isaISAICS 35.240.60 L 67 湖 北 省 地 方 標 準 DB42 DB42/T 452 2008 湖北省電子政務數字證書技術應用規范 HuBei Province Electronic Government Digital Certificate Technical Application Specification 2008-01-04 發布 2008-02-01 實施 湖北省質量技術監督局 發布 DB42/T 452 2008 I 目 次 前 言 . III 引 言 . IV 1 范圍 . 1 2 規范性引用文件 . 1 3 術語、定義和縮略語 . 1 3.1 術語和定義 . 1 3.2 縮略語 . 3 4 數字證書格式 . 3 4.1 政務數字證書通用格式 . 3 4.2 認證 機構證書格式 . 6 4.3 政務個人證書格式 . 7 4.4 政務機構證書格式 . 8 4.5 政務設備證書格式 . 8 4.6 政務服務器證書格式 . 9 4.7 政務應用系統證書格式 . 10 4.8 政務代碼簽名證書格式 . 11 5 政務數字證書應用接口 . 11 5.1 政務數字證書應用體系結構 . 11 5.2 政務數字證書應用接口組成和功能說明 . 12 5.3 政務數字證書應用程序接口函數定義 . 13 6 政務數字證書業務規則 . 20 6.1 政務數字證書簽發 . 20 6.2 政務數字證書使用 . 21 6.3 政務數字證書維護 . 21 6.4 政務數字證書載體 . 22 6.5 政務數字證書實體查詢 . 22 附 錄 A （規范性附錄） 基本域說明 . 23 A.1 版本（ Version ） . 23 A.2 序列號（ SerialNumber ） . 23 A.3 簽名算法 （ SignatureAlgorithm ） . 23 A.4 頒發者 （ Issuer ） . 23 A.5 有效期 （ Validity ） . 23 A.6 主體（ Subject ） . 23 A.7 主體公鑰信息（ SubjectPublic KeyInfo） . 23 A.8 頒發者唯一標識符（ IssuerUniqueID） . 23 A.9 主體唯一標識符（ SubjectUniqueID） . 23 附 錄 B （規范性附錄） 擴展域說明 . 24 B.1 政務數字證書通用格式擴展域說明 . 24 B.1.1 機構密鑰標識符 . 24 DB42/T 452 2008 II B.1.2 主體密鑰標識符 . 24 B.2 認證機構證書格式擴展域說明 . 26 B.3 政務個人證書格式擴展域說明 . 27 B.4 政務機構證書格式擴展域說明 . 28 B.5 政務設備證書格式擴展域說明 . 29 B.6 政務服務器證書格式擴展域說明 . 30 B.7 政務應用系統證書格式擴展域說明 . 31 B.8 政務代碼簽名證書格式擴展域說明 . 31 附 錄 C （規范性附錄） 政務數字證書模板 . 33 附 錄 D （資料性附 錄） 主體命名示例 . 34 D.1 政務個人證書 . 34 D.2 政務機構證書 . 34 D.3 政務設備證書 . 34 D.4 政務服務器證書 . 35 D.5 政務應用系統證書 . 35 D.6 政務代碼簽名證書 . 35 附 錄 E （資料性附錄） 主體可選替換名稱命名示例 . 36 E.1 政務個人證書 . 36 E.2 政務機構證書 . 36 E.3 政務設備證書 . 36 E.4 政務服務器證書 . 37 E.5 政務應用系統證書 . 37 E.6 政務代碼簽名證書 . 37 附 錄 F （資料性附錄） 政務數字證書編碼示例 . 37 附 錄 G （規范性附錄） 數字證書應用接口常量定義和說明 . 41 G.1 證書類型 . 41 G.2 證書信息 . 42 附 錄 H （資料性附錄） 數字證書典型應用示例 . 43 H.1 典型業務流程 . 43 H.2 登錄程序基本流程 . 43 附 錄 I （資料性附錄） 政務數字證書注冊機構和受理點建設樣例 . 44 I.1 注冊機構和受理點功能 . 44 I.2 注冊機構和受理點在 PKI 體系中的位置 . 45 I.3 證書注冊機構邏輯結構 . 45 I.4 受理點邏輯結構 . 45 DB42/T 452 2008 III 前 言 本標準的附錄 A、附錄 B、附錄 C 和附錄 G 為規范性附錄，附錄 D、附錄 E、附錄 F、附錄 H 和附錄 I 為資料性附錄。 本標準由湖北省電子政務工作領導小組辦公室提出。 本標準由湖北省標準化協會電子政務專業委員會歸口。 本標準主要起草單位：湖北省數字證書認證管理中心有限公司、武漢大學計算機學院、湖北省標準化研究院。 本標準主要起草人：田造民、涂航、熊星、潘登、葛愿維、馮翔、吳焱。 DB42/T 452 2008 IV 引 言 隨著我省電子政務平臺的運行和省電子政務應用的深入開展，為了加強全省政務網的總體安全，保證全省數字證書策略的一致性，省電子政務辦出臺了規范全省數字證書的通知。本著這一精神，為指導我省電子政務數字證書應用，規范數字證書應用行為，確保數字證書在電子政務活動中能夠通用，實現網絡互聯互通和信息共享并一證多用，滿足湖北省信息化和電子政務發展的迫切需求， 故 制定 本標準 。 數字證書是 PKI 技術的關鍵要素之一，以 PKI 為核心的網絡身份認證體系和信息加密技術已成為業界廣泛認同的一種構造網絡身份信任體系的重 要方式，并成為信息安全保障體系中極其重要的組成部分之一。 數字證書是傳送和處理實體身份鑒別信息的重要載體，通過數字證書和身份認證確認電子政務參與方的各自身份，建立彼此間的信任關系以及保證信息的保密性、完整性和可用性。 本標準總體上同國家相關標準保持一致，并結合湖北省實際制定。 本標準 規定了政務數字證書的通用格式，規定了提供服務的認證機構證書、政務個人證書、政務機構證書、政務設備證書 、政務服務器證書、政務應用系統證書 和政務代碼簽名證書的格式和模板，對數字證書的應用接口進行描述，是湖北省電子政務數字證書應 用的依據。 本標準 不對屬性證書作出詳細的格式與應用的規定，但可作為屬性證書應用的參考。 DB42/T 452 2008 1 湖北省電子政務數字證書技術應用規范 1 范圍 本標準規定了湖北省電子政務數字證書格式、應用接口和業務規則。 本標準適用于電子認證服務機構、數字證書認證系統及相關產品的供應商、應用開發商的設計和開發。 本標準適用于 應用部門 在湖北省電子政務的辦公、社會管理和公共服務等政務活動，也可適用于電子商務應用。 本標準規定的電子政務數字證書格式適用于認證機構證書、政務個人證書、政務機構證書、政務設備證書、政務服務器證書、政務應用系統證 書、政務代碼簽名證書。 本標準 規定的電子政務數字證書格式適用于加密證書和簽名證書。 本標準 不涉及任何具體的密碼運算，所有密碼運算均在符合國家有關法律法規的密碼設備中進行。 本標準 凡涉及密碼相關內容，按國家有關法律法規實施。 2 規范性引用文件 下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本標準，然而，鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。 GB/T 16284.4-1996 信息技術 文本通信 面向信報的文本交換系統 第 4部分：抽象服務定義和規程 GB/T 17969.1-2000 信息技術 開放系統互連 OSI登記機構的操作規程 第 1部分：一般規程 DB 42/T 362 2006 電子政務術語 ISO/IEC 9594-2:2001 Information technology -Open Systems Interconnection - The Directory: Models 信息技術 .開放系統互連 .目錄 :模型 IETF RFC 791 Internet Protocol Internet協議 IETF RFC 822 Standard for the format of ARPA Internet text messages ARPA 英特網文本消息格式標準 IETF RFC 1034 Domain names - concepts and facilities 域名 -概念和設施 IETF RFC 1630 Universal Resource Identifiers in WWW: A Unifying Syntax for the Expression of Names and Addresses of Objects on the Network as used in the World-Wide Web WWW中的全球資源 標識符：類似 WWW的網絡目標的名字和地址表達的統一句法 RFC1738 統一資源定位器 IETF RFC 1738 Uniform Resource Locators (URL) 統一資源定位器 (URL) IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile 因特網 X.509公開密鑰基礎設施證書與證書撤銷列表輪廓 PKCS#7: Cryptographic Message Syntax Standard PKCS#7:密碼消息語法標準 PKCS#11: Cryptographic Token Interface Standard PKCS#11:密碼令牌接口標準 3 術語 、 定義 和 縮略語 3.1 術語和定義 DB42/T 452 2008 2 DB 42/T 362 2006 確立的 以及 下列 術語和定義適用于本標準 。 3.1.1 公鑰基礎設施（ PKI） Public Key Infrastructure 支持公鑰管理體制的基礎設施，提供鑒別、加密、完整性和不可否認性服務。 3.1.2 證書認證機構（ CA） Certificate Authority 負責創建和分配證書，受用戶信任的權威機構。用戶可以選擇該機構為其創建密鑰 。 3.1.3 證書注冊機構（ RA） Registration Authority RA是 CA 的組成部分，對證書申請的業務受理審核子系統概稱為 RA， RA按照 CA制定的政策和管理規范對用戶的資信進行審查，以決定 是否為該用戶發放證書。 3.1.4 密鑰管理中心（ KMC） Key Management Centre 密鑰管理中心。 主要負責數字證書用戶密鑰的生成和管理，解決系統密 鑰和數字證書用戶密鑰自產生到最終銷毀的整個生命周期中的相關問題。 3.1.5 在線證書狀態協議（ OCSP） Online Certificate Status Protocol 在線證書狀態協議 ，是 IETF 頒布的用于檢查數字證書在某一時間是否有效的標準。 3.1.6 依賴方 Relying Party 即指依賴于證書真實性的實體。在電子簽名應用中，即為電子簽名依賴方。 3.1.7 公 鑰證書 Public Key Certificate 用戶的公鑰連同其他信息，并由發布該證書的證書認證機構的私鑰進行加密使其不可偽造。 3.1.8 證書吊銷列表 (CRL) Certificate Revocation List 一種由證書簽發者所認定的無效證書的清單。 3.1.9 終端實體 End Entity 不以簽署證書為目的而使用其私鑰的證書主體或者證書使用者。 3.1.10 政務數字證書 Government Affair Digital Certificate 用來標識電子政務參與方真實身份的數字證書 ， 根據參與方的不同類別分為認 證機構證書、政務個人證書、政務機構證書、政務設備證書、政務服務器證書、政務應用系統證書、政務代碼簽名證書。 3.1.11 政務個人證書 Government Affair Person Certificate 頒發給參與電子政務的個人實體，用來唯一標識個人實體真實身份的數字證書。 