編碼使用PrintableString、Email屬性的編碼使用IA5String，其它屬性的編碼一律使用UTF8String。具體要求如下：C（Country）應為 CN，表示中國。O（Organization）中的內(nèi)容分為 2 種：證書主體或者證書主體所屬單位具有明確的上一級單位，則應為其上一級單位的名稱全稱；不存在 1）中所述的上一級單位，則應為證書主體或者證書主體所屬單位的所在省、自治區(qū)、直轄市名稱全稱。OU（OrganizationUnit）應為證書主體或者證書主體所屬單位的名稱全稱，證書可以有多個O

34、U 屬性。CN（CommonName）中的內(nèi)容分為 4 種：政務個人證書中應為證書主體的姓名（姓在前，名在后，中間無分隔符）；政務機構(gòu)證書中應為證書主體單位的標準簡稱；政務設備證書應為證書主體設備的域名或者 IP 地址或者設備編碼；政務代碼簽名證書應為負責人的姓名（姓在前，名在后，中間無分隔符），或者是所屬單位的標準簡稱。Email 僅在政務個人證書中存在，應為證書主體的有效電子郵件地址。示例主體命名示例見附錄B。10DB11/T 254.12018主體可選替換名稱政務數(shù)字證書的主體可選替換名稱應是C=CN命名空間下的唯一名字。C（Country）屬性的編碼使用PrintableString、

35、Email屬性的編碼使用IA5String，其它屬性的編碼一律使用UTF8String。具體要求如下：政務數(shù)字證書的主體可選替換名稱中，宜包含如下屬性： 1） 省或者直轄市名 StateOrProvinceName2） 城 市 名 LocalityName 3） 郵政地址 PostalAddress 4） 郵政編碼 PostalCode 5） 信箱號 PostalOfficeBox電話號碼 TelephoneNumber電傳（傳真）號碼 TelexNumber政務個人證書的主體可選替換名稱中，宜包含職務 Title 屬性。Title 屬性中所包含內(nèi)容應遵循 GB 12403 或GB 8561。

36、政務機構(gòu)證書、政務設備證書、政務代碼簽名證書的主體可選替換名稱中，宜包含電子郵件地址 Email（對應負責人電子郵件地址）屬性。主體可選替換名稱命名示例參見附錄 C。政務個人證書格式政務個人證書基本證書域政務個人證書基本域政務個人證書基本域應符合4.3.1的要求。政務個人證書擴展域根據(jù)使用場景不同，政務個人證書擴展域可包含如下擴展項：頒發(fā)機構(gòu)密鑰標識符 AuthorityKeyIdentifier主體密鑰標識符 SubjectKeyIdentifier密鑰用法 KeyUsage擴展密鑰用途 ExtendedKeyUsage私有密鑰使用期 PrivateKeyUsagePeriod證書策略 Ce

37、rtificatePolicies主體可選替換名稱 SubjectAlternativeName頒發(fā)者可選替換名稱 IssuerAlternativeName主體目錄屬性 SubjectDirectoryAttributes基本限制 BasicConstraints證書撤銷列表分發(fā)點 CRLDistributionPoints最新證書撤銷列表 FreshestCRL機構(gòu)信息訪問 AuthorityInformationAccess主體信息訪問 SubjectInformationAccess個人身份證識別碼 IdentifyCode個人社會保險號 InsuranceNumber11DB11/T

38、 254.12018證書實體唯一標識 EntityUniqueID政務個人證書簽名算法域政務個人證書簽名算法域應符合4.4的要求。政務個人證書簽名值域政務個人證書簽名值域應符合4.5的要求。政務個人證書模板見附錄D。政務機構(gòu)證書格式政務機構(gòu)證書基本證書域政務機構(gòu)證書基本域政務機構(gòu)證書基本域應符合4.3.1的要求。政務機構(gòu)證書擴展域根據(jù)使用場景不同，政務機構(gòu)證書擴展域可包含如下擴展項：頒發(fā)機構(gòu)密鑰標識符 AuthorityKeyIdentifier主體密鑰標識符 SubjectKeyIdentifier密鑰用法 KeyUsage擴展密鑰用途 ExtendedKeyUsage私有密鑰使用期 Pri

