GB-Z 21716.2-2008 健康信息学 公钥基础设施(PKI) 第2部分 证书轮廓.pdf

I C S3 5 2 4 0 8 0C0 7a 酉中华人民共和国国家标准化指导性技术文件G B Z2 1 7 1 6 2 2 0 0 8健康信息学公钥基础设施( P K I )第2 部分：证书轮廓H e a l t hi n f o r m a t i c s - - P u b l i cK e yI n f r a s t r u c t u r e ( P K I ) 一P a r t2 ：C e r t i f i c a t ep r o f i l e2 0 0 8 - 0 4 - 11 发布丰瞀粥紫瓣訾糌瞥鐾发布中国国家标准化管理委员会促1 9食品伙伴网目次前言引言- l 范围2 规范性引用文件3 术语和定义- 4 缩略语5 医疗保健证书策略-5 1 医疗保健证书类型- 5 2C A 证书5 3 交叉桥接证书5 4 端实体证书- 6 一般证书要求6 1 证书的符合性6 2 各类证书的通用字段6 3 通用字段规范6 4 对各种医疗保健证书类型的要求一7 证书扩展的使用7 1引言-7 2 一般扩展7 。3 专用主体目录属性7 4 资格证书声明扩展7 5 对每种医疗行业证书类型的要求附录A A 1引言A 2 示例1 ：消费者证书轮廓一A 3 示例2 ：非正规健康专业人员证书轮廓A 4 示例3 ：正规健康专业人员证书轮廓A 5 示例4 ：受托医疗保健提供方证书轮廓- A 6 示例5 ：支持组织雇员证书轮廓A 7 示例6 ：组织证书轮廓A 8 示例7 ：A C 轮廓tA 9 示例8 ：C A 证书轮廓-A 1 0 示例9 ：桥接证书轮廓参考文献C B Z2 1 7 1 6 2 2 0 0 8，0 ：00 000nun 控H 埔甜船孙从撕踞卵食品伙伴网刖G B Z2 1 7 1 6 2 2 0 0 8G B Z2 1 7 1 6 ( 健康信息学公钥基础设施( P K I ) 分为3 个部分：第1 部分：数字证书服务综述；第2 部分：证书轮廓；第3 部分：认证机构的策略管理。本部分为G B Z2 1 7 1 6 的第2 部分。本部分参照I S O17 0 9 0 2 ( D I s ) 健康信息学公钥基础设施( P K I ) 第2 部分：证书轮廓制定，其主要技术内容与1 S O1 7 0 9 0 2 ( D I S ) 一致。相对原文而言，本部分仅进行了少量修改，包括：根据中国国情，将正文中示例包括的国家名称、单位名称等修改为中国的中文名称；不改变技术内容的编辑性修改。本部分的附录A 为资料性附录。本部分由中国标准化研究院提出。本部分由中国标准化研究院归口。本部分起草单位：中国标准化研究院。本部分主要起草人：董连续、任冠华、陈煌、刘碧松。食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8引言为了降低费用和成本，卫生行业正面临着从纸质处理向自动化电子处理转变的挑战。新的医疗保健模式增加了对专业医疗保健提供者之间和突破传统机构界限来共享患者信息的需求。一般来说，每个公民的健康信息都可以通过电子邮件、远程数据库访问、电子数据交换以及其他应用来进行交换。互联网提供了经济且便于访问的信息交换方式，但它也是一个不安全的媒介，这就要求采取一定的措施来保护信息的私密性和保密性。未经授权的访问，无论是有意的还是无意的，都会增加对健康信息安全的威胁。医疗保健系统有必要使用可靠信息安全服务来降低未经授权访问的风险。卫生行业如何以一种经济实用的方式来对互联网中传输的数据进行适当的保护? 针对这个问题，目前人们正在尝试利用公钥基础设施( P K I ) 和数字证书技术来应对这一挑战。正确配置数字证书要求将技术、策略和管理过程绑定在一起，利用“公钥密码算法”来保护信息，利用“证书”来确认个人或实体的身份，从而实现在不安全的环境中对敏感数据的安全交换。在卫生领域中，这种技术使用鉴别、加密和数字签名等方法来保证对个人健康记录的安全访问和传输，以满足临床和管理方面的需要。通过数字证书配置所提供的服务( 包括加密、信息完整性和数字签名) 能够解决很多安全问题。为此，世界上许多组织已经开始使用数字证书。比较典型的一种情况就足将数字证书与一个公认的信息安全标准联合使用。如果在不同组织或不同辖区之间( 如为同一个患者提供服务的医院和社区医生之间) 需要交换健康信息，则数字证书技术及其支撑策略、程序、操作的互操作性是最重要的。实现不同数字证书实施之间的互操作性需要建立一个信任框架。在这个框架下，负责保护个人信息权利的各方要依赖于具体的策略和操作，甚至还要依赖于由其他已有机构发行的数字证书的有效性。许多国家正在采用数字证书来支持国内的安全通信。如果标准的制定活动仅仅局限于国家内部，则不同国家之间的认证机构( C A ) 和注册机构( R A ) 在策略和程序上将产生不一致甚至矛盾的地方。数字证书有很多方面并不专门用于医疗保健，它们目前仍处于发展阶段。此外，一些重要的标准化工作以及立法支持工作也正在进行当中。另一方面，很多国家的医疗保健提供者正在使用或准备使用数字证书。因此，本指导性技术文件的目的是为这些迅速发展的国际应用提供指导。本指导性技术文件描述了一般性技术、操作以及策略方面的需求，以便能够使用数字证书来保护健康信息在领域内部、不同领域之间以及不同辖区之间进行交换。本指导性技术文件的最终目的是要建立一个能够实现全球互操作的平台。本指导性技术文件主要支持使用数字证书的跨国通信，但也为配置国家性或区域性的医疗保健数字证书提供指导。互联网作为传输媒介正越来越多地被用于在医疗保健组织间传递健康数据，它也是实现跨国通信的唯一选择。本指导性技术文件的三个部分作为一个整体定义了在卫生行业中如何使用数字证书提供安全服务，包括鉴别、保密性、数据完整性以及支持数字签名质量的技术能力。本指导性技术文件第1 部分规定了卫生领域中使用数字证书的基本概念，并给出了使用数字证书进行健康信息安全通信所需的互操作方案。本指导性技术文件第2 部分给出了基于国际标准X 5 0 9 的数字证书的健康专用轮廓以及用于不同证书类型的I E T F R F C3 2 8 0 中规定的医疗保健轮廓。本指导性技术文件第3 部分用于解决与实施和使用医疗保健数字证书相关的管理问题，规定丁汪书策略( c P ) 的结构和最低要求以及关联认证操作声明的结构。该部分以I E T F R F C3 6 4 7 的相关建议为基础，确定了在健康信息跨国通信的安全策略中所需的原则，还规定了健康方面所需的最低级别的安全性。食品伙伴网健康信息学公钥基础设施( P K I )第2 部分：证书轮廓G B Z2 1 7 1 6 2 2 0 D 81 范围本部分规定了在单独组织内部、不同组织之间和跨越管辖界限时医疗保健信息交换所需要的证书轮廓。本部分还详述了公钥基础设施( P K I ) 数字证书在医疗行业中形成的应用，并侧重描述了其中与证书轮廓相关的医疗保健问题。2 规范性引用文件下列文件中的条款通过G B Z2 1 7 1 6 的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单( 不包括勘误的内容) 或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注1 = t 期的引用文件，其最新版本适用于本部分。G B Z2 1 7 1 6 12 0 0 8 健康信息学公钥基础设施( P K I )第1 部分：数字证书服务综述G B Z2 1 7 1 6 32 0 0 8 健康信息学公钥基础设施( P K I ) 第3 部分：认证机构的策略管理I E T F R F C3 2 8 0I n t e r n e tX 5 0 9 公钥基础设施证书和C R L 轮廓1 E T F R F C3 2 8 1 针对机构的因特网属性证书轮廓1 E T F R F C3 7 3 9I n t e r n e tX 5 0 9 公钥基础设施合格证书轮廓3 术语和定义G B Z2 1 7 1 6 1 给出的术语和定义适用于本部分。4 缩略语下列缩略语适用于本部分。A A属性机构a t t r i b u t ea u t h o r i t yA c属性证书a t t r i b u t ec e r t i f i c a t eC A认证机构c e r t i f i c a t i o na u t h o r i t yC P证书策略c e r t i f i c a t ep o l i c yC P S认证操作声明c e r t i f i c a t i o np r a c t i c es t a t e m e n tC R L证书撤销列表c e r t i f i c a t er e v o c a t i o nl i s tP K C公钥证书p u b l i ck e yc e r t i f i c a t eP K I公钥基础设施p u b l i ck e yi n f r a s t r u c t u r eR A注册机构r e g i s t r a t i o na u t h o r i t yT T P可信第三方t r u s t e dt h i r dp a r t y5 医疗保健证书策略5 1医疗保健证书类型标识证书应发行给：一个人( 正规健康专业人员、非正规健康专业人员、受托医疗保健提供者、支持组织的雇员、患者食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8消费者) ；组织( 医疗保健组织和支持组织) ；设备；应用。通过标识证书本身( 证书的扩展部分) 或关联的A C ，应可以获取个人和组织的角色信息。不同种类的证书及其关联见图1 。公钥基本结构公钳 I E 帖从属C A 证书正规健康专业人员( 合格证书)非正规健康专业人员( 合格证书)受托医疗保健提供者( 合格i 【E 书)直持组织的雇员( 台格证书)患者和( 或) 消费者( 合格证书)图1 医疗保健证书类型5 2C A 证书5 2 1 根C A 证书当证书的主体本身是一个C A 时，使用根C A 证书。根证书被自我签名，并用于医疗保健P K I 发行证书给包括从属C A 在内的依赖方。基本约束域指示一个证书是否是C A 。5 2 2 从属C A 证书从属C A 证书是对C A 发行的，该C A 完全通过另外的高层C A 认证，而高层C A 可对低层C A 或端实体发行证书。5 3 交叉桥接证书在因特网环境中，期望跨界和跨辖区的医疗行业信任顶层C A 是不可行的。替代方法是在每个医疗行业领域建立信任孤岛，这些“信任孤岛”是基于信任特定C A 的专业、权限、位置或地区的。而后，每个“信任孤岛”的中枢根C A 可以交叉地验证另外的根。在这些情形中，一组C A 可以达成在其策略和相关规范声明中具体化的标准的最小集合。如果达成了标准的最小集合，依赖方可以接受自己本领域2食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8外的证书，这对于跨越国家和省份管理机构传输信息是非常有效的。交叉桥接证书是不同C A 领域交义验证的证书类型。这种证书支持公钥应用的大范围开展，例如医疗行业中安全电子邮件和其他需求。5 4 端实体证书端实体证书对包括个人、组织、应用或设备的实体发行。他们之所以被称为端实体，是因为没有依赖于此证书的更深一层的实体存在。5 4 1 个人标识证书个人标识证书是为证明目的而对个人发行的端实体证书的特定种类。人们公认以下五种类型的医疗保健参与者可作为其个人。a )正规健康专业人员证书持有者是健康专业人员。他她为了履行其职业范围内的工作，需要有关政府机构给予许可和注册。此类证书可以是资格证书。b )非正规健康专业人员证书持有者是健康专业人员，但他她不属于有关政府机构给予许可和注册的人员。此类证书可以是资格证书。c ) 受托医疗保健提供者证书持有者是在医疗保健社区活动的个人，并且由一个受限医疗保健组织或专业人员主管。此类证书可以是资格证书。d ) 支持组织的雇员证书持有者是一个受雇于某医疗保健组织或支持组织的个人。此类证书可以是资格证书。e ) 患者消费者证书持有者是可能接受、正在接受或已经接受正规或非正规健康专业人员服务的个人。此类证书可以是资格证书。5 4 2 组织标识证书与医疗行业密切相关的组织可以持有用于识别自身和加密目的的证书。根据I E T F R F C2 5 2 7 的要求，在本部分中对组织单元的名称进行了规定。5 4 3 设备标识证书设备可以是计算机服务器、医疗设备，例如x 光机、重症信号监视设备或需要单独识别和验证的假体设备。5 4 4 应用证书应用是需要单独识别和验证的计算机信息系统，例如医院的患者管理系统。本部分主要是关于提供者的，但也认识到在医疗保健自行管理方而患者消费者将更加需要数字证书可提供的安全服务。5 4 5A CA C 是属性的数字签名集合或证明集合。A C 是类似于P K C 的构造，主要区别是A C 不包括公钥。A C 可以包括特定组成员、角色、安全清除和其他有关A C 持有者的信息，此类信息不可以用于访问控制。A C 应符合I E T F R F C3 2 8 1 ( 针对机构的因特网属性证书轮廓) 的有关规定。在医疗保健行业的环境中，A C 可以充当传送机构信息的重要角色。机构信息完全不同于可包括在P K C 中的关于医疗保健或执照的信息。