Subject Public Key Information BasicConstraints 公钥 主题公钥信息 遵循国家密码主管部门的要求 基本限制 表示证书持有者是否是认证详细定义见基本限结点 机构签名证书密钥用法(KeyUsage)扩展域子项为: 数字签名(digitalSignature) 不可否认(nonRepudiation) 密钥协商(key agreement) 制 basicConstraints KeyUsage 密钥用法 密钥加密(keyEncipherment) 机构加密证书密钥用法(KeyUsage)扩展域子项为:密钥加密(keyEncipherment) 数据加密(dataEncipherment) 详细定义见密钥用法keyUsage 扩展域 ExtendedKeyUsage 增强型密钥用法 颁发机构增强型密钥用法,包括扩展域:客户端认证(clientAuth) 详细定义见增强型密钥用法extendedKeyUsage 详细定义见机构密钥标识符 authorityKeyIdentifier 详细定义见证书撤AuthorityKeyIdentifier 密钥标识符 证书撤销CRLDistributionPoints 列表分发点 颁发机构公钥的hash值 CRL发布点,可以为多个值 销列表分发点 CRLDistributionPoints 详细定义见颁发机构信息访问AuthorityInfoAccess 详细定义见主题密钥标识符 subjectKeyIdentifier AuthorityInfoAccess 颁发机构颁发机构的信息URL,可以信息访问 为多个值 SubjectKeyIdentifier 主题密钥标识符 该域包含CA系统颁发该证书所使用的密码算法标识符 本证书公钥的hash值 SignatureAlgorithm 遵循国家密码主管部门的要求 Issuer’s Signature
签名值 颁发机构对证书基本信息的数字签名值 数字签名 27
5.4 电子政务设备数字证书格式 5.4.1 概述
电子政务设备数字证书指面向政务业务所涉及到的设备(如网络设备、服务器、终端设备等)发放的证书。
5.4.2 电子政务设备证书基本证书域
基本证书域由基本域和扩展域组成。 5.4.2.1 电子政务设备证书基本域
见5.1.2.1章节。
5.4.2.2 电子政务设备证书扩展域
电子政务设备证书扩展域可包含如下扩展项:
a) 机构密钥标识符AuthorityKeyIdentifier b) 主题密钥标识符SubjectKeyIdentifier c) 密钥用法KeyUsage
d) 增强型密钥用法ExtendedKeyUsage e) 主题可选替换名称SubjectAlternativeName f) 颁发者可选替换名称IssuerAlternativeName g) 主题目录属性SubjectDirectoryAttributes h) 基本限制BasicConstraints
i) 证书撤销列表分发点CRLDistributionPoints j) 最新证书撤销列表FreshestCRL k) 颁发机构信息访问AuthorityInfoAccess
5.4.3 电子政务设备证书模板定义
电子政务设备证书包含如下扩展项: a) 基本限制BasicConstraints b) 密钥用法KeyUsage
c) 增强型密钥用法ExtendedKeyUsage d) 颁发机构密钥标识符AuthorityKeyIdentifier e) 证书撤销列表分发点CRLDistributionPoints f) 颁发机构信息访问AuthorityInformationAccess g) 主题密钥标识符SubjectKeyIdentifier
电子政务设备证书密钥用法(KeyUsage)扩展域子项可为:
a) 数字签名(digitalSignature) b) 不可否认(nonRepudiation) c) 密钥协商(key agreement) d) 密钥加密(keyEncipherment) e) 数据加密(dataEncipherment)
电子政务设备证书增强型密钥用法(ExtendKeyUsage)扩展域子项可为:
28
a) 服务端认证(ServerAuth)
5.4.4 电子政务设备证书格式
