電子政務數(shù)字證書技術應用規(guī)范

isaISAICS 35.240.60 L 67 湖 北 省 地 方 標 準 DB42 DB42/T 452 2008 湖北省電子政務數(shù)字證書技術應用規(guī)范 HuBei Province Electronic Government Digital Certificate Technical Application Specification 2008-01-04 發(fā)布 2008-02-01 實施 湖北省質(zhì)量技術監(jiān)督局 發(fā)布 DB42/T 452 2008 I 目 次 前 言 . III 引 言 . IV 1 范圍 . 1 2 規(guī)范性引用文件 . 1 3 術語、定義和縮略語 . 1 3.1 術語和定義 . 1 3.2 縮略語 . 3 4 數(shù)字證書格式 . 3 4.1 政務數(shù)字證書通用格式 . 3 4.2 認證 機構證書格式 . 6 4.3 政務個人證書格式 . 7 4.4 政務機構證書格式 . 8 4.5 政務設備證書格式 . 8 4.6 政務服務器證書格式 . 9 4.7 政務應用系統(tǒng)證書格式 . 10 4.8 政務代碼簽名證書格式 . 11 5 政務數(shù)字證書應用接口 . 11 5.1 政務數(shù)字證書應用體系結構 . 11 5.2 政務數(shù)字證書應用接口組成和功能說明 . 12 5.3 政務數(shù)字證書應用程序接口函數(shù)定義 . 13 6 政務數(shù)字證書業(yè)務規(guī)則 . 20 6.1 政務數(shù)字證書簽發(fā) . 20 6.2 政務數(shù)字證書使用 . 21 6.3 政務數(shù)字證書維護 . 21 6.4 政務數(shù)字證書載體 . 22 6.5 政務數(shù)字證書實體查詢 . 22 附 錄 A （規(guī)范性附錄） 基本域說明 . 23 A.1 版本（ Version ） . 23 A.2 序列號（ SerialNumber ） . 23 A.3 簽名算法 （ SignatureAlgorithm ） . 23 A.4 頒發(fā)者 （ Issuer ） . 23 A.5 有效期 （ Validity ） . 23 A.6 主體（ Subject ） . 23 A.7 主體公鑰信息（ SubjectPublic KeyInfo） . 23 A.8 頒發(fā)者唯一標識符（ IssuerUniqueID） . 23 A.9 主體唯一標識符（ SubjectUniqueID） . 23 附 錄 B （規(guī)范性附錄） 擴展域說明 . 24 B.1 政務數(shù)字證書通用格式擴展域說明 . 24 B.1.1 機構密鑰標識符 . 24 DB42/T 452 2008 II B.1.2 主體密鑰標識符 . 24 B.2 認證機構證書格式擴展域說明 . 26 B.3 政務個人證書格式擴展域說明 . 27 B.4 政務機構證書格式擴展域說明 . 28 B.5 政務設備證書格式擴展域說明 . 29 B.6 政務服務器證書格式擴展域說明 . 30 B.7 政務應用系統(tǒng)證書格式擴展域說明 . 31 B.8 政務代碼簽名證書格式擴展域說明 . 31 附 錄 C （規(guī)范性附錄） 政務數(shù)字證書模板 . 33 附 錄 D （資料性附 錄） 主體命名示例 . 34 D.1 政務個人證書 . 34 D.2 政務機構證書 . 34 D.3 政務設備證書 . 34 D.4 政務服務器證書 . 35 D.5 政務應用系統(tǒng)證書 . 35 D.6 政務代碼簽名證書 . 35 附 錄 E （資料性附錄） 主體可選替換名稱命名示例 . 36 E.1 政務個人證書 . 36 E.2 政務機構證書 . 36 E.3 政務設備證書 . 36 E.4 政務服務器證書 . 37 E.5 政務應用系統(tǒng)證書 . 37 E.6 政務代碼簽名證書 . 37 附 錄 F （資料性附錄） 政務數(shù)字證書編碼示例 . 37 附 錄 G （規(guī)范性附錄） 數(shù)字證書應用接口常量定義和說明 . 41 G.1 證書類型 . 41 G.2 證書信息 . 42 附 錄 H （資料性附錄） 數(shù)字證書典型應用示例 . 43 H.1 典型業(yè)務流程 . 43 H.2 登錄程序基本流程 . 43 附 錄 I （資料性附錄） 政務數(shù)字證書注冊機構和受理點建設樣例 . 44 I.1 注冊機構和受理點功能 . 44 I.2 注冊機構和受理點在 PKI 體系中的位置 . 45 I.3 證書注冊機構邏輯結構 . 45 I.4 受理點邏輯結構 . 45 DB42/T 452 2008 III 前 言 本標準的附錄 A、附錄 B、附錄 C 和附錄 G 為規(guī)范性附錄，附錄 D、附錄 E、附錄 F、附錄 H 和附錄 I 為資料性附錄。 本標準由湖北省電子政務工作領導小組辦公室提出。 本標準由湖北省標準化協(xié)會電子政務專業(yè)委員會歸口。 本標準主要起草單位：湖北省數(shù)字證書認證管理中心有限公司、武漢大學計算機學院、湖北省標準化研究院。 本標準主要起草人：田造民、涂航、熊星、潘登、葛愿維、馮翔、吳焱。 DB42/T 452 2008 IV 引 言 隨著我省電子政務平臺的運行和省電子政務應用的深入開展，為了加強全省政務網(wǎng)的總體安全，保證全省數(shù)字證書策略的一致性，省電子政務辦出臺了規(guī)范全省數(shù)字證書的通知。本著這一精神，為指導我省電子政務數(shù)字證書應用，規(guī)范數(shù)字證書應用行為，確保數(shù)字證書在電子政務活動中能夠通用，實現(xiàn)網(wǎng)絡互聯(lián)互通和信息共享并一證多用，滿足湖北省信息化和電子政務發(fā)展的迫切需求， 故 制定 本標準 。 數(shù)字證書是 PKI 技術的關鍵要素之一，以 PKI 為核心的網(wǎng)絡身份認證體系和信息加密技術已成為業(yè)界廣泛認同的一種構造網(wǎng)絡身份信任體系的重 要方式，并成為信息安全保障體系中極其重要的組成部分之一。 數(shù)字證書是傳送和處理實體身份鑒別信息的重要載體，通過數(shù)字證書和身份認證確認電子政務參與方的各自身份，建立彼此間的信任關系以及保證信息的保密性、完整性和可用性。 本標準總體上同國家相關標準保持一致，并結合湖北省實際制定。 本標準 規(guī)定了政務數(shù)字證書的通用格式，規(guī)定了提供服務的認證機構證書、政務個人證書、政務機構證書、政務設備證書 、政務服務器證書、政務應用系統(tǒng)證書 和政務代碼簽名證書的格式和模板，對數(shù)字證書的應用接口進行描述，是湖北省電子政務數(shù)字證書應 用的依據(jù)。 本標準 不對屬性證書作出詳細的格式與應用的規(guī)定，但可作為屬性證書應用的參考。 DB42/T 452 2008 1 湖北省電子政務數(shù)字證書技術應用規(guī)范 1 范圍 本標準規(guī)定了湖北省電子政務數(shù)字證書格式、應用接口和業(yè)務規(guī)則。 本標準適用于電子認證服務機構、數(shù)字證書認證系統(tǒng)及相關產(chǎn)品的供應商、應用開發(fā)商的設計和開發(fā)。 本標準適用于 應用部門 在湖北省電子政務的辦公、社會管理和公共服務等政務活動，也可適用于電子商務應用。 本標準規(guī)定的電子政務數(shù)字證書格式適用于認證機構證書、政務個人證書、政務機構證書、政務設備證書、政務服務器證書、政務應用系統(tǒng)證 書、政務代碼簽名證書。 本標準 規(guī)定的電子政務數(shù)字證書格式適用于加密證書和簽名證書。 本標準 不涉及任何具體的密碼運算，所有密碼運算均在符合國家有關法律法規(guī)的密碼設備中進行。 本標準 凡涉及密碼相關內(nèi)容，按國家有關法律法規(guī)實施。 2 規(guī)范性引用文件 下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。 GB/T 16284.4-1996 信息技術 文本通信 面向信報的文本交換系統(tǒng) 第 4部分：抽象服務定義和規(guī)程 GB/T 17969.1-2000 信息技術 開放系統(tǒng)互連 OSI登記機構的操作規(guī)程 第 1部分：一般規(guī)程 DB 42/T 362 2006 電子政務術語 ISO/IEC 9594-2:2001 Information technology -Open Systems Interconnection - The Directory: Models 信息技術 .開放系統(tǒng)互連 .目錄 :模型 IETF RFC 791 Internet Protocol Internet協(xié)議 IETF RFC 822 Standard for the format of ARPA Internet text messages ARPA 英特網(wǎng)文本消息格式標準 IETF RFC 1034 Domain names - concepts and facilities 域名 -概念和設施 IETF RFC 1630 Universal Resource Identifiers in WWW: A Unifying Syntax for the Expression of Names and Addresses of Objects on the Network as used in the World-Wide Web WWW中的全球資源 標識符：類似 WWW的網(wǎng)絡目標的名字和地址表達的統(tǒng)一句法 RFC1738 統(tǒng)一資源定位器 IETF RFC 1738 Uniform Resource Locators (URL) 統(tǒng)一資源定位器 (URL) IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile 因特網(wǎng) X.509公開密鑰基礎設施證書與證書撤銷列表輪廓 PKCS#7: Cryptographic Message Syntax Standard PKCS#7:密碼消息語法標準 PKCS#11: Cryptographic Token Interface Standard PKCS#11:密碼令牌接口標準 3 術語 、 定義 和 縮略語 3.1 術語和定義 DB42/T 452 2008 2 DB 42/T 362 2006 確立的 以及 下列 術語和定義適用于本標準 。 3.1.1 公鑰基礎設施（ PKI） Public Key Infrastructure 支持公鑰管理體制的基礎設施，提供鑒別、加密、完整性和不可否認性服務。 3.1.2 證書認證機構（ CA） Certificate Authority 負責創(chuàng)建和分配證書，受用戶信任的權威機構。用戶可以選擇該機構為其創(chuàng)建密鑰 。 3.1.3 證書注冊機構（ RA） Registration Authority RA是 CA 的組成部分，對證書申請的業(yè)務受理審核子系統(tǒng)概稱為 RA， RA按照 CA制定的政策和管理規(guī)范對用戶的資信進行審查，以決定 是否為該用戶發(fā)放證書。 3.1.4 密鑰管理中心（ KMC） Key Management Centre 密鑰管理中心。 主要負責數(shù)字證書用戶密鑰的生成和管理，解決系統(tǒng)密 鑰和數(shù)字證書用戶密鑰自產(chǎn)生到最終銷毀的整個生命周期中的相關問題。 3.1.5 在線證書狀態(tài)協(xié)議（ OCSP） Online Certificate Status Protocol 在線證書狀態(tài)協(xié)議 ，是 IETF 頒布的用于檢查數(shù)字證書在某一時間是否有效的標準。 3.1.6 依賴方 Relying Party 即指依賴于證書真實性的實體。在電子簽名應用中，即為電子簽名依賴方。 3.1.7 公 鑰證書 Public Key Certificate 用戶的公鑰連同其他信息，并由發(fā)布該證書的證書認證機構的私鑰進行加密使其不可偽造。 3.1.8 證書吊銷列表 (CRL) Certificate Revocation List 一種由證書簽發(fā)者所認定的無效證書的清單。 3.1.9 終端實體 End Entity 不以簽署證書為目的而使用其私鑰的證書主體或者證書使用者。 3.1.10 政務數(shù)字證書 Government Affair Digital Certificate 用來標識電子政務參與方真實身份的數(shù)字證書 ， 根據(jù)參與方的不同類別分為認 證機構證書、政務個人證書、政務機構證書、政務設備證書、政務服務器證書、政務應用系統(tǒng)證書、政務代碼簽名證書。 