3.1.12 政務機構證書 Government Affair Unit Certificate 頒發給 參與電子政務的機構實體，用來唯一標識機構實體真實身份的數字證書。 3.1.13 政務設備證書 Government Affair Device Certificate 頒發給參與電子政務的設備實體，用來唯一標識設備實體真實身份的數字證書。 DB42/T 452 2008 3 3.1.14 政務 服務器 證書 Government Affair Server Certificate 頒發給參與電子政務的 服務器 實體，用來唯一標識 服務器 實體真實身份的數字證書。 3.1.15 政務 應用系統 證書 Government Aaffair Application Certificate 頒發給參與電子政務的 應用系統 實體，用來唯一標識 應用系統 實體真實身份的數字證書。 3.1.16 政務代碼簽名證書 Government Affair Code Signing Certificate 頒發給參與電子政務的各類實體，用來對其所開發的代碼進行代碼簽名的數字證書。 3.2 縮略語 下列縮略語適用于本標準： ASN Abstract Syntax Notation 抽象語法表示法 BASE64 設計用來把任意序列的 8 位字節描述為一種不易被人直接識別的形式 BER Basic Encoding Rules 基本編碼規則 C Country 國家 CA Certificate Authority 證書認證機構 CN Common Name 通用名 CRL Certificate Revocation List 證書吊銷列表 CSP Cryptographic Service Provider 加密服務提供者 DER Distinguished Encoding Rules 可區分編碼規則 DN Distinguished Name 甄別名 KMC Key Management Centre 密鑰管理中心 L Location 市州 LDAP Lightweight Directory Access Protocol 輕量級目錄訪問協議 O Organization 機構 OCSP Online Certificate Status Protocol 在線證書狀態協議 OID Object Identifier 對象標識符 OU Organization Unit 機構單位 PKCS The Public-Key Cryptography Standard 公鑰密碼使用標準 PKI Public Key Infrastructure 公鑰基礎設施 RA Registration Authority 證書注冊機構 S State 省份 4 數字證書格式 4.1 政務數字證書通用格式 4.1.1 基本結構 政務數 字證書 的基本 結構 由三部 分組 成：基 本證書 域 TBSCertificate 、 簽名 算法域SignatureAlgorithm、簽名值域 SignatureValue。 政務數字證書的基本結構，見圖 1。 DB42/T 452 2008 4 基 本 證 書 域T B S C e r t i f i c a t e簽 名 算 法 域S i g n a t u r e A l g o r i t h m簽 名 值 域S i g n a t u r e V a l u e政務數字證書基本結構 圖 1 政務數字證書的基本結構 4.1.2 基本證書域 基本證書域由基本域和擴展域組成。基本證書域結構，見圖 2。 基本證書域基 本 域擴 展 域 圖 2 基本證書域結構 4.1.3 基本域 基本域由如下部分組成： 版本 Version 序列號 SerialNumber 簽名算法 SignatureAlgorithm 頒發者 Issuer 有效期 Validity 主體 Subject 主體公鑰信息 SubjectPublicKeyInfo 頒發者唯一標識符 IssuerUniqueID 主體唯一標識符 SubjectUniqueID 基本域應符合 附錄 A 的規定。 4.1.4 擴展域 政務數字證書可使用擴展域。 政務數字證書擴展域可包含多項擴展項。每項擴展項由擴展類型、擴展關鍵度和擴展項值組成。 政務數字證書可使用 IETF RFC 3280 中定義的如下證書擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 策略映射 PolicyMappings 主體替換名稱 SubjectAlternativeName 頒發者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints DB42/T 452 2008 5 名稱限制 NameConstraints 策略限制 PolicyConstraints 證書撤銷列表分發點 CRLDistributionPoints 限制任意策略 InhibitAnyPolicy 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 除上述證書擴展項， 本標準 還支持如下私有擴展項： 個人身份證號碼 IdentifyCardNumber 個人社會保險號 InsuranceNumber 組織機構代碼 OrganizationCode 工商注冊號 ICRegistrationNumber 稅號 TaxationNumber 主體銀行基本賬號 SubjectBasicAccount 政務數字證書擴展域 應符合 附錄 B.1 的規定 。 4.1.5 簽名算法域 包含 CA 頒發該證書所使用的密碼算法的標識符，應與基本證書域中的簽名算法 項 所標識的簽名算法相同。可選參數的內容完全依賴所標識的具體算法。 4.1.6 簽名值域 包含對基本證書域進行數字簽名的結果。經過 ASN.1 DER 編碼的基本證書域作為數字簽名算法的輸入，簽名的結果按照 ASN.1 編碼成 BIT STRING 類型并保存在簽名值域。 4.1.7 命名規范 主體 政務數字證書中的主體 DN 應是 C=CN 命名空間下的 X.500 目錄唯一名字。 C（ Country）屬性的編 碼使用 PrintableString，其它屬性的編碼使用 UTF8String。主體的 X.500 DN 如下： C=CN S= L= O= OU= CN= a) C（ Country）應為 CN，表示中國。 b) S（ State）應為證書主體所在省份。 c) L（ Location）應為證書主體所在 市州 。 d) O（ Organization）應為證書主體所屬單位的上一級單位的名稱 全稱； e) OU（ OrganizationUnit）應為證書主體或者證書主體所屬單位的名稱全稱； f) CN（ CommonName）中的內容分為 6 種： 1） 政務個人證書中應為證書主體的姓名； 2） 政務機構證書中應為證書主體單位的 名稱 ； 3） 政務設備證書中應為證書主體設備的設備編碼； 4） 政務服務器證書中應為證書主體服務器的域名或 IP，宜為域名； 5） 政務應用系統證書中應為證書主體應用系統的應用系統編碼； 6） 政務代碼簽名證書中應為負責人的姓名，或者是所屬單位的 名稱 。 主體命名示例 參 見附錄 D。 DB42/T 452 2008 6 主體替換名稱 政務數字證書的主體替換名稱擴展項包含一個或多個替換名供實體使用， CA 把該實體與認證的公開密鑰綁定在一起。 主體替換名稱擴展允許把附加身份加到證書的主體上。所定義的選項包括因特網電子郵件地址、DNS 名稱、 IP 地址和統一資源標識符（ URI），及純本地定義的選項。 此項定義如下： a) otherName 是按照 OTHER-Name 信息客體類別實例定義的任一種形式的名稱； b) rfc822Name 是按照 Internet RFC822 定義的 Internet 電子郵件地址，政務個人證書、政務機構證書、政務設備 證書、政務服務器證書、政務應用系統證書、政務代碼簽名證書宜包含電子郵件地址 Email； c) DNSName 是按照 RFC1034 定義的 Internet 域名，政務設備證書、政務服務器證書、政務應用系統證書可包含域名地址； d) x400Address 是按照 GB/T 16284.4-1996 定義的 O/R 地址； e) directoryName 是按照 ISO/IEC 9594-2:2001 定義的目錄名稱； f) ediPartyName 是通信的電子數據交換雙方之間商定的形式名稱， nameAssigner 成分標識了分配partyName 中 唯一名稱值的機構； g) uniformResourceIdentifier 是按 Internet RFC1630 定義的用于 WWW 的 UniformResourceIdentifer，RFC1738 中定義的 URL 語法和編碼規則； h) iPAddress 是按照 Internet RFC791 定義的用二進制串表示的 Internet Protocol 地址； i) registeredID 是按照 GB/T 17969.1-2000 對注冊的客體分配的標識符。 directoryName 的 X.500 DN 應是 C=CN 命名空間下的 X.500 目錄 唯一名字。 主體替換名稱命名示例參見附錄 E。 4.1.8 政務數字證書編碼示例 政務數字證書編碼參見 附錄 F。 4.2 認證機構證書格式 4.2.1 概述 認證機構證書為 頒發給參與電子政務的證書認證機構的數字證書 。 認證機構證書簡稱電子政務 CA 證書。 認證機構證書由基本證書域、簽名算法域和簽名值域組成。 4.2.2 認證機構證書基本證書域 基本證書域由基本域和擴展域組成。 4.2.3 認證機構證書基本域 認證機構證書基本域應符合附錄 A 的規定。 4.2.4 認證機構證書擴展域 CA 證書可包含如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 策略映射 PolicyMappings 主體替換名稱 SubjectAlternativeName 頒發者替換名稱 IssuerAlternativeName DB42/T 452 2008 7 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 名稱限制 NameConstraints 策略限制 PolicyConstraints 證書撤銷列表分發點 CRLDistributionPoints 限制任意策略 InhibitAnyPolicy 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 認證機構 數字證書擴展域 應符合附錄 B.2 的規定。 4.2.5 認證機構證書簽名算法域 認證機構證書簽名算法域 應 符合 4.1.3 的規定。 4.2.6 認證機構證書簽名值域 認證機構證書簽名值域 應 符合 4.1.4 的規定。 4.2.7 認證機構證書模板 認證機構證書模板應符合附錄 C 的規定。 4.3 政務個人證書格式 4.3.1 概述 政務個人證書為 頒發給參與電子政務的個人實體，用來唯一標識個人實體真實身份的數字證書。 政務個人證書由基本證書域、簽名算法域和簽名值域組成。 4.3.2 政務個人證書基本證書域 基本證書域由基本域和擴展域組成。 4.3.3 政務個人證書基本域 政務個人證書基本域應符合附錄 A 的規定。 4.3.4 政務個人證書擴展域 政務個人證書擴展域可包含如下擴展項： 機構密鑰標 識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 個人身份證號碼 IdentifyCardNumber 個人社會保險號 InsuranceNumber 主體銀行基本賬號 SubjectBasicAccount 政務 個人 證書擴展域 應符合附錄 B.3 的規定。 