海南省公共資源交易統(tǒng)一CA互認平臺CA簽章機構對接技術規(guī)范（試行）

海南省公共資源交易

統(tǒng)一CA互認平臺CA簽章機構

對接技術規(guī)范（試行）

目錄

附錄：錯誤!未定義書簽。

附錄A、介質(zhì)技術規(guī)范1

一、數(shù)字證書介質(zhì)接口及使用規(guī)范1

附錄B、數(shù)字證書技術規(guī)范6

一、數(shù)字證書格式標準規(guī)范6

二、CA認證機構接入規(guī)范16

三、數(shù)字證書應用集成規(guī)范19

附錄C、電子簽章技術規(guī)范51

一、簽章控件接口標準規(guī)范51

規(guī)范A、介質(zhì)技術規(guī)范

一、數(shù)字證書介質(zhì)接口及使用規(guī)范

1.1范圍

本規(guī)范描述了支持的數(shù)字證書介質(zhì)的各項要求，包括對安全機制、軟件要

求、硬件指標等要求，用于指導電子認證服務機構在平臺內(nèi)進行數(shù)字證書介質(zhì)

的定制和選型。本標準遵循GM/T0027-2014《智能密碼鑰匙技術規(guī)范》和GM/T

0016-2012《智能密碼鑰匙密碼應用接口規(guī)范》。

1.2安全機制

1.2.1、密鑰管理

數(shù)字證書介質(zhì)的密鑰空間必須能夠至少保存2對RSA密鑰對，2對SM2密鑰

對和2個對稱密鑰（包含1個設備認證密鑰和1個會話密鑰的空間）。所有密鑰

必須安全存儲。簽名私鑰必須在數(shù)字證書介質(zhì)內(nèi)生成，且不能以任何形式導出。

加密私鑰以密文方式導入，且不能以任何形式導出，對稱密鑰不能以明文倒出。

1.2.3、數(shù)字證書介質(zhì)的擴展區(qū)要求

數(shù)字證書介質(zhì)內(nèi)可創(chuàng)建用戶私有文件區(qū)，對私有文件區(qū)操作時，用戶應輸

入介質(zhì)口令進行驗證，擴展區(qū)的空間大小不小于64K

1.3軟件要求

1.3.K數(shù)字證書介質(zhì)接口要求

介質(zhì)接口及數(shù)據(jù)類型必須遵循國家密碼管理局《智能密得鑰匙密碼應用接

口規(guī)范》的要求，提供設備管理、訪問控制、文件管理和密碼服務等相關服務

接口。介質(zhì)有應用、容器，應用中可有多個容器，容器中可有多個私鑰和證書。

介質(zhì)初始化后，無應用，無容器。

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

1.3.2、設備管理接口

設備管理主要完成介質(zhì)的插拔事件處理、枚舉設備、連接設備、斷開連接、

獲取設備狀態(tài)、設置設備標簽，鎖定設備、解鎖設備和設備命令傳輸?shù)炔僮鳌?/p>

設備管理接口函數(shù)如下表所示：

函數(shù)名稱功能

SKFWaitForDevEvent等待設備插拔事件

SKF_CancelWaitForDevEvent取消等待設備插拔事件

SKFEnumDev枚舉設備

SKF_ConnectDev連接設備

SKF_DisconnectDev斷開設備

SKF_GetDevState獲取設備狀態(tài)

SKF_SetLabel設置設備標簽

SKF_GetDevInfo獲取設備信息

SKF_LockDev鎖定設備

SKF_UnlockDev解鎖設備

SKF_Transmit設備命令傳輸

1.3.3、訪問控制接口

訪問控制主要完成設備認證、PIN碼管理和安全狀態(tài)管理等操作。訪問控制

接口函數(shù)如下表所示：

函數(shù)名稱功能

SKF_ChangeDevAuthKey修改設備認證密鑰

SKF_DevAuth設備認證

SKF_ChangePIN修改PIN

SKF_GetPINInfo獲得PIN碼信息

SKF_VerifyPIN校驗PIN

SKF_UnblockPIN解鎖PIN

SKF_ClearSecueState清除應用安全狀態(tài)

1.34、應用管理接口

應用管理主要完成應用的創(chuàng)建、枚舉、刪除、打開和關閉等操作。應用管

理接口函數(shù)如下表所示：

函數(shù)名稱功能

SKFCreateApplication創(chuàng)建應用

SKF_EnumApplication枚舉應用

SKF_De1eteApplication刪除應用

SKFOpenApplication打開應用

SKF_CloseApplication關閉應用

2

公共資源交易領域數(shù)字證書（CA）全國互認通用技術解決方案

1.3.5、文件管理接口

文件管理接口函數(shù)用以滿足用戶擴展開發(fā)（如簽章）的需要，包括創(chuàng)建文

件、刪除文件、枚舉文件、獲取文件信息、文件讀寫操作。文件管理接口函數(shù)

