电子政务数字证书格式规范(局字486)(8)

CN Issuer 颁发者 O C 有效期限 名称(CN) (O) 国家(C) 证书颁发CA的名称 证书颁发CA的组织机构名称 CN 签发日期,年月日+时分秒 起始日期+有效期,年月日+时分秒 例如：科技发展公司 从1级地域名称到10级地域名称均为可选，按照实际的证书持有机构所属地域名称进行定义。例如：ou=海淀区，ou=知春路118号，ou=银网中心，ou=B座12层 notBefore 有效期起始日期 notAfter 名(CN) E OU OU 称有效期终止日期 机构名称 邮件地址 10级地域名称 ………… Validity Subject 主题 OU 1级地域名称 O C Subject Public Key Information BasicConstraints 公钥 基本限制 省、自治区、直辖市 C 必填 CN 遵循国家密码主管部门的要求 主题公钥信息 该证书持有者是否是认证结详细定义见基本限制 点 basicConstraints 密钥用法（KeyUsage）扩展域子项为： KeyUsage 扩展域 ExtendedKeyUsage 密钥用法 详细定义见密钥用法数字签名（digitalSignature） keyUsage 不可否认（nonRepudiation） 增强型密钥用法，包括扩展详细定义见增强型密域： 代码签名（codeSign） 钥用法extendedKeyUsage 详细定义见机构密钥颁发机构公钥的hash值 标识符 authorityKeyIdentifier 增强型密钥用法 颁发机AuthorityKeyIdentifier 构密钥标识符 32

证书撤CRLDistributionPoints 销列表分发点 颁发机AuthorityInfoAccess 构信息访问 主题密SubjectKeyIdentifier 钥标识符 该域包含CA系统颁SignatureAlgorithm 发该证书所使用的密码算法标识符 Issuer’s Signature

5.6 其他

签名值 遵循国家密码主管部门的要求 本证书公钥的hash值 CRL发布点，可以为多个值 详细定义见证书撤销列表分发点 CRLDistributionPoints 颁发机构的信息URL，可以为多个值 详细定义见颁发机构信息访问AuthorityInfoAccess 详细定义见主题密钥标识符 subjectKeyIdentifier 颁发机构对证书基本信息的数字签名值 数字签名 本规范没有涉及到的特殊需求的证书格式，在不违背本规范中定义的证书基本格式的前提下，根据业务的实际要求进行扩展定义。 6 密码算法技术的支持

密码算法使用国家密码管理主管部门审核批准的相关算法。

33

附 录 A （资料性附录） 数字证书编码举例

A.1 电子政务部门工作人员数字证书编码举例

以下内容以电子政务部门工作人员数字证书中的签名证书为例，证书包含下列信息： a) the serial number is 32 1B B3 63 E6 43 B1 7A AE A4 1E 73;

b) the certificate is signed with RSA and the sha1 hash algorithm; c) the issuer's distinguished name is CN=SubCA;O=test;C=CN;

d) the subject's distinguished name is CN=测试证书; E=test@mail.com;OU=东城区;OU=北京

市; O=测试证书; C=CN; e) the certificate was issued on 20100809 and expired on 20100809 f) the certificate contains a 1024 bit RSA public key;

g) the certificate is an end entity certificate （not a CA certificate）;

h) the certificate include an authority key identifier ,subject KeyIdentifier and basic constraints

extensions; i) j) k) l)

the certificate includes a critical key usage extension: Digital Signatures, Non-Repudiation; the certificate include an extend key usage extensions:Client Auth,Email Protection ; the certificate include a CRL distribution points extensions; the certificate include a authority info access extensions;

0000 30 419: SEQUENCE { 0004 30 382: SEQUENCE { 0008 A0 3: [0] {

000A 02 1: INTEGER 2 : }

000D 02 C: INTEGER

: 32 1B B3 63 E6 43 B1 7A 2..c.C.z : AE A4 1E 73 ...s 001B 30 D: SEQUENCE {

001D 06 9: OBJECT IDENTIFIER

: sha1withRSAEncryption (1 2 840 113549 1 1 5) : (PKCS #1) 0028 05 0: NULL : }

002A 30 2C: SEQUENCE {

002C 31 B: SET {

002E 30 9: SEQUENCE {

0030 06 3: OBJECT IDENTIFIER countryName (2 5 4 6)