角色和执照暗示机构水平，而其本身并非机构信息。应注意到对A C 的详细规范仍在发展中，而且还应注意A C 的详细规范衙要在软件工业中更广泛地加以实现。I E T F R F C3 2 8 l 对A C 语法进行了规定。3食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8A C 采用F 列组件：v e r s i o n ( 版本号) 用于区分A C 的不同版本。如果ob j e c t D i g e s t I n f o 呈现或i s s u e r 被标识等同于b a s e C e r t i f i c a t e l D ，则其版本应该是V 2 。O w n e r ( 拥有者) 字段传递A C 持有者的标识。此字段要求采用特定P K C 的发行者名称和序列号，也可选择使用一般名称，但禁用对象摘要。通过一般名称本身识别持有者时，G e n e r a l N a m e s 的使用具有危险，此时公钥对名称的绑定不够充分，使得拥有者标识认证过程局限于A C 的使用。此外，G e n e r a l N a m e s 的某些选项( 例如：I P A d d r e s s ) 不适用于命名是角色而不是个人实体的A C 持有者。一般名称的形式应该限制为被识别的名称、R F C8 2 2 ( 电子邮件) 地址和( 对角色名称的) 对象标识符。i s s u e r ( 发行方) 字段传递发行证书的A A 的标识。要求使用发行商名称和特定的P K C 序列号，一般名称的使用随意。s i g n a t u r e ( 签名) 标识了用于数字化签名于A C 的加密算法。s e r i a l N u m b e r ( 序列号) 是唯一在其提供方范围内标识A C 的序列号。a t t r C e r t V a l i d i t y P e r i o d ( 属性证书有效期限) 字段传递时间周期。在此周期内A C 是有效的，并以G e n e r a l i z e d T i m e 格式表示。此属性字段包含需验证的证书持有者的属性( 如特权) 。i s s u e r U n i q u e I D ( 发行方唯一I D ) 可用来标识A C 的发行方，而用发行方的名称进行标识是不充分的。扩展字段允许为A C 附加新的字段。G B Z2 1 7 1 6 1 中8 3 对医疗领域中A C 的使用进行了详细的规定。5 4 6 角色证书用户A C 可以包含对另一个具有附加特权A C 的引用，从而提供了实现特权角色的有效机制。很多具有授权需求的环境要求采用针对某些操作特征的基于角色的特权( 典型情况是有关基于标识的特权) 。这样申请方可以向验证方提交证明申请方特定角色的证据( 例如，“管理者”或“购买者”) 。据此，验证方也可以辨别出其优先程度或必须通过其他手段来发现的有关的声明角色，以便做出通过或失败的授权决定。以下各项内容均是可行的：任何A A 可以定义任何角色的编号；角色本身和角色的成份可以由不同A A 分别进行定义和管理；为给定角色所设定的特权可以放置在一个或多个A C 之中；也可以将角色的成份仅设定为一个与角色相关的特权子集；角色的成份可以被代表；可以为角色和成份设定任何适当的生命周期。设定一个实体包含一个属性该属性用于断言其实体具有的角色。这种证书具有指向另一个定义角色的A C 的扩展段( 即，角色证书规定作为持有者的角色，且包括设定该角色的特权的列表) 。实体证书的发行方可以与角色证书的发行方无关，可以完全单独管理( 终止、取消等等) 这些设定。不是所有G e n e r a l N a m e ( 通用名称) 均适用于角色名称。最好是选用对象标识符和可区分名。6 一般证书要求6 1 证书的符合性以下要求适用于本部分所规定的全部证书：a ) 证书应属于X 5 0 9 第3 版规定的证书。4食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8b ) 证书应与I E T F R F C3 2 8 0 相一致。仪在与有关I E T F R F C3 2 8 0 的已知问题建议方案相结合的情况下，方允许偏离I E T F R F C3 2 8 0 。C ) 在个人标识方面，证书应符合1 E T F R F C3 7 3 9 。仅在与已知问题建议方案相结合的情况下，方允许偏离I E T F R F C3 7 3 9 。d ) 签名字段应标明所采用的签名算法。e )证书公钥应根据所采用的算法决定最小密钥长度字段。密钥的大小应符合G B Z2 1 7 1 6 3 巾7 6 1 5 的规定。f ) 数字加密密钥的使用不应与抗抵赖和数字签名的使用相混合。( 见7 2 3 )以下内容描述了图1 所标识的所有健康数字证书中的通用要素。这些要素是通用性的，使用它们可以构成不同种类的证书。C e r t i f i c a t e：=S I G N E D S E Q U E N C Efv e r s i o n O V e r s i o nD E F A U L Tv l ，s e r i a l N u m b e rC e r t i f i c a t e S e r i a l N u m b e r ，s i g n a t u r eA l g o r i t h m l d e n t i f i e r ，i s s u e rN a m e ，v a l i d i t yV a l i d i t y ，S U b j e c tN a m e ，S U b j e c t P u b l i c K e y l n f oS u b j e c t P u b l i c K e y l n f o ，i s s u e r u n i q u e I d e n t i f i e r 1 I M P L I C I TU n i q u e l d e n t i f i e rO P T I O N A L ，S U b j e c t U n i q u e I d e n t i f i e rL 2 JI M P L I C I Tu n i q u e I d e n t i f i e rO P T I O N A Le x t e n s i o n s 3 E x t e n s i o n sM A N D A T O R Yv e r s i o n ( 版本) 是编码证书的版本。证书版本应是v 3 。6 2 各类证书的通用宇段a )s e r i a l N u m b e r ( 序列号) 是由C A 为每个证书设定的一个整数，唯一标识每个证书。相对特定C A 发行的全部证书而言，每个s e r i a l N u m b e r 均是唯一的( 即，发行商名称和序列号可标识唯一证书) 。b )s i g n a t u r e ( 签名) 包含C A 为证书签名所使用的算法的算法标识符。c ) i s s u e r ( 发行方) 标识实体名称，该实体已签名并发行了证书。此字段应采用适当的1 S O 名称结构，并符合组织或组织单元中组织角色的对象类别。d )v a l i d i t y ( 有效性) 是指时间间隔，在此段时间内，C A 授权包含在证书内的信息是有效的。对于正规健康专业人员来说，C A 应保证证书的有效期限不超过其专业执照的有效期限。为了达到这一目标，C A 应该规定证书的有效性不超过专业执照的周期，或者先于专业执照终止日期可靠确定执照的更新，如果专业执照未被更新，则取消或终止证书。关于时间格式的注释：可识别编码规则( D E R ) 允许格式化U T C 时问和G e n e r a l i z e d 时间的几种方法所有使用相同格式使签名验证问题最小化的实现均是重要的。在年份大于或等于2 0 5 0 的情况下应使用G e n e r a l i z e d 时间进行编码为了保证对U T C 时间编码进行一致地格式化，应使用“z ”格式对U T C 时问进行编码，且不要忽略第二个字段，即使是“0 0 ”( 即，格式应该是Y Y M M D D H H M M S S Z ) 。在此种编码中，当Y Y 大于或等于5 0 时，则认为年字段Y Y 等于1 9 Y Y ；当Y Y 小于5 0 时，则认为Y Y 等于2 0 Y Y 在采用G e n e r a l i z e d 时间时，应以“Z ”格式对U T C 时间进行编码，并应包括第二个字段( 即，格式应是Y Y Y Y M M D D H H M M S S Z ) e ) s u b j e c t ( 主体) 标识在主体公钥字段所发现的公钥相关联的实体的名称。f ) s u b j e e t P u b l i c K e y I n f o ( 主体公钥信息) 用于携带公钥，并标识该公钥所采用的算法。5食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8g )i s s u e r U n i q u e l d e n t i f i e r ( 发行方唯一标识符) 是用1 ：唯一标识发行办的选择性位串。( I E T F R F c3 2 8 0 建议不使用该字段) 。h ) s u b j e e t U n i q u e l d e n t i l i e r ( 主体唯一标识符) 是用于唯一标识主体的选择性位串。( 同意I E T F R F c3 2 8 0 的规定，建议不使用该字段) 。i ) e x t e n s i o n s ( 扩展) 应表示一个或多个扩展的S E Q U E N C E ( 次序) 。通过X 5 0 9 所定义的标准签名数据类型的方式将证书的签名附加给证书数据类型。6 3 通用字段规范6 3 1 概述下列条款规定了对基本证书字段中信息内容的要求。对这些内容，I E T F R F c3 2 8 0 或I E T F R F C3 2 7 9 未进行规定。6 3 2 签名建议在签名字段中包含下列其中的一项值：a )m d 5 W i t h R S A E n c r y p t i o n ( 1 2 8 4 0 1 1 3 5 4 9 1 1 4 ) ；b ) s h a l W i t h R S A E n c r y p t i o n ( 1 2 8 4 0 1 1 3 5 4 9 1 1 5 ) ；c ) d s a w i t hs h a l ( 1 2 8 4 0 1 0 0 4 0 4 3 ) ；d ) m d 2 W i t h R S A E n c r y p t i o n ( 1 2 8 4 0 1 1 3 5 4 9 1 1 2 ) ；e )e c d s a - w i t h S H A l ( 1 2 8 4 0 1 0 0 4 5 4 1 ) ；f )e c d s a w i t h S H A 2 2 4 ( 1 2 8 4 0 1 0 0 4 5 4 3 1 ) ；g )e c d s a w i t h S H A 2 5 6 ( 1 2 8 4 0 1 0 0 4 5 4 3 2 ) ；h )e c d s a - w i t h - S H A 3 8 4 ( 1 2 8 4 0 1 0 0 4 5 4 3 3 ) ；i )e c d s a w i t h S H A 5 1 2 ( 1 2 8 4 0 1 0 0 4 5 4 3 4 ) ；j )d R S A S S AP S S ( 1 2 8 4 0 1 1 3 5 4 9 1 1 1 0 ) ；k )s h a 2 5 6 W t h R S A E n c r y p t i o n1 2 8 4 0 1 1 3 5 4 9 1 1 1 1 ；1 ) s h a 3 8 4 W i t h R S A E n c r y p t i o n1 2 8 4 0 1 1 3 5 4 9 1 1 1 2 ；m ) s h a 5 1 2 W i t h R S A E n c r y p t i o n1 2 8 4 0 1 1 3 5 4 9 1 1 1 3 。6 3 3 有效性有效日期应符合I E T F R F C3 2 8 0 的规定。按照G B Z2 1 7 1 6 32 0 0 8 中7 6 3 2 的规定，本部分对健康证书有效期规定了适度的约束。证书的n o t B e f o r et i m e ( 有效期起始时间) 表示一个确切的时间，从那时起C A 将维护和出版关于证书状态的准确信息。6 3 4 主体公钥信息应标识算法标识符，例如：a )R S Ap k c S - lO B J E C T1 D E N T I F I E R ：一 i s o ( 1 ) m e m b e r - b o d y ( 2 ) u s ( 8 4 0 )r s a d s i ( 1 1 3 5 4 9 ) p k c s ( 1 ) 1 )r s a E n e r y p t i o nO B J E C TI D E N T I F I E R ：一 p k c s l1 b ) D if f i e H e l l m a n支持D i f f i e H e l l m a nO I D 的轮廓是通过A N S IX 9 4 2E x 9 4 2 定义的。