下表所示：

函數(shù)名稱功能

SKFCreateFile創(chuàng)建文件

SKF_DeleteFile刪除文件

SKFEnumFiles枚舉文件

SKF_GetFileInfo獲取文件信息

SKF_ReadFile讀文件

SKF_WriteFile寫文件

1.3.6、容器管理接口

容器管理接口函數(shù)用于創(chuàng)建、刪除、枚舉、打開和關閉容器。容器管理接

口函數(shù)如下：

函數(shù)名稱功能

SKF_CreateContainer創(chuàng)建容器

SKFDeleteContainer刪除容器

SKF_EnumContainer枚舉容器

SKF_0penContainer打開容器

SKFCloseContainer關閉容器

SKF_GetContainerType獲得容器類型

SKF_ImportCertificate導入數(shù)字證書

SKFExportCertificate導出數(shù)字證書

1.4.數(shù)字證書介質(zhì)驅(qū)動安裝程序要求

電子認證服務機構提供的數(shù)字證書介質(zhì)安裝程序應滿足以下要求：

1）提供無界面的安裝程序，或支持無界面的安裝指令。

2）介質(zhì)安裝程序應支持WINXP、WIN7、WIN8、WIN10等主流32位和64位

操作系統(tǒng)。

3）驅(qū)動程序安在驅(qū)動注冊到CSP時，需要在相應注冊表中添加鍵值為SKFImage

Path注冊項，該項內(nèi)容應該包含一個指向SKF接口驅(qū)動文件的路徑。注冊

表示例如下：

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Pro

vider\XXUSBKeyCryptographicProvidervl.0]

“Type〃=dword:00000001

“Signature"二hex:65,83,23,Oe,Id,db,46,Oe,fe,a8,96,c4,42,c2,f8,bf,

3f,cO,7...

z/ImagePath*=，/C:\\Windows\\system32\xx_csp_api.dll〃

3

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

“SKFImagePathz，=，zC:\\Windows\\SysW0W64\\xx_skf_api.dll”

4)安裝程序可以在菜單或控制面板的“添加/刪除短序”中卸載程序，卸載驅(qū)

動程序時，不需要用戶手動干預，能自動完成卸載。

1.4.1、密碼服務接口

密碼服務接口函數(shù)提供對稱算法運算、非對稱算法運算、密碼雜湊算法運

算、密鑰管理、消息鑒別碼計算等功能，密碼服務接口函數(shù)如下表所示：

函數(shù)名稱功能

SKF_GenRandom生成隨機數(shù)

SKF_GenECCKeyPair生成ECC簽名密鑰對

SKF_ImportECCKeyPair導入ECC加密密鑰對

SKF_ECCSignDataECC簽名

SKF_ECCVerifyECC驗簽

SKF_ECCExportSessionKeyECC生成并導出會話密

鑰

SKF_ExtECCEncryptECC外來公鑰加密

SKFExtECCDecryptECC外來私鑰解密

SKF.ExtECCSignECC外來私鑰簽名

SKF_ExtECCVerifyECC外來公鑰驗簽

SKFECCDecryptECC私鑰解密

SKF_GenerateAgreementDataWithECCECC生成密鑰協(xié)商參數(shù)

并輸出

SKF_GenerateKeyWithECCECC計算會話密鑰

SKF_GenerateAgreementDataAndKeyWithECCECC產(chǎn)生協(xié)商數(shù)據(jù)并計

算會話密鑰

SKF_ExportPublicKey導出公鑰

SKFImportSessionKey導入會話密鑰

SKFSetSymmKey明文導入會話密鑰

SKF_Encryptlnit加密初始化

SKFEncrypt單組數(shù)據(jù)加密

SKF_EncryptUpdate多組數(shù)據(jù)加密

SKF_EncryptFinal結束加密

SKFDecryptlnit解密初始化

SKF_Decrypt單組數(shù)據(jù)解密

SKF_DecryptUpdate多組數(shù)據(jù)解密

SKF_DecryptFinal結束解密

SKF_DigestInit雜湊初始化

SKF_Digest單組數(shù)據(jù)雜湊

SKFDigestUpdate多組數(shù)據(jù)雜湊

SKF_DigestFinal結束雜湊

SKF_MacInit消息鑒別碼運算初始化

SKF_Mac單組數(shù)據(jù)消息鑒別碼運

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

算

SKF_MacUpdate多組數(shù)據(jù)消息鑒別碼運

算

SKF_MacFinal結束消息鑒別碼運算

SKFCloseHandle關閉密碼對象句柄

1.4.1.2、ECC私鑰解密

函數(shù)原型ULONGDEVAPISKFEX^ECCDecrypt(HCONTAINERhContainer,

ULONGulKeySpec,PECCCIPHERBLOBpCipherText,BYTE

*pbData,DWORD*pdwDataLen)