DB42/T 452 2008 8 4.3.5 政務個人證書簽名算法域 政務個人證書簽名算法域應符合 4.1.3 的規定。 4.3.6 政務個人證書簽名值域 政務個人證書簽名值域應符合 4.1.4 的規定。 4.3.7 政務個人證書模板 政務個人證書模板應符合附錄 C 的規定。 4.4 政務機構證書格式 4.4.1 概述 政務機構證書為 頒發給參與電子政務的機構實體，用來唯一標識機構實體真實身份的數字證書。 政務機構證書由基本證書域、簽名算法域和簽名值域組成。 4.4.2 政務機構基本證書域 基本證書域由基本域和擴展域組成。 4.4.3 政務機構證書基本域 政務機構證書基本域應符合附錄 A 的規定。 4.4.4 政務機構證書擴展 域 政務機構證書擴展域可包含如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發者替換名稱 IssuerAlternativeName 主體 目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 工商注冊號 ICRegistrationNumber 組織機構代碼 OrganizationCode 稅號 TaxationNumber 主體銀行基本賬號 SubjectBasicAccount 政務 機構 證書擴展域 應符合附錄 B.4 的規定。 4.4.5 政務機構證書簽名算法域 政務機構證書簽名算法域應符合 4.1.3 的規定。 4.4.6 政務機構證書簽名值域 政務機構證書簽名值域應符合 4.1.4 的規定。 4.4.7 政務機構證書模板 政務機構證書模板應符合附錄 C 的規定。 4.5 政務設備證書格式 4.5.1 概述 政務設備證書為 頒發給參與電子政務的設備實體，用來唯一標識設備實體真實身份的數字證書。 DB42/T 452 2008 9 政務設備證書由基本證書域、簽名算法域和簽名值域組成。 4.5.2 政務設備基本證書域 基本證書域由基本 域和擴展域組成。 4.5.3 政務設備證書基本域 政務設備證書基本域應符合附錄 A 的規定。 4.5.4 政務設備證書擴展域 政務設備證書擴展域可包含如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務 設備 證書擴展域 應符合附錄 B.5 的規定。 4.5.5 政務 設備證書簽名算法域 政務設備證書簽名算法域應符合 4.1.3 的規定。 4.5.6 政務設備證書簽名值域 政務設備證書簽名值域應符合 4.1.4 的規定。 4.5.7 政務設備證書模板 政務設備證書模板應符合附錄 C 的規定。 4.6 政務服務器證書格式 4.6.1 概述 政務服務器證書為頒發給參與電子政務的各服務器實體，用來唯一標識服務器實體真實身份的數字證書。 政務服務器證書由基本證書域、簽名算法域和簽名值域組成。 4.6.2 政務服務器基本證書域 基本證書域由基本域和擴展域組成。 4.6.3 政務服務器證書基本域 政務服務器證書基本域應符合附錄 A 的規定。 4.6.4 政務服務器證書擴展 域 政務服務器證書擴展域可包如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod DB42/T 452 2008 10 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務 服務器 證書擴展域 應符合附錄 B.6 的規定。 4.6.5 政務服務器證書簽名算法域 政務服務器證書簽名算法域應符合 4.1.3 的規定。 4.6.6 政務服務器證書簽名值域 政 務服務器證書簽名值域應符合 4.1.4 的規定。 4.6.7 政務服務器證書模板 政務服務器證書模板應符合附錄 C 的規定。 4.7 政務應用系統證書格式 4.7.1 概述 政務應用系統證書為頒發給參與電子政務的各應用系統實體，用來唯一標識應用系統實體真實身份的數字證書。 政務應用系統證書由基本證書域、簽名算法域和簽名值域組成。 4.7.2 政務應用系統基本證書域 基本證書域由基本域和擴展域組成。 4.7.3 政務應用系統基本證書域 政務應用系統基本證書域應符合附錄 A 的規定。 4.7.4 政務應用系統證書擴展域 政務應用系統證書擴展域可包如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務 應用系統 證書擴展域 應符合附錄 B.7 的規定。 4.7.5 政務應用系統證書簽名算法域 政務應用系統證書簽名算法域應符合 4.1.3 的規定。 DB42/T 452 2008 11 4.7.6 政務應用系統證書簽名值域 政務應用系統證書簽名值域應符合 4.1.4 的規定。 4.7.7 政務應用系統證書 模板 政務應用系統證書模板應符合附錄 C 的規定。 4.8 政務代碼簽名證書格式 4.8.1 概述 政務代碼簽名證書為 頒發給參與電子政務的各類實體，用來對其所開發的代碼進行代碼簽名的數字證書。 政務代碼簽名證書由基本證書域、簽名算法域和簽名值域組成。 4.8.2 政務代碼簽名基本證書域 基本證書域由基本域和擴展域組成。 4.8.3 政務代碼簽名證書基本域 政務代碼簽名證書基本域應符合附錄 A 的規定。 4.8.4 政務代碼簽名證書擴展域 政務代碼簽名證書擴展域可包含如下擴展項： 機構密鑰標識符 AuthorityKeyIdentifier 主體密鑰標識符 SubjectKeyIdentifier 密鑰用法 KeyUsage 擴展密鑰用途 ExtendedKeyUsage 私有密鑰使用期 PrivateKeyUsagePeriod 證書策略 CertificatePolicies 主體替換名稱 SubjectAlternativeName 頒發者替換名稱 IssuerAlternativeName 主體目錄屬性 SubjectDirectoryAttributes 基本限制 BasicConstraints 證書撤銷列表分發點 CRLDistributionPoints 最新證書撤銷列表 FreshestCRL 機構信息訪問 AuthorityInformationAccess 主體信息訪問 SubjectInformationAccess 政務 代碼簽名 證書擴展域 應符合附錄 B.8 的規定。 4.8.5 政務代碼簽名證書簽名算法域 政務代碼簽名證書簽名算法域應符合 4.1.3 的規定。 4.8.6 政務代碼簽名證書簽名值域 政務代碼簽名證書簽名值域應符合 4.1.4 的規定。 4.8.7 政務代碼簽名證書模板 政務代碼簽名證書模板應符合附錄 C 的規定。 5 政務數字證書應用 接口 5.1 政務數字證書應用 體系結構 政務數字證書應用 體系結構如圖 3 所示。 政務數字證書支持多種應用方式，可利用 CA 提供的數字證書應用程序接口進行定制開發，實現登錄和身份認證等基本應用，也可 應用已有標準協議和標準中間件，例如： 1) 安全套接層協議（ SSL， Security Socket Layer） ， SSL 協議指定了一種在應用程序協議（如 HTTP、 Telnet、 NMTP 和 FTP 等）和 TCP/IP 協議之間提供數據安全性分層的機制，它為 TCP/IP 連接DB42/T 452 2008 12 提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。 2) 安全 多媒體 Internet郵件擴展協議（ S/MIME）主要用于保障電子郵件的安全傳輸。例如：微軟的 outlook express中使用該協議，采用數字標識、數字憑證、數字簽名以及非對稱密鑰系統等技術，構成一種簽名加密的郵件收發方式。 3) XML 密鑰信息服務規范（ XKISS） ， XKMS為允許客戶機應用程序認證經過加密 /簽名的數據提供機制。 身 份 認 證 保 密 性 完 整 性 不 可 否 認 性應 用 程 序數 字 證 書 應 用 中 間 件應 用 程 序 接 口S / M I M E 協 議 X K M S 協 議 S S L 協 議數 字 證 書密 碼 設 備 （ 加 密 機 、 密 碼 卡 、 u s b k e y 等 ）應 用 層接 口 層系 統 層 圖 3 政務數字證書應用 體系結構 5.2 政務數字證書應用接口組成和功能說明 政務 數字證書應用接口位于應用系統和 政務數字證書 之間，應 用程序通過調用 政務數字證書 應用接口實現身份認證、實現信息的保密性、完整性和不可否認性； 政務數字證書 應用接口通過標準接口，在密碼設備中實現具體的密碼運算和密鑰使用。 政務數字證書 應用接口支持 PKCS#11和 CSP接口方式，提供的消息函數符合 PKCS#7格式。 政務數字證書 應用接口由以下部分組成： 初始化函數 證書函數 算法服務函數 原文操作函數 文件操作函數 除上述程序接口以外， CA應提供字符串編碼及異常處理等輔助函數。 5.2.1 初始化函數 初始化函數負責創建和管理安全程序空間， 加載 和管理安全程序空間中所需的各種資源，完成與系統、密碼設備的連接準備。 可 通過初始化函數加載配置文件對 以下內容進行設置 ： 應用工作路徑 系統字符集 應用程序字符集 日志文件 系統 可 信任的 證書 DB42/T 452 2008 13 CRL 在具體的應用中可通過直接加載配置文件進行 應用配置， 不必調用 初始化函數。 5.2.2 證書函數 證書函數 用于 獲取 和驗證政務數字證書及提取證書信息。 應用程序 可 通過 該類 函數，實現基于 政務數字證書的身份認證、 授權管理、訪問控制等安全機制。 應 先獲取相關證書的 CRL或證書的狀態，然后調用相關函數進行證 書驗證， 在確 定證書的有效性后調用該類函數 。 5.2.3 算法服務函數 算法服務函數 用于 設置簽名和加密算法 。 不 調 用 該 函數 將 采用 系統 初始化 時確定的 默認算法。 5.2.4 原文操作函數 原文操作函數 對字符串數據 進行操作實現以下功能： 數據簽名，數據加密，驗證簽名數據，驗證加密數據，獲取簽名信息，獲取加密信息等操作，實現信息的保密性、完整性和不可否認性。 對原文進行操作前，應使用證書函數對 證書 進行設置 。 5.2.5 文件操作函數 文件操作函數 對數據文件 進行操作實現以下功能 ：數據簽名，數據加密，驗證簽名數據，驗證加密數據，獲取簽名信息，獲取加密信息等操 作，實現文件信息的保密性、完整性和不可否認性。 對 文件 進行操作前， 應使用證書函數對 證書 進行設置 。 5.3 政務數字證書應用程序接口函數定義 5.3.1 初始化函數 初始化函數 Init，定義如表 1。 表 1 初始化函數 Init 函數名稱 Init( String str ) 功能 初始化簽名系統 參數說明 str - 配置文件路徑 返回值 無 5.3.2 證書函數 證書函數包括如下函數： 設置證書函數： SetCert 證書選擇方式函數： SetCertChooseType 證書信息函數： GetCertInfo 證書選擇方 式函數 證書 選擇方式 函數 SetCertChooseType，定義如表 2。 表 2 證書選擇方式函數 SetCertChooseType 函數名稱 SetCertChooseType( int nType ) 功能 指定證書選擇的方式 參數說明 nType - 證書選擇的類型 (0 表示只有一張證書時也彈出證書選擇框 ,1 表示只有一張證書時將不彈出證書選擇框 ,默認值為 0) 返回值 類型為 long 0 表示成功， 0 表示失敗的錯誤碼 設置證書函數 設置證書函數 SetCert，定義如表 3。 