GM-T 0089-2020 清晰版 簡(jiǎn)單證書注冊(cè)協(xié)議規(guī)范

ICS35.040CCSL80中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)簡(jiǎn)單證書注冊(cè)協(xié)議規(guī)范2020-12-28發(fā)布2021-07-01實(shí)施國(guó)家密碼管理局發(fā)布ⅠGM／T0089—2020 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 5SCEP功能 5.1SCEP實(shí)體 5.2客戶端認(rèn)證 5.3注冊(cè)認(rèn)證 5.4CA/RA證書分發(fā) 5.5證書注冊(cè) 5.6證書查詢 5.7CRL查詢 5.8證書撤銷 6SCEP安全消息對(duì)象 6.2SCEP消息 6.3SCEP消息類型 7SCEP事務(wù) 7.1獲取CA證書 7.2證書注冊(cè) 7.3證書輪詢 7.4證書查詢 7.5CRL查詢 7.6獲取下一個(gè)CA證書 8SCEP傳輸協(xié)議 8.1HTTP消息格式 8.2SCEP消息 參考文獻(xiàn) ⅢGM／T0089—2020本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本文件起草單位：長(zhǎng)春吉大正元信息技術(shù)股份有限公司、北京信安世紀(jì)科技股份有限公司、格爾軟件股份有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、飛天誠(chéng)信科技股份有限公司、北京數(shù)字認(rèn)證股份有限公司、興唐通信科技有限公司、上海市數(shù)字證書認(rèn)證中心有限公司、北京握奇智能科技有限公司、北京華大智寶電子系統(tǒng)有限公司、北京創(chuàng)原天地科技有限公司、山東得安信息技術(shù)有限公司。本文件主要起草人：趙麗麗、張慶勇、鄭強(qiáng)、張立廷、羅俊、朱鵬飛、傅大鵬、王妮娜、韓瑋、汪雪林、張淵、陳保儒、王曉晨、馬洪富。ⅣGM／T0089—2020簡(jiǎn)單證書注冊(cè)協(xié)議是一種證書管理的簡(jiǎn)單協(xié)議，主要用于客戶端（用戶）與服務(wù)端(CA/RA)之間的證書自動(dòng)注冊(cè)中簡(jiǎn)化了對(duì)請(qǐng)求者身份鑒別的工作，令設(shè)備證書的注冊(cè)變得更為簡(jiǎn)單。國(guó)相關(guān)密碼政策和規(guī)范，結(jié)合我國(guó)實(shí)際應(yīng)用需求及產(chǎn)品生產(chǎn)廠商的實(shí)踐經(jīng)驗(yàn)，制定了適應(yīng)我國(guó)證書體系和密碼算法的簡(jiǎn)單證書注冊(cè)協(xié)議。1GM／T0089—2020簡(jiǎn)單證書注冊(cè)協(xié)議規(guī)范本文件定義了使用SM2算法進(jìn)行證書注冊(cè)的簡(jiǎn)單協(xié)議。本文件適用于指導(dǎo)研制提供證書自動(dòng)注冊(cè)的數(shù)字證書認(rèn)證系統(tǒng)，以及使用SM2算法進(jìn)行設(shè)備證書的自動(dòng)注冊(cè)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20518—2018信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式GB/T32918（所有部分）信息安全技術(shù)SM2橢圓曲線公鑰密碼算法GB/T35275—2017信息安全技術(shù)SM2密碼算法加密簽名消息語(yǔ)法規(guī)范GM/T0092基于SM2算法的證書申請(qǐng)語(yǔ)法規(guī)范GM/Z4001密碼術(shù)語(yǔ)3術(shù)語(yǔ)和定義GM/Z4001界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1申請(qǐng)證書服務(wù)的設(shè)備。