功能描述使用ECC私鑰解密對應ECC公鑰加密的密文

參數(shù)hContainer[IN]容器句柄

ulKeySpec[IN]指定使用哪個ECC密鑰對進行私鑰

解密

操作。1為加密密鑰對，2為簽名密鑰對

pCipherText[IN]ECC公鑰加密的密文數(shù)據(jù)結構

pbData[OUT]輸出明文，當為NULL時，

pdwDataLen返回明文長度

pdwDataLen[IN,OUT]輸出明文長度

返回值SAR_OK：成功

其他：錯誤碼

1.5.硬件指標

標準名稱必要條件備注

存儲容量>=64Bytes

非對稱算法遵循國密相關規(guī)范，如SM2等。密鑰對必須在芯片中

生成，私鑰不可導出。

對稱算法應遵循國密相關規(guī)范,如SSF33、SM1、

SM4等。

支持摘要算法應遵循國密相關規(guī)范，如SHA1、

SHA256、SM3等。

SM2數(shù)字簽名和驗證<500毫秒/次

時間

SM2公鑰加密和私鑰>4Kbit/s

解密效率

存儲要求a)公私密鑰對：>二4對

b)必須在提供保護口令前提下才能

訪問密鑰

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

規(guī)范B、數(shù)字證書技術規(guī)范

一、數(shù)字證書格式標準規(guī)范

1.1、范圍

本規(guī)范描述了平臺中使用的數(shù)字證書和證書撤銷列表的格式，用于指導電

子認證服務機構(CA機構)簽發(fā)統(tǒng)一格式的數(shù)字證書和證書撤消列表，以保障

數(shù)字證書在平臺之間的互通互認。本規(guī)范以GB/T20518-2006《信息安全技術公

鑰基礎設施數(shù)字證書格式》和GM/T0015-2012《基于SM2密碼算法的數(shù)字證

書格式規(guī)范》為基礎。

1.2、數(shù)字證書格式

1.2.1、數(shù)字證書基本結構

數(shù)字證書結構采用ANS.1DER編碼，基本結構由基本證書域

TBSCertificate簽名算法域SignatlireA1gorithm和簽名值SignatureValue

三部分組成?；窘Y構如下：

CertificateSEQUENCE{

tbsCertificateTBSCertificate,

signatureAlgorithmAlgorithmidentifier,

signatureValueBITSTRING}

TBSCertificate::二SEQUENCE{

version[0]EXPLICITVersionDEFAULTvl,

serialNumberCertificateSerialNumber,

signatureAlgorithmidentifier,

issuerName,

validityValidity,

subjectName,

subjectPublicKeylnfoSubjectPublicKeylnfo,

issuerUniquelD[1]IMPLICITUniqueldentifierOPTIONAL,

--Ifpresent,versionMUSTbev2orv3

subjectUniquelD⑵IMPLICITUniqueidentifierOPTIONAL,

-Ifpresent,versionMUSTbev2orv3

extensionsEXPLICITExtensionsOPTIONAL

-Ifpresent,versionMUSTbev3

}

VersionINTEGER{vl(0),v2(l),v3(2)}

CertificateSerialNumber:二INTEGER

Validity::=SEQUENCE!

notBeforeTime,

notAfterTime}

Time::=CHOICE

utcTimeUTCTime,

6

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

generalTimeGeneralizedTime)

Uniqueidentifier::二BITSTRING

SubjectPublicKeylnfoSEQUENCE{

algorithmAlgorithmldentifier,

subjectPublicKeyBITSTRING}

Extensions::=SEQUENCESIZE(1..MAX)OFExtension

Extension::二SEQUENCE{

extnIDOBJECTIDENTIFIER,

criticalBOOLEANDEFAULTFALSE,

extnValueOCTETSTRING}

上述數(shù)據(jù)結構中，tbsCertificate包含了主體名稱和頒發(fā)者名稱，主題的

公鑰，證書有效期及其他相關信息。signatureAlgorithm包含了證書簽發(fā)機構

簽發(fā)該證書時使用的密碼算法標識符，一個算法的標識符的ASN.1結構如下：

Algorithmidentifier::二SEQUENCE{

algorithmOBJECTIDENTIFIER,

parametersANYDEFINEDBYalgorithmOPTIONAL}

該算法標識符必須與tbsCertificate中的signature的算法標識符相同。

當算法為SM2時，算法標識定義見GM/T0006-2012《密碼應用標識規(guī)范》。

signaturevalue包含了對tbsCertficate進行數(shù)字簽名的結果，簽名結果按照

ASN.1編碼成BITSTRING類型并保存在證書簽名值域內(nèi)。

1.2.2、基本證書域TBSCertificate

基本證書域包含了證書結構中主體名稱及頒發(fā)者CA等信息，這些信息主要

包括版本、序列號、簽名算法、頒發(fā)者、有效期、主體、主體公鑰信息等。

、版本Version

本項描述了數(shù)字證書的版本號。數(shù)字證書應使用版本3(對應的數(shù)值是整數(shù)

