3卫生系统数字证书格式规范

I卫生系统电子认证服务体系系列规范卫生系统数字证书格式规范（试行）卫生部办公厅2010年4月30日II目录1范围12数字证书类别13数字证书基本格式131基本结构132基本证书域TBSCERTIFICATE133签名算法域SIGNATUREALGORITHM534签名值域SIGNATUREVALUE535命名规范54数字证书模板541个人证书模版542机构证书模版643设备证书模版85CRL格式951CRL基本结构952CRL模版10附录A资料性附录证书主体DN命名示例10附录B资料性附录证书格式编码示例10附录C资料性附录名词解释1011范围本规范描述了卫生系统电子认证服务体系中使用的数字证书的类型、数字证书和证书撤销列表的格式，制定了各类数字证书及证书撤消列表格式模板，用于指导电子认证服务机构签发统一格式的数字证书和证书撤消列表，以保障数字证书在卫生系统内各信息系统之间的互信互认。本规范在GB/T205182006信息安全技术公钥基础设施数字证书格式基础上，针对卫生系统的电子认证需求，在证书类型、证书格式模板、实体唯一标识扩展项等方面进行了扩充，以适应卫生系统的业务特点和应用需求。2数字证书类别根据卫生系统用户特点及应用需求，数字证书按照内部用户和外部用户分成如下六类。1内部机构证书2内部工作人员证书3内部设备证书4外部机构证书5外部个人证书6外部设备证书3数字证书基本格式31基本结构数字证书的基本结构由基本证书域TBSCERTIFICATE、签名算法域SIGNATUREALGORITHM、签名值域SIGNATUREVALUE等三部分组成。其中，基本证书域由基本域和扩展域组成，如图1所示数字证书基本证书域签名算法域签名值域基本域扩展域图1数字证书基本结构示意图32基本证书域TBSCERTIFICATE基本证书域包括基本域和扩展域。321基本域基本域由如下部分组成A版本VERSIONB序列号SERIALNUMBERC签名算法SIGNATUREALGORITHMD颁发者ISSUERE有效期VALIDITYF主体SUBJECTG主体公钥信息SUBJECTPUBLICKEYINFO下面分别详细介绍各组成部分的格式要求。3211版本VERSION本项描述了数字证书的版本号。数字证书应使用版本3（对应的数值是整数“2”）。23212序列号SERIALNUMBER本项是CA系统分配给每个证书的一个正整数，一个CA系统签发的每张证书的序列号应是唯一的。序列号最长可为20个8位字节的序列号值。证书更新时序列号应改变。3213签名算法SIGNATUREALGORITHM本项包含CA签发该证书所使用的密码算法的标识符，算法标识符应与证书中SIGNATUREALGORITHM项的算法标识符相同。签名算法应符合国家密码主管部门对密码算法的规定，并根据国家密码主管部门批准的最新算法及时调整，以适应国家最新技术标准要求。3214颁发者ISSUER本项标识了证书签名和证书颁发的实体。它必须包含一个非空的可甄别名。该项被定义为X500的NAME类型。颁发者甄别名称（DISTINGUISHEDNAME，简称DN）的C（COUNTRY）属性的编码应使用PRINTABLESTRING。EMAIL属性的编码应使用IA5STRING。其它属性的编码应一律使用UTF8STRING。证书颁发者DN编码规范如表1所示表1证书颁发者DN编码规范表NAME类型说明示例编码格式C国家CNPRINTABLESTRINGO颁发机构名称XXCAUTF8STRINGOU机构名称，可以是信任体系的名称XXCA1UTF8STRINGCN颁发机构通用名XXCAUTF8STRING3215有效期VALIDITY本项是指一个时间段，在这个时间段内，CA系统担保它将维护关于证书状态的信息。该项被表示成一个具有两个时间值的SEQUENCE类型数据证书有效期的起始时间（NOTBEFORE）和证书有效期的终止时间（NOTAFTER）。卫生系统数字证书有效期的NOTBEFORE和NOTAFTER这两个时间都采用GENERALIZEDTIME类型进行编码。GENERALIZEDTIME字段能包含一个本地和格林威治标准时间之间的时间差。GENERALIZEDTIME值必须用格林威治标准时间表示，且必须包含秒（即时间格式为YYYYMMDDHHMMSSZ）。3216主体SUBJECT本项描述了与主体公钥项中的公钥相对应的实体。主体名称可以出现在主体项或主体替换名称扩展项中（SUBJECTALTNAME）。如果主体是一个CA，那么主体项必须与其签发的所有证书的颁发者相同，一个CA认证的每个主体实体的甄别名称应是唯一的。一个CA可以为同一个主体实体以相同的甄别名称签发多个证书。该项不能为空。3217主体公钥信息SUBJECTPUBLICKEYINFO本项用来标识公钥和相应的公钥算法。公钥算法使用算法标识符ALGORITHMIDENTIFIER结构来表示。322扩展域本规范定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及证书结构的管理方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的和非关键性的。一个扩展含有三部分，它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度（EXTENSIONCRITICALITY）告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果不能识别关键的扩展时，必须拒绝接受该证书，如果不能识别非关键的扩展，则可以忽略该扩展项的信息。证书扩展域结构如图2所示。3扩展域扩展项1扩展项2扩展项3扩展关键度扩展项值扩展项N扩展类型图2扩展域构成示意图本条定义了如下一些标准的扩展项和专业扩展项A密钥用法KEYUSAGEB主体密钥标识符SUBJECTKEYIDENTIFIERC颁发机构密钥标识符AUTHORITYKEYIDENTIFIERD证书策略CERTIFICATEPOLICIESE实体唯一标识用户证书必须签发证书唯一标识扩展项。