注：客戶端也稱請(qǐng)求端。3.2v提供證書服務(wù)的實(shí)體，包含CA和RA。3.3一種數(shù)據(jù)結(jié)構(gòu)，包含用對(duì)稱密鑰加密的密文和用公鑰加密的該對(duì)稱密鑰。3.4v數(shù)字證書的一種，由CA簽名的包含設(shè)備的基本信息、設(shè)備公鑰信息及其他補(bǔ)充信息等的一種數(shù)據(jù)結(jié)構(gòu)。3.5由GB/T32918（所有部分）定義的一種算法。2GM／T0089—20204縮略語(yǔ)下列縮略語(yǔ)適用于本文件。CRL：證書撤銷列表(CertificateRevocationList)5SCEP功能5.1SCEP實(shí)體SCEP實(shí)體包含客戶端和服務(wù)端。服務(wù)端由CA和RA組成。SCEP描述客戶端向服務(wù)端注冊(cè)認(rèn)證的協(xié)議流程及格式。SCEP實(shí)體關(guān)系見圖1。圖1SCEP實(shí)體關(guān)系圖客戶端在注冊(cè)認(rèn)證的過(guò)程中，如果以前沒有獲取CA/RA證書，則應(yīng)在任何PKI操作啟動(dòng)之前申請(qǐng)獲取CA/RA證書，得到CA/RA證書后進(jìn)行證書注冊(cè)流程，在進(jìn)行注冊(cè)認(rèn)證后，客戶端可以向CA進(jìn)行證書查詢和CRL查詢，在CA證書更新時(shí)及時(shí)獲取下一個(gè)CA證書。客戶端開始一個(gè)PKI事務(wù)之前，應(yīng)至少有一張能夠?qū)CEP消息進(jìn)行簽名的證書?？蛻舳藨?yīng)配置如下的信息。a)CA或RA的IP地址或域名。b)CA或RA的HTTP腳本路徑。人工授權(quán)傳遞給終端用戶?？蛻舳藨?yīng)采取可靠措施，對(duì)這些信息的完整性進(jìn)行保護(hù)?？蛻舳丝删S護(hù)適用于多個(gè)CA的多個(gè)獨(dú)立配置，這些配置并不影響協(xié)議操作。3GM／T0089—2020CA是簽發(fā)客戶端證書的實(shí)體，CA的名字應(yīng)出現(xiàn)在生成證書的簽發(fā)者字段中。在任何PKI操作發(fā)生之前，CA應(yīng)獲得一個(gè)符合GB/T20518—2018配置的CA證書，這可以是上級(jí)CA簽發(fā)的CA證書?？蛻舳藨?yīng)通過(guò)7.1.1的獲取CA證書請(qǐng)求消息得到CA證書，并將獲取CA證書響應(yīng)消息所得到的CA證書通過(guò)證書雜湊值進(jìn)行認(rèn)證。CA應(yīng)在線回應(yīng)證書查詢請(qǐng)求或通過(guò)LDAP提供證書查詢結(jié)果。CA可實(shí)施任何策略并應(yīng)用這些策略認(rèn)證或拒絕客戶端的請(qǐng)求。如果服務(wù)端已經(jīng)為客戶端簽發(fā)過(guò)證書，且該證書在當(dāng)前仍然有效，服務(wù)端可返回之前為客戶端創(chuàng)建的證書。如果客戶端在輪詢一個(gè)掛起事務(wù)后進(jìn)入超時(shí)狀態(tài)，它應(yīng)通過(guò)向服務(wù)端發(fā)送與證書注冊(cè)事務(wù)名稱、密鑰和事務(wù)ID相同的請(qǐng)求，來(lái)進(jìn)行重新同步。CA應(yīng)返回證書注冊(cè)事務(wù)的狀態(tài)，包括已發(fā)放的證書。CA不應(yīng)創(chuàng)建新事務(wù)，除非已注冊(cè)的證書被撤銷或超過(guò)有效期。RA是一種SCEP服務(wù)端，它對(duì)SCEP客戶端進(jìn)行認(rèn)證和授權(quán)檢查，同時(shí)將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給CA。在生成證書的簽發(fā)者字段中應(yīng)不出現(xiàn)RA的名稱。