“2”)。

1.2.2.2、序列號SerialNumber

本項是CA分配給每張證書的一個正整數(shù)，一個CA簽發(fā)的每張證書的序列

號必須是唯一的。序列號可以是長整數(shù)，最長可為20個8位字節(jié)的序列號值。

證書更新時序列號應改變。

1.2.2.3、簽名算法Signature

本項包含CA簽發(fā)該證書所使用的密碼算法的標識符，算法標識符應與證書

中SignatureAlgorithm項的算法標識符相同。簽名算法必須符合國家密碼主

管部門對密碼算法的規(guī)定，并根據(jù)國家密碼主管部門批準的最新算法及時調(diào)整,

以適應國家最新技術標準要求。當算法為SM2時，算法標識定義見GM/T

0006-2012《密碼應用標識規(guī)范》。

1.2.2.4、頒發(fā)者Issuer

本項標識了簽名和發(fā)布數(shù)字證書的實體。它必須包含一個非空的甄別名程。

該項被定義為X.501的Name類型。

Name::二CHOICE{

7

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

RDNSequence}

RDNSequence::二SEQUENCEOFRelativeDistinguishedName

Re1ativeDistinguishedName:

SETOFAttributeTypeAndValue

AttributeTypeAndValue::二SEQUENCE{

typeAttributeType,

valueAttributeValue}

AttributeType::=OBJECTIDENTIFIER

AttributeValue::二ANYDEFINEDBYAttributeType

DirectoryString::=CHOICE

teletexStringTeletexString(SIZE(1..MAX)),

printableStringPrintableString(SIZE(1..MAX)),

universalStringUniversalString(SIZE(1..MAX)),

utf8StringUTF8String(SIZE(1..MAX)),

bmpStringBMPString(SIZE(1..MAX))}

Name描述了由多個屬性組成的層次結構的名稱，如國家名、相應的值，例如

"C=CN"。其中AttributeValue部分的類型由AttributeType確定,通常來說

是一個DirectoryString類型。DirectoryString類型可被定義為

PrintableString,TeletexString,BMPString,UTF8String

UniversalString,UTF8String編碼是首選編碼。

L2.2.5、有效期Validity

本項是指一個時間段，在這個時間段內(nèi)，CA擔保它將維護關于證書狀態(tài)的

信息。該項被表示成一個具有兩個時間值的SEQUENCE類型數(shù)據(jù)：證書有效期的

起始時間(notBefore)和證書有效期的終止時間(notAfter)。這兩個時間都

可做為UTCTime類型或者GeneralizedTime類型進行編碼。GeneralizedTime

值必須用格林威治標準時間表示，且必須包含秒(即時間格式為

YYYYMMDDHHMMSSZ)0

1.2.2.6、主體Subject

本項描述了與主體公鑰項中的公鑰相對應的實體。主體名稱可以出現(xiàn)在主

體項或主體替換名稱擴展項中(SubjectAltName)o如果主體是一個CA,那么

主體項必須與其簽發(fā)的所有證書的頒發(fā)者相同，一個CA認證的每個主體實體的

甄別名稱應是唯一的。一個CA可以為同一個主體實體以相同的甄別名稱簽發(fā)多

個證書。該項不能為空。該項被定義為X.501的Name類型。

1.2,2.7>主體公鑰信息SubjectPublicKeyInfo

本項用來標識公鑰和相應的公鑰算法。公鑰算法使用算法標識符Algorithm

Identifier結構來表示。當算法為SM2時，算法標識定義見GM/T0006-2012

《密碼應用標識規(guī)范》。

1.2.3、證書擴展項及數(shù)據(jù)結構

本規(guī)范定義的證書擴展項提供了把一些附加屬性同用戶或公鑰相關聯(lián)的方

法以及證書結構的管理方法。數(shù)字證書允許定義標準擴展項和專用擴展項。每

個證書中的擴展可以定義成關鍵性的和非關鍵性的。一個擴展含有三部分，它

8

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

們分別是擴展類型、擴展關鍵度和擴展項值。擴展關鍵度(extension

criticality)告訴一個證書的使用者是否可以忽略某一擴展類型。證書的應用

系統(tǒng)如果不能識別關鍵的擴展時，必須拒絕接受該證書，如果不能識別非關犍

的擴展，則可以忽略該擴展項的信息。

遵循本標準的CA必須支持密鑰標識符、基本限制、密鑰用法、和證書策略

等擴展。遵循本標準的應用必須至少能夠識別密鑰用法、證書策略、基本限制、

頒發(fā)機構密鑰標識符、主體密鑰標識符和擴展的密鑰用法。

1.2.3.K標準擴展