d h p u b l i c n u m b e r O B J E C T I D E N T I F I E R ：= fi s o ( I ) m e m b e r b o d y ( 2 )u s ( 8 4 0 ) a n s i x 9 4 2 ( 1 0 0 4 6 ) n u m b e r t y p e ( 2 ) 1 )c )D S A6食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8本轮廓支持的D S AO l D 为：i d d s a1 D ：一 i s o ( 1 ) m e m b e r b o d y ( 2 ) u s ( 8 4 0 ) x 9 5 7 ( 1 0 0 4 0 )x 9 c m ( 4 ) 1 )d ) E l l i p t i cC u r v eE c d s a 1 ，2 ，8 4 0 ，1 0 0 4 5 ，2 ，1 )引用G B Z2 1 7 1 6 3 2 0 0 8 中7 6 I 5 对密钥大小的规定。6 3 5 发行方名称字段存储于发行方名称字段的发行方名称应采用以下规定的修正和约束，与符合对象类别O r g a n i z at i o n a lR o l e ( 组织角色) 的适当I S O 名称结构相一致，位于一个组织或一个组织单元后面。6 4 条为各类证书规定了发行方名称字段的内容。a )国家名称：国家名称( c o u n t r y N a m e ) 应包括I S O 双字符国家标识符。示例：国家名称一“C N ”在医疗保健领域必须能分辨出用来请求访问个人健康信息所提供的证书的起源国家，所以此字段是必备的。不同国家有不同保护客户消费者隐私方面的法律和法规，分辨出请求起源的国家将有助于做出是否批准请求的决定。b ) 地点名称：地点名称( 1 0 c a l i t y N a m e ) 用来至少存储一个地点名称数据。本规范将规定地点名称的两层应用。顶层是指列入地理地点名称值后面的国家。在证书发行方名称内，可以省略高层地点名称，仅使用地理地点名称。示例：地点名称一“北京”c ) 组织名称：组织名称( o r g a n i z a t i o n N a m e ) 字段应包括组织注册名称的全称，组织名称是指端实体情况下的受托医疗保健组织和C A 证书情况下的C A 的组织名称。示例：组织名称一“北京市卫生局”d ) 组织单元名称：如果存在组织单元，组织单元名称( o r g a n i z a t i o n a l U n i t N a m e ) 用于存储特定组织下属的组织单元科室。通过纳入多于一个的字段值，可以在若干层次中规定组织单元。在存在组织单元的情况下，应该以在C A 范围内避免名称多义性的方法选择组织单元名称。示例：组织单元名称一“安贞医院放射科”e )通用名称：本字段用于描述被普遍认知的主体的名称。在为用户提交证书时，此字段通常与通用名称( c o m m o n N a m e ) 主体一同通过标准化软件组件来使用。即使能够正确地知晓证书的发行方和证书的用途，它所表示的名称也应该是提示性的。在通用名称字段值内包括管理证书策略的名称属进一步的要求。这是对使用O I D 策略的附加引用。示例；通用名称一“患者健康信息策略”6 3 6 主体名称字段存储于主体名称字段的主体名称应采用以下定义的修正和约束，与符合对象类别O r g a n i z a t i o n a lR o l e ( 组织角色) 的适当1 S O 名称结构相一致，位于一个组织或一个组织单元后面。医疗保健执行者的资格和头衔应反映在证书扩展( H C R o l e 字段) 中。6 4 条规定了每种证书类型的主体名称的内容。附加的建议和指南见I S OT S2 1 0 9 1 。a ) 国家名称：国家名称( c o u n t r y N a m e ) 应包含I S O 双字符国家标识符。示例：国家名称一“C N ”此字段的配置应反映该国家的实际表达。对于C A 、正规的和非正规的专业人员、负责医疗保健的提供方、支持组织雇员及组织来说，此字段均是必备的，因为在医疗保健领域分辨实体的起源国家是非常关键的，这种实体是由于访问个人健康信7食品伙伴网G B Z2 1 7 6 2 2 0 0 8息的请求所提交的证书的主体。不同国家有着不同的保护客，l I 消费者政策方丽的保密法律和法规，分辨请求来自哪个陶家将辅助决定是否接受请求。b ) 地点名称：地点名称( 1 0 c a l i t y N a m e ) 用来至少存储一个地点名称数据。顶层为国家的两层地点名称被规定。其后是地理地点名称值。顶层要求列入由地理地点名称值随后的国家。在证书主体名称内，可以省略顶层地点名称，仅使用地理地点名称。示例：地点名称一“北京”c ) 组织名称：组织名称( o r g a n i z a t i o n N a m e ) 字段应包括组织注册名称的全称，组织名称是指端实体情况下的受托医疗保健组织和C A 证书情况下的C A 的组织名称。示例：组织名称一“北京安贞医院”d ) 组织单元名称：如果存在组织单元名称( o r g a n i z a t i o n U n i t N a m e ) 字段，则该字段用于存储特定组织下属的组织单元科室名称。通过纳入多于一个的字段值，可以在若干层次中规定组织单元。在存在组织单元的情况下，组织单元名称的选择方法应采用避免名称的多义性的方法。在某些区域医疗保健实现中，例如，在F 1 本，组织单元用于存储医疗保健角色。因为某些卖方的路由器防火墙可以访问组织单元，而这种方法可用来施加批准或约束访问的规则，故这种方法在虚拟专业网实现中是有益的。这种方法还可以使依赖方直接从证书中读取角色信息。在组织单元名称字段存在的情况下，该字段可以用来存储健康角色。示例；组织单元名称一“北京安贞医院放射科”示例t 组织单元名称一“认可的内科医师”e ) 通用名称t 此字段用于描述名称，通过该名称其主体通常可以被辨别。示例：通用名称= “李国强”( 人名)对于作为证书主体的人和组织来说，此字段是必备的。在决定是否允许访问个人健康信息时，能够在健康系统中标识可以分辨某个人的通用信息是十分重要的。f ) 姓：此字段用于描述可用来分辨主体的姓。此字段可能存在。如果存在，它可以明显地标识主体，因为在医疗保健系统中可以分辨它。示例：通用名称一“李”g ) 名：此字段用于描述通常可用来分辨主体的名。此字段可能存在。由于在医疗保健系统内部可以分辨它，所以它可以明确地标识主体。示例：名；“国强”h )c - m a i l ：此字段的主要用途是记录主体的电子邮件地址。示例：e m a i l d o n g l x h e a l t h c o r n c nI E T F R F C3 2 8 0 不赞成，但也允许在支持遗留实现的主体的可区分名中同时存在的电子邮件地址的属性。本指导性技术文件建议在主体名称字段不使用该电子邮件，而放在主体替换名称字段中使用。6 4 对各种医疗保健证书类型的要求6 4 1 发行方字段对各种医疗保健证书类型的发行方字段要求见表1 。6 4 2 主体字段对各种医疗保健证书类型的主体字段要求见表2 。8食品伙伴网华媸= 墨g盆窖畦划蚓缎蝴斓蚓f 己宙口窟忙疃堆窖= 譬蛊盆窖崩妇蝈姐蝴妇旺鸯宙母f 己奄倒止目密窖宅蛊蛊姐枷蝴妇蚓枷母曹每商鸯魁私媸譬蛊蛊蛊窖跞妇螋妇期妇韶矧鸯f 己固1 言萄媸蓉雌毕崩= 蛊芸器窖蛊椰妇则妇制妇枢固曹固曹固媸诞略趟谜崩趔趔疃：蛊蛊：譬蛊蛊醛鼷 靶啦制妇则班憬目爿母曹每l i母幽鞋粹咿似_ _ 暮_ | l I ，毕崩璀崩窖窖窖gg轴牲略妇则妇蚓妇鬟- 每詹母曹每蹿cH 爿蘸蒸档蛊：墨窖g蛊目。凼妻菩妇蝴姐缃妇椒幅蜒靶瞰杈#杈萄曹氰窟母撼窖*蛊年旺崩制茸廿簧甚靶单U捌釜划趔蒌缸雹譬窖= 蛊蛊曰堆窖姐蚓枷斛妇星林单嗤鸯窟鸯宙每N 释瑚墨耐匠略粼匠宰而爿崩华咖柑崩崔船港旺蜒趔酏韶础婶而毒累仆港艋捶1 R藩僻崩茸媸牝郇郇婶柚坪幡墨粹靶椭繇野畦划皿曾矧鼎赠G B Z2 1 7 1 6 2 2 0 0 89* 瞰跹仆牝姑删盆烈粼捧崩掣睢慷凼薄船莨l _ 僻食品伙伴网G B Z2 1 7 1 6 2 2 0 0 81 0毕蛊蛊震窖密蛊蛊g崩蚓蝴蝴蚓蚓蚓蚓蝴划甘窟宫曹静宙曹宙疃宰窖窨茁蛊盆畦匠蛊崮蚓划则蚓斓蜊蛔蚓雎窟f 己詹f 已窟陪kl 已氇业窖蛊g盆窖雎旺害崩蝈则蝴则蚓蝌螂蚓枷f 已曹宵甘f 已*悟甘怠#瑚雹客霜髻雹碇窿= 譬轿妇制枷稍妇! I 粤蛔则华蜘母甘母曹固*忙商媸匿姬毕岿蛊蛊g暑盆害蛊= 譬籼蚓划蚓蝈柱稍稍蝌积f F甘曹1 守母曹1 Fl 己目涎唁碰拦崩趔裂罢靶譬窨g客雩客客蛊鹾枷制蚓稍妇蝈幽娴幽目爿每窟茸1 己母曹静1 百鼗特帮州禚舟率#拦崩蛊蛊g窨宅客蛊蛊崮趔喝妇煅蚓蝈啦制蝈蛔瓶鼷鸯f 己宵宙母曹曹甘蓝目爿誉鬟鲻窖窖g蛊譬畦畦雹酃。凼萋蔷妇蚓啦蚓妇蛔蛔制蚪梃斑拉馘啦止制母窟母官每忙峰甘州宅似崩蛊牛旺制崩蚓韬靶目U瑚墨蜊堙蜒窖gg君窖窿匪宅口堆窖晕靶姐蝈啦则妇! l 璺蝌制厘林毕崩每旨母曹每忙忙甘J N 释坩矗到足皑划旺华鬲爿崩华枷坩崩蜷幅艇旺霉捌哦郇鬲是屉牢_稍媸憎崩础= j 垂越藩1 譬嚣垃冲婶婶螂：球郇* 墨弊蛙聪繇旺H 1州哑掣鼎鼎赠摊蜊删* 嘛跹仆擐州盆副糕平崩掣账啦瞰露船靛N 聪食品伙伴网7 证书扩展的使用G B Z2 1 7 1 6 2 2 0 0 87 1引言关于在x 5 0 9 第3 版医疗保健证书中的实现应该具有证书扩展的一般要求如下。有关这些扩展的更详尽的信息见I E T F R F C3 2 8 0 和I E T F R F c3 7 3 9 。7 2 一般扩展7 2 1 机构密钥标识符此扩展应对用于验证证书签名的公钥进行标识。它使得区分由一个C A 使用的独特的密钥可行( 例如，当密钥更新发生时) 。仅使用a u t h o r i t y K e y I d e n t i f i e r ( 机构密钥标识符) 扩展( 字段) 的密钥标识符。这并不是严格的扩展。但如果使用，建议扩展应是必备的配置。7 2 2 主体密钥标识符此扩展用于标识在证书的s ub j e c t P u b l i c K e y I n f 。( 主体公钥信息) 字段保存的公钥。I E T F R F C3 2 8 0 包括如何从公钥中导出密钥标识符( k e y l d e n t i f i e r ) 的指南。对于信赖医疗保健链内所有端实体证书和所有C A 证书来说，此扩展是必备的和非关键的。7 2 3 密钥使用k e y U s a g e ( 密钥使用) 扩展应标识证书中有关公钥的基本密钥使用。加密和数字签名的单独密钥对的使用是受阻止的，且数据加密( d a t a E n c i p h e r m c n t ) 密钥的使用不应与抗抵赖或数字签名( d i g i t a l S i g n a t u r e ) 密钥的使用混合( 见6 1 ) 。此扩展是必备的。建议( 按I E T F R F C3 2 8 0 的规定) 此扩展为关键扩展。7 2 4 私钥使用期( p r i v a t e K e y U s a g e P e r i o d )建议不使用此扩展。不存在此扩展时，缺省私钥使用期为证书的有效期。7 2 5 证书策略c e r t i f i c a t e P 0 1 i c i e s ( 证书策略) 扩展应包括G B Z2 1 7 1 6 3 规定的标准化证书C A 策略的o b j e c t i d e n t i l l e r ( 对象标识符) 。此扩展为必备的和非关键的。7 2 8 主体替换名称建议将s u b j e c t A l t N a m e ( 主体替换名称) 扩展表示在证书中。建议此扩展包含一项符合R F C8 2 2的签署人电子邮件地址。如果此扩展包括目录名，则它应该以U T F 8 字符串开始，U T F 8 字符串提供国际字符集的目的为支持主体可区别名。此扩展为可选的和非关键的扩展。7 2 7 基本约束b a s i c c o n s t r a i n t s ( 基本约束) 扩展含有一个布尔值，用于规定主体是否可作为C A 活动，使用被认证的密钥签署数字证书。如此，也可对认证路径长度的约束进行规定。C A 证书应包括C A 值为“真”的基本约束扩展。关于此扩展是否是关键的和可选的见表3 。端实体证书( 个体的正规健康专业人员、非正规医疗保健雇员、受托医疗保健提供者、支持医疗保健雇员、消费者、组织、应用和设备证书) 不应将此扩展设定为“真”。7 2 8 证书撤销列表分布点I E T F R F C3 2 8 0 建议通过C A 和应用支持C R L D i s t r i b u t i o n P o i n t s ( 证书撤销列表分布点) 扩展。】1食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8对于依赖C R l 。分布点的医疗保健实现来说，此扩展应标识在数字证书目录中的相关C R I 。( 或C A 汪书的A R L ) 地址，并应作为必备的和非关键的扩展。7 2 9 扩展密钥使用E x t K e y U s a g e ( 扩展密钥使用) 字段指出已验证的公钥可以用做的一个或多个用途，而对基本用途的添加或替换在密钥使用扩展字段指出。此扩展为可选的和非关键的扩展。