3.1.11 政務個人證書 Government Affair Person Certificate 頒發(fā)給參與電子政務的個人實體，用來唯一標識個人實體真實身份的數(shù)字證書。 3.1.12 政務機構證書 Government Affair Unit Certificate 頒發(fā)給 參與電子政務的機構實體，用來唯一標識機構實體真實身份的數(shù)字證書。 3.1.13 政務設備證書 Government Affair Device Certificate 頒發(fā)給參與電子政務的設備實體，用來唯一標識設備實體真實身份的數(shù)字證書。 DB42/T 452 2008 3 3.1.14 政務 服務器 證書 Government Affair Server Certificate 頒發(fā)給參與電子政務的 服務器 實體，用來唯一標識 服務器 實體真實身份的數(shù)字證書。 3.1.15 政務 應用系統(tǒng) 證書 Government Aaffair Application Certificate 頒發(fā)給參與電子政務的 應用系統(tǒng) 實體，用來唯一標識 應用系統(tǒng) 實體真實身份的數(shù)字證書。 3.1.16 政務代碼簽名證書 Government Affair Code Signing Certificate 頒發(fā)給參與電子政務的各類實體，用來對其所開發(fā)的代碼進行代碼簽名的數(shù)字證書。 3.2 縮略語 下列縮略語適用于本標準： ASN Abstract Syntax Notation 抽象語法表示法 BASE64 設計用來把任意序列的 8 位字節(jié)描述為一種不易被人直接識別的形式 BER Basic Encoding Rules 基本編碼規(guī)則 C Country 國家 CA Certificate Authority 證書認證機構 CN Common Name 通用名 CRL Certificate Revocation List 證書吊銷列表 CSP Cryptographic Service Provider 加密服務提供者 DER Distinguished Encoding Rules 可區(qū)分編碼規(guī)則 DN Distinguished Name 甄別名 KMC Key Management Centre 密鑰管理中心 L Location 市州 LDAP Lightweight Directory Access Protocol 輕量級目錄訪問協(xié)議 O Organization 機構 OCSP Online Certificate Status Protocol 在線證書狀態(tài)協(xié)議 OID Object Identifier 對象標識符 OU Organization Unit 機構單位 PKCS The Public-Key Cryptography Standard 公鑰密碼使用標準 PKI Public Key Infrastructure 公鑰基礎設施 RA Registration Authority 證書注冊機構 S State 省份 4 數(shù)字證書格式 4.1 政務數(shù)字證書通用格式 4.1.1 基本結構 政務數(shù) 字證書 的基本 結構 由三部 分組 成：基 本證書 域 TBSCertificate 、 簽名 算法域SignatureAlgorithm、簽名值域 SignatureValue。 政務數(shù)字證書的基本結構，見圖 1。 DB42/T 452 2008 4 基 本 證 書 域T B S C e r t i f i c a t e簽 名 算 法 域S i g n a t u r e A l g o r i t h m簽 名 值 域S i g n a t u r e V a l u e政務數(shù)字證書基本結構 圖 1 政務數(shù)字證書的基本結構 4.1.2 基本證書域 基本證書域由基本域和擴展域組成?；咀C書域結構，見圖 2。 基本證書域基 本 域擴 展 域 圖 2 基本證書域結構 4.1.3 基本域 基本域由如下部分組成： 版本 Version 序列號 SerialNumber 簽名算法 SignatureAlgorithm 頒發(fā)者 Issuer 有效期 Validity 主體 Subject 主體公鑰信息 SubjectPublicKeyInfo 頒發(fā)者唯一標識符 IssuerUniqueID 主體唯一標識符 SubjectUniqueID 基本域應符合 附錄 A 的規(guī)定。 4.1.4 擴展域 政務數(shù)字證書可使用擴展域。 政務數(shù)字證書擴展域可包含多項擴展項。每項擴展項由擴展類型、擴展關鍵度和擴展項值組成。 政務數(shù)字證書可使用 IETF RFC 3280 中定義的如下證書擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 策略映射 PolicyMappings 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints DB42/T 452 2008 5 名稱限制 NameConstraints 策略限制 PolicyConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 限制任意策略 InhibitAnyPolicy 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 除上述證書擴展項， 本標準 還支持如下私有擴展項： 個人身份證號碼 IdentifyCardNumber 個人社會保險號 InsuranceNumber 組織機構代碼 OrganizationCode 工商注冊號 ICRegistrationNumber 稅號 TaxationNumber 主體銀行基本賬號 SubjectBasicAccount 政務數(shù)字證書擴展域 應符合 附錄 B.1 的規(guī)定 。 4.1.5 簽名算法域 包含 CA 頒發(fā)該證書所使用的密碼算法的標識符，應與基本證書域中的簽名算法 項 所標識的簽名算法相同。可選參數(shù)的內(nèi)容完全依賴所標識的具體算法。 4.1.6 簽名值域 包含對基本證書域進行數(shù)字簽名的結果。經(jīng)過 ASN.1 DER 編碼的基本證書域作為數(shù)字簽名算法的輸入，簽名的結果按照 ASN.1 編碼成 BIT STRING 類型并保存在簽名值域。 4.1.7 命名規(guī)范 主體 政務數(shù)字證書中的主體 DN 應是 C=CN 命名空間下的 X.500 目錄唯一名字。 C（ Country）屬性的編 碼使用 PrintableString，其它屬性的編碼使用 UTF8String。主體的 X.500 DN 如下： C=CN S= L= O= OU= CN= a) C（ Country）應為 CN，表示中國。 b) S（ State）應為證書主體所在省份。 c) L（ Location）應為證書主體所在 市州 。 d) O（ Organization）應為證書主體所屬單位的上一級單位的名稱 全稱； e) OU（ OrganizationUnit）應為證書主體或者證書主體所屬單位的名稱全稱； f) CN（ CommonName）中的內(nèi)容分為 6 種： 1） 政務個人證書中應為證書主體的姓名； 2） 政務機構證書中應為證書主體單位的 名稱 ； 3） 政務設備證書中應為證書主體設備的設備編碼； 4） 政務服務器證書中應為證書主體服務器的域名或 IP，宜為域名； 5） 政務應用系統(tǒng)證書中應為證書主體應用系統(tǒng)的應用系統(tǒng)編碼； 6） 政務代碼簽名證書中應為負責人的姓名，或者是所屬單位的 名稱 。 主體命名示例 參 見附錄 D。 DB42/T 452 2008 6 主體替換名稱 政務數(shù)字證書的主體替換名稱擴展項包含一個或多個替換名供實體使用， CA 把該實體與認證的公開密鑰綁定在一起。 主體替換名稱擴展允許把附加身份加到證書的主體上。所定義的選項包括因特網(wǎng)電子郵件地址、DNS 名稱、 IP 地址和統(tǒng)一資源標識符（ URI），及純本地定義的選項。 此項定義如下： a) otherName 是按照 OTHER-Name 信息客體類別實例定義的任一種形式的名稱； b) rfc822Name 是按照 Internet RFC822 定義的 Internet 電子郵件地址，政務個人證書、政務機構證書、政務設備 證書、政務服務器證書、政務應用系統(tǒng)證書、政務代碼簽名證書宜包含電子郵件地址 Email； c) DNSName 是按照 RFC1034 定義的 Internet 域名，政務設備證書、政務服務器證書、政務應用系統(tǒng)證書可包含域名地址； d) x400Address 是按照 GB/T 16284.4-1996 定義的 O/R 地址； e) directoryName 是按照 ISO/IEC 9594-2:2001 定義的目錄名稱； f) ediPartyName 是通信的電子數(shù)據(jù)交換雙方之間商定的形式名稱， nameAssigner 成分標識了分配partyName 中 唯一名稱值的機構； g) uniformResourceIdentifier 是按 Internet RFC1630 定義的用于 WWW 的 UniformResourceIdentifer，RFC1738 中定義的 URL 語法和編碼規(guī)則； h) iPAddress 是按照 Internet RFC791 定義的用二進制串表示的 Internet Protocol 地址； i) registeredID 是按照 GB/T 17969.1-2000 對注冊的客體分配的標識符。 directoryName 的 X.500 DN 應是 C=CN 命名空間下的 X.500 目錄 唯一名字。 主體替換名稱命名示例參見附錄 E。 4.1.8 政務數(shù)字證書編碼示例 政務數(shù)字證書編碼參見 附錄 F。 4.2 認證機構證書格式 4.2.1 概述 認證機構證書為 頒發(fā)給參與電子政務的證書認證機構的數(shù)字證書 。 認證機構證書簡稱電子政務 CA 證書。 認證機構證書由基本證書域、簽名算法域和簽名值域組成。 4.2.2 認證機構證書基本證書域 基本證書域由基本域和擴展域組成。 4.2.3 認證機構證書基本域 認證機構證書基本域應符合附錄 A 的規(guī)定。 4.2.4 認證機構證書擴展域 CA 證書可包含如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 策略映射 PolicyMappings 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName DB42/T 452 2008 7 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 名稱限制 NameConstraints 策略限制 PolicyConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 限制任意策略 InhibitAnyPolicy 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 認證機構 數(shù)字證書擴展域 應符合附錄 B.2 的規(guī)定。 4.2.5 認證機構證書簽名算法域 認證機構證書簽名算法域 應 符合 4.1.3 的規(guī)定。 4.2.6 認證機構證書簽名值域 認證機構證書簽名值域 應 符合 4.1.4 的規(guī)定。 4.2.7 認證機構證書模板 認證機構證書模板應符合附錄 C 的規(guī)定。 4.3 政務個人證書格式 4.3.1 概述 政務個人證書為 頒發(fā)給參與電子政務的個人實體，用來唯一標識個人實體真實身份的數(shù)字證書。 政務個人證書由基本證書域、簽名算法域和簽名值域組成。 4.3.2 政務個人證書基本證書域 基本證書域由基本域和擴展域組成。 4.3.3 政務個人證書基本域 政務個人證書基本域應符合附錄 A 的規(guī)定。 4.3.4 政務個人證書擴展域 政務個人證書擴展域可包含如下擴展項： 機構密鑰標 識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 個人身份證號碼 IdentifyCardNumber 個人社會保險號 InsuranceNumber 主體銀行基本賬號 SubjectBasicAccount 政務 個人 證書擴展域 應符合附錄 B.3 的規(guī)定。 DB42/T 452 2008 8 4.3.5 政務個人證書簽名算法域 政務個人證書簽名算法域應符合 4.1.3 的規(guī)定。 4.3.6 政務個人證書簽名值域 政務個人證書簽名值域應符合 4.1.4 的規(guī)定。 