1.2.3.1.1、頒發(fā)機構密鑰標識符AuthorityKeyIdentifier

本項提供了一種方式，以識別與證書簽名私鑰相應的公鑰。當頒發(fā)者由于

有多個密鑰共存或由于發(fā)生變化而具有多個簽名密鑰時使用該擴展。識別可基

于頒發(fā)者證書中的主體密鑰標識符或基于頒發(fā)者的名稱和序列號。

CA產(chǎn)生的所有證書應包括AuthorityKeyIdentifier擴展的Keyidentifier項，

以便于鏈的建立。CA以“自簽”(self-signed)證書形式發(fā)放其公鑰時，可

以省略認證機構密鑰標識符。

本項既可用作證書擴展亦可用作CRL擴展。本項標識用來驗證在證書或CRL

上簽名的公開密鑰。它能辨別同一CA使用的不同密鑰。除了自簽名證書外，所

有證書必須包含本項，且必須為非關鍵擴展。

id-ce-authorityKeyIdentifierOBJECTIDENTIFIER::=-id-ce35}

AuthorityKeyIdentifier::=SEQUENCE{

keyidentifier[0]Keyidentifier

OPTIONAL,

authorityCertIssuer[1]GeneralNames

OPTIONAL,

authorityCertSerialNumber[2]CertificateSerialNumber

OPTIONAL}

Keyidentifier::二OCTETSTRING

1.2.3.1.2、主體密鑰標識符SubjectKeyIdentifier

本項提供一種識別包含有一個特定公鑰的證書的方法。此擴展標識了被認

證的公開密鑰，它能夠區(qū)分同一主體使用的不同密鑰。

對于使用密鑰標識符的主體的各個密鑰標識符而言，每一個密鑰標識符均

應是唯一的。CA簽發(fā)證書時必須把CA證書中本擴展的值賦給終端實體證書

AuthorityKeyIdentifier擴展中的Keyidentifier項。CA證書的主體密鑰標

識符應從公鑰中或者生成唯一值的方法中導出。終端實體證書的主體密鑰標識

符應從公鑰中導出。

所有的CA證書必須包括本擴展，此擴展項為非關鍵項。

id-ce-subjectKeyIdentifierOBJECTIDENTIFIER::={id-ce14}

SubjectKeyldentifier::二Keyidentifier

9

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

L、密鑰用法KeyUsage

密鑰用法擴展定義了證書中密鑰的用途(如加密、簽名、簽發(fā)證書等)。密

鑰用法的限制可用于限定密鑰是否能夠用于某種操作。密鑰用法定義：

id-ce-keyUsageOBJECTIDENTIFIER::={id-ce15}

KeyUsage::二BITSTRING{

digitalSignature(0),

nonRepudiation⑴，

keyEncipherment(2),

dataEncipherment(3),

keyAgreement(4),

keyCertSign(5),

cRLSign(6),

encipherOnly(7),

decipherOnly(8))

所有的CA證書必須包括本擴展，而且必須包含keyCertSign這一密鑰用途。

用戶證書則根據(jù)證書用途，分“簽名”證書和“加密”證書：選擇對應的密鑰

用途進行簽發(fā)。此擴展可定義為關鍵的或非關鍵的，由證書頒發(fā)者選擇。

1.2.3.1.4、擴展密鑰用法ExtensionKeyUsage

本項指明已驗證的數(shù)字證書公鑰可以用于的一種或多種用途，可作為密鑰

用法擴展項中指明的基本用途的補充或替代。

id-ce-extKeyUsageOBJECTIDENTIFIER::={id-ce37}

ExtKeyUsageSyntax::=SEQUENCESIZE(1..MAX)OFKeyPurposeTd

KeyPurposeld::=OBJECTIDENTIFIER

本項可標記為關鍵或非關鍵擴展，由證書頒發(fā)者決定。本標準定義下列密

鑰用途：

id-kpOBJECTIDENTIFIER::={id-pkix3}

id-kp-serverAuthOBJECTIDENTIFIER::={id-kp1}

一TLSWebserver鑒別

--Keyusage可設置為digitalSignature,keyEncipherment或

keyAgreement

id-kp-clientAuthOBJECTIDENTIFIER::={id-kp2}

—TLSWebclient鑒別

-Keyusage可設置為digitalSignature和/或keyAgreement

id-kp-codeSigningOBJECTIDENTIFIER::={id-kp3}

-可下載執(zhí)行代碼的簽名

--Keyusage可設置為digitalSignature

id-kp-emailProtectionOBJECTIDENTIFIER::={id-kp4}

一E-mail保護

-Keyusage可設置為digitalSignature,nonRepudiation,和/或

(keyEncipherment或keyAgreement)