RA在通過(guò)7.1.2的獲取CA證書響應(yīng)消息返回證書時(shí)應(yīng)同時(shí)返回RA證書和CA證書，此響應(yīng)中包括一個(gè)RA證書，說(shuō)明該客戶端正在通過(guò)一個(gè)RA向CA提出證書相關(guān)的請(qǐng)求，客戶端在后續(xù)的安全通信中應(yīng)將指定該RA作為服務(wù)端通信。為了進(jìn)行認(rèn)證服務(wù)，RA應(yīng)將請(qǐng)求傳遞給CA服務(wù)端進(jìn)行處理，CA與RA之間的通信協(xié)議在本文件中不做規(guī)定。5.2客戶端認(rèn)證為了按照GB/T35275語(yǔ)法格式對(duì)數(shù)據(jù)進(jìn)行加密和簽名，客戶端應(yīng)有一個(gè)可用的本地證書。。CA簽發(fā)的證書。在新CA上的策略設(shè)置將決定是否認(rèn)可其他CA認(rèn)證結(jié)果、是否為客戶端服務(wù)。算法的自簽名證書替代。自簽名證書應(yīng)使用與GM/T0092要求相同的主體名稱。在證書注冊(cè)期間，客戶端在遵循GB/T35275進(jìn)行簽名時(shí)，應(yīng)使用選定的證書?？蛻舳税l(fā)送請(qǐng)求后，服務(wù)器端生成響應(yīng)，在服務(wù)器端對(duì)響應(yīng)進(jìn)行加密時(shí)，需使用此簽名證書的公鑰。服務(wù)端可設(shè)置策略，對(duì)客戶端的請(qǐng)求進(jìn)行自動(dòng)注冊(cè)認(rèn)證或手動(dòng)注冊(cè)認(rèn)證。在自動(dòng)注冊(cè)認(rèn)證模式下，服務(wù)端應(yīng)實(shí)現(xiàn)適當(dāng)?shù)倪壿?，?duì)客戶端進(jìn)行簽名的證書進(jìn)行自動(dòng)認(rèn)證，并使用由認(rèn)可的其他PKI層次體系中CA頒發(fā)的現(xiàn)有客戶端憑證進(jìn)行自動(dòng)注冊(cè)。在手動(dòng)注冊(cè)認(rèn)證模式下，客戶端消息一直處于掛起狀態(tài)，直到CA操作員對(duì)該消息進(jìn)行確認(rèn)或者拒絕?？蛻舳松蒅M/T0092的申請(qǐng)消息的雜湊值，并使用其他可靠的帶外傳輸方式發(fā)送給CA操作員。CA操作員應(yīng)將此雜湊值與在SCEP交互時(shí)收到消息后在本地生成的雜湊值進(jìn)行比較，驗(yàn)證其完整性。5.4CA／RA證書分發(fā)客戶端如果以前沒有獲取CA/RA證書，則應(yīng)在任何PKI操作啟動(dòng)之前申請(qǐng)獲取CA/RA證書。4GM／T0089—2020在客戶端獲取CA證書之后，應(yīng)使用雜湊算法對(duì)接收到的CA證書（及可能含有的RA證書）計(jì)算雜湊值，如果客戶端沒有到信任錨的證書路徑，則通過(guò)將證書雜湊值與本地配置的、帶外方式得到的信息進(jìn)行比較，來(lái)對(duì)CA證書進(jìn)行身份認(rèn)證。由于客戶端和CA/RA之間尚未交換公鑰，因此無(wú)法按照GB/T35275的語(yǔ)法格式來(lái)保護(hù)這些消息，而數(shù)據(jù)將在明文中傳輸。含RA和CA證書，或只有CA證書本身。傳輸協(xié)議應(yīng)指明返回的是哪一個(gè)。在客戶端獲取CA證書之后，應(yīng)使用雜湊算法對(duì)接收到的CA證書（及可能含有的RA證書）計(jì)算雜湊值，如果客戶端沒有到信任錨的證書路徑，則通過(guò)將證書雜湊值與本地配置的、帶外方式得到的信息進(jìn)行比較，來(lái)對(duì)CA證書進(jìn)行身份認(rèn)證。由于從客戶端到CA/RA之間傳遞查詢可能耗費(fèi)很長(zhǎng)時(shí)間，而RA證書可能隨時(shí)更改，因此建議客戶端不要存儲(chǔ)RA證書，而應(yīng)在每次操作之前檢索CA/RA證書。5.5證書注冊(cè)客戶端按照GM/T0092創(chuàng)建一個(gè)證書請(qǐng)求來(lái)啟動(dòng)證書注冊(cè)事務(wù)，并將其按照GB/T35275封裝后發(fā)送到CA/RA?；騀AILURE。消息類型定義見。份驗(yàn)證，批準(zhǔn)或拒絕該請(qǐng)求。