DB11T 254.1-2004政务数字证书规范 第1部分：格式.pdf

1CS 35. 240. 30L 70DB备案号：16483-2005北京市地方标准DB11/T254.1~2004政务数字证书规范第1部分：格式Specificationofdigitalcertificateforgovermment affairPart1: Format2004-12-20发布2005-02-01实施北京市质量技术监督局发布 DB11/T 254. 12004目次引言.1范围....2规范性引用文件3术语和定义、缩略语3.1术语和定义3.2缩略语4政务数字证书通用格式4.1基本结构，4.2基本证书域4.3签名算法域4.4签名值域，4.5命名规范..4.6政务数字证书编码示例5政务证书认证机构证书规范5.2政务证书认证机构证书基本证书域5.3政务证书认证机构证书签名算法域5.4政务证书认证机构证书签名值域5.5政务证书认证机构证书模板6政务个人证书规范126.1概述...126.2政务个人证书基本证书域126.3政务个人证书签名算法域6.4政务个人证书签名值域6.5政务个人证书模板..157政务机构证书规范..187.2政务机构证书基本证书域7.3政务机构证书签名算法域..207.4政务机构证书签名值域..207.5政务机构证书模板..208政务设备证书规范248.1概述248.2政务设备证书基本证书域..248.3政务设备证书签名算法域8.4政务设备证书签名值域8.5政务设备证书模板.259政务代码签名证书规范27 DB11/T 254. 12004政务CA证书中可使用策略限制扩展项。主体可选替换名称包含一个或多个可选替换名（可使用多种名称形式中的任一个）：主体可选替换名称扩展项中包含证书主体的附加信息：主体可选替换名称扩展项的名称形式包括：电子邮件地址、DNS名称、IP地址和统一资源标识符（URI）主体可选替换名称扩展项可以包括多种名称形式、每种名称形式可以有多个实例：主体可选替换名称扩展项中的所有信息必须经过CA验证。政务数字证书中可使用主体可选替换名称扩展项。主体可选替换名称内容和编码方式见4.5。该扩展项应为非关键扩展项。发者可选替换名称包含一个或多个可选替换名（可使用多种名称形式中的任一个）：顾发者可选替换名称扩展项中包含证书颁发者的附加信息。颁发者可选替换名称扩展项的名称形式包括：，电子邮件地址、DNS名称、IP地址和统一资源标识符（URI）。颁发者可选替换名称扩展项可以包括多种名称形式、每种名称形式可以有多个实例。政务数字证书中可使用颁发者可选替换名称扩展项。该扩展项应为非关键扩展项，0主体目录属性包含证书主体期望的任何目录属性值。 政务数字证书中不宜使用主体目录属性扩展项。该扩展项应为非关键扩展项。1基本限制用于标识证书的主体是否是一个CA、通过该CA可能存在的认证路径的最大长度。政务终端实体证书可使用基本限制扩展项，在政务终端实体证书中应为非关键扩展项。政务CA证书应使用基本限制扩展项。在政务CA证书中应为关键扩展项。2名称限制包含一个名称空间，表明了在通过该CA的认证路径中后续的证书主体的名称空间。名称限制扩展项只用于CA证书。政务CA证书中可使用名称限制扩展项，该扩展项应为关键扩展项，3策略限制提供了CA对于认证路径的附加要求。该扩展项可用于禁止策略映射或要求认证路径中的每个证书包含一个认可的证书策路0ID。策略限制扩展项只用于CA证书。政务C证书中可使用策略限制扩展项，4证书撤销列表分发点标识如何获得证书相应的CRL信息。政务数字证书中应具有证书撒销列表分发点扩展项。该扩展项应为非关键扩展项。5-限制任意策略描述使用anyPolicy0ID（2529320）时的限制。限制任意策略扩展项只用于CA证书。政务CA证书中可使用名称限制扩展项。该扩展项应为关键扩展项。6 DB11/T 254.120044. 2. 2. 16最新证书撤销列表标识如何获得最新的撒销信息（例如最新的增量CRL）。政务数学证书中可使用最新证书撤销列表扩展项。该扩展项应为非关键扩展项。7机构信息访问标识如何访间证书额发者的信息以及服务。政务数字证书中不宜使用机构信息访问扩展项。该扩展项应为非关健扩展项。4. 2. 2. 18主体信息访问包含如何访问证书主体的信息以及服务。政务数字证书中不宜使用主体信息访问扩展项。该扩展项应为非关键扩展项。4.3签名算法域包含CA颁发该证书所使用的密码算法的标识符，应与基本证书域中的签名算法所标识的签名算法相同。可选参数的内容完全依赖所标识的具体算法。4.4签名值域包含对基本证书域进行数字签名的结果。经过ASN,1DER编码的基本证书域作为数字签名算法的输入，签名的结果按照ASN.1编码成BITSTRING类型并保存在签名值域。4.5命名规范4.5.1主体政务数字证书中的主体