DB42/T 452 2008 14 表 3 設置證書函數 SetCert 函數名稱 SetCert( String strCertType, String strDN, String strSN, String strEmail, String strDNIssuer, String strCertBase64 ) 功能 通過指定參數來設置證書 參數說明 strCertType 證書的類型 (見附錄 G.1) strDN - 證書的主題 (Distinguished Name) strSN - 證書的序列號 (Serial Number) strEmail - 證 書的主題中的 Email 項 strDNIssuer - 證書的頒發者主題 (Distinguished Name of Issuer) strCertBase64 - 證書的 BASE64 編碼 返回值 成功： 0 失敗： long型錯誤代碼 證書信息函數 證書 信息 函數 GetCertInfo，定義如表 4。 表 4 證書信息函數 GetCertInfo 函數名稱 GetCertInfo( String strCertType, int nInfoType, String strOID ) 功能 獲得證書 中的相應信息 參數說明 strCertType - 證書的類型 ,見附錄 G.1 nInfoType - 證書信息的類型 , 見附錄 G.2 strOID - 證書擴展標識，如果 type等于證書擴展， strOID輸入項不可為空 返回值 成功：返回字符型證書信息 失敗：返回 null 5.3.3 算法服務函數 算法服務 函數 SetAlgorithm，定義如表 5。 表 5 算法服務函數 SetAlgorithm 函數名稱 SetAlgorithm( String strSignType, String strEncType ) 功 能 設置簽名算法、加密算法 參數說明 strSignType - 簽名算法類型 strEncType - 加密算法類型 返回值 成功：返回 0 失敗：返回錯誤代碼 DB42/T 452 2008 15 5.3.4 原文操作函數 原文操作函數包括如下函數： 簽名函數 驗證簽名函數 加密函數 解密函數 添加原文函數 獲得原文函數 簽名函數 簽名函數有如下兩種： a) 帶原文的簽名函數 AttachSign，定義如表 6； 表 6 帶原文函數 AttachSign 函數名稱 AttachSign( String strDN, byte bOrgData ) 功能 制作一個包含原文的數字簽名 參數說明 strDN - 指定證書的主題 bOrgData byte型原文數據 返回值 成功：返回一個 P7 格式的 Base64 編碼簽名 失敗：返回 null b) 不帶原文的簽名函數 DetachSign，定義如表 7。 表 7 不帶原文函數 DetachSign 函數名稱 DetachSign( String strDN, byte bOrgData ) 功能 制作一個不包含原文的數字簽名 參數說明 strDN - 指定證書 的主題 bOrgData byte原文數據 返回值 成功：返回一個 P7格式的 Base64編碼簽名 失敗：返回 null 驗證簽名函數 驗證簽名函數有如下兩種： a) 帶原文簽名的驗證函數 VerifyAttachedSign，定義如表 8； 表 8 驗證函數 VerifyAttachedSign 函數名稱 VerifyAttachedSign( byte bAtchSignedData ) 功能 對 Attached做的數字簽名做驗證 參數說明 bAtchSignedData - Attached簽名 結果（ Base64編碼格式） 返回值 成功：返回 0 失敗：返回錯誤代碼 b) 不帶原文簽名的驗證函數 VerifyDetachedSign，定義如表 。 DB42/T 452 2008 16 表 9 驗證函數 VerifyDetachedSign 函數名稱 VerifyDetachedSign( byte bDtchSignedData, byte bOrgData ) 功能 Detached函數做的數字簽名做驗證 參數說明 bDtchSignedData Detached簽名結果（ Base64編碼格式） bOrgData byte原文數據 返回值 成功：返回 0 失敗：返回錯誤碼 加密函數 加密函數有如下兩種： a) 數字信封函數 EncryptEnvelop，定義如表 10； 表 10 數字信封函數 EncryptEnvelop 函數名稱 EncryptEnvelop( String strDN, byte bOrgData ) 功能 制作數字信封 參數說明 strDN 接收者的證書主題 bOrgData byte原文數組 返回值 成功：返回 P7格式 Base64編碼數字信封 失敗：返回 null b) 帶簽名的數字信封函數 CreateSignedEnvelop，定義如表 11。 表 11 帶簽名數字信封函數 CreateSignedEnvelop 函數名稱 CreateSignedEnvelop ( String strDNSignCert, String strDNEncCert, ArrayList alOrgData ) 功能 指定原文、加密證書和簽名證書制作帶簽名的數字信封 參數說明 strDNSignCert - 簽名證書的主題 strDNEncCert - 加密證書的主題 alOrgData byte原文數組 返回值 成功：返回 P7格式 Base64編碼帶簽名數字信封 失敗：返回 null 解密函數 解密函數有如下兩種： a) 解密數字信封函數 DecryptEnvelop，定義如表 12； DB42/T 452 2008 17 表 12 解密數字信封函數 DecryptEnvelop 函數名稱 DecryptEnvelop( byte bEnvelop ) 功能 解密 EncryptEnvelop函數制作的數字信封 參數說明 bEnvelop - byte型數字信封 返回值 成功：返回 0 失敗：返回錯誤碼 b) 解密帶數字簽名的數字信封函數 VerifySignedEnvelop，定義如表 13。 表 13 解密帶簽名數字信封函數 VerifySignedEnvelop 函數名稱 VerifySignedEnvelop( byte bEnvelop ) 功能 解密并驗證 CreateSignedEnvelop函數制作的 帶簽名的數字信封 參數說明 bEnvelop - 數字信封 返回值 成功：返回 0 失敗：返回錯誤碼 添加原文函數 添加原文的函數 AddData， 定義如表 14。 表 14 添加原文函數 AddData 函數名 稱 AddData( byte bOrgData ) 功能 添加多個原文數據 參數說明 bOrgData - 原文數據 返回值 成功：返回 0 失敗：返回錯誤代碼 獲得原文函數 獲得原文的函數 GetData， 定義如表 15。 表 15 獲得原文函數 GetData 函數名稱 GetData() 功能 從對象中獲得原文 參數說明 無 返回值 如果存儲對象中有原文，返回原文 如果存儲對象中無原文，返回 null 5.3.5 文件操作函數 文件操作函數包括如下函數： 簽名函數 驗證簽名函數 加密函 數 解密函數 添加原文函數 獲得原文函數 簽名函數 簽名函數有如下兩種： a) 帶原文件的簽名函數 AttachSign，定義如表 16； DB42/T 452 2008 18 表 16 帶原文件簽名函數 AttachSign 函數名稱 AttachSign( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作一個包含原文件的數字簽名 參數說明 strDN - 指定證書的主題 strFileNameIn 原文文件名 strFileNameOut 簽名 輸出結果保存的文件名 ,字 符型 返回值 strFileNameOut=null 返回一個 P7格式的 Base64編碼簽名 strFileNameOut!=null 返回 b) 不帶原文件的簽名函數 DetachSign，定義如表 17。 表 17 不帶原文件簽名函數 DetachSign 函數名稱 DetachSign( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作一個不包含原文件的數字簽名 參數說明 strDN - 簽名證書的 DN strFileNameIn - 文件名 strFileNameOut 簽名輸出結果保存的文件名 ,字符型 返回值 成功 : strFileNameOut=null 返回一個 P7格式的 Base64編碼簽名 strFileNameOut!=null 返回 失敗：返回 null 驗證簽名函數 驗證簽名函數有如下兩種 : a) 帶原文件簽名的驗證函數 VerifyAttachedSign，定義如表 18； 表 18 帶原文件簽名驗證函數 VerifyAttachedSign 函數名稱 VerifyAttachedSign( String strFileNameAttached ) 功能 通過接口參數傳入文件信息，對文件的 Attached函數的數字簽名做驗證 參數說明 strFileNameAttached - 存放 Attached簽名結果的文件名 返回值 成功：返回 0 失敗：返回錯誤代碼 b) 不帶原文件簽名的驗證函數 VerifyDetachedSign，定義如表 19。 DB42/T 452 2008 19 表 19 不帶原文件簽名驗證函數 VerifyDetachedSign 函數名稱 VerifyDetachedSign( String strFileNameIn, byte bDetachedData, String strFileNameDetached ) 功能 通過接口參數傳入文件信息，對文件的 Detached函數的數字簽名做驗證 參數說明 strFileNameIn Detached 驗簽名時用到的原文文件名 bDetachedData byte 型簽名結果（ Base64編碼格式） strFileNameDetached - 存放 detached簽名結果的文件名 返回值 成 功：返回 0 失敗：返回錯誤碼 加密函數 對文件的加密函數有如下兩種： a) 數字信封函數 EncryptEnvelop，定義如表 20； 表 20 數字信封函數 EncryptEnvelop 函數名稱 EncryptEnvelop( String strDN, String strFileNameIn, String strFileNameOut ) 功能 制作數字信封 參數說明 strDN 接收者的證書主題 strFileNameIn - 需要做數字信封的文件名稱數組 strFileNameOut - 數字信封結果輸出的全路徑文件名稱 返回值 成功： strFileNameOut=null 返回一個 P7格式的 Base64編碼數字信封 strFileNameOut!=null 返回 失敗：返回 null b) 帶簽名的數字信封函數 CreateSignedEnvelop，定義如表 21。 表 21 帶簽名數字信封函數 CreateSignedEnvelop 函數名稱 CreateSignedEnvelop ( String strDNSignCert, String strDNEncCert, String strFileNameIn, String strFileNameOut ) 功能 指定文件、加密證書和簽名證書制作帶簽名的數字信封 參數說明 strDNSignCert - 簽名證書的主題 strDNEncCert - 加密證書的主題 strFileNameIn - 需要做操作的文件名稱 strFileNameOut - 操作結果輸出的文件名稱 返回值 成功：返回 P7格式 Base64編碼帶簽名數字信封 失敗：返回 null DB42/T 452 2008 20 解密函數 解密函數有如下兩種： a) 解密數字信 封函數 DecryptEnvelop，定義如表 22； 表 22 解密數字信封函數 DecryptEnvelop 函數名稱 DecryptEnvelop（ String strFileNameIn ) 功能 解密 EncryptEnvelop函數制作的數字信封 參數說明 strFileNameIn 存放數字信封結果的文件名 返回值 成功：返回 0 失敗：返回錯誤碼 b) 解密帶數字簽名的數字信封函數 VerifySignedEnvelop，定義如表 23。 