消息，狀態(tài)為SUCCESS或FAILURE。在證書注冊(cè)期間，客戶端狀態(tài)轉(zhuǎn)換在圖2中表示。圖2狀態(tài)轉(zhuǎn)換圖證書注冊(cè)從狀態(tài)CERT-NONEXISTANT開始。復(fù)到CERT-NONEXISTANT。5GM／T0089—2020ANT。息，或者已超過(guò)最大輪詢次數(shù)。終可以開啟另一個(gè)注冊(cè)請(qǐng)求。應(yīng)注意的是，只要客戶端不更改其主體名稱或密鑰，就會(huì)在新事務(wù)中使用相同的事務(wù)ID。這一點(diǎn)很重要，因?yàn)榛诖耸聞?wù)ID,證書認(rèn)證機(jī)構(gòu)可以將其識(shí)別為已有的事務(wù)，而不是當(dāng)作新事務(wù)來(lái)處理。自動(dòng)模式下的成功事務(wù)流程見圖3。圖3自動(dòng)模式事務(wù)手動(dòng)模式下成功的事務(wù)見圖4。圖4手動(dòng)模式事務(wù)6GM／T0089—20205.6證書查詢?yōu)榭蛻舳硕x了證書查詢消息，以便從CA檢索自己的證書副本。它允許不在本地存儲(chǔ)證書的客戶端在需要時(shí)獲取副本。此功能不用于提供通用證書目錄服務(wù)。要從證書認(rèn)證機(jī)構(gòu)查詢證書，客戶端將發(fā)送由證書簽發(fā)者名稱和序列號(hào)組成的請(qǐng)求。假定客戶端圖5G5.7CRL查詢SCEP客戶端可通過(guò)以下兩種方法之一獲得CRL:CACDPCRL;索CRL范圍內(nèi)的證書的簽發(fā)者名稱和序列號(hào)組成。服務(wù)端宜使用CDP方法。圖6GCRL事務(wù)5.8證書撤銷SCEP不指定請(qǐng)求證書撤銷的方法。6SCEP安全消息對(duì)象有機(jī)密性需求的SCEP消息采用兩層結(jié)構(gòu)，見GB/T35275。通過(guò)同時(shí)應(yīng)用數(shù)字信封和數(shù)字簽名，7GM／T0089—2020對(duì)SCEP消息的端到端事務(wù)信息完整性和信息部分的機(jī)密性進(jìn)行保護(hù)。6.2SCEP消息6.2.1SCEP消息結(jié)構(gòu)組成，如GB/T35275—2017中8.1所定義。存在如下的限制：6.2.2被簽名的事務(wù)屬性屬性編碼注釋transactionIDPrintableString雜湊值messageTypePrintableString十進(jìn)制數(shù)pkiStatusPrintableString十進(jìn)制數(shù)failInfoPrintableString十進(jìn)制數(shù)OCTETSTRING recipientNonceOCTETSTRING ID）一個(gè)PKI操作就是一次包括客戶端和服務(wù)端之間消息交換的事務(wù)。事務(wù)標(biāo)識(shí)是事務(wù)開始時(shí)客戶端產(chǎn)生的字符串?？蛻舳藨?yīng)為事務(wù)標(biāo)識(shí)產(chǎn)生唯一的字符串，編碼為可打印字符串，在一次給定注冊(cè)過(guò)程的所有PKI消息中使用。事務(wù)標(biāo)識(shí)應(yīng)是注冊(cè)請(qǐng)求所注冊(cè)公鑰值的雜湊值。這樣可以允許SCEP客戶端為任意給定密鑰對(duì)自動(dòng)產(chǎn)生相同的事務(wù)標(biāo)識(shí)，以便于后續(xù)的輪詢能夠匹配之前的事務(wù)。當(dāng)使用本文件定義的證書和證書撤銷列表查詢消息時(shí)，需要使用事務(wù)標(biāo)識(shí)來(lái)確?？蛻舳藢㈨憫?yīng)消息與之前的請(qǐng)求消息相匹配。當(dāng)使用LDAP（輕量級(jí)目錄服務(wù)協(xié)議）來(lái)查詢證書和證書撤銷列表時(shí)，具體的行為過(guò)程由LDAP確定。對(duì)于非GetCert8GM／T0089—2020消息類型屬性確定事務(wù)所執(zhí)行操作的類型。這個(gè)屬性應(yīng)包含在所有的PKI消息中。