7 2 1 0 机构信息访问a u t h o r i t y I n f o A c c e s s ( 机构信息访问) 扩展指出如何访问发行C A 证书O C S P 的应答器。此字段不规定C R L 的地址。此字段由一系列的访问方法和访问地址组成。在该序列中的每个入口描述关于C A 附加信息的格式和地址。访问方法规定信息的类型和格式，访问地址规定信息的地址。此扩展是可选的、非关键的扩展。7 2 1 1 主体信息访问s u b j e c t l n f o A c c e s s ( 主体信息访问) 指出如何访问主体C A 证书和服务，例如，时问戳。此扩展是可选的、非关键的扩展。7 3 专用主体目录属性7 3 1 医疗保健角色属性医疗保健角色( h c R o l e ) 属性允许对正规的和非正规的健康专业角色数据进彳j 编码。因为实现此编码可在健康角色的认证中提供国际化的互操作性，故建议实现。这将允许多种证书发行，并使类别表的排列与此字段相关。提议此字段设有扩展机制，以允许采用国家或区域健康角色编码模式。因为证书持有者的医疗保健角色是构成证书持有者标识的整体的组成部分，所以在标识证书中需要此字段。一旦经过验证，按照G B Z2 17 16 1 中8 4 的规定，更多的信息更适合放置在A C 中。本部分允许对包括专业人员标识在内的局部数据的断言，例如，注册编号、账单编号和患者标识符。见下述局部数据( R E G I O N A L _ D A T A ) 。h c R o l eA T T R I B U T E：一W I T HS Y N T A XH C A c t o r D a t aE Q U A L I T YM A T C H I N GR U L Eh c A c t o r M a t c hS U B S T R I N G SM A T C H I N GR U L Eh c A c t o r S u b s t r i n g s M a t c hI Di d h c p k i a 卜h e a l t h c a r e a c t o r )对象标识符的赋值本指导性技术文件给定如下值( i s o ( 1 ) s t a n d a r d ( 0 ) h c p k i ( 1 7 0 9 0 ) )i d h c p k i0 B J E C TI D E N T I F I E R：一1 0 1 7 0 9 0i d h c p k i a t0 B J E C TI D E N T I F I E R：一 i d h c p k i0 )i d h c p k i a tO B J E C TI D E N T I F I E R ：一1 0 17 0 9 0 0i d h c p k i a t - h e a l t h c a r c a c t 。ro B J E C TI D E N T I F I E R：= ( i d h c p k i a t1 )i d h c p k i a th e a l t h c a r e a c t o rO B J E C TI D E N T I F I E R ：一1 0 1 7 0 9 0 0 1食品伙伴网d - h c p k i c dO B J E C TI D E N T I F I E R ：一( i dh c p k i1 )i d h c p k i c dO B J E C TI D E N T I F I E R ：= 1 0 1 7 0 9 0 1i d - h c p k i - i sO B J E C TI D E N T I F I E R ：一 i d h c p k i2 )i d h c p k ii sO B J E C TI D E N T I F I E R ：一1 0 1 7 0 9 0 2数据类型的定义：H C A c t o r D a t a：一S E TO FH C A c t o rH C A c t o r：一S E Q U E N C E c o d e d D a t a 0 7C o d e d D a t aO P T I O N A L ，R e g i o n a l H C A c t o r D a t a 1 S E Q U E N C EO FR c g i o n a l D a t aO P T I O N A L C o d e d D a t a ：一S E T e o d i n g S c h e m e R e f e r e n c e o 0 B J E C TI D E N T I F I E R ，C o n t a i n st h eI S Oc o d i n gs c h e m eR e f e r e n c e一一一一o rl o c a lc o d i n gs c h e m er e f e r e n c ea c h i e v i n gI S OO rn a t i o n a lr e g i s t r a t i o n 一一T h eI S Oc o d i n gs c h e m eO I Di si d h c p k i i s ( d e f i n e da b o v e ) 一一一A t1 e a s to N Eo ft h ef o l l o w i n gS H A L Lb ep r e s e n t ：c o d e D a t a V a l u e 1 U T F 8 S t r i n g0 P T I O N A L ，c o d e D a t a F r c e T e x t 2 D i r e c t o r y s t r i n gO P T I O N A L )R e g i o n a l D a t a ：= S E Q U E N C E t y p eR E G I O N A L D A T A & i d ( S u p p o r t c d R e g i o n a l D a t a ) ) ，v a l u cR E G I O N A L D A T A T y p e ( S u p p o r t e d R e g i o n a l D a t a ) ( t y p e ) 局部数据对象类别的定义R E G l 0 N A L D A T A：一C L A S S 8 L T y p e ，i d0 B J E C TI D E N T I F I E RU N I Q U E )W I T HS Y N T A X W I T HS Y N T A X T y p eI D8 L i d )所支持的局部数据对象类别集合的定义S u p p o r t e d R e g i o n a l D a t aR E G I O N A L D A T A( c o d e d ，G B Z2 1 7 1 6 2 2 0 0 8食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8e x p e c ta d d i t i o n a lr c g i o n a l n a t i o n a lo b j e c t st ob ed e f i n e d )代码信息对象的定义c o d e d：= R E G I O N A L D A T A W I T HS Y N T A XC o d e d R e g i o n a l D a t aI Di d h e p k i c d )C o d e d R e g i o n a l D a t a ：一S E Q U E N C E (c o u n t r y O P r i n t a b l e s tr i n g ( S I Z E ( 2 ) ) ，一+ I S O3 1 6 6c o d eo fc o u n t r yo fi s s u i n ga u t h o r i t y i s s u i n g A u t h o r i t y 1 D i r e c t o r y s t r i n g ，一一I d e n t i f i e ro fi s s u i n ga u t h o r i t ya SR e g i o n a lE n t i t y 一一C o u l db ei m p l e m e n t e da sat r u ei d e n t i f i e ro ra一一D i r e c t o r yl o o k u ps t r i n g ( t Ob ed e t e r m i n e d )h e M a j o r C l a s s C o d e 2 C o d e d D a t a ，h c M i n o r C l a s s C o d e 3 C o d e d D a t aO P T I O N A L例如A S T ME 1 9 8 6 9 8 数据用户角色名称作为用于本字段的代码。建议H e A e t o r 取自适当的国家编码模式。对于正规健康专业人员证书和非正规健康专业人员证书来说，此扩展是必备的和非关键的扩展。在所有其他情况下，是可选的和非关键的扩展。7 3 2 主体目录属性建议将此扩展在个体标识证书中表示。在这种证书中，此扩展可以包含h c R o l e 属性( 见7 3 1 ) 。另外，s u b j e e t D i r e c t o r y A t t r i b u t e s ( 主体目录属性) 可以包括本指导性技术文件未规定的其他属性。应将此扩展标记为非关键的扩展。由于此证书用于认证和指定角色的用途，所以对于正规健康专业人员证书和非正规健康专业人员证书来说，此扩展是必备的。对于其他证书类型来说，此扩展的使用是可选的。7 4 资格证书声明扩展建议在正规健康专业人员证书和非正规健康专业人员证书中包含一项q c S t a t e m e n t ( 资格证书声明) 。对于患者消费者，受托医疗保健提供者、支持组织雇员的证书来说，可以包含一项q c S t a t e m e n t主体目录属性。在设备和应用证书中不应包含此q c S t a t e m e n t 属性。有关的详细规定见I E T F R F C3 7 3 9 。建议符合性应用能够支持q c S t a t e m e n t s 扩展。此扩展是可选的和非关键的扩展。7 5 对每种医疗行业证书类型的要求7 5 1 扩展字段对每种医疗行业证书类型的扩展字段要求见表3 。食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8蛇目窖：鑫窖盆蛊蛊蛊窖窨蛊划蚓则制则斓蚓蝴蚓蛔制窟曹宙日窟茸矗窟曹窟峰毕岿露g：窨窖譬窖暮窖g蛊匠姐妇妇蝴枷蚪韶蚓枷韶倒母固每曹鸯曰岩曹母岱址蛊窖客蛊雹客皋譬霍窖岿妇啦啦悄妇蝴船制啦螋啦奄鸯母茸奄静瘩曹每口魁止崩雹容蛊盆窨窨蛊譬害君蒜妇妇妇蚓妇蝴船蚶枷蝴矧内母奄静固l 己塔f 己母商韶目譬#崩窖= 譬窨譬舞害盆雹震客雌甘糖妇姐妇蝴妇缎蚓蝈啦船母奄砑窟奄矗甘窟母鍪| | | 耋窖雹蛊密露密蛊窖窨墨妇妇嘲蛐枷缎啦蛐枷蛐母奄母1 苷鸯l 已奄宙母詹咖率罄坩蛊窖= 霉器窨蛊窖窨客譬趔略嘲妇枷蝈妇娴妇蚓妇蝴辅_ 母奄鼋甘真f F奄曹每茸憎鲁茁蹦薹蓁妇甘萋菩蛊譬蛊窖譬蛊蛊啦妇枷却姐瓤瓤霉杈奄萄奄崔母崔塔每目U目足窖露譬蛊：窨蛊蛊薹蓁g最毫毕妇妇枷知枷船瓤妇删目奄固净辔鸯苍崔母宵S鼍童兽 幡星虿：!l 暴蓦l 随善囊i 垂耄耋囊蕤弱i = 垂嚣鹱雾妻耋置薹蓍誊u善芎l 萎莹求毒霉雪日VV莹粤舅翌2i崩皑b掣1 5* 眦g 跹仆嗤1 f I 副粼捧牲爿姑帔幽簿船靛啭食品伙伴网G B Z2 1 7 1 6 2 2 0 0 81 封5um搽1 6筘窨窨窨捌蝈蚓船掣宙宙岱疃止崩器暮露畦稍韶瓤曹苍崔倒毕岿窖客客班蚓瓤蚓魁窟崔宙卑#蛊蛊蛊岿划靶蚓塑繇曹苍1 己瞳矧止客目妇匿#，商崮g客：譬最啦妇宙椰蚓积f 己母诞老年旨目蓁耋窖蛊蛊拿蚓啦姐i 璎窟奄奄舀掣姜鬟i 凼扣牢僻鼗拦崩譬：譬窨溅州趔踞：蝴妇班旺娶累f 己雹母萎蓄H 鲁脚椰端震盆宅蓁萋羹萋菩蝈姆却蓁| 曩霎毕杈R崔瘩捌o崮毯悱g蜒露器蛊掣腔枷蠹率蝈船知辗螋母增曹苍瘩目鲁1 ：墨特趔幢。犀密凶酃丰F 捧仆 岿客i譬引略理枷咿- 靛描l母趟爿华最掣廿崩鄙辗拦耀仆目趔妪鲁壬鬟旺黼 詈Vi 詈基华旧掣宰厘崮蝗皑面b逛剖崩袢槲型足轼嚣食品伙伴网A 1 引言附录A( 资料性附录)证书轮廓示例G B Z2 1 7 1 6 2 2 0 0 8为了说明各类证书的细节，特给出下列基本性详细示例。这些示例不是规范性的。其规范性代码和文本见本部分的正文。A 2 示例1 ：消费者证书轮廓注：以下示例仅仅是说明性的t 并不试图声明英国国家健康服务( N H s ) 证书将来所采用的格式。B i l lS m i t h 的N H S 编号为3 6 8 9 6 4 2 7 8 ，证书发行日期为2 0 0 1 年8 月1 日，证书终止日期为2 0 0 6 年8 月1 日。