34

: (X.520 id-at (2 5 4)) 0035 13 2: PrintableString 'CN' : } : } 0039 31 D: SET {

003B 30 B: SEQUENCE {

003D 06 3: OBJECT IDENTIFIER organizationName (2 5 4 10) : (X.520 id-at (2 5 4)) 0042 0C 4: UTF8String 'test' 0048 31 004A 30 004C 06 0051 0C 0058 30 005A 17 0069 17 0078 30 007B 31 007D 30 007F 06 0084 0C 0088 31 008A 30 008C 06 0091 0C 009F 31 00A1 30 00A3 06 00A8 0C : } : } E: SET {

C: SEQUENCE {

3: OBJECT IDENTIFIER commonName (2 5 4 3) : (X.520 id-at (2 5 4)) 5: UTF8String 'SubCA' : } : } : }

1E: SEQUENCE {

D: UTCTime '100809073950Z' D: UTCTime '110809073950Z' : }

81: SEQUENCE { B: SET {

9: SEQUENCE {

3: OBJECT IDENTIFIER countryName (2 5 4 6) : (X.520 id-at (2 5 4)) 2: UTF8String 'CN' : } : } 15: SET {

13: SEQUENCE {

3: OBJECT IDENTIFIER organizationName (2 5 4 10) : (X.520 id-at (2 5 4))

C: UTF8String ‘测试证书’ : } : } 12: SET {

10: SEQUENCE {

3: OBJECT IDENTIFIER organizationalUnitName (2 5 4 11) : (X.520 id-at (2 5 4)) 9: UTF8String '北京市' : }

35

: }

00B3 31 12: SET {

00B5 30 10: SEQUENCE {

00B7 06 3: OBJECT IDENTIFIER organizationalUnitName (2 5 4 11) : (X.520 id-at (2 5 4)) 00BC 0C 9: UTF8String '东城区' : } : } 00C7 31 1C: SET {

00C9 30 1A: 00CB 06 9: : extension instead)

00D6 16 D: : : 00E5 31 15: 00E7 30 13: 00E9 06 3: : 00EE 0C C: : : : 00FC 30 9F: 00FF 30 D: 0101 06 9: : 010C 05 0: : 010E 03 8D: : : : : : : : : : : : : : SEQUENCE {

OBJECT IDENTIFIER emailAddress (1 2 840 113549 1 9 1)

(PKCS #9 (1 2 840 113549 1 9). Deprecated, use an altName IA5String 'test@mail.com' } }

SET {

SEQUENCE {

OBJECT IDENTIFIER commonName (2 5 4 3) (X.520 id-at (2 5 4)) UTF8String '测试证书' } } }

SEQUENCE {

SEQUENCE {

OBJECT IDENTIFIER rsaEncryption (1 2 840 113549 1 1 1) (PKCS #1) NULL }

BIT STRING 0 unused bits

30 81 89 02 81 81 00 C8 0....... 75 D2 11 E2 5C F7 E1 C6 u...\\... 53 16 97 31 9D 60 0D 11 S..1.`.. 00 55 48 93 9B 9C 09 F6 .UH..... 46 87 04 B5 AC A5 ED 42 F......B CC 5C 91 85 D1 33 F8 C4 .\\...3.. 8F 5D 90 45 BD BA A6 6E .].E...n 43 AC 3F 28 F3 EC 88 36 C.?(...6 C3 6A FF 09 A4 34 2E 5F .j...4._ 56 49 61 1F C8 3E D6 A6 VIa..>.. F6 8D 15 E6 F1 21 74 FA .....!t. 66 14 95 45 E9 E4 A4 18 f..E.... E3 31 B7 BC 15 DF 50 A6 .1....P.

36