ICS35030

CCSL.80

中華人民共和國國家標準

GB/T19713—2025

代替GB/T19713—2005

網絡安全技術公鑰基礎設施

在線證書狀態協議

Cybersecuritytechnology—Publickeyinfrastructure—

Onlinecertificatestatusprotocol

2025-02-28發布2025-09-01實施

國家市場監督管理總局發布

國家標準化管理委員會

GB/T19713—2025

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

總則

5………………………2

概述

5.1…………………2

請求

5.2…………………2

響應

5.3…………………2

異常情況

5.4……………3

時間語義

5.5……………4

預產生響應

5.6…………………………4

簽名機構的委托

5.7OCSP……………4

密鑰泄漏

5.8CA…………………………4

功能要求

6…………………4

證書內容要求

6.1………………………4

簽名響應的接收要求

6.2………………4

具體語法

7…………………5

約定

7.1…………………5

請求

7.2…………………5

響應

7.3…………………7

擴展

7.4…………………11

附錄規范性請求和響應的語法規范

A()OCSPASN.1……………15

附錄規范性基于的請求和響應

B()HTTPOCSP…………………24

附錄資料性請求和響應語法消息示例

C()OCSPASN.1……………26

附錄資料性安全考慮

D()………………34

參考文獻

……………………36

Ⅰ

GB/T19713—2025

前言

本文件按照標準化工作導則第部分標準化文件的結構和起草規則的規定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技術安全技術公鑰基礎設施在線證書狀態協議與

GB/T19713—2005《》,

相比除結構調整和編輯性改動外主要技術變化如下

GB/T19713—2005,,:

更改本標準適用于各類基于公開密鑰基礎設施的應用程序和計算環境為本文件適用于公

a)“”“

鑰基礎設施的建設以及基于在線證書狀態協議的安全應用等見第章年版的第章

”(1,20051);

在通則中增加了協議中各方之間的關系圖見年版的

b)“”OCSP(5.1,20055.1);

更改了響應的哈希簽名為響應的數字簽名見年版的

c)“”“”[5.3b),20055.3f)];

更改了已撤銷狀態的使用范圍允許對從未簽發過的證書使用此響應狀態見

d)revoked(),[5.3

年版的

d),20055.3];

增加了對未簽發證書狀態請求的響應要求見

e)[5.3e)];

更改了未授權錯誤響應的使用范圍見年版的

f)unauthorized()(5.4,20055.4);

增加了撤銷時間語義的定義見

g)revocationTime()(5.5);

增加了算法的支持見和

h)SM2、SM3(7.17.2);

增加了語法中

i)OCSPASN.1Signature、Extensions、CertificateSerialNumber、SubjectPublicK-

和結構的定義見

eyInfo、Name、AlgorithmIdentifierCRLReason(7.1);

增加了輕量級請求語法的注解見

j)OCSP(7.2.2);

增加了輕量級協議對時間的要求見

k)OCSP();

更改了本地配置的簽名權威實體中包含了與待驗證狀態的證書相匹配的證書為本

l)“OCSP”“

地配置的響應者證書與響應者證書相匹配見年版的

OCSPOCSP”(.2,2005);

增加了輕量級環境下授權響應者的撤銷狀態檢查方法見

m)OCSP[.3d)];

增加了基礎響應并闡明了字段對應于響應者簽名證書見

n)“”,ResponderIDOCSP(

);

增加了輕量級響應中對結構的要求見

o)OCSPOCSPResponse[e)];

增加了證書狀態發布對響應者獲取證書狀態應遵循的標準進行了描述見

p)“.4”,OCSP(

.4);

刪除了強制的密碼算法和可選的密碼算法見年版的

q)(20057.4);

更改了的語法并規定了的長度范圍見年版的

r)NonceASN.1,Nonce(7.4.2,20057.5.1);

更改了條目擴展應遵循的標準見年版的

s)CRL(7.4.6,20057.5.5);

增加了優先使用的簽名算法擴展該擴展可包含在請求消息中以指定請求者希望響應者使

t)“”,,

用的簽名算法建議優先算法使用見

,SM3WithSM2(7.4.8);

增加了擴展撤銷定義擴展該擴展表明響應者支持對中定義的未簽發證書的

u)“”,5.3“revoked

已撤銷響應的擴展使用見

()”(7.4.9);

更改了使用的語法的模塊增加支持使用算法見附錄

v)ASN.12008ASN.1,SM2、SM3(A,

年版的附錄增加了輕量級的語法規范并增加支持使用算

2005B);OCSPASN.1,SM2、SM3

法見附錄

(A);

增加了輕量級請求及響應構造見附錄

w)OCSP(B.2);

更改正文的安全考慮為附錄并補充完善了內容見附錄年版的第章

x)“”D,(D,20058)。

Ⅲ

GB/T19713—2025

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別專利的責任

。。

本文件由全國網絡安全標準化技術委員會提出并歸口

(SAC/TC260)。

本文件起草單位普華誠信信息技術有限公司上海信息安全基礎設施研究中心有限責任公司

:、、

上海市數字證書認證中心有限公司北京數字認證股份有限公司鄭州信大捷安信息技術股份有限公

、、

司深圳市電子商務安全證書管理有限公司中電科網絡安全科技股份有限公司河南金盾信安檢測評

、、、

估中心有限公司國家密碼管理局商用密碼檢測中心格爾軟件股份有限公司三六零數字安全科技集

、、、

團有限公司數安時代科技股份有限公司華為技術有限公司

、、。

本文件主要起草人梁佐泉顧青田文晉王亞紅馮四風高五星張子鳴付麗麗王志威黃成杭

:、、、、、、、、、、

趙艷紅石韶博陳犖祺趙鷹俠張永強劉為華鄭會濤岳小陽梁宏張紹博鄭強張志磊杜志強

、、、、、、、、、、、、、

曾光

。

本文件及其所代替文件的歷次版本發布情況為

:

年首次發布為

———2005GB/T19713—2005;

本次為第一次修訂

———。

Ⅳ

GB/T19713—2025

網絡安全技術公鑰基礎設施

在線證書狀態協議

1范圍

本文件給出了一種無需請求證書撤銷列表即能查詢數字證書狀態的機制即在線證書狀態

(CRL),

協議包括在線證書狀態協議的協議內容語法規范

,、。

本文件適用于公鑰基礎設施的建設以及基于在線證書狀態協議的安全應用等

。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術編碼規則第部分基本編碼規則正則編碼規則

GB/T16263.1ASN.11:(BER)、

和非典型編碼規則規范

(CER)(DER)