id-kp-timeStampingOBJECTIDENTIFIER::={id-kp8}

-將對象的散列值與同一時間源提供的時間綁定

10

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

-Keyusage可設置為digitalSignature,nonrepudiation

1.2.3.1.5、證書策略CertificatePolicies

本項包含了一系列策略信息條目，每個條目都有一個0ID和一個可選的限

定條件。

在用戶證書中，這些策略信息條目描述了證書發(fā)放所依據(jù)的策略以及證書

的應用目的；在CA證書中，這些策略條目指定了包含這個證書的驗證路徑的策

略集合。

數(shù)字證書是否包括本擴展為可選的，是否為關鍵項也是可選的。

1.2.3.1.6、基本限制

本項用于識別證書主體是否是一個CA,通過該CA可能存在的認證路徑有多

長。pathLenConstraint字段僅在CA設置為TRUE時才有意義。它給出本證書

之后認證路徑中最多的CA證書數(shù)量。0指明只可以向終端實體簽發(fā)證書，本項

出現(xiàn)時必須大于或等于0。若未出現(xiàn)，則對人這功能路徑的允許長度沒有限制。

CA證書中必須包含本擴展且標記為關鍵擴展。

id-ce-basicConstraintsOBJECTIDENTIFIER::={id-ce19}

BasicConstraints::=SEQUENCE{

cABOOLEANDEFAULTFALSE,

pathLenConstraintINTEGER(0..MAX)OPTIONAL}

1.2.3.L7、證書撤銷列表分發(fā)點CRLDistributionPoints

本項標識了如何獲得CRL信息的方法，本擴展應該被標記為非關鍵擴展。

id-ce-cRLDistributionPointsOBJECTIDENTIFIER{id-ce31}

cRLDistributionPoints::={

CRLDistPointsSyntax}

CRLDistPointsSyntax::=SEQUENCESIZE(1..MAX)OFDistributionPoint

DistributionPoint::二SEQUENCE{

distributionPoint[0]DistributionPointName

OPTIONAL,

reasons[1]ReasonFlagsOPTIONAL,

cRLIssuer[2]GeneralNamesOPTIONAL}

DistributionPointName::=CHOICE

fullName[0]GeneralNames,

nameRelativeToCRLIssuer[1]RelativeDistinguishedName}

ReasonFlags::=BITSTRING{

/0\

unusedX(71

{/1!\

kcyCompromiseX/

/2\

cACompromisext7

t/3\

affiliationChanged\7

</4!\

superseded\/

(z5\

cessationOfOperationx7

11

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

certificateHold(6)}

1.2.3.1.8、最新證書撤銷列表FreshestCRL

本項標識了如何獲取增量CRL信息的方法，必須標記為非關鍵擴展項。

id-ce-freshestCRLOBJECTIDENTIFIER::={id-ce46}

FreshestCRL::=CRLDistributionPoints

1.2.3.1.9、個人身份標識碼IdentifyCode

本項用于標識個人身份，標記為非關鍵擴展。

id-IdentifyCodeOBJECTIDENTIFIER::=1.2.156.10260.4.1.1}

IdentifyCode::=CHOICE{

residenterCardNumber[0]PrintableString

OPTIONAL,

一身份證號碼

militaryOfficerCardNumber[1]UTF8String

OPTIONAL,

一軍官證號碼

passportNumber[2]PrintableString

OPTIONAL

一護照號碼

1.2.3.1.10>個人社會保險號InsuranceNumber

本項用于標識個人社會保險號，標記為非關鍵擴展。

Id-InsuranceNumberOBJECTIDENTIFIER::={1.2.156.10260.4.1.2}

InsuranceNumber::=PrintableString

1.2.3.1.11>企業(yè)工商注冊號ICRegistrationNumber

本項用于標識企業(yè)工商注冊號，標記為非關鍵擴展。

Id-RCRegistrationNumberOBJECTIDENTIFIER::={1.2.156.10260.4.1.3}

RCRegistrationNumbcr::=PrintableString

1.2.3.1.12、企業(yè)組織機構代碼OrganizationCode

本項用于標識企業(yè)組織機構代碼，標記為非關鍵擴展。