如下消息類型已被定義：GM/T0092證書請(qǐng)求請(qǐng)求響應(yīng)GetCertInitial(20)證書輪詢證書查詢GetCRL(22)CRL查詢未定義的消息類型作為錯(cuò)誤處理。SUCCESS(0)批準(zhǔn)PENDING(3)待處理未定義的消息類型作為錯(cuò)誤處理。I失敗信息屬性應(yīng)包括下列失敗原因：不能識(shí)別或未被支持的算法標(biāo)識(shí)完整性校驗(yàn)失敗事務(wù)未被允許或支持badTime(3)簽名時(shí)間屬性和系統(tǒng)時(shí)間不夠接近badCertId(4)沒有識(shí)別出可以匹配所提供標(biāo)準(zhǔn)的證書未定義的消息類型作為錯(cuò)誤處理。用來(lái)抗重放攻擊?？蛻舳藨?yīng)在發(fā)送給服務(wù)端的PKI消息中包含發(fā)送者隨機(jī)數(shù)。6.2.3SCEP數(shù)字信封限制：匹配；9GM／T0089—20206.3SCEP消息類型的消息數(shù)據(jù)格式，還有這個(gè)類型強(qiáng)制性的認(rèn)證屬性。的任意域，同時(shí)應(yīng)要包含至少以下幾項(xiàng)：—主體標(biāo)識(shí)名；—主體公鑰；。屬性：transactionID;senderNonce。6.3.3證書注冊(cè)響應(yīng)依賴于這個(gè)消息回復(fù)的請(qǐng)求類型，在表1和第4章有具體描述。屬性：senderNonce;。書，第一個(gè)是簽名證書，第二個(gè)是加密證書。封，其內(nèi)容取決于證書注冊(cè)請(qǐng)求，如表2所示。GM／T0089—2020請(qǐng)求類型響應(yīng)內(nèi)容回復(fù)應(yīng)至少包含簽名數(shù)據(jù)的證書域中向請(qǐng)求者頒發(fā)的證書?；貜?fù)可以包含附加證書，但頒發(fā)的證書應(yīng)處在列表中的首位。回復(fù)一定不包含CRL。所有返回的證書應(yīng)符合GB/T20518—2018GetCertInitialGetCert回復(fù)應(yīng)至少包含簽名數(shù)據(jù)的證書域中請(qǐng)求的證書?；貜?fù)可以包含附加證書，但請(qǐng)求的證書應(yīng)處在列表中的首位?；貜?fù)一定不包含CRL。所有返回的證書應(yīng)符合GB/T20518—2018GetCRL的CRL才能被認(rèn)為是有效的屬性：;senderNonce屬性。issuerName,subjectName}中定義的，唯一確定了請(qǐng)求的證書。屬性：transactionID;senderNonce。GM／T0089—20206.3.6CRL查詢包含需要確認(rèn)的證書發(fā)布者姓名和序列號(hào)。屬性：TransactionID;senderNonce。者，只是為了傳送證書和證書吊銷列表。7SCEP事務(wù)7.1獲取CA證書CAGetCACert響應(yīng)消息格式取決于服務(wù)端是否具有RA證書或只有一個(gè)CA證書，服務(wù)端應(yīng)明確指定它發(fā)送的是何種響應(yīng)。所有返回的證書格式應(yīng)符合GB/T20518—2018。如果服務(wù)端就是CA證書認(rèn)證機(jī)構(gòu)，并且沒有任何RA證書，那么響應(yīng)由一個(gè)CA證書組成。書和RA證書。7.2證書注冊(cè)先決條件：客戶端和CA認(rèn)證機(jī)構(gòu)都已經(jīng)完成了初始化過(guò)程?？蛻舳艘呀?jīng)配置了CA/RA證書。后置條件：客戶端收到證書，請(qǐng)求可以被拒絕，或者請(qǐng)求待處理。待處理的響應(yīng)可能表明需要人工認(rèn)證。(PENDING)三種狀態(tài)。GM／T0089—2020屬性。，CA也可能因?yàn)槠渌蚍祷豍ENDING。服務(wù)端，從而進(jìn)入輪詢狀態(tài)，直到請(qǐng)求被授予并且證書被發(fā)回，或者請(qǐng)求被拒絕，或者超過(guò)配置的輪詢時(shí)間限制（或最大輪詢次數(shù)）。。