4.3.7 政務個人證書模板 政務個人證書模板應符合附錄 C 的規(guī)定。 4.4 政務機構證書格式 4.4.1 概述 政務機構證書為 頒發(fā)給參與電子政務的機構實體，用來唯一標識機構實體真實身份的數(shù)字證書。 政務機構證書由基本證書域、簽名算法域和簽名值域組成。 4.4.2 政務機構基本證書域 基本證書域由基本域和擴展域組成。 4.4.3 政務機構證書基本域 政務機構證書基本域應符合附錄 A 的規(guī)定。 4.4.4 政務機構證書擴展 域 政務機構證書擴展域可包含如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體 目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 工商注冊號 ICRegistrationNumber 組織機構代碼 OrganizationCode 稅號 TaxationNumber 主體銀行基本賬號 SubjectBasicAccount 政務 機構 證書擴展域 應符合附錄 B.4 的規(guī)定。 4.4.5 政務機構證書簽名算法域 政務機構證書簽名算法域應符合 4.1.3 的規(guī)定。 4.4.6 政務機構證書簽名值域 政務機構證書簽名值域應符合 4.1.4 的規(guī)定。 4.4.7 政務機構證書模板 政務機構證書模板應符合附錄 C 的規(guī)定。 4.5 政務設備證書格式 4.5.1 概述 政務設備證書為 頒發(fā)給參與電子政務的設備實體，用來唯一標識設備實體真實身份的數(shù)字證書。 DB42/T 452 2008 9 政務設備證書由基本證書域、簽名算法域和簽名值域組成。 4.5.2 政務設備基本證書域 基本證書域由基本 域和擴展域組成。 4.5.3 政務設備證書基本域 政務設備證書基本域應符合附錄 A 的規(guī)定。 4.5.4 政務設備證書擴展域 政務設備證書擴展域可包含如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務 設備 證書擴展域 應符合附錄 B.5 的規(guī)定。 4.5.5 政務 設備證書簽名算法域 政務設備證書簽名算法域應符合 4.1.3 的規(guī)定。 4.5.6 政務設備證書簽名值域 政務設備證書簽名值域應符合 4.1.4 的規(guī)定。 4.5.7 政務設備證書模板 政務設備證書模板應符合附錄 C 的規(guī)定。 4.6 政務服務器證書格式 4.6.1 概述 政務服務器證書為頒發(fā)給參與電子政務的各服務器實體，用來唯一標識服務器實體真實身份的數(shù)字證書。 政務服務器證書由基本證書域、簽名算法域和簽名值域組成。 4.6.2 政務服務器基本證書域 基本證書域由基本域和擴展域組成。 4.6.3 政務服務器證書基本域 政務服務器證書基本域應符合附錄 A 的規(guī)定。 4.6.4 政務服務器證書擴展 域 政務服務器證書擴展域可包如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod DB42/T 452 2008 10 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務 服務器 證書擴展域 應符合附錄 B.6 的規(guī)定。 4.6.5 政務服務器證書簽名算法域 政務服務器證書簽名算法域應符合 4.1.3 的規(guī)定。 4.6.6 政務服務器證書簽名值域 政 務服務器證書簽名值域應符合 4.1.4 的規(guī)定。 4.6.7 政務服務器證書模板 政務服務器證書模板應符合附錄 C 的規(guī)定。 4.7 政務應用系統(tǒng)證書格式 4.7.1 概述 政務應用系統(tǒng)證書為頒發(fā)給參與電子政務的各應用系統(tǒng)實體，用來唯一標識應用系統(tǒng)實體真實身份的數(shù)字證書。 政務應用系統(tǒng)證書由基本證書域、簽名算法域和簽名值域組成。 4.7.2 政務應用系統(tǒng)基本證書域 基本證書域由基本域和擴展域組成。 4.7.3 政務應用系統(tǒng)基本證書域 政務應用系統(tǒng)基本證書域應符合附錄 A 的規(guī)定。 4.7.4 政務應用系統(tǒng)證書擴展域 政務應用系統(tǒng)證書擴展域可包如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務 應用系統(tǒng) 證書擴展域 應符合附錄 B.7 的規(guī)定。 4.7.5 政務應用系統(tǒng)證書簽名算法域 政務應用系統(tǒng)證書簽名算法域應符合 4.1.3 的規(guī)定。 DB42/T 452 2008 11 4.7.6 政務應用系統(tǒng)證書簽名值域 政務應用系統(tǒng)證書簽名值域應符合 4.1.4 的規(guī)定。 4.7.7 政務應用系統(tǒng)證書 模板 政務應用系統(tǒng)證書模板應符合附錄 C 的規(guī)定。 4.8 政務代碼簽名證書格式 4.8.1 概述 政務代碼簽名證書為 頒發(fā)給參與電子政務的各類實體，用來對其所開發(fā)的代碼進行代碼簽名的數(shù)字證書。 政務代碼簽名證書由基本證書域、簽名算法域和簽名值域組成。 4.8.2 政務代碼簽名基本證書域 基本證書域由基本域和擴展域組成。 4.8.3 政務代碼簽名證書基本域 政務代碼簽名證書基本域應符合附錄 A 的規(guī)定。 4.8.4 政務代碼簽名證書擴展域 政務代碼簽名證書擴展域可包含如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發(fā)者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發(fā)點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務 代碼簽名 證書擴展域 應符合附錄 B.8 的規(guī)定。 4.8.5 政務代碼簽名證書簽名算法域 政務代碼簽名證書簽名算法域應符合 4.1.3 的規(guī)定。 4.8.6 政務代碼簽名證書簽名值域 政務代碼簽名證書簽名值域應符合 4.1.4 的規(guī)定。 4.8.7 政務代碼簽名證書模板 政務代碼簽名證書模板應符合附錄 C 的規(guī)定。 5 政務數(shù)字證書應用 接口 5.1 政務數(shù)字證書應用 體系結構 政務數(shù)字證書應用 體系結構如圖 3 所示。 政務數(shù)字證書支持多種應用方式，可利用 CA 提供的數(shù)字證書應用程序接口進行定制開發(fā)，實現(xiàn)登錄和身份認證等基本應用，也可 應用已有標準協(xié)議和標準中間件，例如： 1) 安全套接層協(xié)議（ SSL， Security Socket Layer） ， SSL 協(xié)議指定了一種在應用程序協(xié)議（如 HTTP、 Telnet、 NMTP 和 FTP 等）和 TCP/IP 協(xié)議之間提供數(shù)據(jù)安全性分層的機制，它為 TCP/IP 連接DB42/T 452 2008 12 提供數(shù)據(jù)加密、服務器認證、消息完整性以及可選的客戶機認證。 2) 安全 多媒體 Internet郵件擴展協(xié)議（ S/MIME）主要用于保障電子郵件的安全傳輸。例如：微軟的 outlook express中使用該協(xié)議，采用數(shù)字標識、數(shù)字憑證、數(shù)字簽名以及非對稱密鑰系統(tǒng)等技術，構成一種簽名加密的郵件收發(fā)方式。 3) XML 密鑰信息服務規(guī)范（ XKISS） ， XKMS為允許客戶機應用程序認證經(jīng)過加密 /簽名的數(shù)據(jù)提供機制。 身 份 認 證 保 密 性 完 整 性 不 可 否 認 性應 用 程 序數(shù) 字 證 書 應 用 中 間 件應 用 程 序 接 口S / M I M E 協(xié) 議 X K M S 協(xié) 議 S S L 協(xié) 議數(shù) 字 證 書密 碼 設 備 （ 加 密 機 、 密 碼 卡 、 u s b k e y 等 ）應 用 層接 口 層系 統(tǒng) 層 圖 3 政務數(shù)字證書應用 體系結構 5.2 政務數(shù)字證書應用接口組成和功能說明 政務 數(shù)字證書應用接口位于應用系統(tǒng)和 政務數(shù)字證書 之間，應 用程序通過調(diào)用 政務數(shù)字證書 應用接口實現(xiàn)身份認證、實現(xiàn)信息的保密性、完整性和不可否認性； 政務數(shù)字證書 應用接口通過標準接口，在密碼設備中實現(xiàn)具體的密碼運算和密鑰使用。 政務數(shù)字證書 應用接口支持 PKCS#11和 CSP接口方式，提供的消息函數(shù)符合 PKCS#7格式。 政務數(shù)字證書 應用接口由以下部分組成： 初始化函數(shù) 證書函數(shù) 算法服務函數(shù) 原文操作函數(shù) 文件操作函數(shù) 除上述程序接口以外， CA應提供字符串編碼及異常處理等輔助函數(shù)。 5.2.1 初始化函數(shù) 初始化函數(shù)負責創(chuàng)建和管理安全程序空間， 加載 和管理安全程序空間中所需的各種資源，完成與系統(tǒng)、密碼設備的連接準備。 可 通過初始化函數(shù)加載配置文件對 以下內(nèi)容進行設置 ： 應用工作路徑 系統(tǒng)字符集 應用程序字符集 日志文件 系統(tǒng) 可 信任的 證書 DB42/T 452 2008 13 CRL 在具體的應用中可通過直接加載配置文件進行 應用配置， 不必調(diào)用 初始化函數(shù)。 5.2.2 證書函數(shù) 證書函數(shù) 用于 獲取 和驗證政務數(shù)字證書及提取證書信息。 應用程序 可 通過 該類 函數(shù)，實現(xiàn)基于 政務數(shù)字證書的身份認證、 授權管理、訪問控制等安全機制。 應 先獲取相關證書的 CRL或證書的狀態(tài)，然后調(diào)用相關函數(shù)進行證 書驗證， 在確 定證書的有效性后調(diào)用該類函數(shù) 。 5.2.3 算法服務函數(shù) 算法服務函數(shù) 用于 設置簽名和加密算法 。 不 調(diào) 用 該 函數(shù) 將 采用 系統(tǒng) 初始化 時確定的 默認算法。 5.2.4 原文操作函數(shù) 原文操作函數(shù) 對字符串數(shù)據(jù) 進行操作實現(xiàn)以下功能： 數(shù)據(jù)簽名，數(shù)據(jù)加密，驗證簽名數(shù)據(jù)，驗證加密數(shù)據(jù)，獲取簽名信息，獲取加密信息等操作，實現(xiàn)信息的保密性、完整性和不可否認性。 對原文進行操作前，應使用證書函數(shù)對 證書 進行設置 。 5.2.5 文件操作函數(shù) 文件操作函數(shù) 對數(shù)據(jù)文件 進行操作實現(xiàn)以下功能 ：數(shù)據(jù)簽名，數(shù)據(jù)加密，驗證簽名數(shù)據(jù)，驗證加密數(shù)據(jù)，獲取簽名信息，獲取加密信息等操 作，實現(xiàn)文件信息的保密性、完整性和不可否認性。 對 文件 進行操作前， 應使用證書函數(shù)對 證書 進行設置 。 5.3 政務數(shù)字證書應用程序接口函數(shù)定義 5.3.1 初始化函數(shù) 初始化函數(shù) Init，定義如表 1。 表 1 初始化函數(shù) Init 函數(shù)名稱 Init( String str ) 功能 初始化簽名系統(tǒng) 參數(shù)說明 str - 配置文件路徑 返回值 無 5.3.2 證書函數(shù) 證書函數(shù)包括如下函數(shù)： 設置證書函數(shù)： SetCert 證書選擇方式函數(shù)： SetCertChooseType 證書信息函數(shù)： GetCertInfo 證書選擇方 式函數(shù) 證書 選擇方式 函數(shù) SetCertChooseType，定義如表 2。 表 2 證書選擇方式函數(shù) SetCertChooseType 函數(shù)名稱 SetCertChooseType( int nType ) 功能 指定證書選擇的方式 參數(shù)說明 nType - 證書選擇的類型 (0 表示只有一張證書時也彈出證書選擇框 ,1 表示只有一張證書時將不彈出證書選擇框 ,默認值為 0) 返回值 類型為 long 0 表示成功， 0 表示失敗的錯誤碼 設置證書函數(shù) 設置證書函數(shù) SetCert，定義如表 3。 