书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ２０５１８ — ２０１８ /G21 /G22 ＧＢ ／ Ｔ２０５１８ — ２００６ /G21 /G22 /G23 /G24 /G25 /G26 　 /G27 /G28 /G29 /G2A /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犘狌犫犾犻犮犽犲狔犻狀犳狉犪狊狋狉狌犮狋狌狉犲 — 犇犻犵犻狋犪犾犮犲狉狋犻犳犻犮犪狋犲犳狅狉犿犪狋 ２０１８  ０６  ０７ /G33 /G34 ２０１９  ０１  ０１ /G35 /G2C /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G21 /G27 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G33 /G34书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 数字证书与 ＣＲＬ ２ ………………………………………………………………………………………… 　 ５．１ 　 概述 ２ ………………………………………………………………………………………………… 　 ５．２ 　 数字证书格式 ２ ……………………………………………………………………………………… 　 ５．３ 　 ＣＲＬ 格式 ２０ ………………………………………………………………………………………… ６ 　 算法技术的支持 ２４ ………………………………………………………………………………………… 附录 Ａ （ 规范性附录 ） 　 证书的结构 ２５ ……………………………………………………………………… 附录 Ｂ （ 规范性附录 ） 　 证书的结构实例 ２７ ………………………………………………………………… 附录 Ｃ （ 规范性附录 ） 　 证书撤销列表内容表 ２９ …………………………………………………………… 附录 Ｄ （ 资料性附录 ） 　 数字证书编码举例 ４８ ……………………………………………………………… 附录 Ｅ （ 资料性附录 ） 　 算法技术支持 ５２ …………………………………………………………………… 参考文献 ５３ …………………………………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ２０５１８ — ２０１８ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 本标准代替 ＧＢ ／ Ｔ２０５１８ — ２００６ 《 信息安全技术 　 公钥基础设施 　 数字证书格式 》， 与 ＧＢ ／ Ｔ２０５１８ — ２００６ 相比主要技术变化如下 ： ——— 在附录 Ｅ 算法技术支持中增加了对 ＳＭ２ 和 ＳＭ３ 密码算法的支持 ； 删除了 ＭＤ５ ， ＳＨＡ１ 算法的介绍 ； ——— 增加了 ５．３ 证书撤销列表的基本结构以及数字证书格式中扩展项的内容 ； ——— 修订了 ５．２．４ 中一些 ＯＩＤ 的值 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 上海格尔软件股份有限公司 、 长春吉大正元信息技术股份有限公司 、 上海市数字证书认证中心有限公司 、 中国金融认证中心 、 北京海泰方圆科技有限公司 、 北京数字认证股份有限公司 、 无锡江南信息安全工程技术中心 、 成都卫士通信息产业股份有限公司 、 兴唐通信科技有限公司 、 山东得安信息技术有限公司 、 国家信息安全工程技术研究中心 。 本标准主要起草人 ： 刘平 、 郑强 、 杨文山 、 赵丽丽 、 韩玮 、 赵改侠 、 傅大鹏 、 蒋红宇 、 罗俊 、 徐明翼 、 王妮娜 、 孔凡玉 、 袁锋 。 本标准所代替标准的历次版本发布情况为 ： ——— ＧＢ ／ Ｔ２０５１８ — ２００６ 。 Ⅲ 犌犅 ／ 犜 ２０５１８ — ２０１８ 信息安全技术 　 公钥基础设施数字证书格式 １ 　 范围 本标准规定了数字证书和证书撤销列表的基本结构 、 各数据项内容 。 