ICS35.100.70L79中華人民共和國國家標準GB/T19714-2005信息技術安全技術公鑰基礎設施證書管理協議Informationtechnology-Securitytechnology-Internetpublickeyinfrastructure-Certificatemanagementprotocol2005-04-19發布2005-10-01實施中華人民共和國國家質量監督檢驗檢疫總局發布中國國家標準化管理委員會

GB/T19714-2005三前言引言范圍2規范性引用文件術語和定義45PKI管理概述5.1PKI管理模型5.2PKI實體的定義5.3PKI管理要求5.4PKI管理操作6前提與限制６.1終端實體初始化6.2初始注冊/認證…·6.3私鑰擁有證明6.4根CA的更新………數據結構……127.1PKI消息綜述………127.2公共數據結構·10與操作相關的數據結構7.33必需的PKI管理功能8.1根CA初始化………8.2根CA密鑰更新…下級CA初始化………·8.38.4CRL產生-KI信息請求……8.58.6交叉認證…8.7終端實體初始化·8.8證書請求…8.9密鑰更新………·傳輸…………··20基于文件的協議……….9.19.2直接基于TCP的管理協議9.3基于E-mail的管理協議9.4基于HTTP的管理協議，RA存在的原因附錄A(資料性附錄)附錄B(規范性附錄)必選的PKI管理消息結構附錄C(規范性附錄)可選的PKI管理消息結構36

GB/T19714一2005附錄D(資料性附錄）請請求消息行為說明42附錄E(資料性附錄）使用"口令短語”附錄F(規范性附錄)"可編譯”的ASN.1模塊…45附錄G(資料性附錄)用于E-MAIL或者HTTP的MIME類型參考文獻57

GB/T19714一2005前本標準是依據IETFRFC2510制定的。本標準凡涉及密碼算法相關內容·按國家有關法規實施本標準中引用的RSA、SHAI.DH密碼算法均為舉例性說明,具體使用時均須采用國家商用密碼管理委員會批準的相應算法。本標準的附錄B、附錄C、附錄F為規范性附錄·附錄A、附錄D、附錄E、附錄G為資料性附錄本標準由中華人民共和國信息產業部提出。本標準由全國信息安全標準化技術委員會（TC260)歸口本標準主要起草單位：北京創原天地科技有限公司、中國電子技術標準化研究所。本標準主要起草人：林雪焰、吳志剛、王炳艷、陳震琦、張科研、李丹、羅鋒盈、陳星。

GB/T19714一2005引本標準描述了公鑰基礎設施(PKI)證書管理協議，定義了與證書產生和管理相關的各方面所需要的協議消息·主要包括：申請證書、撤銷證書、密鑰更新、密鑰恢復、交叉認證等等。公鑰基礎設施中總共有四類實體：CA、RA、終端實體、證書/CRL庫，如何保證四實體之間的通信安全、在證書業務中如何對四類實體進行管理，這些問題是本標準解決的主要問題。

GB/T19714-2005信息技術安全技術公鑰基礎設施證書管理協議1范圍本標準描述了公鑰基礎設施（PKI)中的證書管理協議，定義了與證書產生和管理相關的各方面所需要的協議消息·這些消息主要包括申請證書、撤銷證書、密鑰更新、密鑰恢復、交叉認證等。本標準主要適用于在安全或不安全環境中實施PKI組件并實施管理，可作為PKI運營機構PKI組件開發者的參考指南。規范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單(不包括勒誤的內容)或修訂版均不適用于本標準·然而，鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T16264.8—2005信息技術開放系統互連目錄第8部分：公鑰和屬性證書框架(ISO/IEC9594-8:2001.IDT）RFC2511因特網X.509公開密鑰基礎設施證書消息格式3術語和定義下列術語和定義適用于本標準油象語法記法一（ASN.1）AhstractSyntaxNotation1（ASN.1)用來組織復雜數據對象的表示法。32公鑰證書publickeycertificate用戶的公鑰連同其他信息，并由發布該證書的證書認證機構的私鑰進行加密使其不可偽造3.3證書持有者certificateholder有效證書的主體對應的實體。證書用戶Certificateuser需要確切地知道另一實體的公開密鑰的某一實體3.5證書認證機構(CA）CertificateAuthoritv(CA)負責創建和分配證書·受用戶