V e r s i o nS e r i a l N u m b e rS i g n a t u r eI s s u e rV a l i d i t yc o u n t r y N a m eI o c a l i t y N a m eo r g a n i z a t i o n N a m eo r g a n i z a t i o n a l U n i tc o m m o n N a m es e r i a l N u m b e rS u b j e c tc o u n t r y N a m el o c a l i t y N a m eo r g a n i z a t i o n N a m eo r g a n i z a t i o n a l U n i tc o m m o n N a m es u r N a m eg i v e n N a m ee - m a i lS O b j e c t P u b l i c K e y l n f oa l g o r i t h mS B b j e c t P u b l i c K e yE x t e n s i o n sa a t h o r i t y K e y l d e n t i f i e r( 2 一d e c i m a lc o d ef o rv e r s i o n3c e r t i f i c a t e s )( u n i q u eC Ag e n e r a t e dd e c i m a ln u m b e r )( s h a 一1 W i t h R S A E n c r y p t i o n 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，5 )( U K )( L o n d o n )( D e p t o fH e a l t h )( N a t i o n a lH e a h hS e r v i c e )( P a t i e n tC e r t i f i c a t ev 1 ) s e r i a l N u m b c ro ft h ei s s u c r ) )( v a l i d i t yp e r i o dc o d e da sU T C T i m en o tb e f o r e0 1 0 8 0 1 0 0 0 0 0 0 zn o ta f t e r0 6 0 8 0 1 0 0 0 0 0 0 z )( U K )( L o n d o n )( N H S )( P a t i e n tR e g i s t r a t i o n )( S m i t h ，B i l l )( S m i t h )( W i l l i a m )( b S m i t h u k n e t c o r n )( p u b l i cR S Ak e y ，1 0 2 4b i t ( 1 ，2 ，8 4 0 ，1 1 3 5 4 9( S u b j e c t SP U B L I CK E Y )( u n i q u ei d e n t i i e ro fC Ap u b l i ck e y )1 7食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8s o b j e c t K e y l d e n t i f i e r ( u n i q u ei d e n t i f i e ro fs u b j e c tp u b l i ck e y )k e y U s a g e( d i g i t a 【S i g n a t u r c )c e r t i f i c a t e P o l i c i e sp o l i c y l d e n t i f i e rO B J E C TI D E N T I F I E R ：= = P o l i c y - O l D 一，0 r P a t i e n tC e r t i f i c a t e - vjc R L D i s t r i b u t i o n P o i n t s( h t t p ：e r l 1 0 c a t i o n n h s u k )a u t h o r i t y l n f o r m a t i o n A c c e s s( h t t p ：o c s p s e r v e r n h s u k O C S P S E R V E R ：5 5 5 5 )s u b j e c t D i r e c t o r y A t t r i b u t e sh c R o l eO B I E C TI D E N T I F I E R ：一i d - h c p k i a t 一 P Z 抽f n r P n f f o rh c A c t o r D a t aS E TO F c o d e d D a t aC o d e d D a t a ：一e o d i n g S c h e m e R e f e r e n c eO B J E C TI D E N T I F I E R ：= i d - h c p k i ，c o d e D a t a V a l u eU T F 8 S t r i n g ：一t h e - c o d e f o r - p a t i e n t ，c o d e D a t a F r e e T e x tD i r e c t o r y S t r i n g ：一o p t i o n a l - d a t a r e g i o n a I H C D a t aS e q u e n c eo fR e g i o n a l D a t a ：一t y p eO B J E C TI D E N T I F I E R ：一O l D - f o r t h i s r e g i o n a l e n c o d i n g ，c o u n t r yP r i n t a b l e S t “n g ( S I Z E ( 2 ) ：一I S O - c o u n t r y c o d e f o r - U K ，i s s u i n g A u t h o r i t yD i r e c t o r y S t r i n g：一( c U K ，N a t i o n a lH e a l t hS e r v i c e ，o n p a t i e n t s ) ，h e M a j o r C l a s s C o d eC o d e d D a t a ：一c o d i r I g S c h e m e R e f e r e n c eO B J E C TI D E N T I F I E R ：=C o d i n gS c h e m e - f o rT y p c O I D ，c o d e D a t a V a l u eU T F 8 S t r i n g ：一T y p e O I D - f o r p a t i e n t ，c o d e D a t a F r e e T e x tU T F 8 S t r i n g ：一”p a t i e n tI D3 6 8 9 6 4 2 7 8 ”) ) )A 3示例2 ：非正规健康专业人员证书轮廓注：以下示例仅仅是说明性的，并不试图声明加利福尼亚州将来发行健康证书所采用的格式。B i l lS m i t h 为被认可的医疗打字员( C e r t i f i e dM e d i c a lT r a n s c “p t i o n i s t ，C M T ) 。C M T 由医疗打字员美国协会发行。V e r s i o nS e r i a l N u m b e rS i g n a t u r eI s s u e rc o u n t r y N a m el o c a l i t y N a m eo r g a n i z a t i o n N a m ec o m m o n N a m eV a l i d i t yS u b j e c tc o u n t r y N a m eI o c a l i t y N a m eo r g a n i z a t i o n N a m ec o m m o n N a m es u r n a m e18( 2 - d e c i m a lc o d ef o rv e r s i o n3c e r t i f i c a t e s )( u n i q u eC Ag e n e r a t e dd e c i m a ln u m b e r )( s h a l W i t h R S A E n c r y p t i o n 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，5 ) )( U S )( C a l i f o r n i a )( N a m e - o fC A - f o r C a l i f o r n i a H e a h h - C a r e )( N a m c - o I - C A f o r C a l i f o r n i a H e a h hC a r e )( v a l i d i t yp e r i o dc o d e da sU T C T i m e )( U S )( C a l i f o r n i a )( C e r t H o l d e r O r g a n i z a t i o n )( S m i t h ，B e t t y )( S m i t h )食品伙伴网g i v e n N a m es o b j e c t P u b l i c K e y l n f oa l g o r i t h ms u b j e e t P u b l i c K e yE x t e n s i o n sa a t h o r i t y K e y l d e n t i f i e rs u b j e e t K e y l d e n t i f i e rk e y U s a g ec e r t i f i c a t e P o l i c i e sc R L D i s t r i h u t i o n P o i n t s( B e t t y )G B Z2 1 7 1 6 2 2 0 0 8( p u b l i cR S Ak e y ，1 0 2 4b i t l ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，1 )( S u b j e c t 5P U B L I CK E Y )( u n i q u ei d e n t i f i e ro fC Ap u b l i ck e y )( u n i q u ei d e n t i f i e ro fs u b j e c tp u b l i ck e y )( d i g i t a lS i g n a t u r co rn o n r e p u d i a t i o no rk e y E n c i p h e r m e n t )( a p p r o p r i a t ep o l i c yO I D )( C R LX 5 0 0e n t r yl o c a t i o n )s a b j e c t D i r e e t o r y A t t r i b o t e s( h c R o l eO B J E C TI D E N T l F I E R ：一i d h c p k i a t h e a l t h c a r e a c t o rh c A e t o r D a t aS E TO Ffe o d e d D a t aC o d e d D a t a ：= c o d i n g S c h e m e R e f e r e n c eO B j 。E C TI D E N T I F I E R ：一i d - h c p k地点名称( 加利福尼亚)组织名称( 证书持有者组织)通用名称( S m i t h ，B e t t y )姓( S m i t h )名( B e t t y )主体公钥信息扩展算法主体公钥机构公钥标识符主体公钥标识符公钥使用证书策略c R L 分布指针主体目录属性( 公共R S A 密钥，1 0 2 4 位 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，I ) )( 主体公钥)( C A 公钥唯一标识符)( 主体公钥唯一标识符)( 数字签名或防抵赖或密钥加密术)( 适当策略的O l D )( C R LX 。5 0 0 人口地址)c o d e D a t a V a l u eU T F 8 S t r i n g ：一t h e c o d e f o r - t r a n s c r i p t i o n i s t r o l e e o d e D a t a F r e e T e x tD i r e c t o r y S t “n g ：= = o 户t i o n n d 口n )r e g i o n a l H C D a t aS e q u e n c eo fR e g i o n a l D a t a ：= ft y p eO B J E C TI D E N T I F I E R ：一O I I ) _ f o r - t h i s r e g i o n a le n c o d i n g 。