39、vateKeyUsagePeriod證書策略 CertificatePolicies主體可選替換名稱 SubjectAlternativeName頒發(fā)者可選替換名稱 IssuerAlternativeName主體目錄屬性 SubjectDirectoryAttributes基本限制 BasicConstraints證書撤銷列表分發(fā)點 CRLDistributionPoints最新證書撤銷列表 FreshestCRL機構(gòu)信息訪問 AuthorityInformationAccess主體信息訪問 SubjectInformationAccess企業(yè)信用代碼 UnifiedSocialCreditC

40、ode企業(yè)納稅識別號 TaxIdentifictionNumber機構(gòu)證書區(qū)分碼 UnitUniqueID政務機構(gòu)證書簽名算法域政務機構(gòu)證書簽名算法域應符合4.4的要求。政務機構(gòu)證書簽名值域政務機構(gòu)證書簽名值域應符合4.5的要求。12DB11/T 254.12018政務機構(gòu)證書模板見附錄E。政務設備證書格式政務設備證書基本證書域政務設備證書基本域政務設備證書基本域應符合4.3.1的要求。政務設備證書擴展域政務設備證書擴展域可包含如下擴展項：頒發(fā)機構(gòu)密鑰標識符 AuthorityKeyIdentifier主體密鑰標識符 SubjectKeyIdentifier密鑰用法 KeyUsage擴展密鑰用

41、途 ExtendedKeyUsage私有密鑰使用期 PrivateKeyUsagePeriod證書策略 CertificatePolicies主體可選替換名稱 SubjectAlternativeName頒發(fā)者可選替換名稱 IssuerAlternativeName主體目錄屬性 SubjectDirectoryAttributes基本限制 BasicConstraints證書撤銷列表分發(fā)點 CRLDistributionPoints最新證書撤銷列表 FreshestCRL機構(gòu)信息訪問 AuthorityInformationAccess主體信息訪問 SubjectInformationAcce

42、ss政務設備證書簽名算法域政務設備證書簽名算法域應符合4.4的要求。政務設備證書簽名值域政務設備證書簽名值域應符合4.5的要求。政務設備證書模板政務設備證書模板見附錄F。13DB11/T 254.12018附錄A（資料性附錄）政務數(shù)字證書編碼示例這部分包括版本3證書共814字節(jié)十六進制編碼示例。證書包含下列信息：序列號是 1A100000000000092FAB簽名算法是 SM2 簽名算法頒發(fā)者是 C=CN; CN=Virtual CA主體是 C=CN; O=北京市政府; OU=北京市某政府部門; CN=北京市某政府部門信息中心有效期是從 2014 年 7 月 18 日到 2015 年 7 月

43、 17 日主體公鑰信息中包含 256 比特的 SM2 密鑰機構(gòu)密鑰標識符擴展項主體密鑰標識符擴展密鑰用法擴展項基本限制擴展項擴展密鑰用途擴展項證書撤銷列表分發(fā)點擴展項000030234:SEQUENCE 0004301DB:SEQUENCE 0008A03:0 000A021:INTEGER 2:000D0210:INTEGER:04 F0 74 4E 3D 72 65 C1 82 1C 49 A1 EA 70 0000001F30A:SEQUENCE 0021068:OBJECT IDENTIFIER 1 2 156 10197 1 501:002B3022:SEQUENCE 002D31B

44、:SET 002F309:SEQUENCE 0031063:OBJECT IDENTIFIER countryName (2 5 4 6)0036132:PrintableString CN:003A3113:SET 003C3011:SEQUENCE 003E063:OBJECT IDENTIFIER commonName (2 5 4 3)00430CA:UTF8String Virtual CA:56 69 72 74 75 61 6C 20 43 41:004F301E:SEQUENCE 14DB11/T 254.12018005117D:UTCTime 140718040000Z00

45、6017D:UTCTime 150718040000Z:006F3070:SEQUENCE 007131B:SET 0073309:SEQUENCE 0075063:OBJECT IDENTIFIER countryName (2 5 4 6)007A132:PrintableString CN:007E3118:SET 00803016:SEQUENCE 0082063:OBJECT IDENTIFIER organizationName (2 5 4 10)00870CF:UTF8String 北京市政府:E5 8C 97 E4 BA AC E5 B8 82 E6 94 BF E5 BA