DB42/T 452 2008 14 表 3 設置證書函數(shù) SetCert 函數(shù)名稱 SetCert( String strCertType, String strDN, String strSN, String strEmail, String strDNIssuer, String strCertBase64 ) 功能 通過指定參數(shù)來設置證書 參數(shù)說明 strCertType 證書的類型 (見附錄 G.1) strDN - 證書的主題 (Distinguished Name) strSN - 證書的序列號 (Serial Number) strEmail - 證 書的主題中的 Email 項 strDNIssuer - 證書的頒發(fā)者主題 (Distinguished Name of Issuer) strCertBase64 - 證書的 BASE64 編碼 返回值 成功： 0 失?。?long型錯誤代碼 證書信息函數(shù) 證書 信息 函數(shù) GetCertInfo，定義如表 4。 表 4 證書信息函數(shù) GetCertInfo 函數(shù)名稱 GetCertInfo( String strCertType, int nInfoType, String strOID ) 功能 獲得證書 中的相應信息 參數(shù)說明 strCertType - 證書的類型 ,見附錄 G.1 nInfoType - 證書信息的類型 , 見附錄 G.2 strOID - 證書擴展標識，如果 type等于證書擴展， strOID輸入項不可為空 返回值 成功：返回字符型證書信息 失?。悍祷?null 5.3.3 算法服務函數(shù) 算法服務 函數(shù) SetAlgorithm，定義如表 5。 表 5 算法服務函數(shù) SetAlgorithm 函數(shù)名稱 SetAlgorithm( String strSignType, String strEncType ) 功 能 設置簽名算法、加密算法 參數(shù)說明 strSignType - 簽名算法類型 strEncType - 加密算法類型 返回值 成功：返回 0 失?。悍祷劐e誤代碼 DB42/T 452 2008 15 5.3.4 原文操作函數(shù) 原文操作函數(shù)包括如下函數(shù)： 簽名函數(shù) 驗證簽名函數(shù) 加密函數(shù) 解密函數(shù) 添加原文函數(shù) 獲得原文函數(shù) 簽名函數(shù) 簽名函數(shù)有如下兩種： a) 帶原文的簽名函數(shù) AttachSign，定義如表 6； 表 6 帶原文函數(shù) AttachSign 函數(shù)名稱 AttachSign( String strDN, byte bOrgData ) 功能 制作一個包含原文的數(shù)字簽名 參數(shù)說明 strDN - 指定證書的主題 bOrgData byte型原文數(shù)據(jù) 返回值 成功：返回一個 P7 格式的 Base64 編碼簽名 失?。悍祷?null b) 不帶原文的簽名函數(shù) DetachSign，定義如表 7。 表 7 不帶原文函數(shù) DetachSign 函數(shù)名稱 DetachSign( String strDN, byte bOrgData ) 功能 制作一個不包含原文的數(shù)字簽名 參數(shù)說明 strDN - 指定證書 的主題 bOrgData byte原文數(shù)據(jù) 返回值 成功：返回一個 P7格式的 Base64編碼簽名 失?。悍祷?null 驗證簽名函數(shù) 驗證簽名函數(shù)有如下兩種： a) 帶原文簽名的驗證函數(shù) VerifyAttachedSign，定義如表 8； 表 8 驗證函數(shù) VerifyAttachedSign 函數(shù)名稱 VerifyAttachedSign( byte bAtchSignedData ) 功能 對 Attached做的數(shù)字簽名做驗證 參數(shù)說明 bAtchSignedData - Attached簽名 結果（ Base64編碼格式） 返回值 成功：返回 0 失?。悍祷劐e誤代碼 b) 不帶原文簽名的驗證函數(shù) VerifyDetachedSign，定義如表 。 DB42/T 452 2008 16 表 9 驗證函數(shù) VerifyDetachedSign 函數(shù)名稱 VerifyDetachedSign( byte bDtchSignedData, byte bOrgData ) 功能 Detached函數(shù)做的數(shù)字簽名做驗證 參數(shù)說明 bDtchSignedData Detached簽名結果（ Base64編碼格式） bOrgData byte原文數(shù)據(jù) 返回值 成功：返回 0 失?。悍祷劐e誤碼 加密函數(shù) 加密函數(shù)有如下兩種： a) 數(shù)字信封函數(shù) EncryptEnvelop，定義如表 10； 表 10 數(shù)字信封函數(shù) EncryptEnvelop 函數(shù)名稱 EncryptEnvelop( String strDN, byte bOrgData ) 功能 制作數(shù)字信封 參數(shù)說明 strDN 接收者的證書主題 bOrgData byte原文數(shù)組 返回值 成功：返回 P7格式 Base64編碼數(shù)字信封 失?。悍祷?null b) 帶簽名的數(shù)字信封函數(shù) CreateSignedEnvelop，定義如表 11。 表 11 帶簽名數(shù)字信封函數(shù) CreateSignedEnvelop 函數(shù)名稱 CreateSignedEnvelop ( String strDNSignCert, String strDNEncCert, ArrayList alOrgData ) 功能 指定原文、加密證書和簽名證書制作帶簽名的數(shù)字信封 參數(shù)說明 strDNSignCert - 簽名證書的主題 strDNEncCert - 加密證書的主題 alOrgData byte原文數(shù)組 返回值 成功：返回 P7格式 Base64編碼帶簽名數(shù)字信封 失?。悍祷?null 解密函數(shù) 解密函數(shù)有如下兩種： a) 解密數(shù)字信封函數(shù) DecryptEnvelop，定義如表 12； DB42/T 452 2008 17 表 12 解密數(shù)字信封函數(shù) DecryptEnvelop 函數(shù)名稱 DecryptEnvelop( byte bEnvelop ) 功能 解密 EncryptEnvelop函數(shù)制作的數(shù)字信封 參數(shù)說明 bEnvelop - byte型數(shù)字信封 返回值 成功：返回 0 失?。悍祷劐e誤碼 b) 解密帶數(shù)字簽名的數(shù)字信封函數(shù) VerifySignedEnvelop，定義如表 13。 表 13 解密帶簽名數(shù)字信封函數(shù) VerifySignedEnvelop 函數(shù)名稱 VerifySignedEnvelop( byte bEnvelop ) 功能 解密并驗證 CreateSignedEnvelop函數(shù)制作的 帶簽名的數(shù)字信封 參數(shù)說明 bEnvelop - 數(shù)字信封 返回值 成功：返回 0 失?。悍祷劐e誤碼 添加原文函數(shù) 添加原文的函數(shù) AddData， 定義如表 14。 表 14 添加原文函數(shù) AddData 函數(shù)名 稱 AddData( byte bOrgData ) 功能 添加多個原文數(shù)據(jù) 參數(shù)說明 bOrgData - 原文數(shù)據(jù) 返回值 成功：返回 0 失?。悍祷劐e誤代碼 獲得原文函數(shù) 獲得原文的函數(shù) GetData， 定義如表 15。 表 15 獲得原文函數(shù) GetData 函數(shù)名稱 GetData() 功能 從對象中獲得原文 參數(shù)說明 無 返回值 如果存儲對象中有原文，返回原文 如果存儲對象中無原文，返回 null 5.3.5 文件操作函數(shù) 文件操作函數(shù)包括如下函數(shù)： 簽名函數(shù) 驗證簽名函數(shù) 加密函 數(shù) 解密函數(shù) 添加原文函數(shù) 獲得原文函數(shù) 簽名函數(shù) 簽名函數(shù)有如下兩種： a) 帶原文件的簽名函數(shù) AttachSign，定義如表 16； DB42/T 452 2008 18 表 16 帶原文件簽名函數(shù) AttachSign 函數(shù)名稱 AttachSign( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作一個包含原文件的數(shù)字簽名 參數(shù)說明 strDN - 指定證書的主題 strFileNameIn 原文文件名 strFileNameOut 簽名 輸出結果保存的文件名 ,字 符型 返回值 strFileNameOut=null 返回一個 P7格式的 Base64編碼簽名 strFileNameOut!=null 返回 b) 不帶原文件的簽名函數(shù) DetachSign，定義如表 17。 表 17 不帶原文件簽名函數(shù) DetachSign 函數(shù)名稱 DetachSign( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作一個不包含原文件的數(shù)字簽名 參數(shù)說明 strDN - 簽名證書的 DN strFileNameIn - 文件名 strFileNameOut 簽名輸出結果保存的文件名 ,字符型 返回值 成功 : strFileNameOut=null 返回一個 P7格式的 Base64編碼簽名 strFileNameOut!=null 返回 失敗：返回 null 驗證簽名函數(shù) 驗證簽名函數(shù)有如下兩種 : a) 帶原文件簽名的驗證函數(shù) VerifyAttachedSign，定義如表 18； 表 18 帶原文件簽名驗證函數(shù) VerifyAttachedSign 函數(shù)名稱 VerifyAttachedSign( String strFileNameAttached ) 功能 通過接口參數(shù)傳入文件信息，對文件的 Attached函數(shù)的數(shù)字簽名做驗證 參數(shù)說明 strFileNameAttached - 存放 Attached簽名結果的文件名 返回值 成功：返回 0 失?。悍祷劐e誤代碼 b) 不帶原文件簽名的驗證函數(shù) VerifyDetachedSign，定義如表 19。 DB42/T 452 2008 19 表 19 不帶原文件簽名驗證函數(shù) VerifyDetachedSign 函數(shù)名稱 VerifyDetachedSign( String strFileNameIn, byte bDetachedData, String strFileNameDetached ) 功能 通過接口參數(shù)傳入文件信息，對文件的 Detached函數(shù)的數(shù)字簽名做驗證 參數(shù)說明 strFileNameIn Detached 驗簽名時用到的原文文件名 bDetachedData byte 型簽名結果（ Base64編碼格式） strFileNameDetached - 存放 detached簽名結果的文件名 返回值 成 功：返回 0 失?。悍祷劐e誤碼 加密函數(shù) 對文件的加密函數(shù)有如下兩種： a) 數(shù)字信封函數(shù) EncryptEnvelop，定義如表 20； 表 20 數(shù)字信封函數(shù) EncryptEnvelop 函數(shù)名稱 EncryptEnvelop( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作數(shù)字信封 參數(shù)說明 strDN 接收者的證書主題 strFileNameIn - 需要做數(shù)字信封的文件名稱數(shù)組 strFileNameOut - 數(shù)字信封結果輸出的全路徑文件名稱 返回值 成功： strFileNameOut=null 返回一個 P7格式的 Base64編碼數(shù)字信封 strFileNameOut!=null 返回 失敗：返回 null b) 帶簽名的數(shù)字信封函數(shù) CreateSignedEnvelop，定義如表 21。 