c o u n t r yP r i n t a b l e S t “n g ( S I Z E ( 2 ) ：= I S O - c o u n t r y c o d e - f o r - U S Ai s s u i n g A n t h o r i t yD i r e c t o r y S t r i n g ：= ( C U S ，O U A m e r i c a nA s s o c i a t i o no fM e d i c a lT r a n s c “p t i o n i s t s ) ，n a m e A s l 黯u e dD i r e c t o r y S t “n g：一( C N E l i z a b e t hS m i t h )1 9食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8h e M a j o r C l a s s C o d eC o d e d D a t a：一c o d i n I g S c h e m e R e f e r e n c eO E U E C TI D E N T I F I E R：一A S T M - C o d i n g S c h e m e - f o r T y p e ，c o d e D a t a V a l u eU T F 8 S t r i n g ：= A S T M T y p e O I D - f o r t r a n s c r i p t i o n i s t )c o d e D a t a F r e e T e x tU T F 8 S t r i n g ：一”l i c e n s en u m b e r12 3 4 5 6 7 ”) ) )A 4 示例3 ：正规健康专业人员证书轮廓注：以下示例仅仅是说明性的，并不试图声明加利福尼亚州将来发行健康证书所采用的格式J o h nS t u a r tW o o l l e ya k aT i n kW o o l l e y 的执照由加利福尼亚州医疗执照委员会颁发，执照编号2 0 A 4 0 7 3 ，执照状态码1 7 ( “0 1 ”为“活动和现行) ，发行日期为2 0 0 0 年3 月2 2 日，截止日期为2 0 0 2 年3 月2 1 日。V e r s i o n( 2 一d e c i m a lc o d ef o rv e r s i o n3c e r t i f i c a t e s )S e r i a l N u m b e r ( u n i q u en u m b e r )S i g n a t u r e( s h a1 W i t h R S A E n c r y p t i o n ( 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，5 ) )I s s u e rc o u n t r y N a m e( U S = U n i t e dS t a t e so fA m e r i c a )I o c a l i t y N a m e ( C a l i f o r n i a )o r g a n i z a t i o n N a m e( N a m e - o f - C A f o r C a l i f o r n i a - H e a l t h C a r e )c o m m o n N a m e( N a m e - o f - C A f o r C a l i f o r n i a H c a h h C a r e )V a l i d i t y ( v a l i d i t yp e r i o dc o d e da sU T C T i m e )S u b j e c tc o u n t r y N a m e( U S U n i t e dS t a t e so fA m e r i c a )I o c a l i t y N a m e( C a l i f o r n i a )o r g a n i z a t i o n N a m e( C e r t H o l d e r O r g a n i z a t i o n )c o m m o n N a m e( W o o l l c y ，T i n k )s u r n a m e( W o o l l e y )g i v e n N a m e ( J o h nS t u a r t )s o b j e c t P u b l i c K e y l n f oa l g o r i t h m( p u b l i cR S Ak e y ，1 0 2 4b i t 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，1 ) )s u b j e c t P u b l i c K e y( S u b j e c t sP U B L I CK E Y )E x t e n s i o n sa u t h o r i t y K e y l d e n t i f i e rs u b j e c t K e y l d e n t i f i e rk e y U s a g ec e r t i f i c a t e P o l i c i e sc R L D i s t r i b u t i o n P o i n t ss n b j e c t D i r e c t o r y A t t r i b u t e s( h c R o l eO B J E C TI D E N T I F I E Rh c A c t o r D a t aS E T0 F c o d e d D a t aC o d e d D a t a ：一2 0( u n i q u ei d e n t i f i e ro fC Ap u b l i ck e y )( u n i q u ei d e n t i f i e ro fs u b j e c tp u b l i ck e y )( d i g i t a l S i g n a t u r eo rn o n - r e p u d i a t i o no rk e y E n e i p h e rm e a t )( a p p r o p r i a t ep o l i c yO I D )( C R LX 5 0 0e n t r yl o c a t i o n )d - h c p k i - a t - h e a l t h c a r e a c t o r食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8c o d k I g s c h e m e R e f e r e n c e0 , B J E C TI D E N T I F I E R ：= dh c p k i ，c o d e D a t a V a I u eU T F 8 S t r i n g ：一t h e - c o d e - f o r - p h y s i c i a n r o l e c o d e D a t a F r e e T e x tD i r c c t o r y S t “n g ：一o p t i o n a l - d a t a )r e g i o n a l H C D a t aS e q u e n c eo fR e g i o n a l D a t a ：一ft y p eO B J E C TI D E N T I F I E R ：= 0 1 D q o r - _ t h i s - r e g i o n a l e n c o d i n g c o u n t r yP r i n t a b l e S t r i n g ( S I Z E ( 2 ) ：一I S O - c o u n t r y c o d e - f o r U S A ，i s s u i n g A u t h o r i t y D i r e c t o r y S t “n g ：一( C U S ，L C A ，0 U C a l i f o r n i a M e d i c a lL i c e n s eB o a r d ) ，n a m e A s l s s u e dD l r e c t o y S t “n g ：= ( C N J o h nS t u a r tW o o l l e y )h c M 砌o r C l a s s q C o d eCc ：o d e c 1 i d a t a ：= c o d i n 西；c h e m e R e f e r e n c eO B J E C T1 1 3 1 E N T I F I E R ：一A S T M 一- C o d i n g - S c h e m e - f o r - - T y p eO I D ，c o d e D a t a V a l u eU T F 8 S t r i n g ：一A S T M T y p e - O l D - f o r - p h y s i c i a n c o d e 1 a t a F r e e T q e x tU T F 8 S t r i n g ：= “l i c e n s en u m b e r2 0 A 4 0 7 3 ”lh c M i n o r C l a s s C o d eC o d e d D a t a ：= c o d i n g s , c h e m e R e f e r e n e e0 I B J E , C T1 D E N l I F I E R ：一A S T MC o d i n g - S c h e m e - f o r L i c e n s e - S t a t u s - o q Dc o d e D a t a V a l u eU T F 8 S t r i n g ：一”u n r e s t r i c t e d ”c o d e D a t a F r e e T e x tU T F S S t r i n g ：一“u n r e s t r i c t e d ”) )在上述示例中，应注意的是执照编号和执照状态属区域性的数据。对这种区域性数据可选择使用是否纳人这种数据须留待C A 发行时再行决定。A 5 示例4 ：受托医疗保健提供方证书轮廓注：以下示例仅仅是说明性的，并不试图声明加利福尼亚州将来发行健康证书所采用的格式J u l i eL e C l e r k 为安大略省的助产士。V e r s i o n( 2 一d e c i m a lc o d ef o rv e r s i o n3c e r t i f i c a t e s )S e r i a l N u m b e r ( u n i q u en u m b e r )S i g n a t u r e ( s h a - l W i t h R S A E n c r y p t i o n l ，2 ，8 4 0 ，1 1 3 5 4 9 ，l ，1 ，5 ) )I s s u e rc o u n t r y N a m e( C A C a n a d a )I o c a l i l i t ) , N a m e( O n t a r i o )o r g a n i z a t i o n N a m e( N a m e - o f - C A f o r - O n t a r i o - 一H e a l t h - - C a r e )c o m m o n N a m e( N l a m e - o fI C A 4 0 r - 0 n t a r i o - 一H e a l t h - C a r e )V a l i d i t y( v a l i d i t yp e r i o dc o d e da sU T C T i m e )S ud b j e c tc o u n t r y N a m e( C A C a n a d a )i o c a l i t y N a m e( 0 m t a r i o )o r g a n i z a t i o n N a m e ( C e r t H o l d e r O r g a n i z a t i o n )c o m m o n N a m e( L c C l e r k ，J u l i e )s u r n a m e( L O C l e r k )g i v e n N a m e ( J u l i e )s o b j e c t P u b l i c K e y l n f oa