表 23 解密帶數字簽名數字信封函數 VerifySignedEnvelop 函數名稱 VerifySignedEnvelop( String strFileNameIn ) 功能 解密并驗證 CreateSignedEnvelop函數制作的 帶簽名的數字信封 參數說明 strFileNameIn - 存放數字信封結果的文件名 返回值 成功：返回 0 失敗：返回錯誤碼 添加原文件函數 添加原文件函數 AddFile， 定義如表 24。 表 24 添加原文件函數 AddFile 函數名稱 AddFile( String strFileName ) 功能 添加多個原文文件 參數說明 strFileName - 原文文件名 返回值 成功：返回 0 失敗：返回錯誤代碼 獲得原文件函數 獲得原文件函數 GetFile， 定義如表 25。 表 25 獲得原文件函數 GetFile 函數名稱 GetFile( String strFilePath ) 功能 從對象中獲得原文文件 參數說明 strFilePath 結果文件存放的路徑 返回值 如果存儲對象中有文件名，返回文件名 如果存儲對象中無文件名，返回 錯誤返回 null 6 政務數字證書業務規則 6.1 政務數字證書簽發 6.1.1 證書簽發中 RA 和 CA 的行為 RA 業務管理員使用證書登錄到 RA系統的業務終端，查詢并審核系統的申請記錄。審核 通過 的信息將發送到證書認證機構的 CA 系統， CA系統簽發證書并返回給 RA系統供終端實體下載。 政務數字證書注冊機構 （ RA） 和受理點 建設參見附錄 I。 6.1.2 密鑰對的安全技術控制 CA 公鑰 的發送 證書認證機構的根 CA 公鑰， 通過如下方式傳輸給依賴方： a) 依賴方訪問證書認證機構的網站下載 CA 根證書； DB42/T 452 2008 21 b) 證書認證機構到依賴方業務系統現場將 CA 根證書安裝到業務系統中； c) 證書認證機構通過簽名電子郵件將 CA 根證書傳輸給依賴方； d) 證書認證機構將 CA 根證書綁定在分發給 依賴方的軟件中。 終端實體 密鑰對的產生和發送 對于 政務 個人 證書、 機構證書 和代碼簽名證書 ， 終端實體 的簽名密鑰應使用 USB Key 產生；對于政務 設備證書、服務器證書和應用系統證書， 終端實體 可利用 設備或 服務 器自帶 程序軟件提供的密鑰生成功能產生密鑰對 ，也可采用專門硬件 模塊產生密鑰對。 終端實體 的加密密鑰對應由國家密碼管理部門許可的、證書認證機構簽發系統支持的加密機設備產生，由 KMC 管理。 終端實體 的加密私鑰只保存在 KMC 和 終端實體 介質。在加密私鑰從 KMC 到 終端實體 的傳遞過程中應采用國家密碼管理部門許可的算法加密。 終端實體 的簽名證書公鑰通過安全通道經 RA 傳遞到 CA。 終端實體 的加密證書公鑰，由 KMC 通過安全通道傳遞到 CA。 終端實體 的公鑰在從 RA到 CA 以及從 KMC 到 CA傳遞過程中，應采用國際密碼管理部門許可的通訊協議及密 碼 算法。 密鑰對使用期限 密鑰對的使用期限和其對應的終端實體證書的有效期 一致。 6.1.3 政務數字證書發布 證書認證機構在證書簽發完成后，將數字證書發布到 服務器中 供 終端實體 和依賴方查詢和下載。 6.2 政務數字證書使用 6.2.1 政務數字證書使用范圍 在湖北省電子政務 中涉及到身份認證 、 數據傳輸 、 安全郵件 、 數據交換 活動，通過本標準 的應用接口與相關技術協議支持數字證書。 在湖北省電子政務 中 ， 涉及到各級政務門戶的身份認證和登錄應支持數字證書 。 在湖北省電子政務 中 ， 涉及到跨部門或跨市州的應用系統應使用數字證書。 在湖北省電子政務 中 ， 涉及到部門內部和市州內部系統宜使用數字證書。 6.2.2 依賴方的證書使用 依賴方接收到經數字簽名的信息后： a) 獲得數字簽名對應的證書及信任鏈； b) 確認該簽名對應的證書是依賴方信任的證書； c) 檢查 證書的有效期，確認該證書在有效期內； d) 查詢證書狀態，確認該證書沒有被注銷； e) 證書的用途適用于對應的 功能 ； f) 使用證書上的公鑰驗證簽名。 以上任一環節失敗，依賴方 拒絕接受簽名信息。 依賴方需發送加密信息給接受方時，應先獲取接受方的加密證書，并使用證書公鑰對信息加密，將加密證書連同加密信息一起發送給接受方。 6.2.3 政務數字證書一證多用 政務數字證書支持在不改變證書信息的前提下，支持在省電子政務各應用系統中的通用。 政務數字證書各參與實體 ，在設計、開發和使用政務數字證書的過程中，應實現政務數字證書的一證多用。 6.3 政務數字證書維護 電子政務證書認證機構實現對政務數字證書的更新、變更、吊銷與掛起。 DB42/T 452 2008 22 6.4 政務數字證書載體 對于 政務設備證書、服務器證書和應用系統證 書，載體為設備 硬盤或加密硬件設備。 對于政務個人證書、機構證書和代碼簽名證書，載體 為 USB Key，功能 包括： a）提供數據、私鑰和算法安全存貯功能，私鑰不可復制，對外不可讀， 具備多密鑰存儲功能； b）采用國家密碼管理部門 批準的硬件物理噪音源生成隨機數； c）支持 PKCS#11、 X.509 V3 證書存儲 及 Microsoft CrptoAPI 應用接口 標準； d） USB Key 的設備驅動程序 附有主流操作系統的 硬件設備認證簽名； e）提供 PIN 口令保護機制； f） 密鑰 在 USB Key 硬件內部生成； g）具有 LED 用于電源指示和通訊指示。 6.5 政務數字證書實體查詢 證書認證機構通過以下方式提供政務數字證書的實體查詢 ： a) 在其網站提供證書實體查詢及公鑰證書下載服務； b) 發布 CRL 提供證書狀態查詢服務； c) 根據依賴方應用系統實時性和并發量需求協商提供在線證書查詢（ OCSP）服務或目錄服務器（ LDAP）查詢服務。 DB42/T 452 2008 23 附 錄 A （規范性附錄） 基本域說明 A.1 版本（ Version ） 本項描述了編碼證書的版本號。規定政務數字證書應使用版本 3（對應的值是整數 2）。 A.2 序列號（ SerialNumber ） 本項是 CA 分配給每個證書的一個正整數。一 個 CA 頒發的每張證書的序列號必須是唯一的， CA必須保證序列號是非負整數。序列號可以是長整數，證書用戶必須能夠處理長達 20 個 8bit 字節的序列號值， CA 必須確保不使用大于 20 個 8 比特字節的序列號。 A.3 簽名算法 （ SignatureAlgorithm ） 本項包含 CA 簽發該證書所使用的密碼算法的標識符，這個算法標識符必須與證書中簽名算法域中的算法標識符相同。可選參數的內容完全依賴所標識的具體算法。 A.4 頒發者 （ Issuer ） 本項標識了證書簽名和證書頒發的實體。它必須包含一個非空的可辨別名。該項被定義為 Name 類型。 頒發者可辨別名的 C（ Country）屬性的編碼使用 PrintableString、 Email 屬性的編碼使用 IA5String，其它屬性的編碼一律使用 UTF8String。 A.5 有效期 （ Validity ） 本項是一個時間段。在這個時間段內， CA 擔保它將維護關于證書狀態的信息。該項被表示成一個具有兩個時間值的 SEQUENCE 類型數據：證書有效期的起始時間（ notBefore）和證書有效期的終止時間（ notAfter）。 NotBefore 和 NotAfter 這兩個時間都可以作為 UTCTime 類型或者 GeneralizedTime 類型進行編碼。 遵循本標準的 CA 在 2049 年之前必須將該時間編碼為 UTCTime 類型，在 2050 年之后編碼為GeneralizedTime 類型。 A.6 主體（ Subject ） 本項描述了與主體公鑰項中的公鑰相對應的實體。該項不能為空。終端實體數字證書主體的內容和編碼方式見 A.4。 A.7 主體公鑰信息（ SubjectPublicKeyInfo） 本項用來標識公鑰和相應的公鑰算法。 A.8 頒發者唯一標識符（ IssuerUniqueID） 本項主要用來處理頒發者名稱重用問題。本標準建議不同 的實體名稱不要重用， Internet 網的證書不要使用唯一標識符。遵循本標準的證書簽發機構不應生成帶有頒發者唯一標識符的證書，但是在應用過程中應該能夠解析這個項并進行對比。 A.9 主體唯一標識符（ SubjectUniqueID） 本項主要用來處理主體名稱重用問題。本標準建議不同的實體名稱不要重用，并且不建議使用此項，遵循本標準的證書簽發機構不應生成帶有主體唯一標識符的證書，但是在應用過程中應該能夠解析唯一標識并進行對比。 DB42/T 452 2008 24 附 錄 B （規范性附錄） 擴展域說明 B.1 政務數字證書通用格式擴展域說明 B.1.1 機構密鑰標識符 本項標識用來 驗證在證書或 CRL 上簽名的公開密鑰。 CA 自簽證書形式發放其公鑰時，可以省略認證機構密鑰標識符。此時，主體和認證機構密鑰標識符是完全相同的。除些之外，所有證書應具有機構密鑰標識符擴展項。 政務數字證書的機構密鑰標識符應使用 keyIdentifier 的形式，從 CA對應數字證書中的 BIT STRING subjectPublicKey 的 160 比特散列值（不包括標簽、長度和不使用的字節數目）生成。 該擴展項應為非關鍵擴展項。 B.1.2 主體密鑰標識符 本項提供一種識別包含有一個特定公鑰的證書的方法。此擴展標識了被認 證的公開密鑰。 所有證書應具有主體密鑰標識符擴展項。 政務數字證書的主體密鑰標識符應從該數字證書中的 BIT STRING subjectPublicKey 的 160 比特散列值（不包括標簽、長度和不使用的字節數目）生成。 該擴展項應為非關鍵擴展項。 B.1.3 密鑰用法 本項說明已認證的公開密鑰用于何種用途。 所有證書應具有密鑰用法擴展項。 該擴展項應為非關鍵擴展項。 政務數字證書支持雙證書體制， CA 通過密鑰用法擴展項區分加密和簽名的密鑰，加密證書僅用于加密，簽名證書僅用于簽名。 B.1.4 擴展密鑰用途 本項指明已 驗證的公開密鑰可以用于一種用途或多種用途，它們可作為對密鑰用法擴展項中指明的基本用途的補充或替代。 政務數字證書可使用擴展密鑰用途擴展項。該擴展項應為非關鍵擴展項。 B.1.5 私有密鑰使用期 本項指明與已驗證的公開密鑰相對應的私有密鑰的使用期限。該項只能用于數字簽名密鑰。 政務簽名證書可使用私有密鑰使用期擴展項。該擴展項應為非關鍵擴展項。 B.1.6 證書策略 本項列出了由頒發的 CA 所認可的證書策略。 在 CA 證書中，證書策略擴展項表示了通過該 CA 證書的認證路徑中允許的證書策略。 在終端實體證書中，證書策略擴展項表示 了該終端實體證書頒發過程中所使用的證書策略。 政務數字證書中可使用證書策略擴展項。該擴展項應為非關鍵擴展項。 B.1.7 策略映射 本項只用于 CA 證書。它列出一個或多個 OID 對，每對包括一個 issuerDomainPolicy 和一個subjectDomainPolicy。這種成對形式表明，頒發者 CA 認為其 issuerDomainPolicy 與主體 CA 的subjectDomainPolicy 是等效的。頒發者 CA 的用戶可以為某應用接收一個 issuerDomainPolicy。