表 21 帶簽名數(shù)字信封函數(shù) CreateSignedEnvelop 函數(shù)名稱 CreateSignedEnvelop ( String strDNSignCert, String strDNEncCert, String strFileNameIn, String strFileNameOut ) 功能 指定文件、加密證書和簽名證書制作帶簽名的數(shù)字信封 參數(shù)說明 strDNSignCert - 簽名證書的主題 strDNEncCert - 加密證書的主題 strFileNameIn - 需要做操作的文件名稱 strFileNameOut - 操作結果輸出的文件名稱 返回值 成功：返回 P7格式 Base64編碼帶簽名數(shù)字信封 失敗：返回 null DB42/T 452 2008 20 解密函數(shù) 解密函數(shù)有如下兩種： a) 解密數(shù)字信 封函數(shù) DecryptEnvelop，定義如表 22； 表 22 解密數(shù)字信封函數(shù) DecryptEnvelop 函數(shù)名稱 DecryptEnvelop（ String strFileNameIn ) 功能 解密 EncryptEnvelop函數(shù)制作的數(shù)字信封 參數(shù)說明 strFileNameIn 存放數(shù)字信封結果的文件名 返回值 成功：返回 0 失?。悍祷劐e誤碼 b) 解密帶數(shù)字簽名的數(shù)字信封函數(shù) VerifySignedEnvelop，定義如表 23。 表 23 解密帶數(shù)字簽名數(shù)字信封函數(shù) VerifySignedEnvelop 函數(shù)名稱 VerifySignedEnvelop( String strFileNameIn ) 功能 解密并驗證 CreateSignedEnvelop函數(shù)制作的 帶簽名的數(shù)字信封 參數(shù)說明 strFileNameIn - 存放數(shù)字信封結果的文件名 返回值 成功：返回 0 失?。悍祷劐e誤碼 添加原文件函數(shù) 添加原文件函數(shù) AddFile， 定義如表 24。 表 24 添加原文件函數(shù) AddFile 函數(shù)名稱 AddFile( String strFileName ) 功能 添加多個原文文件 參數(shù)說明 strFileName - 原文文件名 返回值 成功：返回 0 失敗：返回錯誤代碼 獲得原文件函數(shù) 獲得原文件函數(shù) GetFile， 定義如表 25。 表 25 獲得原文件函數(shù) GetFile 函數(shù)名稱 GetFile( String strFilePath ) 功能 從對象中獲得原文文件 參數(shù)說明 strFilePath 結果文件存放的路徑 返回值 如果存儲對象中有文件名，返回文件名 如果存儲對象中無文件名，返回 錯誤返回 null 6 政務數(shù)字證書業(yè)務規(guī)則 6.1 政務數(shù)字證書簽發(fā) 6.1.1 證書簽發(fā)中 RA 和 CA 的行為 RA 業(yè)務管理員使用證書登錄到 RA系統(tǒng)的業(yè)務終端，查詢并審核系統(tǒng)的申請記錄。審核 通過 的信息將發(fā)送到證書認證機構的 CA 系統(tǒng)， CA系統(tǒng)簽發(fā)證書并返回給 RA系統(tǒng)供終端實體下載。 政務數(shù)字證書注冊機構 （ RA） 和受理點 建設參見附錄 I。 6.1.2 密鑰對的安全技術控制 CA 公鑰 的發(fā)送 證書認證機構的根 CA 公鑰， 通過如下方式傳輸給依賴方： a) 依賴方訪問證書認證機構的網(wǎng)站下載 CA 根證書； DB42/T 452 2008 21 b) 證書認證機構到依賴方業(yè)務系統(tǒng)現(xiàn)場將 CA 根證書安裝到業(yè)務系統(tǒng)中； c) 證書認證機構通過簽名電子郵件將 CA 根證書傳輸給依賴方； d) 證書認證機構將 CA 根證書綁定在分發(fā)給 依賴方的軟件中。 終端實體 密鑰對的產(chǎn)生和發(fā)送 對于 政務 個人 證書、 機構證書 和代碼簽名證書 ， 終端實體 的簽名密鑰應使用 USB Key 產(chǎn)生；對于政務 設備證書、服務器證書和應用系統(tǒng)證書， 終端實體 可利用 設備或 服務 器自帶 程序軟件提供的密鑰生成功能產(chǎn)生密鑰對 ，也可采用專門硬件 模塊產(chǎn)生密鑰對。 終端實體 的加密密鑰對應由國家密碼管理部門許可的、證書認證機構簽發(fā)系統(tǒng)支持的加密機設備產(chǎn)生，由 KMC 管理。 終端實體 的加密私鑰只保存在 KMC 和 終端實體 介質(zhì)。在加密私鑰從 KMC 到 終端實體 的傳遞過程中應采用國家密碼管理部門許可的算法加密。 終端實體 的簽名證書公鑰通過安全通道經(jīng) RA 傳遞到 CA。 終端實體 的加密證書公鑰，由 KMC 通過安全通道傳遞到 CA。 終端實體 的公鑰在從 RA到 CA 以及從 KMC 到 CA傳遞過程中，應采用國際密碼管理部門許可的通訊協(xié)議及密 碼 算法。 密鑰對使用期限 密鑰對的使用期限和其對應的終端實體證書的有效期 一致。 6.1.3 政務數(shù)字證書發(fā)布 證書認證機構在證書簽發(fā)完成后，將數(shù)字證書發(fā)布到 服務器中 供 終端實體 和依賴方查詢和下載。 6.2 政務數(shù)字證書使用 6.2.1 政務數(shù)字證書使用范圍 在湖北省電子政務 中涉及到身份認證 、 數(shù)據(jù)傳輸 、 安全郵件 、 數(shù)據(jù)交換 活動，通過本標準 的應用接口與相關技術協(xié)議支持數(shù)字證書。 在湖北省電子政務 中 ， 涉及到各級政務門戶的身份認證和登錄應支持數(shù)字證書 。 在湖北省電子政務 中 ， 涉及到跨部門或跨市州的應用系統(tǒng)應使用數(shù)字證書。 在湖北省電子政務 中 ， 涉及到部門內(nèi)部和市州內(nèi)部系統(tǒng)宜使用數(shù)字證書。 6.2.2 依賴方的證書使用 依賴方接收到經(jīng)數(shù)字簽名的信息后： a) 獲得數(shù)字簽名對應的證書及信任鏈； b) 確認該簽名對應的證書是依賴方信任的證書； c) 檢查 證書的有效期，確認該證書在有效期內(nèi)； d) 查詢證書狀態(tài)，確認該證書沒有被注銷； e) 證書的用途適用于對應的 功能 ； f) 使用證書上的公鑰驗證簽名。 以上任一環(huán)節(jié)失敗，依賴方 拒絕接受簽名信息。 依賴方需發(fā)送加密信息給接受方時，應先獲取接受方的加密證書，并使用證書公鑰對信息加密，將加密證書連同加密信息一起發(fā)送給接受方。 6.2.3 政務數(shù)字證書一證多用 政務數(shù)字證書支持在不改變證書信息的前提下，支持在省電子政務各應用系統(tǒng)中的通用。 政務數(shù)字證書各參與實體 ，在設計、開發(fā)和使用政務數(shù)字證書的過程中，應實現(xiàn)政務數(shù)字證書的一證多用。 6.3 政務數(shù)字證書維護 電子政務證書認證機構實現(xiàn)對政務數(shù)字證書的更新、變更、吊銷與掛起。 DB42/T 452 2008 22 6.4 政務數(shù)字證書載體 對于 政務設備證書、服務器證書和應用系統(tǒng)證 書，載體為設備 硬盤或加密硬件設備。 對于政務個人證書、機構證書和代碼簽名證書，載體 為 USB Key，功能 包括： a）提供數(shù)據(jù)、私鑰和算法安全存貯功能，私鑰不可復制，對外不可讀， 具備多密鑰存儲功能； b）采用國家密碼管理部門 批準的硬件物理噪音源生成隨機數(shù)； c）支持 PKCS#11、 X.509 V3 證書存儲 及 Microsoft CrptoAPI 應用接口 標準； d） USB Key 的設備驅(qū)動程序 附有主流操作系統(tǒng)的 硬件設備認證簽名； e）提供 PIN 口令保護機制； f） 密鑰 在 USB Key 硬件內(nèi)部生成； g）具有 LED 用于電源指示和通訊指示。 6.5 政務數(shù)字證書實體查詢 證書認證機構通過以下方式提供政務數(shù)字證書的實體查詢 ： a) 在其網(wǎng)站提供證書實體查詢及公鑰證書下載服務； b) 發(fā)布 CRL 提供證書狀態(tài)查詢服務； c) 根據(jù)依賴方應用系統(tǒng)實時性和并發(fā)量需求協(xié)商提供在線證書查詢（ OCSP）服務或目錄服務器（ LDAP）查詢服務。 DB42/T 452 2008 23 附 錄 A （規(guī)范性附錄） 基本域說明 A.1 版本（ Version ） 本項描述了編碼證書的版本號。規(guī)定政務數(shù)字證書應使用版本 3（對應的值是整數(shù) 2）。 A.2 序列號（ SerialNumber ） 本項是 CA 分配給每個證書的一個正整數(shù)。一 個 CA 頒發(fā)的每張證書的序列號必須是唯一的， CA必須保證序列號是非負整數(shù)。序列號可以是長整數(shù)，證書用戶必須能夠處理長達 20 個 8bit 字節(jié)的序列號值， CA 必須確保不使用大于 20 個 8 比特字節(jié)的序列號。 A.3 簽名算法 （ SignatureAlgorithm ） 本項包含 CA 簽發(fā)該證書所使用的密碼算法的標識符，這個算法標識符必須與證書中簽名算法域中的算法標識符相同?？蛇x參數(shù)的內(nèi)容完全依賴所標識的具體算法。 A.4 頒發(fā)者 （ Issuer ） 本項標識了證書簽名和證書頒發(fā)的實體。它必須包含一個非空的可辨別名。該項被定義為 Name 類型。 頒發(fā)者可辨別名的 C（ Country）屬性的編碼使用 PrintableString、 Email 屬性的編碼使用 IA5String，其它屬性的編碼一律使用 UTF8String。 A.5 有效期 （ Validity ） 本項是一個時間段。在這個時間段內(nèi)， CA 擔保它將維護關于證書狀態(tài)的信息。該項被表示成一個具有兩個時間值的 SEQUENCE 類型數(shù)據(jù)：證書有效期的起始時間（ notBefore）和證書有效期的終止時間（ notAfter）。 NotBefore 和 NotAfter 這兩個時間都可以作為 UTCTime 類型或者 GeneralizedTime 類型進行編碼。 遵循本標準的 CA 在 2049 年之前必須將該時間編碼為 UTCTime 類型，在 2050 年之后編碼為GeneralizedTime 類型。 A.6 主體（ Subject ） 本項描述了與主體公鑰項中的公鑰相對應的實體。該項不能為空。終端實體數(shù)字證書主體的內(nèi)容和編碼方式見 A.4。 A.7 主體公鑰信息（ SubjectPublicKeyInfo） 本項用來標識公鑰和相應的公鑰算法。 A.8 頒發(fā)者唯一標識符（ IssuerUniqueID） 本項主要用來處理頒發(fā)者名稱重用問題。本標準建議不同 的實體名稱不要重用， Internet 網(wǎng)的證書不要使用唯一標識符。遵循本標準的證書簽發(fā)機構不應生成帶有頒發(fā)者唯一標識符的證書，但是在應用過程中應該能夠解析這個項并進行對比。 A.9 主體唯一標識符（ SubjectUniqueID） 本項主要用來處理主體名稱重用問題。本標準建議不同的實體名稱不要重用，并且不建議使用此項，遵循本標準的證書簽發(fā)機構不應生成帶有主體唯一標識符的證書，但是在應用過程中應該能夠解析唯一標識并進行對比。 DB42/T 452 2008 24 附 錄 B （規(guī)范性附錄） 擴展域說明 B.1 政務數(shù)字證書通用格式擴展域說明 B.1.1 機構密鑰標識符 本項標識用來 驗證在證書或 CRL 上簽名的公開密鑰。 CA 自簽證書形式發(fā)放其公鑰時，可以省略認證機構密鑰標識符。此時，主體和認證機構密鑰標識符是完全相同的。除些之外，所有證書應具有機構密鑰標識符擴展項。 政務數(shù)字證書的機構密鑰標識符應使用 keyIdentifier 的形式，從 CA對應數(shù)字證書中的 BIT STRING subjectPublicKey 的 160 比特散列值（不包括標簽、長度和不使用的字節(jié)數(shù)目）生成。 該擴展項應為非關鍵擴展項。 B.1.2 主體密鑰標識符 本項提供一種識別包含有一個特定公鑰的證書的方法。此擴展標識了被認 證的公開密鑰。 所有證書應具有主體密鑰標識符擴展項。 政務數(shù)字證書的主體密鑰標識符應從該數(shù)字證書中的 BIT STRING subjectPublicKey 的 160 比特散列值（不包括標簽、長度和不使用的字節(jié)數(shù)目）生成。 該擴展項應為非關鍵擴展項。 B.1.3 密鑰用法 本項說明已認證的公開密鑰用于何種用途。 所有證書應具有密鑰用法擴展項。 該擴展項應為非關鍵擴展項。 政務數(shù)字證書支持雙證書體制， CA 通過密鑰用法擴展項區(qū)分加密和簽名的密鑰，加密證書僅用于加密，簽名證書僅用于簽名。 