46、9C:0098312A:SET 009A3028:SEQUENCE 009C063:OBJECT IDENTIFIER organizationalUnitName (2 5 4 11)00A10C24:UTF8String北京市某政府部門:E5 8C 97E4 BA AC E5 B8 82 E4 BF A1 E6 81 AF E5:8C 96 E5B7 A5 E4 BD 9C:00C4311B:SET 00C63019:SEQUENCE 00C8063:OBJECT IDENTIFIER commonName (2 5 4 3)00CD0C12:UTF8String 北京市某政府部門信息中心

47、:E5 8C 97 E4 BA AC E5 B8 82 E4 BF A1 E6 81 AF E5:8A 9E 8C 96 E5 B7 A5 E4 BD 9C 6B F0 5A 54 46 E8：.D9 22 FF 65:3743089:SEQUENCE 3763019:SEQUENCE 378067:OBJECT IDENTIFIER ecPublicKey (1 2 840 10045 2 1)387068:OBJECT IDENTIFIER 1 2 156 10197 1 301:3970366:BIT STRING 0 unused bits:04 7D 06 DD 9A 8E 99 5

48、5 20 6B F0 5A 54 0D 40 FA:16 85 58 1B 8F 15 82 31 4C E3 5A C9 5B F1 EC 0215DB11/T 254.12018:7D F7 B5 3C 4B B5 E4 B3 56 D5 46 E8 20 3B AA 6A28 5D 6A B7 82 9F 04 15 D5 E1 F6 3B 9C 09 C0 F032013CA3A4:3 013F30A1:SEQUENCE 014230C:SEQUENCE 0144063:OBJECT IDENTIFIER basicConstraints (2 5 29 19)0149011:BOOL

49、EAN TRUE014C042:OCTET STRING:30 00:015030B:SEQUENCE 0152063:OBJECT IDENTIFIER keyUsage (2 5 29 15)0157044:OCTET STRING:03 02 06 C0:015D301D:SEQUENCE 015F063:OBJECT IDENTIFIER subjectKeyIdentifier (2 5 29 14)01640416:OCTET STRING:04 14 FA 37 6E 38 36 26 49 1F B6 F3 B6 B5 C0 6B:1C 20 8B BA 70 2B:017C3

50、01F:SEQUENCE 017E063:OBJECT IDENTIFIER authorityKeyIdentifier (2 5 29 35)01830418:OCTET STRING:30 16 80 14 75 5D 3A 4E 0F EC 40 66 9F 76 0D 6F:47 EA C2 1A D9 2F 84 6A:019D302F:SEQUENCE 019F063:OBJECT IDENTIFIER cRLDistributionPoints (2 5 29 31)01A40428:OCTET STRING:30263024A022A020 A4 1E 301C31 0D 3

51、0 0B:06035504030C0463 72 6C 31310B 30 09 06:035504061302636E:01CE 3013:SEQUENCE 01D0 063:OBJECT IDENTIFIER extKeyUsage (2 5 29 37)01D5 04C:OCTET STRING:30 0A 06 08 2B 06 01 05 05 07 03 02:16DB11/T 254.1201801E3 30A:SEQUENCE 01E5 068:OBJECT IDENTIFIER 1 2 156 10197 1 501:01EF 0347:BIT STRING 0 unused

52、 bits:304402204B9055972BE29E418435D99E:DAF103E7734904CA9A4F28489352041F:058203090220765FA622C97B87835D19:4030194B407F465BC63ED922FF65FD06:20981F6A5D61:17DB11/T 254.12018附錄B（規(guī)范性附錄）主體命名示例政務個人證書所列示例均系虛構(gòu)。北京市某政府部門的工作人員趙某某（有Email），其政務個人證書主體DN為：C=CNO=北京市政府OU=北京市某政府部門CN=趙某某 HYPERLINK mailto:Email%3Dzhao Ema

53、il=zhao北京市信息化工作辦公室的工作人員趙某某（無Email），其政務個人證書主體的DN為：C=CNO=北京市政府OU=北京市某政府部門CN=趙某某政務機構(gòu)證書所列示例均系虛構(gòu)。北京市信息化工作辦公室，其政務機構(gòu)證書主體的DN為: C=CNO=北京市政府CN=北京市某政府部門北京市某政府部門網(wǎng)絡管理處，其政務機構(gòu)證書主體的DN為: C=CNO=北京市某政府部門OU=北京市某政府部門網(wǎng)絡管理處CN=北京市某政府部門網(wǎng)管處北京市某公司，其政務機構(gòu)證書主體的DN為: C=CNO=北京市OU=北京市某公司CN=公司名稱政務設備證書所列示例均系虛構(gòu)。北京市某政府部門的設備（域名為 HYPERLIN