Id-0rganizationCodeOBJECTIDENTIFIER::={1.2.156.10260.4.1.4}

OrganizationCode::=PrintableString

1.2.3,1.13、企業(yè)稅號TaxationNumber

本項用于標識企業(yè)稅號，標記為非關鍵擴展。

Td-TaxationNumberOBJECTIDENTIFIER::={1.2.156.10260.4.1.5}

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

TaxationNumber::=PrintableString

1.3.2.2、互聯(lián)網(wǎng)證書擴展

1.3.2.2.1、主體信息訪問SubjectInformationAccess

本項指明了證書主體如何訪問信息和服務，當證書主體時CA時，信息和服

務中包含證書驗證服務和CA策略數(shù)據(jù)，如果主體是終端用戶，則描述提供的服

務類型以及如何訪問。本項可以包含在用戶或CA證書中嗎，且必須為非關鍵擴

展項。

id-pe-subjectlnfoAccessOBJECTIDENTIFIER::={id-pe11}

SubjectInfoAccessSyntax::二

SEQUENCESIZE(1..MAX)OFAccessDescription

AccessDescription::二SEQUENCE{

accessMethodOBJECTIDENTIFIER,

accessLocationGeneralName)

1.3.2.2.2>機構信息訪問AuthorityInfoAccess

本項指明了包含本項擴展的證書頒發(fā)者如何獲得CA信息和服務。信息和服

務包括在線驗證服務和CA策略數(shù)據(jù)。本項可以包含在用戶證書和CA證書中，

且必須為非關鍵擴展。

id-pe-authoritylnfoAccessOBJECTIDENTIFIER::={id-pe1}

AuthorityInfoAccessSyntax::=

SEQUENCESIZE(1..MAX)OFAccessDescription

AccessDescription::=SEQUENCE{

accessMethodOBJECTIDENTIFIER,

accessLocationGeneralName}

id-adOBJECTIDENTIFIER::={id-pkix48}

id-ad-calssuersOBJECTIDENTIFIER::={id-ad2}

id-ad-ocspOBJECTIDENTIFIER::={id-ad1)

1.3.證書撤銷列表格式

證書撤銷列表(CRL)是由CA簽發(fā)的、加蓋時間標記已撤銷的數(shù)字證書列

表，CRL公開發(fā)布，可用于業(yè)務系統(tǒng)鑒別數(shù)字證書的有效性。其結構采用ANS.1

DER編碼，其結構如下所示：

CertificateList::=SEQUENCE{

tbsCertListTBSCertList,

signatureAlgorithmAlgorithmidentifier,

signatureValueBITSTRING}

TBSCertList::二SEQUENCE(

versionVersionOPTIONAL,

一ifpresent,shallbev2

signatureAlgorithmldentifier,

issuerName,

thisUpdateTime,

13

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

nextUpdateTimeOPTIONAL,

revokedCertificatesSEQUENCEOFSEQUENCE{

userCertificateCertificateSerialNumber,

revocationDateTime,

crlEntryExtensionsExtensionsOPTIONAL

-ifpresent,shallbev2

}OPTIONAL,

crlExtensions[0]EXPLICITExtensionsOPTIONAL

-ifpresent,shallbev2

}

CRL基本結構由tbsCertList、signatureAlgorithm和signatureValue三

部分組成。其中，tbsCertList包含了主體名稱和頒發(fā)者名稱、頒發(fā)日期、下

次更新日期、撤銷的證書信息和CRL的擴展信息。signatureAlgorithm包含了

CA簽發(fā)該CRL所使用的算法標識符，本項必須包含與tbsCertList中signature

字段相同算法標識符。SignatureValue包含了對tbsCertList域進行簽名的值，

如果簽名算法為SM2,SM2算法簽名數(shù)據(jù)格式見《SM2密碼算法使用規(guī)范》GM/T

0009o

1.3.1、TBSCertList結構

TBSCertList也可稱為待簽發(fā)的數(shù)字證書列表，主要包含了版本號、簽名算

法、頒發(fā)者、生效日期、下次更新時間、被撤銷的證書列表、擴展項。

1.3.L1、版本號version

CRL版本號采用v2,數(shù)值為“1”，表示版本2(V2)