B.1.4 擴展密鑰用途 本項指明已 驗證的公開密鑰可以用于一種用途或多種用途，它們可作為對密鑰用法擴展項中指明的基本用途的補充或替代。 政務數(shù)字證書可使用擴展密鑰用途擴展項。該擴展項應為非關鍵擴展項。 B.1.5 私有密鑰使用期 本項指明與已驗證的公開密鑰相對應的私有密鑰的使用期限。該項只能用于數(shù)字簽名密鑰。 政務簽名證書可使用私有密鑰使用期擴展項。該擴展項應為非關鍵擴展項。 B.1.6 證書策略 本項列出了由頒發(fā)的 CA 所認可的證書策略。 在 CA 證書中，證書策略擴展項表示了通過該 CA 證書的認證路徑中允許的證書策略。 在終端實體證書中，證書策略擴展項表示 了該終端實體證書頒發(fā)過程中所使用的證書策略。 政務數(shù)字證書中可使用證書策略擴展項。該擴展項應為非關鍵擴展項。 B.1.7 策略映射 本項只用于 CA 證書。它列出一個或多個 OID 對，每對包括一個 issuerDomainPolicy 和一個subjectDomainPolicy。這種成對形式表明，頒發(fā)者 CA 認為其 issuerDomainPolicy 與主體 CA 的subjectDomainPolicy 是等效的。頒發(fā)者 CA 的用戶可以為某應用接收一個 issuerDomainPolicy。策略映射告知頒發(fā)者 CA 的用戶，哪些同 CA 有 關的策略可以與它們接收到的策略是等效的。 政務 CA 證書中可使用策略限制擴展項。該擴展項應為非關鍵擴展項。 DB42/T 452 2008 25 B.1.8 主體替換名稱 本項包含一個或多個可選替換名（可使用多種名稱形式中的任一個）供實體使用。 主體替換名稱擴展允許把附加身份加到證書的主體上。主體替換名稱擴展項的名稱形式包括：電子郵件地址、 DNS 名稱、 IP 地址和統(tǒng)一資源標識符（ URI），還有一些純本地定義的選項。可以包括多種名稱形式和每個名稱形式的多個范例。主體替換名稱擴展項中的所有信息必須經(jīng)過 CA 驗證。 政務數(shù)字證書中可使用主體可選替換名稱擴展項 。主體替換名稱內(nèi)容和編碼方式見 4.5。 該擴展項應為非關鍵擴展項。 B.1.9 頒發(fā)者替換名稱 本項包含一個或多個替換名（可使用多種名稱形式中的任一個）。 頒發(fā)者替換名稱擴展項中包含證書頒發(fā)者的附加信息。頒發(fā)者替換名稱必須按 B.1.8 的說明進行編碼。 政務數(shù)字證書中可使用頒發(fā)者替換名稱擴展項。該擴展項應為非關鍵擴展項。 B.1.10 主體目錄屬性 本項為證書主體傳送其期望的任何目錄屬性值。 政務數(shù)字證書中不宜使用主體目錄屬性擴展項。該擴展項應為非關鍵擴展項。 B.1.11 基本限制 本項用于標識證書的主體是否是一個 CA、通過該 CA 可能存在的認證路徑的最大長度。 政務終端實體證書可使用基本限制擴展項。在政務終端實體證書中應為非關鍵擴展項。 政務 CA 證書應使用基本限制擴展項。在政務 CA 證書中應為非關鍵擴展項。 B.1.12 名稱限制 本項僅用于 CA 證書，它指示了一個名稱空間，在此空間設置了認證路徑可以在后續(xù)證書的主體名稱中被找到。 政務 CA 證書中可使用名稱限制擴展項。該擴展項應為非關鍵擴展項。 B.1.13 策略限制 本項用于 CA 頒發(fā)的證書中，提供了 CA 對于認證路徑的附加要求。該擴展項可用于禁止策略映射或要求認證路徑中的每個證書包含一個認可的證書策略 OID。 策略限制擴展項只用于 CA 證書。 政務 CA 證書中可使用策略限制擴展項。該擴展項應為非關鍵擴展項 B.1.14 證書撤銷列表分發(fā)點 本項用來標識如何獲得證書相應的 CRL 信息，本擴展僅作為證書擴展使用。 政務數(shù)字證書中應具有證書撤銷列表分發(fā)點擴展項。該擴展項應為非關鍵擴展項。 B.1.15 限制所有策略 本項指定了一個限制，它指出了任何策略，對于從指定 CA 開始的認證路徑中的所有證書的證書策略，都不是顯式匹配。 限制所有策略擴展項只用于 CA 證書。 政務 CA 證書中可使用名稱限制擴展項。該擴展項應為非關鍵擴展項。 B.1.16 最新證書撤銷列表 本項一般作為證書擴展使用，或在發(fā)給認證機構和用戶的證書中使用。該項標識了 CRL，對 CRL來說證書用戶應包含最新的撤銷信息（例如：最新的增量 CRL）。 政務數(shù)字證書中可使用最新證書撤銷列表擴展項。該擴展項應為非關鍵擴展項。 B.1.17 機構信息訪問 本項描述了包含該擴展的證書的簽發(fā)者如何訪問 CA 的信息以及服務。包括在線驗證服務和 CA 策略數(shù)據(jù)。 政務數(shù)字證書中不宜使用機構信息訪問擴展項。該擴展項應為非關鍵擴展項。 B.1.18 主體信息訪問 DB42/T 452 2008 26 本項描述了證書主體如何訪問信息以及服務。如果主體是 CA，則包括證書驗證服務和 CA策略數(shù)據(jù)， 如果主體是用戶，則描述了提供的服務的類型以及如何訪問它們。 政務數(shù)字證書中不宜使用主體信息訪問擴展項。該擴展項應為非關鍵擴展項。 B.1.19 個人身份標識碼 個人身份標識碼擴展項用于表示個人身份證件的號碼，此擴展項標記為非關鍵的。 B.1.20 個人社會保險號 個人社會保險號擴展項用于表示個人社會保險號碼，此擴展項標記為非關鍵的。 B.1.21 工商注冊號 工商注冊號擴展項用于表示工商注冊號碼，此擴展項標記為非關鍵的。 B.1.22 稅號 稅號擴展項用于表示稅號碼，此擴展項標記為非關鍵的。 B.1.23 主體銀行基本賬號 主體銀行基本 賬號擴展項用于表示主體的基本銀行賬號信息，此擴展項標記為非關鍵的。 B.2 認證機構證書格式擴展域說明 B.2.1 機構密鑰標識符 認證機構證書機構密鑰標識符應符合附錄 B.1.1 的規(guī)定。 B.2.2 主體密鑰標識符 認證機構證書主體密鑰標識符應符合附錄 B.1.2 的規(guī)定。 B.2.3 密鑰用法 認證機構證書密鑰用法應符合 附錄 B.1.3 的規(guī)定 。 B.2.4 擴展密鑰用途 認證機構證書擴展密鑰用途應符合附錄 B.1.4 的規(guī)定。 B.2.5 私有密鑰使用期 認證機構證書私有密鑰使用期應符合附錄 B.1.5 的規(guī)定。 B.2.6 證書策略 認證機構證書證書策略應符合附錄 B.1.6 的規(guī)定。 B.2.7 策略映射 認 證機構證書策略映射應符合附錄 B.1.7 的規(guī)定。 B.2.8 主體替換名稱 認證機構證書主體替換名稱應符合附錄 B.1.8 的規(guī)定。 B.2.9 頒發(fā)者替換名稱 認證機構證書頒發(fā)者替換名稱應符合附錄 B.1.9 的規(guī)定。 B.2.10 主體目錄屬性 認證機構證書主體目錄屬性應符合附錄 B.1.10 的規(guī)定。 B.2.11 基本限制 認證機構證書基本限制應符合附錄 B.1.11 的規(guī)定。 B.2.12 名稱限制 認證機構證書名稱限制應符合附錄 B.1.12 的規(guī)定。 B.2.13 策略限制 認證機構證書策略限制應符合附錄 B.1.13 的規(guī)定。 B.2.14 證書撤銷列表分發(fā)點 認證機構證書證書撤銷列表分發(fā)點應符合附錄 B.1.14 的規(guī)定。 B.2.15 限制所有策略 DB42/T 452 2008 27 認證機構證書限制所有策略應符合附錄 B.1.15 的規(guī)定。 B.2.16 最新證書撤銷列表 認證機構證書最新證書撤銷列表應符合附錄 B.1.16 的規(guī)定。 B.2.17 機構信息訪問 認證機構證書機構信息訪問應符合附錄 B.1.17 的規(guī)定。 B.2.18 主體信息訪問 認證機構證書主體信息訪問應符合附錄 B.1.18 的規(guī)定。 B.3 政務個人證書格式擴展域說明 B.3.1 機構密鑰標識符 政務個人證書機構密鑰標識符應符合附錄 B.1.1 的規(guī)定。 B.3.2 主體密鑰標識符 政務個人證書主體密鑰標識符應符合附錄 B.1.2 的規(guī)定。 B.3.3 密鑰用法 政務個人證書中應具有密 鑰用法擴展項，區(qū)分簽名證書和加密證書，支持雙證書體系。 政務個人簽名證書的密鑰用法擴展項的設置見 附錄 C 表 2。 政務個人加密證書的密鑰用法擴展項的設置見 附錄 C 表 2。 該擴展項應為非關鍵擴展項。 B.3.4 擴展密鑰用途 政務個人證書擴展密鑰用途應符合附錄 B.1.4 的規(guī)定。 B.3.5 私有密鑰使用期 政務個人證書私有密鑰使用期應符合附錄 B.1.5 的規(guī)定。 B.3.6 證書策略 政務個人證書證書策略應符合附錄 B.1.6 的規(guī)定。 B.3.7 主體替換名稱 政務個人證書主體替換名稱應符合附錄 B.1.8 的規(guī)定。 B.3.8 頒發(fā)者替換名稱 政務個人證書頒發(fā)者 替換名稱應符合附錄 B.1.9 的規(guī)定。 B.3.9 主體目錄屬性 政務個人證書主體目錄屬性應符合附錄 B.1.10 的規(guī)定。 B.3.10 基本限制 政務個人證書基本限制應符合附錄 B.1.11 的規(guī)定。 B.3.11 證書撤銷列表分發(fā)點 政務個人證書證書撤銷列表分發(fā)點應符合附錄 B.114 的規(guī)定。 B.3.12 最新證書撤銷列表 政務個人證書最新證書撤銷列表應符合附錄 B.1.16 的規(guī)定。 B.3.13 機構信息訪問 政務個人證書機構信息訪問應符合附錄 B.1.17 的規(guī)定。 B.3.14 主體信息訪問 政務個人證書主體信息訪問應符合附錄 B.1.18 的規(guī)定。 B.3.15 個人身份證號碼 包含證書主體的 身份證號碼。其定義如下： id-cce-identifyCode OBJECT IDENTIFIER := 1 2 86 11 7 1 IdentifyCode :=SET DB42/T 452 2008 28 residenterCardNumber 0 PRINTABLESTRING OPTIONAL, militaryOfficerCardNumber 1 UTF8STRING OPTIONAL, passportNumber 2 PRINTABLESTRING OPTIONAL, . 政務個人證書應使用個人身份證號碼擴展項。 該擴展項應為非關鍵擴展項。 B.3.16 個人社會保險號 用于表示證書主體的個人社會保險號碼，其定義如下： id-cce-insuranceNumber OBJECT IDENTIFIER := 1 2 86 11 7 2 InsuranceNumber:= PRINTABLESTRING 政務個人證書可使用個人社會保險號擴展項。 該擴展項應為非關鍵擴展項。 B.3.17 主體銀行基本帳號 表示證書主體的銀行基本 帳號信息，其定義如下： id-cce-subjectBasicAccount OBJECT IDENTIFIER := 1 2 86 11 7 7 SubjectBasicAccount := UTF8STRING 政務個人證書可使用主體銀行基本帳號擴展項，表示證書主體的個人銀行基本帳號。 該擴展項應為非關鍵擴展項。 B.4 政務機構證書格式擴展域說明 B.4.1 機構密鑰標識符 政務機構證書機構密鑰標識符應符合附錄 B.1.1 的規(guī)定。 B.4.2 主體密鑰標識符 政務機構證書主體密鑰標識符應符合附錄 B.1.2 的規(guī)定 。 B.4.3 密鑰用法 政務機構證書中應具有密鑰用法擴展項，區(qū)分簽名證書和加密證書，支持雙證書體系。 政務機構簽名證書的密鑰用法擴展項的設置見 附錄 C 表 2。 政務機構加密證書的密鑰用法擴展項的設置見 附錄 C 表 2。 該擴展項應為關鍵擴展項。 B.4.4 擴展密鑰用途 政務機構證書擴展密鑰用途應符合附錄 B.1.4 的規(guī)定。 B.4.5 私有密鑰使用期 政務機構證書私有密鑰使用期應符合附錄 B.1.5 的規(guī)定。 B.4.6 證書策略 政務機構證書證書策略應符合附錄 B.1.6 的規(guī)定。 B.4.7 主體替換名稱 政務機構證書主體替換名稱應符合附錄 B.1.8 的規(guī)定。 B.4.8 頒發(fā)者替 換名稱 政務機構證書頒發(fā)者替換名稱應符合附錄 B.1.9 的規(guī)定。 B.4.9 主體目錄屬性 政務機構證書主體目錄屬性應符合附錄 B.1.10 的規(guī)定。 B.4.10 基本限制 政務機構證書基本限制應符合附錄 B.1.11 的規(guī)定。 DB42/T 452 2008 29 B.4.11 證書撤銷列表分發(fā)點 政務機構證書證書撤銷列表分發(fā)點應符合附錄 B.1.14 的規(guī)定。 B.4.12 最新證書撤銷列表 政務機構證書最新證書撤銷列表應符合附錄 B.1.16 的規(guī)定。 B.4.13 機構信息訪問 政務機構證書機構信息訪問應符合附錄 B.1.17 的規(guī)定。 B.4.14 主體信息訪問 政務機構證書主體信息訪問應符合附錄 B.1.18 的規(guī)定。 