l g o r i t h m ( p u b f i eR S Ak e y ，1 0 2 4b i t ( 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，l ，l ，1 ) )2 1食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8E x t e n s i o n ss u b j e c t P u b l i c K e y ( S u b j e c t7 SP U B L I CK E Y )a u t h o r i t y K e y I d e n t i f i e rS U b j e c t K e y l d e n t i f i e rk e y U s a g ec e r t i f i c a t e P o l i c i e sc R L D i s t r i b u t i o n P o i n t sS U b j e c t D i r e c t o r y A t t r i b u t e s( h c R o l eO B I E C TI D E N T I F I E Rh c A c t o r D a t aS E TO F ( u n i q u ei d e n t i f i e ro fC Ap u b l i ck e y )( u n i q u ei d e n t i f i e ro fs u b j e c tp u b l i ck e y )( d i g i t a l S i g n a t u r eo rn o n r e p u d i a t i o no rk e y E n e i p h e rm e n t )( a p p r o p r i a t ep o l i c yO I D )( C R LX 5 0 0e n t r yl o c a t i o n )i d - h e p k i - a t r h e a h h c a r e a c t o rc o d e d D a t aC o d e d D a t a ：一fc o d i n I $ c h e m e R e f e r e n c eO B J E C TI D E N T I F I E R ：一i d h c p k i ，c o d e D a t a V a l u eU T F 8 S t r i n g ：一t h e - c o d e - f o m m i d w i 一r o l e ，c o d e D a t a F r e e T e x tD i r e c t o r y S t r i n g ：= o p t i o n a l - d a t a )r e g i o n a l H C D a t aS e q u e n c eo fR e g i o n a l D a t a ：一t y p eO B J E C TI D E N T I F I E R ：一O I D - f o r - t h i s r e g i o n a l e n c o d i n g ，c o u n t r yP “n t a b l e S t “n g ( S I Z E ( 2 ) ：一I S O - c o u n t r y c o d e - f o r C a n a d a ，i s s u i n g A u t h o r i t yD i r e c t o r y S t r i n g ：一( C C A ，O U =N a m e - o f C A f o r - 0 n t a r i o - H e a h h C a r e ) 。h c M 埘o r C l a s s C o d eC o d e d D a t a ：一c o d i n 痨c h e m e R e f e r e n c eO B J E C T1 D E N T I F I E R：一I S 0 - R o l e - C o d i n g S c h e m e ，c o d e D a t a V a l u eU T F 8 S t r i n g ：一t h e c o d e - f o r - m i d w i f e r o l e )c o d e D a t a F r e e T e x tU T F 8 S t r i n g ：一“o p t i o n a lp r i n t a b l ed a t a ” ) )A 6 示例5 ：支持组织雇员证书轮廓注：以下示例仅仅是说明性的并不试图声明加利福尼亚州将来发行健康证书所采用的格式S a l l y RJ o n e s 为账目管理员，受雇于美国健康系统。V e r s i o n( 2 - d e c i m a lc o d ef o rv e r s i o n3c e r t i f i c a t e s )S e r i a l N u m b e r ( u n i q u en u m b e r )S i g n a t u r e( s h a l W i t h R S A E n c r y p t i o n 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，l ，l ，5 )I s s u e rV a l i d i t yS u b j e c tc o u n t r y N a m eI o c a l i t 3 ，N a m eo r g a n i z a t i o n N a m ec o m m o n N a m ec o u n t r y N a m e( U S - - U n i t e dS t a t e so fA m e r i c a )( C a l i f o r n i a )( N a m e - o f - C A f o r - C a l i f o r n i a - H e a l t hC a r e )( N a m e - o f - C A f o r C a l i f o r n i aH e a l t hC a r e )( v a l i d i t yp e r i o dc o d e da sU T C T i m e )( U S - - U n i t e dS t a t e so fA m e r i c a )食品伙伴网l o c a l i t y N a m eo r g a n i z u t i o n N a m ec o m m o n N a m es u r n a m eg i v e n N a m es u b j e c t P u b l i c K e y I n f oa l g o r i t h ms u b j e c t P u b l i c K e yE x t e n s i o n sa u t h o r i t y K e y l d e n t i f i e rs n b j e c t K e y l d e n t i f i e rk e y U s a g ec e r t i f i c a t e P o l i c i e sc R L D i s t r i b u t i o n P o i n t ss n b j e c t D i r e c t o r y A t t r i b u t e s( h c R o l eO B J E C T1 D E N T l F l E Rh c A c t o r D a t aS E To F ( C a l l f o r n i a )( A m e r i c a nH e a h hS y s t e m s )( J o n e s ，S a l l yR )( J o n e s )( S a l l y R )G B Z2 1 7 1 6 2 2 0 0 8( p u b l i cR S Ak e y ，1 0 2 4b i t 1 ，2 ，8 4 0 ，1 13 5 4 9 ，1 ，l ，1 ) )( S u b j e c t sP U B L I CK E Y )( u n i q u ei d e n t i f i e ro fC Ap u b l i ck e y )( u n i q u ei d c n t i f i e ro fs u b j e c tp u b l i ck e y )( d i g i t a l S i g n a t u r eO tn o n - r e p u d i a t i o no rk e y E n c i p h e rm e n t )( a p p r o p r i a t ep o l i c yO I D )( C R LX 5 0 0e n t r yl o c a t i o n )：一i d 。h c p k i - a t h e a l t h c a r e a c t o rc o d e d D a t aC o d e d D a t a ：一fc o d i n g S c h e m e R e f e r e n c e0 B J E C TI D E N T l F I E R ：= i dh c p k i ，c o d e D a t a V a l u eU T F 8 S t r i n g ：一聃P d r ，。r _ ， Z g c l e r k r o l e ，c o d e D a t a F r e e T e x tD i r e c t o r y S t r i n g ：= C N = S a l l yR J o n e s )r e g i o n a l H C D a t aS e q u e n c eo fR e g i o n a l D a t a ：一y p eO B J E C TI D E N T I F I E R ：= O I D - f o r - t h i s r e g i o n a l e n c o d i n g ，c o u n t r yP r i n t a b l e S t r i n g ( S 1 Z E ( 2 ) ：= I S O - e o u n t r y - e o d e - f o r - U S A ，i s s u i n g A u t h o r i t yD i r e c t o r y S t r i n g ：一( C = U S ，O U = A m e r i c a nH c a h hS y s t e m s )h e M 砌o r C l a s s C o d eC o d e d D a t a ：= c o d j n g S e h e m e R e f e r e n c eO E j J E C TI D E N T I F I E R ：；A s T MC o d i n g S c h e m e - f o r T y p c c o d e D a t a V a l u eU T F 8 S t r i n g ：一A S T M T y p e O l D - f o r f i l e - c l e r k ) ) ) )应注意到，本示例不同于示例3 ( j E 规健康专业人员) ，它没有执照编号和执照状态编码。这是允许的，因为对这种区域性数据可选择使用，是否纳入这种数据须留待C A 发行时再行决定。A 7 示例6 ：组织证书轮廓注：以下示例仅仅是说明性的V e r s i o nS e r i a l N u m b e rS i g n a t u r eI s s u e rc o u n t r y N a m e并不试图声明加利福尼亚州将来发行健康组织证书所采用的格式。