数字证书的大小一般不应超过4K字节,请在设定数字证书各项取值的时候予以注意。 证书域名 Version Serial Number Signature 含义 版本号 序列号 签名算法 说明 表示X.509证书版本 由证书颁发机构指定,参见5.1.2.1.2章节 字段内容(示例) V3 遵循国家密码主管部门的要 求 CN 名称(CN) (O) 国家(C) 有效期起始日期 有效期终止日期 证书颁发CA的名称 证书颁发CA的组织机构名称 CN 签发日期,年月日+时分秒 起始日期+有效期,年月日+时分秒 Issuer 颁发者 O C notBefore notAfter 名称Validity 有效期限 (CN) OU OU 证书持有者的域名、www.audit.gov或IP地址或者其他可192.168.87.7 以标识身份的内容 10级组织机构名称 ………… 从1级组织机构名称到10级组织机构名称均为可选,具体按照政务部门实际组织层级结构进行定义。例如:ou=内蒙古自Subject 主题 OU 1级组织机构名称 治区公安厅,ou=呼和浩特市公安局,ou=交警支队,ou=事故科 O C Subject Public Key Information BasicConstraints 基本限制 公钥 省部级名称 C 必填 CN 遵循国家密码主管部门的要求 详细定义见基本限制 basicConstraints 主题公钥信息 该证书持有者是否是认证结点 29
扩展域 KeyUsage 密钥用法 密钥用法(KeyUsage)扩展域子项为: 数字签名(digitalSignature) 不可否认(nonRepudiation) 密钥协商(key agreement) 密钥加密(keyEncipherment)数据加密(dataEncipherment) ExtendedKeyUsage 增强型密钥用法 颁发机构AuthorityKeyIdentifier 密钥标识符 证书撤销CRLDistributionPoints 列表分发点 颁发机构公钥的hash值 增强型密钥用法,包括扩展详细定义见增强域: 型密钥用法服务端认证(serverAuth) extendedKeyUsage 详细定义见机构密钥标识符 authorityKeyIdentifier 详细定义见证书CRL发布点,可以为多个值 撤销列表分发点 CRLDistributionPoints 详细定义见颁发颁发机构的信息URL,可以为多个值 机构信息访问AuthorityInfoAccess 详细定义见主题SubjectKeyIdentifier 主题密钥标识符 该域包含CA系统颁发该证书所使用的密码算法标识符 颁发机构对证书基本信息的数字签名 本证书公钥的hash值 密钥标识符 subjectKeyIdentifier 详细定义见密钥用法keyUsage AuthorityInfoAccess 颁发机构信息访问 SignatureAlgorithm 遵循国家密码主管部门的要 求 Issuer’s Signature
签名值 数字签名值 5.5 电子政务代码签名数字证书格式 5.5.1 概述
电子政务代码签名数字证书是指向电子政务系统代码进行数字签名发放的数字证书。 5.5.2 电子政务代码签名证书基本证书域
基本证书域由基本域和扩展域组成。 5.5.2.1 电子政务代码签名证书基本域
30
见5.1.2.1章节。
5.5.2.2 电子政务代码签名证书扩展域
电子政务代码签名证书扩展域可包含如下扩展项: a) 机构密钥标识符AuthorityKeyIdentifier
b) 主题密钥标识符SubjectKeyIdentifier c) 密钥用法KeyUsage
d) 增强型密钥用法ExtendedKeyUsage e) 主题可选替换名称SubjectAlternativeName f) 颁发者可选替换名称IssuerAlternativeName g) 主题目录属性SubjectDirectoryAttributes h) 基本限制BasicConstraints
i) 证书撤销列表分发点CRLDistributionPoints j) 最新证书撤销列表FreshestCRL k) 颁发机构信息访问AuthorityInfoAccess l) 主题信息访问SubjectInformationAccess
5.5.3 电子政务代码签名证书模板定义
电子政务个人证书包含如下扩展项:
a) 基本限制BasicConstraints b) 密钥用法KeyUsage
c) 颁发机构密钥标识符AuthorityKeyIdentifier d) 证书撤销列表分发点CRLDistributionPoints e) 颁发机构信息访问AuthorityInfoAccess f) 主题密钥标识符SubjectKeyIdentifier g) 增强型密钥用法ExtendedKeyUsage
证书密钥用法(KeyUsage)扩展域子项为: a) 数字签名(digitalSignature) b) 不可否认(nonRepudiation)
电子政务代码签名证书增强型密钥用法(ExtendKeyUsage)扩展域子项为:
a) 代码签名(codeSign)
5.5.4 电子政务代码签名证书格式
一般数字证书的大小不应该超过4K字节,请在设定数字证书各项取值的时候予以注意。 证书域名 Version Serial Number Signature 含义 版本号 序列号 签名算法 说明 表示X.509证书版本 由证书颁发机构指定,参见5.1.2.1.2章节 遵循国家密码主管部门的要求 31
字段内容(示例) V3