B.4.15 工 商注冊號 用于表示工商注冊號碼，其定義如下： id-cce-iCRegistrationNumber OBJECT IDENTIFIER := 1 2 86 11 7 4 ICRegistrationNumber:= PRINTABLESTRING 政務機構證書可使用 工商注冊號 擴展項。 該擴展項應為非關鍵擴展項。 B.4.16 組織機構代碼 用于表示 組織機構代碼 ，其定義如下： id-cce-organizationCode OBJECT IDENTIFIER := 1 2 86 11 7 3 OrganizationCode:= PRINTABLESTRING 政務機構證書應使用 組織機構代碼 擴展項，用于標識 企業(yè) 、 機關 、 事業(yè)單位 、 社會團體 和 其他組織機構 的組織機構代碼 。 該擴展項應為非關鍵擴展項。 B.4.17 稅號 用于表示 稅號 碼，其定義如下： id-cce-taxationNumber OBJECT IDENTIFIER := 1 2 86 11 7 5 TaxationNumber:= PRINTABLESTRING 政務機構證書可使用 稅號 擴展項，用于標識 企業(yè) 、 機關 、 事業(yè)單位 、 社會團體 和 其他組織機構 的稅號 。 該擴展項應為非關鍵擴展項。 B.4.18 主體銀行基本帳號 表示證書主體的銀行基本帳號信息，其定義如下： id-cce-subjectBasicAccount OBJECT IDENTIFIER := 1 2 86 11 7 7 SubjectBasicAccount := UTF8STRING 政務機構證書可使用主體銀行基本帳號擴展項，表示證書主體的機構銀行基本帳號。 該擴展項應為非關鍵擴展項。 B.5 政務設備證書格式擴展域說明 B.5.1 機構密鑰標識符 政務設備證書機構密鑰標識符應符 合附錄 B.1.1 的規(guī)定。 B.5.2 主體密鑰標識符 政務設備證書主體密鑰標識符應符合附錄 B.1.2 的規(guī)定。 B.5.3 密鑰用法 政務設備證書密鑰用法應符合 附錄 B.1.3 的規(guī)定 。 B.5.4 擴展密鑰用途 政務設備證書擴展密鑰用途應符合附錄 B.1.4 的規(guī)定。 DB42/T 452 2008 30 B.5.5 私有密鑰使用期 政務設備證書私有密鑰使用期應符合附錄 B.1.5 的規(guī)定。 B.5.6 證書策略 政務設備證書證書策略應符合附錄 B.1.6 的規(guī)定。 B.5.7 主體替換名稱 政務設備證書主體替換名稱應符合附錄 B.1.8 的規(guī)定。 B.5.8 頒發(fā)者替換名稱 政務設備證書頒發(fā)者替換名稱應符合附錄 B.1.9 的規(guī)定。 B.5.9 主體目錄屬性 政務設備證書主體目錄屬性應符合附錄 B.1.10 的規(guī)定。 B.5.10 基本限制 政務設備證書基本限制應符合附錄 B.1.11 的規(guī)定。 B.5.11 證書撤銷列表分發(fā)點 政務設備證書證書撤銷列表分發(fā)點應符合附錄 B.1.14 的規(guī)定。 B.5.12 最新證書撤銷列表 政務設備證書最新證書撤銷列表應符合附錄 B.1.16 的規(guī)定。 B.5.13 機構信息訪問 政務設備證書機構信息訪問應符合附錄 B.1.17 的規(guī)定。 B.5.14 主體信息訪問 政務設備證書主體信息訪問應符合附錄 B.1.18 的規(guī)定。 B.6 政務服務器證書格式擴展域說明 B.6.1 機構密鑰標識 符 政務服務器證書機構密鑰標識符應符合附錄 B.1.1 的規(guī)定。 B.6.2 主體密鑰標識符 政務服務器證書主體密鑰標識符應符合附錄 B.1.2 的規(guī)定。 B.6.3 密鑰用法 政務服務器證書密鑰用法應符合 附錄 B.1.3 的規(guī)定 。 B.6.4 擴展密鑰用途 政務服務器證書擴展密鑰用途應符合附錄 B.1.4 的規(guī)定。 B.6.5 私有密鑰使用期 政務服務器證書私有密鑰使用期應符合附錄 B.1.5 的規(guī)定。 B.6.6 證書策略 政務服務器證書證書策略應符合附錄 B.1.6 的規(guī)定。 B.6.7 主體替換名稱 政務服務器證書主體替換名稱應符合附錄 B.1.8 的規(guī)定。 B.6.8 頒發(fā)者替換名 稱 政務服務器證書頒發(fā)者替換名稱應符合附錄 B.1.9 的規(guī)定。 B.6.9 主體目錄屬性 政務服務器證書主體目錄屬性應符合附錄 B.1.10 的規(guī)定。 B.6.10 基本限制 政務服務器證書基本限制應符合附錄 B.1.11 的規(guī)定。 B.6.11 證書撤銷列表分發(fā)點 政務服務器證書證書撤銷列表分發(fā)點應符合附錄 B.1.14 的規(guī)定。 DB42/T 452 2008 31 B.6.12 最新證書撤銷列表 政務服務器證書最新證書撤銷列表應符合附錄 B.1.16 的規(guī)定。 B.6.13 機構信息訪問 政務服務器證書機構信息訪問應符合附錄 B.1.17 的規(guī)定。 B.6.14 主體信息訪問 政務服務器證書主體信息訪問應符合附錄 B.1.18 的規(guī)定。 B.7 政務應用系統(tǒng)證書格式擴展域說明 B.7.1 機構密鑰標識符 政務應用系統(tǒng)證書機構密鑰標識符應符合附錄 B.1.1 的規(guī)定。 B.7.2 主體密鑰標識符 政務應用系統(tǒng)證書主體密鑰標識符應符合附錄 B.1.2 的規(guī)定。 B.7.3 密鑰用法 政務應用系統(tǒng)證書密鑰用法應符合 附錄 B.1.3 的規(guī)定 。 B.7.4 擴展密鑰用途 政務應用系統(tǒng)證書擴展密鑰用途應符合附錄 B.1.4 的規(guī)定。 B.7.5 私有密鑰使用期 政務應用系統(tǒng)證書私有密鑰使用期應符合附錄 B.1.5 的規(guī)定。 B.7.6 證書策略 政務應用系統(tǒng)證書證書策略應符合附錄 B.1.6 的規(guī)定。 B.7.7 主體替換名稱 政務應 用系統(tǒng)證書主體替換名稱應符合附錄 B.1.8 的規(guī)定。 B.7.8 頒發(fā)者替換名稱 政務應用系統(tǒng)證書頒發(fā)者替換名稱應符合附錄 B.1.9 的規(guī)定。 B.7.9 主體目錄屬性 政務應用系統(tǒng)證書主體目錄屬性應符合附錄 B.1.10 的規(guī)定。 B.7.10 基本限制 政務應用系統(tǒng)證書基本限制應符合附錄 B.1.11 的規(guī)定。 B.7.11 證書撤銷列表分發(fā)點 政務應用系統(tǒng)證書證書撤銷列表分發(fā)點應符合附錄 B.1.14 的規(guī)定。 B.7.12 最新證書撤銷列表 政務應用系統(tǒng)證書最新證書撤銷列表應符合附錄 B.1.16 的規(guī)定。 B.7.13 機構信息訪問 政務應用系統(tǒng)證書機構信息訪問應符合附錄 B.1.17 的規(guī) 定。 B.7.14 主體信息訪問 政務應用系統(tǒng)證書主體信息訪問應符合附錄 B.1.18 的規(guī)定。 B.8 政務代碼簽名證書格式擴展域說明 B.8.1 機構密鑰標識符 政務代碼簽名證書機構密鑰標識符應符合附錄 B.1.1 的規(guī)定。 B.8.2 主體密鑰標識符 政務代碼簽名證書主體密鑰標識符應符合附錄 B.1.2 的規(guī)定。 B.8.3 密鑰用法 政務代碼簽名證書中應使用密鑰用法擴展項，明確表示可用于數(shù)字簽名。 DB42/T 452 2008 32 政務代碼簽名證書的密鑰用法擴展項的設置見 附錄 C 表 2。 該擴展項應為關鍵擴展項。 B.8.4 擴展密鑰用途 政務代碼簽名證書擴展密鑰用途應符合附錄 B.1.4 的規(guī)定。 B.8.5 私有密鑰使用期 政務代碼簽名證書私有密鑰使用期應符合附錄 B.1.5 的規(guī)定。 B.8.6 證書策略 政務代碼簽名證書證書策略應符合附錄 B.1.6 的規(guī)定。 B.8.7 主體替換名稱 政務代碼簽名證書主體替換名稱應符合附錄 B.1.8 的規(guī)定。 B.8.8 頒發(fā)者替換名稱 政務代碼簽名證書頒發(fā)者替換名稱應符合附錄 B.1.9 的規(guī)定。 B.8.9 主體目錄屬性 政務代碼簽名證書主體目錄屬性應符合附錄 B.1.10 的規(guī)定 B.8.10 基本限制 政務代碼簽名證書基本限制應符合附錄 B.1.11 的規(guī)定 。 B.8.11 證書撤銷列表分發(fā)點 政務代碼簽名證書證書撤銷列表分發(fā)點應符合附錄 B.1.14 的規(guī)定。 B.8.12 最新證書撤銷列 表 政務代碼簽名證書最新證書撤銷列表應符合附錄 B.1.16 的規(guī)定。 B.8.13 機構信息訪問 政務代碼簽名證書機構信息訪問應符合附錄 B.1.17 的規(guī)定。 B.8.14 主體信息訪問 政務代碼簽名證書主體信息訪問應符合附錄 B.1.18 的規(guī)定。 DB42/T 452 2008 33 附 錄 C （規(guī)范性附錄） 政務數(shù)字證書模板 本 標準規(guī)定了認證機構證書模板、政務個人證書模板、政務機構證書模板、政務設備證書模板、政務服務器證書模板、政務應用系統(tǒng)證書模板、政務代碼簽名證書模板，如表 C.1 所示 。 表 C.1 政務數(shù)字證書模板 證書域 名稱 描述 說明 基本域 Version 版本號 必備， 2 表示版本 3 serialNumber 序列號 必備， 16 進制，正整數(shù) Signature 簽名算法 必備 issuer 頒發(fā)者 必備，證書頒發(fā) CA 的 X.500 DN Validity 有效日期 必備 Subject 主體 必備，證書主體的 X.500 DN subjectPublicKeyInfo 主體公鑰信息 必備 ,BIT STRING 擴展域 authorityKeyIdentifier 機構密鑰標識符 必備 ,非關鍵， OCTET STRING subjectKeyIdentifier 主體密鑰標識符 必備 ,非關鍵， OCTET STRING keyUsage 密鑰用法 非關鍵，見附錄 C 表 2 extKeyUsage 擴展密鑰用途 非關鍵 privateKeyUsagePeriod 私有密鑰使用期 非關鍵，宜在簽名證書中使用 certificatePolicies 證書策略 非關鍵 policyMappings 策略映射 非關鍵 subjectAltName 主體替換名稱 非關鍵 issuerAltName 頒發(fā)者替換名稱 非關鍵 subjectDirectoryAttributes 主體目錄屬性 非關鍵，不宜使用 basicConstraints 基本限制 認證機構證書必備，非關鍵 nameConstraints 名稱限制 非關鍵 policyConstraints 策略限制 非關鍵 CRLDistributionPoints CRL 分發(fā)點 必備，非關鍵 inhibitAnyPolicy 限制所有策略 非關鍵 freshestCRL 最新的 CRL 非關鍵 authorityInfoAccess 機構信息訪 問 非關鍵，不宜使用 SubjectInformationnAccess 主體信息訪問 非關鍵，不宜使用 IdentifyCardNumber 個人身份證號碼 非關鍵，政務個人證書應使用 InsuranceNumber 個人社會保險號 非關鍵，政務個人證書可使用 ICRegistrationNumber 工商注冊號 非關鍵，政務機構證書可使用 OrganizationCode 組織機構代碼 非關鍵，政務機構證書應使用 TaxationNumber 稅號 非關鍵，政務機構證書可使用 SubjectBasicAccount 主體銀行基本賬號 非關鍵，政務個人證書、政務機構證書可使用 DB42/T 452 2008 34 密鑰用法擴展項的設置如表 C.2 所示 。 表 C.2 密鑰用法擴展項設置 KeyUsage 說明 DigitalSignature 政務個人簽名證書、政務機構簽名證書、政務代碼簽名證書應使用 NonRequdiation 政務個人簽名證書、政務機構簽名證書、政務代碼簽名證書應使用 KeyEncipherment 政務個人加密證書、政務機構加密證書應使用 DataEncipherment 政務個 人加密證書、政務機構加密證書應使用 KeyAgreement 政務個人加密證書、政務機構加密證書應使用 KeyCertSign 認證機構證書應使用 CRLSign EncipherOnly DecipherOnly 附 錄 D （資料性附錄） 主體命名示例 D.1 政務個人證書 所列示例均系虛構。 湖北省 某局信息中心網(wǎng)絡管理處工作人員李四，其政務個人證書主體的 X.500 DN 為： C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北某 局 信息中心網(wǎng)絡管理處 D.2 政務機構證書 所列示例均系虛構。 