策略映射告知頒發者 CA 的用戶，哪些同 CA 有 關的策略可以與它們接收到的策略是等效的。 政務 CA 證書中可使用策略限制擴展項。該擴展項應為非關鍵擴展項。 DB42/T 452 2008 25 B.1.8 主體替換名稱 本項包含一個或多個可選替換名（可使用多種名稱形式中的任一個）供實體使用。 主體替換名稱擴展允許把附加身份加到證書的主體上。主體替換名稱擴展項的名稱形式包括：電子郵件地址、 DNS 名稱、 IP 地址和統一資源標識符（ URI），還有一些純本地定義的選項。可以包括多種名稱形式和每個名稱形式的多個范例。主體替換名稱擴展項中的所有信息必須經過 CA 驗證。 政務數字證書中可使用主體可選替換名稱擴展項 。主體替換名稱內容和編碼方式見 4.5。 該擴展項應為非關鍵擴展項。 B.1.9 頒發者替換名稱 本項包含一個或多個替換名（可使用多種名稱形式中的任一個）。 頒發者替換名稱擴展項中包含證書頒發者的附加信息。頒發者替換名稱必須按 B.1.8 的說明進行編碼。 政務數字證書中可使用頒發者替換名稱擴展項。該擴展項應為非關鍵擴展項。 B.1.10 主體目錄屬性 本項為證書主體傳送其期望的任何目錄屬性值。 政務數字證書中不宜使用主體目錄屬性擴展項。該擴展項應為非關鍵擴展項。 B.1.11 基本限制 本項用于標識證書的主體是否是一個 CA、通過該 CA 可能存在的認證路徑的最大長度。 政務終端實體證書可使用基本限制擴展項。在政務終端實體證書中應為非關鍵擴展項。 政務 CA 證書應使用基本限制擴展項。在政務 CA 證書中應為非關鍵擴展項。 B.1.12 名稱限制 本項僅用于 CA 證書，它指示了一個名稱空間，在此空間設置了認證路徑可以在后續證書的主體名稱中被找到。 政務 CA 證書中可使用名稱限制擴展項。該擴展項應為非關鍵擴展項。 B.1.13 策略限制 本項用于 CA 頒發的證書中，提供了 CA 對于認證路徑的附加要求。該擴展項可用于禁止策略映射或要求認證路徑中的每個證書包含一個認可的證書策略 OID。 策略限制擴展項只用于 CA 證書。 政務 CA 證書中可使用策略限制擴展項。該擴展項應為非關鍵擴展項 B.1.14 證書撤銷列表分發點 本項用來標識如何獲得證書相應的 CRL 信息，本擴展僅作為證書擴展使用。 政務數字證書中應具有證書撤銷列表分發點擴展項。該擴展項應為非關鍵擴展項。 B.1.15 限制所有策略 本項指定了一個限制，它指出了任何策略，對于從指定 CA 開始的認證路徑中的所有證書的證書策略，都不是顯式匹配。 限制所有策略擴展項只用于 CA 證書。 政務 CA 證書中可使用名稱限制擴展項。該擴展項應為非關鍵擴展項。 B.1.16 最新證書撤銷列表 本項一般作為證書擴展使用，或在發給認證機構和用戶的證書中使用。該項標識了 CRL，對 CRL來說證書用戶應包含最新的撤銷信息（例如：最新的增量 CRL）。 政務數字證書中可使用最新證書撤銷列表擴展項。該擴展項應為非關鍵擴展項。 B.1.17 機構信息訪問 本項描述了包含該擴展的證書的簽發者如何訪問 CA 的信息以及服務。包括在線驗證服務和 CA 策略數據。 政務數字證書中不宜使用機構信息訪問擴展項。該擴展項應為非關鍵擴展項。 B.1.18 主體信息訪問 DB42/T 452 2008 26 本項描述了證書主體如何訪問信息以及服務。如果主體是 CA，則包括證書驗證服務和 CA策略數據， 如果主體是用戶，則描述了提供的服務的類型以及如何訪問它們。 政務數字證書中不宜使用主體信息訪問擴展項。該擴展項應為非關鍵擴展項。 B.1.19 個人身份標識碼 個人身份標識碼擴展項用于表示個人身份證件的號碼，此擴展項標記為非關鍵的。 B.1.20 個人社會保險號 個人社會保險號擴展項用于表示個人社會保險號碼，此擴展項標記為非關鍵的。 B.1.21 工商注冊號 工商注冊號擴展項用于表示工商注冊號碼，此擴展項標記為非關鍵的。 B.1.22 稅號 稅號擴展項用于表示稅號碼，此擴展項標記為非關鍵的。 B.1.23 主體銀行基本賬號 主體銀行基本 賬號擴展項用于表示主體的基本銀行賬號信息，此擴展項標記為非關鍵的。 B.2 認證機構證書格式擴展域說明 B.2.1 機構密鑰標識符 認證機構證書機構密鑰標識符應符合附錄 B.1.1 的規定。 B.2.2 主體密鑰標識符 認證機構證書主體密鑰標識符應符合附錄 B.1.2 的規定。 B.2.3 密鑰用法 認證機構證書密鑰用法應符合 附錄 B.1.3 的規定 。 B.2.4 擴展密鑰用途 認證機構證書擴展密鑰用途應符合附錄 B.1.4 的規定。 B.2.5 私有密鑰使用期 認證機構證書私有密鑰使用期應符合附錄 B.1.5 的規定。 B.2.6 證書策略 認證機構證書證書策略應符合附錄 B.1.6 的規定。 B.2.7 策略映射 認 證機構證書策略映射應符合附錄 B.1.7 的規定。 B.2.8 主體替換名稱 認證機構證書主體替換名稱應符合附錄 B.1.8 的規定。 B.2.9 頒發者替換名稱 認證機構證書頒發者替換名稱應符合附錄 B.1.9 的規定。 B.2.10 主體目錄屬性 認證機構證書主體目錄屬性應符合附錄 B.1.10 的規定。 B.2.11 基本限制 認證機構證書基本限制應符合附錄 B.1.11 的規定。 B.2.12 名稱限制 認證機構證書名稱限制應符合附錄 B.1.12 的規定。 B.2.13 策略限制 認證機構證書策略限制應符合附錄 B.1.13 的規定。 B.2.14 證書撤銷列表分發點 認證機構證書證書撤銷列表分發點應符合附錄 B.1.14 的規定。 B.2.15 限制所有策略 DB42/T 452 2008 27 認證機構證書限制所有策略應符合附錄 B.1.15 的規定。 B.2.16 最新證書撤銷列表 認證機構證書最新證書撤銷列表應符合附錄 B.1.16 的規定。 B.2.17 機構信息訪問 認證機構證書機構信息訪問應符合附錄 B.1.17 的規定。 B.2.18 主體信息訪問 認證機構證書主體信息訪問應符合附錄 B.1.18 的規定。 B.3 政務個人證書格式擴展域說明 B.3.1 機構密鑰標識符 政務個人證書機構密鑰標識符應符合附錄 B.1.1 的規定。 B.3.2 主體密鑰標識符 政務個人證書主體密鑰標識符應符合附錄 B.1.2 的規定。 B.3.3 密鑰用法 政務個人證書中應具有密 鑰用法擴展項，區分簽名證書和加密證書，支持雙證書體系。 政務個人簽名證書的密鑰用法擴展項的設置見 附錄 C 表 2。 政務個人加密證書的密鑰用法擴展項的設置見 附錄 C 表 2。 該擴展項應為非關鍵擴展項。 B.3.4 擴展密鑰用途 政務個人證書擴展密鑰用途應符合附錄 B.1.4 的規定。 B.3.5 私有密鑰使用期 政務個人證書私有密鑰使用期應符合附錄 B.1.5 的規定。 B.3.6 證書策略 政務個人證書證書策略應符合附錄 B.1.6 的規定。 B.3.7 主體替換名稱 政務個人證書主體替換名稱應符合附錄 B.1.8 的規定。 B.3.8 頒發者替換名稱 政務個人證書頒發者 替換名稱應符合附錄 B.1.9 的規定。 B.3.9 主體目錄屬性 政務個人證書主體目錄屬性應符合附錄 B.1.10 的規定。 B.3.10 基本限制 政務個人證書基本限制應符合附錄 B.1.11 的規定。 B.3.11 證書撤銷列表分發點 政務個人證書證書撤銷列表分發點應符合附錄 B.114 的規定。 B.3.12 最新證書撤銷列表 政務個人證書最新證書撤銷列表應符合附錄 B.1.16 的規定。 B.3.13 機構信息訪問 政務個人證書機構信息訪問應符合附錄 B.1.17 的規定。 B.3.14 主體信息訪問 政務個人證書主體信息訪問應符合附錄 B.1.18 的規定。 B.3.15 個人身份證號碼 包含證書主體的 身份證號碼。其定義如下： id-cce-identifyCode OBJECT IDENTIFIER := 1 2 86 11 7 1 IdentifyCode :=SET DB42/T 452 2008 28 residenterCardNumber 0 PRINTABLESTRING OPTIONAL, militaryOfficerCardNumber 1 UTF8STRING OPTIONAL, passportNumber 2 PRINTABLESTRING OPTIONAL, . 政務個人證書應使用個人身份證號碼擴展項。 該擴展項應為非關鍵擴展項。 B.3.16 個人社會保險號 用于表示證書主體的個人社會保險號碼，其定義如下： id-cce-insuranceNumber OBJECT IDENTIFIER := 1 2 86 11 7 2 InsuranceNumber:= PRINTABLESTRING 政務個人證書可使用個人社會保險號擴展項。 該擴展項應為非關鍵擴展項。 B.3.17 主體銀行基本帳號 表示證書主體的銀行基本 帳號信息，其定義如下： id-cce-subjectBasicAccount OBJECT IDENTIFIER := 1 2 86 11 7 7 SubjectBasicAccount := UTF8STRING 政務個人證書可使用主體銀行基本帳號擴展項，表示證書主體的個人銀行基本帳號。 該擴展項應為非關鍵擴展項。 B.4 政務機構證書格式擴展域說明 B.4.1 機構密鑰標識符 政務機構證書機構密鑰標識符應符合附錄 B.1.1 的規定。 B.4.2 主體密鑰標識符 政務機構證書主體密鑰標識符應符合附錄 B.1.2 的規定 。 B.4.3 密鑰用法 政務機構證書中應具有密鑰用法擴展項，區分簽名證書和加密證書，支持雙證書體系。 政務機構簽名證書的密鑰用法擴展項的設置見 附錄 C 表 2。 政務機構加密證書的密鑰用法擴展項的設置見 附錄 C 表 2。 該擴展項應為關鍵擴展項。 B.4.4 擴展密鑰用途 政務機構證書擴展密鑰用途應符合附錄 B.1.4 的規定。 B.4.5 私有密鑰使用期 政務機構證書私有密鑰使用期應符合附錄 B.1.5 的規定。 B.4.6 證書策略 政務機構證書證書策略應符合附錄 B.1.6 的規定。 B.4.7 主體替換名稱 政務機構證書主體替換名稱應符合附錄 B.1.8 的規定。 B.4.8 頒發者替 換名稱 政務機構證書頒發者替換名稱應符合附錄 B.1.9 的規定。 B.4.9 主體目錄屬性 政務機構證書主體目錄屬性應符合附錄 B.1.10 的規定。 B.4.10 基本限制 政務機構證書基本限制應符合附錄 B.1.11 的規定。 DB42/T 452 2008 29 B.4.11 證書撤銷列表分發點 政務機構證書證書撤銷列表分發點應符合附錄 B.1.14 的規定。 B.4.12 最新證書撤銷列表 政務機構證書最新證書撤銷列表應符合附錄 B.1.16 的規定。 B.4.13 機構信息訪問 政務機構證書機構信息訪問應符合附錄 B.1.17 的規定。 B.4.14 主體信息訪問 政務機構證書主體信息訪問應符合附錄 B.1.18 的規定。 B.4.15 工 商注冊號 用于表示工商注冊號碼，其定義如下： id-cce-iCRegistrationNumber OBJECT IDENTIFIER := 1 2 86 11 7 4 ICRegistrationNumber:= PRINTABLESTRING 政務機構證書可使用 工商注冊號 擴展項。 該擴展項應為非關鍵擴展項。 B.4.16 組織機構代碼 用于表示 組織機構代碼 ，其定義如下： id-cce-organizationCode OBJECT IDENTIFIER := 1 2 86 11 7 3 OrganizationCode:= PRINTABLESTRING 政務機構證書應使用 組織機構代碼 擴展項，用于標識 企業 、 機關 、 事業單位 、 社會團體 和 其他組織機構 的組織機構代碼 。 該擴展項應為非關鍵擴展項。 