格式中的證書注冊(cè)請(qǐng)求）來(lái)識(shí)別輪詢證書請(qǐng)求。因?yàn)閬?lái)自一個(gè)客戶端可以有多個(gè)未完成的請(qǐng)求（例如，不同的密鑰和不同的密鑰用法將被用來(lái)請(qǐng)求多個(gè)證書事務(wù)ID也應(yīng)包括在內(nèi)，以消除多個(gè)請(qǐng)求之間的歧義。。后置條件：客戶端已經(jīng)收到了有效的回復(fù)，可以是有效的證書（事務(wù)狀態(tài)為SUCCESS),也可以申請(qǐng)失敗（事務(wù)狀態(tài)為FAILURE),或者輪詢周期超時(shí)。GetCertInitial的響應(yīng)消息與7.2.2中相同?？蛻舳丝梢酝ㄟ^(guò)簽發(fā)者名稱和待查詢證書的證書序列號(hào)，從SCEP服務(wù)端查詢簽發(fā)的證書。此事務(wù)不用于提供通用證書目錄服務(wù)。先決條件：證書認(rèn)證機(jī)構(gòu)已發(fā)出客戶端實(shí)體的證書，而簽發(fā)者指定的序列號(hào)是已知的。后置條件：成功應(yīng)返回證書，或者請(qǐng)求被拒絕。URE兩種。7.5CRL查詢客戶端可以從SCEP服務(wù)端請(qǐng)求CRL。先決條件：證書認(rèn)證機(jī)構(gòu)證書已下載到最終實(shí)體。GM／T0089—2020后置條件：將CRL發(fā)送回客戶端。7.5.2響應(yīng)消息格式據(jù)類型，僅包含CRL。CA息完成的，該消息沒有相關(guān)請(qǐng)求數(shù)據(jù)。響應(yīng)消息應(yīng)由CA或RA簽名，客戶端應(yīng)在接受其任何內(nèi)容之前應(yīng)先對(duì)簽名進(jìn)行驗(yàn)證，簽名消息符定義。到其成功進(jìn)行證書更新后再恢復(fù)設(shè)置。如果此響應(yīng)中有任何RA證書，客戶端應(yīng)檢查這些RA證書是否由CA簽名，并且應(yīng)檢查這些RA證書的授權(quán)。8SCEP傳輸協(xié)議8.1HTTP消息格式SCEP使用HTTP“GET”消息實(shí)現(xiàn)傳輸協(xié)議。下面定義了從客戶端發(fā)送到服務(wù)端HTTPGET消息的語(yǔ)法。其中：CGI-PATH定義了調(diào)用解析請(qǐng)求CGI程序的實(shí)際CGI路徑。CGI-RROG,只使用CGI-PATH。OPERATION和MESSAGE取決于具體SCEP事務(wù)，在以下各條中定義。f對(duì)于每個(gè)GET操作，CA/RA服務(wù)端應(yīng)返回內(nèi)容類型和適當(dāng)?shù)捻憫?yīng)數(shù)據(jù)。GM／T0089—20208.2SCEP消息8.2.1獲取CA證書OPERATION應(yīng)設(shè)置為“GetCACert”。MESSAGE可省略，也可能是表示證書認(rèn)證機(jī)構(gòu)簽發(fā)者標(biāo)識(shí)符的字符串。一個(gè)SCEP服務(wù)端可以支持多個(gè)CA?？蛻舳嗽谧?cè)期間，根據(jù)CA設(shè)置的策略與CA或RA通信。a)CA證書響應(yīng)此響應(yīng)消息的正文僅由CA證書組成，如7.1.2中所定義。b)CA和RA證書響應(yīng)此響應(yīng)消息的正文由一個(gè)簡(jiǎn)化的數(shù)字信封組成，如7.1.2中所定義。URIMESSAGE應(yīng)設(shè)置為GetCertInitial消息。該消息應(yīng)按base64編碼?！癰ase64”編碼的數(shù)據(jù)與URIGM／T0089—2020MESSAGE應(yīng)設(shè)置為GetCert消息，該消息應(yīng)按base64編碼。“base64”編碼的數(shù)據(jù)與“base64url”編碼的數(shù)據(jù)不同，可能包含URI保留字符，因此應(yīng)進(jìn)行轉(zhuǎn)義。8.2.5CRL查詢MESSAGE應(yīng)設(shè)置為GetCRL消