( 2 一d e c i m a lc o d ef o rv e r s i o n3c e r t i f i c a t e s )( u n i q u en u m b e r )( s h a l W i t h R S A E n c r y p t i o n ( 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，5 ) )( U S = U n i t e dS t a t e s0 fA m e r i c a )2 3食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8I o c a l i t y N a m eo r g a n i z a t i o n N a m ec o m m o n N a m eV a l i d i t yS o b j e c tc o u n t r y N a m eI o c a l i t y N a m eo r g a n i z a t i o n N a m eS U b j e c t P u b l i c K e y l n f oa l g o r i t h mS U b j e c t P u b l i c K e yE x t e n s i o n sa u t h o r i t y K e y l d e n t i f i e rS U b j e c t K e y I d e n t i f i e rk e y U s a g ec e r t i f i c a t e P o l i c i e sc R L D i s t r i b u t i o n P o i n t sA 8 示例7 ：A C 轮廓( C a l i f o r n i a )( C a l i f o r n i aH o s p i t a lA u t h o r i t y )( H e a l t hD i g i t a lC e r t i f i c a t ep o l i c yv 0 1 )( v a l i d i t yp e r i o dc o d c da sU T C T i m e )( U S U n i t e dS t a t e so fA m e r i c a )( R e g i o n = C a l i f o r n i a )( M i d t o w nH o s p i t a l )( p u b l i cR S Ak e y ，1 0 2 4b i t 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，1 ) )( S u b j e c t7 sP U B L I CK E Y )( u n i q u ei d e n t i f i e ro fC Ap u b l i ck e y )( u n i q u ei d e n t i f i e ro fs u b j e c tp u b l i ck e y )( d i g i t a l S i g n a t u r eo rn o n r e p u d i a t i o no rk e y E n c i p h e r m e n t )( a p p r o p r i a t ep o l i c yO I D )( C R LX 5 0 0e n t r yl o c a t i o n )注：以下示例仅仅是说明性的，并不试图声明加利福尼亚州将来发行健康证书所采用的格式。V e r s i o n( 3 )S e r i a l N u m b e rS i g n a t u r eb a s e C e r t i f i c a t e I De n t i t y N a m eO p t i o n a lA t t C e r t V a l i d i t yA t t r i b u t e sI s s u e rc o u n t r y N a m eI o c a l i t y N a m eo r g a n i z a t i o n N a m ec o m m o n N a m eV a l i d i t yS u b j e c tc o u n t r y N a m eI o c a l i t y N a m eo r g a n i z a t i o n N a m ec o m m o n N a m es o b j e c t P u b l i c K e y l n f o2 4( u n i q u en u m b e r )( s h al W i t h R S A E n c r y p t i o n 1 ，2 ，8 4 0 1 1 3 5 4 9 ，l ，1 ，5 ) )3 3 9 3 9 3 3 2 2 2 8 1D rB e n j a m i nC a s e yP e r i o dS u r g e r y r e c o r d a c c c s s( U S U n i t e dS t a t e so fA m e r i c a )( C a l i f o r n i a )( C a l i f o r n i aH o s p i t a lA u t h o r i t y )( C A 一p o l i c yv 0 1 )( v a l i d i t yp e r i o dc o d e da sU T C T i m e )( U S - - U n i t e dS t a t e so fA m e r i c a )( R e g i o n = C a l i f o r n i a )( M i d t o w nH o s p i t a l )( M i d t o w nS e c u r eS e r v e r0 1 )食品伙伴网E x t e n s i o n sa l g o r i t h ms u b j e c t P u b l i c K e ya u t h o r i t y K e y l d e n t i f i e rs n b j e c t K e y l d e n t i f i e rk e y U s a g ec e r t i f i c a t e P o l i c i e sc R L D i s t r i b u t i o n P o i n t sA 9 示例8 ：C A 证书轮廓注：V e r s i o nG B Z2 1 7 1 6 2 2 0 0 8( p u b l i cR S Ak e y ，1 0 2 4b i t 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，1 )( S u b j e c t SP U B L I CK E Y )( u n i q u ei d e n t i f i e ro fC Ap u b l i ck e y )( u n i q u ei d e n t i f i e ro fs u b j e c tp u b l i ck e y )( d i g i t a l S i g n a t u r eo rn o n - r e p u d i a t i o no rk c y E n c i p h c r m e n t )( a p p r o p r i a t ep o l i c yO l D )( C R LX 5 0 0e n t r yl o c a t i o n )以下示例仅仅是说明性的，并不试图声明加利福尼亚州将来发行健康证书所采用的格式。S e r i a l N u m b e rS i g n a t u r eI s s u e r( 2 一d e c i m a lc o d ef o rv e r s i o n3c e r t i f i c a t e s )( u n i q u en u m b e r )( s h a 一1 W i t h R S A E n c r y p t i o n 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，5 ) )c o u n t r y N a m eI o c a l i t 3 ，N a m eo r g a n i z a t i o n N a m ec o m m o n N a m eV a l i d i t yS n b j e c tc o u n t r y N a m el o c a l i t 3 r N a m eo r g a n i z a t i o n N a m ec o m m o n N u m es a b j e c t P u b l i c K e y l n f oa l g o r i t h mS U b j e e t P u b l i c K e yE x t e n s i o n sa u t h o r i t y K e y l d e n t i f i e rS U b j e e t K e y l d e n t i f i e rk e y U s a g ec e r t i f i c a t e P o l i c i e sb a s i c C o n s t r a i n t sc R L D i s t r i b u t i o n P o i n t sA 1 0 示例9 ：桥接证书轮廓( U S = U n i t e dS t a t e so fA m e r i c a )( E x R e g i o nC a l i f o r n i a )( E x C a l i f o r n i aH o s p i t a l sA u t h o r i t y )( E x C A H e a l t hP K IU S - C T p o l i c yv 0 1 )( v a l i d i t yp e r i o dc o d e da sU T C T i m e )( U S U n i t e dS t a t e so fA m e r i c a )( E x R e g i o nC a l i f o r n i a )( E x E lC e r r i t oH e a l t hA u t h o r i t y )( E x C a l i f H AP K IU SC T p o l i c yV 0 3 )( p u b l i cR S Ak e y ，1 0 2 4b i t 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，1 ) )( S u b j e c t SP U B L I CK E Y )( u n i q u ei d e n t i f i e ro fC Ap u b l i ck e y )( u n i q u ei d e n t i f i e ro fs u b j e c tp u b l i ck e y )( C R l 。a n dc e r t i f i c a t es i g n i n g )( a p p r o p r i a t ep o l i c yO I D )( C A = t r u e )( C R LX 5 0 0e n t r yl o c a t i o n )注：以下示例仅仅是说明性的，并不试图声明加利福尼亚州将来发行健康证书所采用的格式。V e r s i o n( 2 - d e c i m a lc o d ef o rv e r s i o n3c e r t i f i c a t e s )2 5食品伙伴网G B Z2 1 7 1 6 2 2 0 0 8S e r i a l N u m b e rS i g n a t u r eI s s u e rc o u n t r y N a m eI o c a l i t y N a m eo r g a n i z a t i o n N a m ec o m m o n N a m eV a l i d i t yS u b j e c tc o u n t r y N a m eI o c a l i t y N a m eo r g a n i z a t i o n N a m ec o m m o n N a m es u b j e c t P u b l i c K e y l n f oa l g o r i t h ms a b j e c t P u b l i c K e yE x t e n s i o n sa u t h o r i t y K e y l d e n t i f i e rS U b j e c t K e y l d e n t i f i e rk e y U s a g ec e r t i f i c a r e P o l i c i e sb a s i c C o n s t r a i n t sc R L D i s t r i b u t i o n P o i n t s2 6( u n i q u en u m b e r )( s h a 一1 W i t h R S A E n e r y p t i o n ( 1 ，2 ，8 4 0 ，1 1 3 5 4 9 ，1 ，1 ，5 ) )( U S U n i t e dS t a t e so fA m e r i c a )( R e g i o nC a l i f o r n i a )( C a l i f o r n i aH o s p i t a l sA u t h o r i t y )( C A H e a l t hP K IU S - C T p o l i c yv 0I )( v a l i d i t yp e r i o dc o d e da sU T C T i m e )( U S = U n i t e dS t a t e so fA m e r i c a )( R e g i o nW a s h i n g t o n )( W a s h i n g t o nH e a l t hA u t h o r i t y )( C a l i f H AP K lU SC T p o l i c yV 0 3 )( p u b l i cR S Ak e y ，1 0 2 4b i t l