1.3.1.2、簽名算法signature

CA簽發(fā)CRL所使用的密碼算法的標識符，該算法必須與CertificateList

中的signatureAlgorithm相同，當算法為SM2時，算法標識定義見GM/T

0006-2012《密碼應用標識規(guī)范》。

1.3.1.3、頒發(fā)者issuer

本項標識了簽名并發(fā)布CRL的實體，頒發(fā)者必須包含一個北空的X.500甄

別名稱，頒發(fā)者名稱字段定義為X.501類型Name。

、生效日期thisUpdate

本項標識了CRL的辦法日期，可以使用UTCTime或GeneralizedTime編碼。

遵循本標準的CA在2049年以前必須使用UTCTime編碼本項，在2050年以后，

必須使用GeneralizedTime編碼本項。

L3.1.5、下次更新日期nexrUpdate

本項標識了CRL的下次頒發(fā)時間，下次CRL可以在此時間之前簽發(fā)，但不

能晚于此時間簽發(fā)。遵循本標準的CA簽發(fā)CRL時必須包含nextUpdateo

1.3.1.6N被撤銷的證書列表revokedCertificates

當沒有被撤銷的證書時，證書撤銷列表必須為空。否則被撤銷的證書列表

是一個集合，其中每一條CA機構撤銷的證書都包含證書序列號、撤銷時間、撤

14

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

銷理由。被CA撤銷的證書由證書序列號唯一標識。

1.31.7、擴展項crlExtensions

本項僅在CRLversion為2時出現(xiàn)，如果出現(xiàn)，本項必須是一個或多個CRL

擴展的序列。

1.3.1.8、CRL擴展項及數(shù)據(jù)結構

CRL擴展項采用ANS.1編碼，每個CRL中的擴展項可以被指定為關鍵或非關

鍵擴展。

1.3.1.9、頒發(fā)機構密鑰標識符authorityKeyIdentifier

頒發(fā)機構密鑰標識符識提供了一種識別與CRL簽名私鑰相對應的公鑰的方

式。在頒發(fā)者因有多個簽名密鑰對或簽名密鑰發(fā)生變化而同時具有多個簽名私

鑰時，可通過本項有效識別出頒發(fā)者。

0、頒發(fā)者可替換名稱issuerAltName

本項是一個非關鍵擴展，可包含一個或多個可替換名稱以供CRL頒發(fā)者使

用。

1.3.1.11、證書撤銷列表號crlNumber

本項是一個非關鍵的CRL擴展，表示CA機構為其簽發(fā)的每個CRL分配一個

單調(diào)增長的序列號。用戶可通過本項確定一個特定的CRL何時取代另一個CRL,

遵守本標準的CA必須使用不大于20字節(jié)的證書撤銷列表號c

1.3.1.12、增量證書撤銷列表指示DeltaCRLIndicator

本項是一個關鍵的CRL擴展，表明一個CRL是增量CRL,在一些存儲為非

CRL結構格式的應用中，使用增量CRL能夠顯著的減少處理時間。

1.3.1.13、頒發(fā)分布點IssuingDistributionPoint

本項是一個關鍵CRL擴展，表明一個特定CRL的分發(fā)點和范圍，還表明這

個CRL是否只包含了用戶證書的撤銷、CA證書的撤銷或者一系列的原因代碼。

頒發(fā)機構分發(fā)點的數(shù)據(jù)結構如下：

id-ce-issuingDistributionPointOBJECTIDENTIFIER::={id-ce28)

issuingDistributionPoint::=SEQUENCE(

distributionPoint[0]DistributionPointNameOPTIONAL,

onlyContainsUserCerts[1]BOOLEANDEFAULTFALSE,

onlyContainsCACerts⑵BOOLEANDEFAULTFALSE,

onlySomeReasons[3]ReasonFlagsOPTIONAL,

indirectCRL[4]BOOLEANDEFAULTFALSE}

L3.1.14、最新證書撤銷列表freshestCRL(也可稱為增量CRL分布點)

本項擴展確定了如何獲取完整CRL的增量CRL信息，本項必須為非關鍵擴

展，并且不能出現(xiàn)在增量CRL中。

id-ce-freshestCRLOBJECTIDENTIFIER::={id-ce46}

FreshestCRL::=CRLDistributionPoints

15

公共資源交易領域數(shù)字證書(CA)全國互認通用技術解決方案

1.3.2、證書撤銷列表條目擴展CRLEntryExtensions

本標準中所有的證書撤銷列表條目擴展都是非關鍵擴展c無論本項是否可

用，CRL頒發(fā)者都應該包括原因代碼和撤銷時間。

1.3.2.1、原因代碼ReasonCode

本項為非關鍵擴展，表明證書撤銷的原因。CA應盡可能在證書撤銷列表條

目中使用有意義的原因代碼。如果的確是沒有原因，可以選擇不設置原因代碼,

而不是使用“未指定(0)”的原因代碼。

id-ce-cRLReasonOBJECTIDENTIFIER::={id-ce21}

--reasonCode::={CRLReason}

CRLReason::=ENUMERATED{

/\

l0

unspecifiedx7

/1\

t>

keyCompromisex/

/2\