本标准适用于数字证书认证系统的研发 、 数字证书认证机构的运营以及基于数字证书的安全应用 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 ， 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ１６２６２．１ — ２００６ 　 信息技术 　 抽象语法记法一 （ ＡＳＮ．１ ） 　 第 １ 部分 ： 基本记法规范 ＧＢ ／ Ｔ１６２６４．８ — ２００５ 　 信息技术 　 开放系统互连 　 目录 　 第 ８ 部分 ： 公钥和属性证书框架 ＧＢ ／ Ｔ１７９６９．１ — ２０１５ 　 信息技术 　 开放系统互联 ＯＳＩ 登记机构的操作规程 　 第 １ 部分 ： 一般规程 ＧＢ ／ Ｔ３５２７５ 　 ＳＭ２ 密码算法加密签名消息语法规范 ＧＢ ／ Ｔ３５２７６ 　 ＳＭ２ 密码算法使用规范 ＰＫＣＳ ＃ ７ 　 密码消息语法 （ Ｃｒｙｐｔｏｇｒａｐｈｉｃｍｅｓｓａｇｅｓｙｎｔａｘ ） ３ 　 术语和定义 下列术语和定义适用于本文件 。 ３ ． １ 公钥基础设施 　 狆狌犫犾犻犮犽犲狔犻狀犳狉犪狊狋狉狌犮狋狌狉犲 ； 犘犓犐 支持公钥管理体制的基础设施 ， 提供鉴别 、 加密 、 完整性和不可否认性服务 。 ３ ． ２ 公钥证书 　 狆狌犫犾犻犮犽犲狔犮犲狉狋犻犳犻犮犪狋犲 用户的公钥连同其他信息 ， 并由发布该证书的证书认证机构的私钥进行加密使其不可伪造 。 ３ ． ３ 证书撤销列表 　 犮犲狉狋犻犳犻犮犪狋犲狉犲狏狅犮犪狋犻狅狀犾犻狊狋 ； 犆犚犔 一个已标识的列表 ， 它指定了一套证书颁发者确认为无效的证书 。 除了普通 ＣＲＬ 外 ， 还定义了一些特殊的 ＣＲＬ 类型用于覆盖特殊领域的 ＣＲＬｓ 。 ３ ． ４ 证书序列号 　 犮犲狉狋犻犳犻犮犪狋犲狊犲狉犻犪犾狀狌犿犫犲狉 在 ＣＡ 颁发的证书范围内为每个证书分配的一个整数值 。 此整数值对于该 ＣＡ 所颁发的每一张证书必须是唯一的 。 ３ ． ５ 证书认证机构 　 犮犲狉狋犻犳犻犮犪狋犻狅狀犪狌狋犺狅狉犻狋狔 ； 犆犃 受用户信任 ， 负责创建和分配证书的权威机构 。 证书认证机构也可以为用户创建密钥 。 １ 犌犅 ／ 犜 ２０５１８ — ２０１８ ３ ． ６ 证书撤销列表分发点 　 犆犚犔犱犻狊狋狉犻犫狌狋犻狅狀狆狅犻狀狋 一个 ＣＲＬ 的目录项或其他 ＣＲＬ 分发源 ， 通过 ＣＲＬ 分发点分发的 ＣＲＬ 可以只含有某个 ＣＡ 所颁发的证书全集中的某个子集的撤销项 ， 也可以包括有多个 ＣＡ 的撤销项 。 ３ ． ７ 数字证书 　 犱犻犵犻狋犪犾犮犲狉狋犻犳犻犮犪狋犲 由国家认可的 ， 具有权威性 、 可信性和公正性的第三方证书认证机构 （ ＣＡ ） 进行数字签名的一个可信的数字化文件 。 ４ 　 缩略语 下列缩略语适用于本文件 。 ＣＡ 　 证书认证机构 （ ＣｅｒｔｉｆｉｃａｔｉｏｎＡｕｔｈｏｒｉｔｙ ） ＣＲＬ 　 证书撤销列表 （ ＣｅｒｔｉｆｉｃａｔｅＲｅｖｏｃａｔｉｏｎＬｉｓｔ ） ＤＩＴ 　 目录信息树系统 （ ＤｉｒｅｃｔｏｒｙＩｎｆｏｒｍａｔｉｏｎＴｒｅｅ ） ＯＩＤ 　 对象标识符 （ ＯｂｊｅｃｔＩＤ ） ＰＫＩ 　 公钥基础设施 （ Ｐｕｂｌｉｃｋｅｙｉｎｆｒａｓｔｒｕｃｔｕｒｅ ） ５ 　 数字证书与 犆犚犔 ５ ． １ 　 概述 数字证书具有以下的特性 ：——— 任何能够获得和使用认证机构公钥的用户都可以恢复认证机构所认证的公钥 ； ——— 除了认证机构 ， 没有其他机构能够更改证书 ， 证书是不可伪造的 。 由于证书是不可伪造的 ， 所以可以通过将其放置在目录中来发布 ， 而不需要以后特意去保护它们 。 认证机构通过对信息集合的签名来生成用户证书 ， 信息集合包括可辨别的用户名 、 公钥以及一个可选的包含用户附加信息的唯一性标识符 。 唯一性标识符内容的确切格式这里未做规定 ， 而留给认证机构去定义 。 唯一性标识符可以是诸如对象标识符 、 证书 、 日期或是说明有关可辨别用户名的有效性的证书的其他形式 。 具体地说 ， 如果一个用户证书的可辨别名为 Ａ ， 唯一性标识符为 ＵＡ ， 并且该证书是由名为 ＣＡ ， 其唯一性标识符为 ＵＣＡ 的认证机构生成的 ， 则用户证书具有下列的形式 ： ＣＡ ＜＜ Ａ ＞＞ ＝ＣＡ ｛ Ｖ ， ＳＮ ， ＡＩ ， ＣＡ ， ＵＣＡ ， Ａ ， ＵＡ ， Ａｐ ， ＴＡ ｝ 这里 Ｖ 为证书版本 ； ＳＮ 为证书序列号 ； ＡＩ 为用来签署证书的算