B.4.17 稅號 用于表示 稅號 碼，其定義如下： id-cce-taxationNumber OBJECT IDENTIFIER := 1 2 86 11 7 5 TaxationNumber:= PRINTABLESTRING 政務機構證書可使用 稅號 擴展項，用于標識 企業 、 機關 、 事業單位 、 社會團體 和 其他組織機構 的稅號 。 該擴展項應為非關鍵擴展項。 B.4.18 主體銀行基本帳號 表示證書主體的銀行基本帳號信息，其定義如下： id-cce-subjectBasicAccount OBJECT IDENTIFIER := 1 2 86 11 7 7 SubjectBasicAccount := UTF8STRING 政務機構證書可使用主體銀行基本帳號擴展項，表示證書主體的機構銀行基本帳號。 該擴展項應為非關鍵擴展項。 B.5 政務設備證書格式擴展域說明 B.5.1 機構密鑰標識符 政務設備證書機構密鑰標識符應符 合附錄 B.1.1 的規定。 B.5.2 主體密鑰標識符 政務設備證書主體密鑰標識符應符合附錄 B.1.2 的規定。 B.5.3 密鑰用法 政務設備證書密鑰用法應符合 附錄 B.1.3 的規定 。 B.5.4 擴展密鑰用途 政務設備證書擴展密鑰用途應符合附錄 B.1.4 的規定。 DB42/T 452 2008 30 B.5.5 私有密鑰使用期 政務設備證書私有密鑰使用期應符合附錄 B.1.5 的規定。 B.5.6 證書策略 政務設備證書證書策略應符合附錄 B.1.6 的規定。 B.5.7 主體替換名稱 政務設備證書主體替換名稱應符合附錄 B.1.8 的規定。 B.5.8 頒發者替換名稱 政務設備證書頒發者替換名稱應符合附錄 B.1.9 的規定。 B.5.9 主體目錄屬性 政務設備證書主體目錄屬性應符合附錄 B.1.10 的規定。 B.5.10 基本限制 政務設備證書基本限制應符合附錄 B.1.11 的規定。 B.5.11 證書撤銷列表分發點 政務設備證書證書撤銷列表分發點應符合附錄 B.1.14 的規定。 B.5.12 最新證書撤銷列表 政務設備證書最新證書撤銷列表應符合附錄 B.1.16 的規定。 B.5.13 機構信息訪問 政務設備證書機構信息訪問應符合附錄 B.1.17 的規定。 B.5.14 主體信息訪問 政務設備證書主體信息訪問應符合附錄 B.1.18 的規定。 B.6 政務服務器證書格式擴展域說明 B.6.1 機構密鑰標識 符 政務服務器證書機構密鑰標識符應符合附錄 B.1.1 的規定。 B.6.2 主體密鑰標識符 政務服務器證書主體密鑰標識符應符合附錄 B.1.2 的規定。 B.6.3 密鑰用法 政務服務器證書密鑰用法應符合 附錄 B.1.3 的規定 。 B.6.4 擴展密鑰用途 政務服務器證書擴展密鑰用途應符合附錄 B.1.4 的規定。 B.6.5 私有密鑰使用期 政務服務器證書私有密鑰使用期應符合附錄 B.1.5 的規定。 B.6.6 證書策略 政務服務器證書證書策略應符合附錄 B.1.6 的規定。 B.6.7 主體替換名稱 政務服務器證書主體替換名稱應符合附錄 B.1.8 的規定。 B.6.8 頒發者替換名 稱 政務服務器證書頒發者替換名稱應符合附錄 B.1.9 的規定。 B.6.9 主體目錄屬性 政務服務器證書主體目錄屬性應符合附錄 B.1.10 的規定。 B.6.10 基本限制 政務服務器證書基本限制應符合附錄 B.1.11 的規定。 B.6.11 證書撤銷列表分發點 政務服務器證書證書撤銷列表分發點應符合附錄 B.1.14 的規定。 DB42/T 452 2008 31 B.6.12 最新證書撤銷列表 政務服務器證書最新證書撤銷列表應符合附錄 B.1.16 的規定。 B.6.13 機構信息訪問 政務服務器證書機構信息訪問應符合附錄 B.1.17 的規定。 B.6.14 主體信息訪問 政務服務器證書主體信息訪問應符合附錄 B.1.18 的規定。 B.7 政務應用系統證書格式擴展域說明 B.7.1 機構密鑰標識符 政務應用系統證書機構密鑰標識符應符合附錄 B.1.1 的規定。 B.7.2 主體密鑰標識符 政務應用系統證書主體密鑰標識符應符合附錄 B.1.2 的規定。 B.7.3 密鑰用法 政務應用系統證書密鑰用法應符合 附錄 B.1.3 的規定 。 B.7.4 擴展密鑰用途 政務應用系統證書擴展密鑰用途應符合附錄 B.1.4 的規定。 B.7.5 私有密鑰使用期 政務應用系統證書私有密鑰使用期應符合附錄 B.1.5 的規定。 B.7.6 證書策略 政務應用系統證書證書策略應符合附錄 B.1.6 的規定。 B.7.7 主體替換名稱 政務應 用系統證書主體替換名稱應符合附錄 B.1.8 的規定。 B.7.8 頒發者替換名稱 政務應用系統證書頒發者替換名稱應符合附錄 B.1.9 的規定。 B.7.9 主體目錄屬性 政務應用系統證書主體目錄屬性應符合附錄 B.1.10 的規定。 B.7.10 基本限制 政務應用系統證書基本限制應符合附錄 B.1.11 的規定。 B.7.11 證書撤銷列表分發點 政務應用系統證書證書撤銷列表分發點應符合附錄 B.1.14 的規定。 B.7.12 最新證書撤銷列表 政務應用系統證書最新證書撤銷列表應符合附錄 B.1.16 的規定。 B.7.13 機構信息訪問 政務應用系統證書機構信息訪問應符合附錄 B.1.17 的規 定。 B.7.14 主體信息訪問 政務應用系統證書主體信息訪問應符合附錄 B.1.18 的規定。 B.8 政務代碼簽名證書格式擴展域說明 B.8.1 機構密鑰標識符 政務代碼簽名證書機構密鑰標識符應符合附錄 B.1.1 的規定。 B.8.2 主體密鑰標識符 政務代碼簽名證書主體密鑰標識符應符合附錄 B.1.2 的規定。 B.8.3 密鑰用法 政務代碼簽名證書中應使用密鑰用法擴展項，明確表示可用于數字簽名。 DB42/T 452 2008 32 政務代碼簽名證書的密鑰用法擴展項的設置見 附錄 C 表 2。 該擴展項應為關鍵擴展項。 B.8.4 擴展密鑰用途 政務代碼簽名證書擴展密鑰用途應符合附錄 B.1.4 的規定。 B.8.5 私有密鑰使用期 政務代碼簽名證書私有密鑰使用期應符合附錄 B.1.5 的規定。 B.8.6 證書策略 政務代碼簽名證書證書策略應符合附錄 B.1.6 的規定。 B.8.7 主體替換名稱 政務代碼簽名證書主體替換名稱應符合附錄 B.1.8 的規定。 B.8.8 頒發者替換名稱 政務代碼簽名證書頒發者替換名稱應符合附錄 B.1.9 的規定。 B.8.9 主體目錄屬性 政務代碼簽名證書主體目錄屬性應符合附錄 B.1.10 的規定 B.8.10 基本限制 政務代碼簽名證書基本限制應符合附錄 B.1.11 的規定 。 B.8.11 證書撤銷列表分發點 政務代碼簽名證書證書撤銷列表分發點應符合附錄 B.1.14 的規定。 B.8.12 最新證書撤銷列 表 政務代碼簽名證書最新證書撤銷列表應符合附錄 B.1.16 的規定。 B.8.13 機構信息訪問 政務代碼簽名證書機構信息訪問應符合附錄 B.1.17 的規定。 B.8.14 主體信息訪問 政務代碼簽名證書主體信息訪問應符合附錄 B.1.18 的規定。 DB42/T 452 2008 33 附 錄 C （規范性附錄） 政務數字證書模板 本 標準規定了認證機構證書模板、政務個人證書模板、政務機構證書模板、政務設備證書模板、政務服務器證書模板、政務應用系統證書模板、政務代碼簽名證書模板，如表 C.1 所示 。 表 C.1 政務數字證書模板 證書域 名稱 描述 說明 基本域 Version 版本號 必備， 2 表示版本 3 serialNumber 序列號 必備， 16 進制，正整數 Signature 簽名算法 必備 issuer 頒發者 必備，證書頒發 CA 的 X.500 DN Validity 有效日期 必備 Subject 主體 必備，證書主體的 X.500 DN subjectPublicKeyInfo 主體公鑰信息 必備 ,BIT STRING 擴展域 authorityKeyIdentifier 機構密鑰標識符 必備 ,非關鍵， OCTET STRING subjectKeyIdentifier 主體密鑰標識符 必備 ,非關鍵， OCTET STRING keyUsage 密鑰用法 非關鍵，見附錄 C 表 2 extKeyUsage 擴展密鑰用途 非關鍵 privateKeyUsagePeriod 私有密鑰使用期 非關鍵，宜在簽名證書中使用 certificatePolicies 證書策略 非關鍵 policyMappings 策略映射 非關鍵 subjectAltName 主體替換名稱 非關鍵 issuerAltName 頒發者替換名稱 非關鍵 subjectDirectoryAttributes 主體目錄屬性 非關鍵，不宜使用 basicConstraints 基本限制 認證機構證書必備，非關鍵 nameConstraints 名稱限制 非關鍵 policyConstraints 策略限制 非關鍵 CRLDistributionPoints CRL 分發點 必備，非關鍵 inhibitAnyPolicy 限制所有策略 非關鍵 freshestCRL 最新的 CRL 非關鍵 authorityInfoAccess 機構信息訪 問 非關鍵，不宜使用 SubjectInformationnAccess 主體信息訪問 非關鍵，不宜使用 IdentifyCardNumber 個人身份證號碼 非關鍵，政務個人證書應使用 InsuranceNumber 個人社會保險號 非關鍵，政務個人證書可使用 ICRegistrationNumber 工商注冊號 非關鍵，政務機構證書可使用 OrganizationCode 組織機構代碼 非關鍵，政務機構證書應使用 TaxationNumber 稅號 非關鍵，政務機構證書可使用 SubjectBasicAccount 主體銀行基本賬號 非關鍵，政務個人證書、政務機構證書可使用 DB42/T 452 2008 34 密鑰用法擴展項的設置如表 C.2 所示 。 表 C.2 密鑰用法擴展項設置 KeyUsage 說明 DigitalSignature 政務個人簽名證書、政務機構簽名證書、政務代碼簽名證書應使用 NonRequdiation 政務個人簽名證書、政務機構簽名證書、政務代碼簽名證書應使用 KeyEncipherment 政務個人加密證書、政務機構加密證書應使用 DataEncipherment 政務個 人加密證書、政務機構加密證書應使用 KeyAgreement 政務個人加密證書、政務機構加密證書應使用 KeyCertSign 認證機構證書應使用 CRLSign EncipherOnly DecipherOnly 附 錄 D （資料性附錄） 主體命名示例 D.1 政務個人證書 所列示例均系虛構。 湖北省 某局信息中心網絡管理處工作人員李四，其政務個人證書主體的 X.500 DN 為： C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北某 局 信息中心網絡管理處 D.2 政務機構證書 所列示例均系虛構。 湖北省 某局信息中心網絡管理處，其政務機構證書主體的 X.500 DN 為： C=CN C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網絡管理處 CN=湖北省 某局信息中心網管處 D.3 政務設備證書 所列示例均系虛構。 湖北省 某局信息中心網絡管理處的設備（設備編碼為 HBDS000001），其政務設備證書主體的 X.500 DB42/T 452 2008 35 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網絡管理處 CN=HBDS000001 D.4 政務服務器證書 所列示例均系虛構。 