54、K / ），其政務設備證書主體的DN為:18DB11/T 254.12018C=CNO=北京市政府OU=北京市某政府部門CN= HYPERLINK / 北京市某政府部門的設備（IP地址為7），其政務設備證書主體的DN為: C=CNO=北京市政府OU=北京市某政府部門CN=7北京市某政府部門的設備（設備編碼為BJXXB123456），其政務設備證書主體的DN為: C=CNO=北京市政府OU=北京市某政府部門CN=BJXXB123456北京市某政府部門網(wǎng)絡管理處的設備（域名為 HYPERLINK / ），其政務設備證書主體的DN為: C=CNO=北京市某政府部門OU=北京市某政府部門網(wǎng)絡管理處CN

55、= HYPERLINK / 北京市某政府部門網(wǎng)絡管理處的設備（IP地址為7），其政務設備證書主體的DN為: C=CNO=北京市某政府部門OU=北京市某政府部門網(wǎng)絡管理處CN=7北京市某政府部門網(wǎng)絡管理處的設備（設備編碼為BJXXB123456），其政務設備證書主體的DN為: C=CNO=北京市某政府部門OU=北京市某政府部門網(wǎng)絡管理處CN=BJXXB12345619DB11/T 254.12018附錄C（規(guī)范性附錄）主體可選替換名稱命名示例政務個人證書所列示例均系虛構(gòu)。北京市某政府部門的工作人員趙某某，其政務個人證書主體可選替換名稱為：StateOrProvinceName=北京市Locali

56、tyName=西城區(qū)PostalCode=100000 TelephoneNumberTelexNumber者包含其中的部分屬性。政務機構(gòu)證書所列示例均系虛構(gòu)。北京市某政府部門（負責人電子郵件地址為 HYPERLINK mailto:Email%3Dzhao Email=zhao），其政務機構(gòu)證書主體可選替換名稱為:StateOrProvinceName=北京市LocalityName=西城區(qū)PostalCode=100000 TelephoneNumberTelexNumberHY

57、PERLINK mailto:Email%3Dzhao Email=zhao或者包含其中的部分屬性。政務設備證書所列示例均系虛構(gòu)。北京市某政府部門的設備（負責人電子郵件地址為 HYPERLINK mailto:zhao zhao），其政務設備證書主體可選替換名稱為:StateOrProvinceName=北京市LocalityName=西城區(qū)PostalCode=100000 TelephoneNumberTelexNumberHYPERLINK mailto:Email%3Dzhao Email=zhao或者包含其中的部分屬性。20DB

58、11/T 254.12018附錄D（規(guī)范性附錄）政務個人證書模板政務個人證書模板政務個人證書模板見表D.1。表 D.1 政務個人證書模板證書域關鍵/非關鍵證書域內(nèi)容描述CertificateTbsCertificate需對下列域做簽名Version2必備，2 表示版本 3SerialNumber必備CertificateSerialNumber正整數(shù)為該證書頒發(fā) CA 能唯一標識的序列號Signature必備AlgorithmIdentifierAlgorithmParametersIssuer必備Name證書頒發(fā) CA 持有者名稱RDNSequenceRelativeDistinguishe

59、dNameAttributeTypeAndValueAttributeTypeOIDAttributeValueValidity必備notBeforeTimeutcTimeUTCTimeYYMMDDHHMMSSZ2049 年前（包括 2049 年）使用generalTimeGeneralizedTimeYYYYMMDDHHMMSSZ2050 年后（包括 2050 年）使用21DB11/T 254.12018表 D.1政務個人證書模板（續(xù)）證書域關鍵/非關鍵證書域內(nèi)容描述notAfterTimeutcTimeUTCTimeYYMMDDHHMMSSZ2049 年前（包括 2049 年）使用gene

60、ralTimeGeneralizedTimeYYYYMMDDHHMMSSZ2050 年后（包括 2050 年）使用Subject必備Name證書主體名稱RDNSequence參見 4.5RelativeDistinguishedNameAttributeTypeAndValueAttributeTypeOIDAttributeValuesubjectPublicKeyInfo必備AlgorithmAlgorithmIdentifierAlgorithmParameterssubjectPublicKeyBIT STRINGExtensionsAuthorityKeyIdentifier非關鍵必