湖北省 某局信息中心網(wǎng)絡管理處，其政務機構證書主體的 X.500 DN 為： C=CN C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網(wǎng)絡管理處 CN=湖北省 某局信息中心網(wǎng)管處 D.3 政務設備證書 所列示例均系虛構。 湖北省 某局信息中心網(wǎng)絡管理處的設備（設備編碼為 HBDS000001），其政務設備證書主體的 X.500 DB42/T 452 2008 35 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網(wǎng)絡管理處 CN=HBDS000001 D.4 政務服務器證書 所列示例均系虛構。 湖北省 某局信息中心網(wǎng)絡管理處的服務器（服務器域名為 ， IP 地址為1），其政務服務器證書主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網(wǎng)絡管理處 CN= 或 C=CN S=湖北省 L=武漢市 O=湖北省某 局信息中心 OU=湖北省某 局信息中心網(wǎng)絡管理處 CN=1 政務服務器證書宜使用域名。 D.5 政務應用系統(tǒng)證書 所列示例均系虛構。 湖北省某 局應用系統(tǒng)（應用系統(tǒng)編碼為 hbxx_system001），其政務應用系統(tǒng)證書主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省某 局 OU=湖北省某 局應用系統(tǒng) CN= hbxx_system001 D.6 政務代碼簽名證書 所列示例均系虛構。 湖北省某 局信息中心網(wǎng)絡管理處，其政務代碼簽名證書主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局 DB42/T 452 2008 36 OU=湖北省某 局信息中心 CN=省某 局信息中心網(wǎng)管處 或 湖北省某 局信息中心網(wǎng)絡管理處（代碼簽名負責人為李四），其政務代碼簽名證書主體的 X.500 DN為 : C=CN S=湖北省 L=武漢市 O=湖北省某 局信息中心 OU=湖北省某 局信息中心網(wǎng)絡管理處 CN=李四 附 錄 E （資料性附錄） 主體可選替換名稱命名示例 E.1 政務個人證書 所列示例均系虛構。 湖北省 某局信息中心網(wǎng)絡管理處工作人員李四（個人電子郵件 地址為 Email=），其政務個人證書主體可選替換名稱的 directoryName 的 X.500 DN 為： Email= 或者包含其中的部分屬性。 E.2 政務機構證書 所列示例均系虛構。 湖北省 某局信息中心網(wǎng)絡管理處的（負責人電子郵件地址為 Email=），其政務機構證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= 或者包含其中的部分屬性。 E.3 政 務設備證書 所列示例均系虛構。 湖北省某 局信息中心網(wǎng)絡管理處的設備（設備負責人的電子郵件地址為 Email=， IP 地址為 1），其政務設備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= IPAddress=1 或者包含其中的部分屬性。 DB42/T 452 2008 37 E.4 政務服務器證書 所列示例 均系虛構。 湖北省 某局信息中心網(wǎng)絡管理處的服務器（服務器負責人的電子郵件地址為 Email=， IP 地址為 1，域名為 ），其政務設備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= IPAddress=1 DNS= 或者包含其 中的部分屬性。 E.5 政務應用系統(tǒng)證書 所列示例均系虛構。 湖北省 某局的應用系統(tǒng)（負責人電子郵件地址為 Email= ， 資源地址為），其政務設備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= URL= 或者包含其中的部分屬性。 E.6 政務代碼簽名證書 所列示例均系虛構。 湖北省某局信息中心網(wǎng)絡管理處（代碼簽名負責人的電子郵件地址為 Email=），其政務設備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= 或者包含其中的部分屬性。 附 錄 F （ 資料性附錄） 政務數(shù)字證書編碼示例 以下內(nèi)容將以 X.509 版本 3 證書為例，證書包含下列信息： a）序列號是 04a59cc78df58536237af65793cd3d7； b）簽名算法是 sha1RSA； c）頒發(fā)者是： C=CN S=HUBEI L=WUHAN O=HuiBei Digital Certificate Authority Center CO.LTD CN=HBCA DB42/T 452 2008 38 d）主體是： C=CN S=湖北省 L=武漢市 O=測試總部 OU=測試第一分部 CN=湖北省電子政務測試證書 e）有效期是從 2007 年 2 月 2 日 到 2010年 2月 2日 ； f）主體公鑰信息中包含 1024 比特的 RSA 密鑰； g）機構密鑰標識符擴展項； h）主體密鑰標識符擴展； i）密鑰用法擴展項； j）基本限制擴展項； k）證書撤銷列表分發(fā)點擴展項。 以下為政務數(shù)字證書的編碼示例： 0000 30 82 03 3E 830: SEQUENCE 0004 30 82 02 A7 679: . SEQUENCE 0008 A0 03 3: . . 0 0010 02 01 1: . . . INTEGER 2 : 02 0013 02 10 16: . . INTEGER : 0C 8D E6 7D 7C 6B 7A F2 72 E7 B8 AD E5 C0 97 75 0031 30 0D 13: . . SEQUENCE 0033 06 09 9: . . . OID 1.2.840.1135 sha1withRSAEncryption : 2a 86 48 86 f7 0d 01 01 05 0044 05 00 0: . . . NULL 0046 30 2B 43: . . SEQUENCE 0048 31 0D 13: . . . SET 0050 30 0B 11: . . . . SEQUENCE 0052 06 03 3: . . . . . OID 2.8.3: CN : 55 04 03 0057 13 04 4: . . . . . PrintableString HBCA : 48 42 43 41 0063 31 0D 13: . . . SET 0065 30 0B 11: . . . . SEQUENCE 0067 06 03 3: . . . . . OID 2.8.10: O : 55 04 0A 0072 13 04 4: . . . . . PrintableString TEST : 54 45 53 54 0078 31 0B 11: . . . SET 0080 30 09 9: . . . . SEQUENCE 0082 06 03 3:. . . . . OID 2.8.6: C : 55 04 06 DB42/T 452 2008 39 0087 13 02 2: . . . . . PrintableString CN : 43 4e 0091 30 1E 30: . . . . SEQUENCE 0093 17 0D 13: . . . UTCTime 071026030002Z : 30 37 31 30 32 36 30 33 30 30 30 32 5a 0108 17 0D 13: . . . UTCTime 081025030002Z : 30 38 31 30 32 35 30 33 30 30 30 32 5a 0123 30 7A 122: . . SEQUENCE 0125 31 1F 31: . . . SET 0127 30 1D 29: . . . . SEQUENCE 0129 06 03 3: . . . . . OID 2.8.3: CN : 55 04 03 0134 1E 16 22: . . . . . UTF8String 湖北省電子政務測試證書 : 16 6e 56 53 17 77 01 75 35 5b 50 65 3f 52 a1 6d 4b 8b d5 8b c1 4e 66 0158 31 15 21: . . . SET 0160 30 13 19: . . . . SEQUENCE 0162 06 03 3: . . . . . OID 2.8.11 OU : 55 04 0B 0167 1E 0C 12: . . . . . UTF8String 測試第一分部 : 6d 4b 8b d5 7b 2c 4e 00 52 06 90 e8 0181 31 11 17: . . . SET 0183 30 0F 15: . . . . SEQUENCE 0185 06 03 3: . . . . . OID 2.8.10 O :55 04 0A 0190 1E 08 8: . . . . . UTF8String 測試總部 : 6d 4b 8b d5 60 3b 90 e8 0200 31 0F 15: . . . SET 0202 30 0D 13: . . . .SEQUENCE 0204 06 03 3: . . . . . OID 2.8.7 L : 55 04 07 0209 1E 06 6: . . . . . UTF8String 武漢市 : 6b 66 6c 49 5e 02 0217 31 0F 15: . . . SET 0219 30 0D 13: . . . .SEQUENCE 0221 06 03 3: . . . . . OID 2.8.8 S : 55 04 08 0226 1E 06 6: . . . . . UTF8String 湖北省 : 6e 56 53 17 77 01 0234 31 0B 11: . . . SET 0236 30 09 9: . . . .SEQUENCE 0238 06 03 3: . . . . . OID 2.8.6 C : 55 04 06 0243 13 02 2: . . . . . PrintableString CN : 43 4e DB42/T 452 2008 40 0247 30 81 9F 159: . . SEQUENCE 0250 30 0D 13: . . . SEQUENCE 0252 06 09 9: . . . . . OID 1.2.840.1135 rsaEncryption : 2A 86 48 86 F7 0D 01 01 01 0263 05 00 0: . . . . . NULL 0265 03 81 8D 141: . . . BIT STRING : 00 （ 0 unused bits） 30 81 89 02 81 81 00 cb bb 54 18 ad 3e 80 44 8f b2 9f ac 07 18 bb 30 ba f2 42 60 84 88 85 7a d9 ad 4b bc 13 af ba 65 e3 3c 17 c9 d8 c5 ae 24 fc 29 73 c2 10 ce d1 7b 25 8a 55 8c 4e f7 bc 66 3a 54 7d 32 b3 03 77 e7 6f d3 28 bf a8 c1 ac fa 6b d7 97 ae 67 f6 40 f5 e1 3a 58 ef 19 24 1b 1e f5 11 e8 1d 7a 29 3c 60 ad 1e bb ac af 33 ac 92 0f 3f 0e c6 0b e2 65 a5 90 29 15 0a 10 3f 37 bc 69 d5 8c 20 aa 8b 0b b7 02 03 01 00 01 0409 A3 82 01 12 274: . . 3 0413 30 82 01 0E 270: . . . SEQUENCE 0417 30 1f 31: . . . . SEQUENCE 0419 06 03 3: . . . . . OID 5 AuthorityKeyIdentifier : 55 1D 23 0424 04 18 24: . . . . . OCTET STRING : 30 16 80 14 32 75 bb 19 06 88 37 2e d9 de 40 40 37 77 00 ab 9b 46 4e c7 0450 30 1D 29: . . . . SEQUENCE 0452 06 03 3: . . . . . OID 4 SubjectKeyIdentifier : 55 1D 0E 0457 04 16 22: . . . . . OCTET STRI