湖北省 某局信息中心網絡管理處的服務器（服務器域名為 ， IP 地址為1），其政務服務器證書主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局信息中心 OU=湖北省 某局信息中心網絡管理處 CN= 或 C=CN S=湖北省 L=武漢市 O=湖北省某 局信息中心 OU=湖北省某 局信息中心網絡管理處 CN=1 政務服務器證書宜使用域名。 D.5 政務應用系統證書 所列示例均系虛構。 湖北省某 局應用系統（應用系統編碼為 hbxx_system001），其政務應用系統證書主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省某 局 OU=湖北省某 局應用系統 CN= hbxx_system001 D.6 政務代碼簽名證書 所列示例均系虛構。 湖北省某 局信息中心網絡管理處，其政務代碼簽名證書主體的 X.500 DN 為 : C=CN S=湖北省 L=武漢市 O=湖北省 某局 DB42/T 452 2008 36 OU=湖北省某 局信息中心 CN=省某 局信息中心網管處 或 湖北省某 局信息中心網絡管理處（代碼簽名負責人為李四），其政務代碼簽名證書主體的 X.500 DN為 : C=CN S=湖北省 L=武漢市 O=湖北省某 局信息中心 OU=湖北省某 局信息中心網絡管理處 CN=李四 附 錄 E （資料性附錄） 主體可選替換名稱命名示例 E.1 政務個人證書 所列示例均系虛構。 湖北省 某局信息中心網絡管理處工作人員李四（個人電子郵件 地址為 Email=），其政務個人證書主體可選替換名稱的 directoryName 的 X.500 DN 為： Email= 或者包含其中的部分屬性。 E.2 政務機構證書 所列示例均系虛構。 湖北省 某局信息中心網絡管理處的（負責人電子郵件地址為 Email=），其政務機構證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= 或者包含其中的部分屬性。 E.3 政 務設備證書 所列示例均系虛構。 湖北省某 局信息中心網絡管理處的設備（設備負責人的電子郵件地址為 Email=， IP 地址為 1），其政務設備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= IPAddress=1 或者包含其中的部分屬性。 DB42/T 452 2008 37 E.4 政務服務器證書 所列示例 均系虛構。 湖北省 某局信息中心網絡管理處的服務器（服務器負責人的電子郵件地址為 Email=， IP 地址為 1，域名為 ），其政務設備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= IPAddress=1 DNS= 或者包含其 中的部分屬性。 E.5 政務應用系統證書 所列示例均系虛構。 湖北省 某局的應用系統（負責人電子郵件地址為 Email= ， 資源地址為），其政務設備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= URL= 或者包含其中的部分屬性。 E.6 政務代碼簽名證書 所列示例均系虛構。 湖北省某局信息中心網絡管理處（代碼簽名負責人的電子郵件地址為 Email=），其政務設備證書主體可 選替換名稱的 directoryName 的 X.500 DN 為 : Email= 或者包含其中的部分屬性。 附 錄 F （ 資料性附錄） 政務數字證書編碼示例 以下內容將以 X.509 版本 3 證書為例，證書包含下列信息： a）序列號是 04a59cc78df58536237af65793cd3d7； b）簽名算法是 sha1RSA； c）頒發者是： C=CN S=HUBEI L=WUHAN O=HuiBei Digital Certificate Authority Center CO.LTD CN=HBCA DB42/T 452 2008 38 d）主體是： C=CN S=湖北省 L=武漢市 O=測試總部 OU=測試第一分部 CN=湖北省電子政務測試證書 e）有效期是從 2007 年 2 月 2 日 到 2010年 2月 2日 ； f）主體公鑰信息中包含 1024 比特的 RSA 密鑰； g）機構密鑰標識符擴展項； h）主體密鑰標識符擴展； i）密鑰用法擴展項； j）基本限制擴展項； k）證書撤銷列表分發點擴展項。 以下為政務數字證書的編碼示例： 0000 30 82 03 3E 830: SEQUENCE 0004 30 82 02 A7 679: . SEQUENCE 0008 A0 03 3: . . 0 0010 02 01 1: . . . INTEGER 2 : 02 0013 02 10 16: . . INTEGER : 0C 8D E6 7D 7C 6B 7A F2 72 E7 B8 AD E5 C0 97 75 0031 30 0D 13: . . SEQUENCE 0033 06 09 9: . . . OID 1.2.840.1135 sha1withRSAEncryption : 2a 86 48 86 f7 0d 01 01 05 0044 05 00 0: . . . NULL 0046 30 2B 43: . . SEQUENCE 0048 31 0D 13: . . . SET 0050 30 0B 11: . . . . SEQUENCE 0052 06 03 3: . . . . . OID 2.8.3: CN : 55 04 03 0057 13 04 4: . . . . . PrintableString HBCA : 48 42 43 41 0063 31 0D 13: . . . SET 0065 30 0B 11: . . . . SEQUENCE 0067 06 03 3: . . . . . OID 2.8.10: O : 55 04 0A 0072 13 04 4: . . . . . PrintableString TEST : 54 45 53 54 0078 31 0B 11: . . . SET 0080 30 09 9: . . . . SEQUENCE 0082 06 03 3:. . . . . OID 2.8.6: C : 55 04 06 DB42/T 452 2008 39 0087 13 02 2: . . . . . PrintableString CN : 43 4e 0091 30 1E 30: . . . . SEQUENCE 0093 17 0D 13: . . . UTCTime 071026030002Z : 30 37 31 30 32 36 30 33 30 30 30 32 5a 0108 17 0D 13: . . . UTCTime 081025030002Z : 30 38 31 30 32 35 30 33 30 30 30 32 5a 0123 30 7A 122: . . SEQUENCE 0125 31 1F 31: . . . SET 0127 30 1D 29: . . . . SEQUENCE 0129 06 03 3: . . . . . OID 2.8.3: CN : 55 04 03 0134 1E 16 22: . . . . . UTF8String 湖北省電子政務測試證書 : 16 6e 56 53 17 77 01 75 35 5b 50 65 3f 52 a1 6d 4b 8b d5 8b c1 4e 66 0158 31 15 21: . . . SET 0160 30 13 19: . . . . SEQUENCE 0162 06 03 3: . . . . . OID 2.8.11 OU : 55 04 0B 0167 1E 0C 12: . . . . . UTF8String 測試第一分部 : 6d 4b 8b d5 7b 2c 4e 00 52 06 90 e8 0181 31 11 17: . . . SET 0183 30 0F 15: . . . . SEQUENCE 0185 06 03 3: . . . . . OID 2.8.10 O :55 04 0A 0190 1E 08 8: . . . . . UTF8String 測試總部 : 6d 4b 8b d5 60 3b 90 e8 0200 31 0F 15: . . . SET 0202 30 0D 13: . . . .SEQUENCE 0204 06 03 3: . . . . . OID 2.8.7 L : 55 04 07 0209 1E 06 6: . . . . . UTF8String 武漢市 : 6b 66 6c 49 5e 02 0217 31 0F 15: . . . SET 0219 30 0D 13: . . . .SEQUENCE 0221 06 03 3: . . . . . OID 2.8.8 S : 55 04 08 0226 1E 06 6: . . . . . UTF8String 湖北省 : 6e 56 53 17 77 01 0234 31 0B 11: . . . SET 0236 30 09 9: . . . .SEQUENCE 0238 06 03 3: . . . . . OID 2.8.6 C : 55 04 06 0243 13 02 2: . . . . . PrintableString CN : 43 4e DB42/T 452 2008 40 0247 30 81 9F 159: . . SEQUENCE 0250 30 0D 13: . . . SEQUENCE 0252 06 09 9: . . . . . OID 1.2.840.1135 rsaEncryption : 2A 86 48 86 F7 0D 01 01 01 0263 05 00 0: . . . . . NULL 0265 03 81 8D 141: . . . BIT STRING : 00 （ 0 unused bits） 30 81 89 02 81 81 00 cb bb 54 18 ad 3e 80 44 8f b2 9f ac 07 18 bb 30 ba f2 42 60 84 88 85 7a d9 ad 4b bc 13 af ba 65 e3 3c 17 c9 d8 c5 ae 24 fc 29 73 c2 10 ce d1 7b 25 8a 55 8c 4e f7 bc 66 3a 54 7d 32 b3 03 77 e7 6f d3 28 bf a8 c1 ac fa 6b d7 97 ae 67 f6 40 f5 e1 3a 58 ef 19 24 1b 1e f5 11 e8 1d 7a 29 3c 60 ad 1e bb ac af 33 ac 92 0f 3f 0e c6 0b e2 65 a5 90 29 15 0a 10 3f 37 bc 69 d5 8c 20 aa 8b 0b b7 02 03 01 00 01 0409 A3 82 01 12 274: . . 3 0413 30 82 01 0E 270: . . . SEQUENCE 0417 30 1f 31: . . . . SEQUENCE 0419 06 03 3: . . . . . OID 5 AuthorityKeyIdentifier : 55 1D 23 0424 04 18 24: . . . . . OCTET STRING : 30 16 80 14 32 75 bb 19 06 88 37 2e d9 de 40 40 37 77 00 ab 9b 46 4e c7 0450 30 1D 29: . . . . SEQUENCE 0452 06 03 3: . . . . . OID 4 SubjectKeyIdentifier : 55 1D 0E 0457 04 16 22: . . . . . OCTET STRI