3221密钥用法KEYUSAGE本项说明已认证的公开密钥用于何种用途。所有证书应具有密钥用法扩展项。密钥用法定义IDCEKEYUSAGEOBJECTIDENTIFIERIDCE15KEYUSAGEBITSTRINGDIGITALSIGNATURE0，NONREPUDIATION1，KEYENCIPHERMENT2，DATAENCIPHERMENT3，KEYAGREEMENT4，KEYCERTSIGN5，CRLSIGN6，ENCIPHERONLY7，DECIPHERONLY8所有的CA证书必须包括本扩展，而且必须包含KEYCERTSIGN这一密钥用途。用户证书则根据证书用途，分“签名”证书和“加密”证书，选择对应的密钥用途进行签发。此扩展可定义为关键的或非关键的。3222主体密钥标识符SUBJECTKEYIDENTIFIER本项提供一种识别包含有一个特定公钥的证书的方法。此扩展标识了被认证的公开密钥，它能够区分同一主体使用的不同密钥。对于使用密钥标识符的主体的各个密钥标识符而言，每一个密钥标识符均应是唯一的。CA签发证书时必须把CA证书中本扩展的值赋给终端实体证书AUTHORITYKEYIDENTIFIER扩展中的KEYIDENTIFIER项。CA证书的主体密钥标识符应从公钥中或者生成唯一值的方法中导出。终端实体证书的主体密钥标识符应从公钥中导出。所有的CA证书必须包括本扩展，此扩展项为非关键项。3223颁发机构密钥标识符AUTHORITYKEYIDENTIFIER4本项提供了一种方式，以识别与证书签名私钥相应的公钥。当颁发者由于有多个密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。识别可基于颁发者证书中的主体密钥标识符或基于颁发者的名称和序列号。CA产生的所有证书应包括AUTHORITYKEYIDENTIFIER扩展的KEYIDENTIFIER项，以便于链的建立。CA以“自签”（SELFSIGNED）证书形式发放其公钥时，可以省略认证机构密钥标识符。本项既可用作证书扩展亦可用作CRL扩展。本项标识用来验证在证书或CRL上签名的公开密钥。它能辨别同一CA使用的不同密钥。3224证书策略CERTIFICATEPOLICIES本项包含了一系列策略信息条目，每个条目都有一个OID和一个可选的限定条件。在用户证书中，这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的；在CA证书中，这些策略条目指定了包含这个证书的验证路径的策略集合。数字证书是否包括本扩展为可选的，是否为关键项也是可选的。3225实体唯一标识本项代表一个证书持有者身份的唯一编码，在业务系统中，本标识可与应用系统内用户账号一一关联，从而用于实现证书用户与系统用户的绑定。实体唯一标识的OID由各电子认证服务机构自行申请和定义。“实体唯一标识”的编码规范如下用户编号（变长）“”CA编号（4位）证件类型代码（2位）安全标识（1位）证件号码（变长）其中，用户编号是一个证书实体的证书序号，建议用户编号采用阿拉伯数字，例如一个企业申请2个证书，则第一张证书的用户编码为1，第2张证书的用户编号为2，依次类推。CA编号应为CA机构的电子认证服务许可证上的“许可证编号”的后四位数字。证件类型代码是证书用户申请数字证书使用的关键证件的编码，证书类型和号码类型的代码如表2所示表2证书类型与证件类型代码对应表证书类型办理证书时可使用的证件名称证件类型代码内部机构证书组织机构代码/工商营业执照/税务登记证/其他JJ/GS/SW/QT内部工作人员证书身份证/军官证/护照/回乡证/其他SF/JG/HZ/HX/QT内部设备证书组织机构代码/工商营业执照/税务登记证/其他JJ/GS/SW/QT外部机构证书组织机构代码/工商营业执照/税务登记证/其他JJ/GS/SW/QT个人证书身份证/军官证/护照/回乡证/其他SF/JG/HZ/HX/QT外部设备证书组织机构代码/工商营业执照/税务登记证/其他JJ/GS/SW/QT安全标识使用1位数字代表不同含义，其意义如下0代表其后的“证件号码”为明文格式签发；1代表其后的“证件号码”为BASE64编码格式签发；各类证书中证件号码的安全标识的定义根据应用需求而定。用户根据不同的证书类型，应提供不同的证件办理数字证书。例如个人证书的办理时提供的证件为身份证，身份证号码CA机构编号为1001，该CA中心为用户签发的第一张数字证书的实体唯一标识应为1安全标识为0时的值应为11001SF03422221972050536182安全标识为1时的值应为11001SF1BASE643422221972050536185对于机构证书，如果提供组织机构代码证件号码为123456789,CA机构编号为1001，该CA中心为用户签发的第一张数字证书的实体唯一标识应为1安全标识为0时的值应为11001JJ01234567892安全标识为1时的值应为11001JJ1BASE64123456789实体唯一标识项数据的总长度不应超过128字节。实体唯一标识属性的编码应使用UTF8STRING。对于终端实体证书，该扩展项必须签发，该项应为非关键扩展项。33签名算法域SIGNATUREALGORITHM证书中的签名算法应使用国家密码管理主管部门审核批准的相关算法。34签名值域SIGNATUREVALUE本项包含对基本证书域进行数字签名的结果。经ASN1DER编码的基本证书域作为数字签名算法的输入，签名的结果按照ASN1编码成BITSTRING类型并保存在签名值域。35命名规范数字证书中的主体DN的编码规范是DN_C（COUNTRY）属性的编码使用PRINTABLESTRING，EMAIL属性的编码使用IA5STRING，其它属性的编码应使用UTF8STRING。数字证书中的主体DN命名规范为AC，表示国家，内容为CN。BS，表示省份，所在省份，例北京。CL，表示城市，所在城市，例北京。DO，表示单位或机构名称，例卫生部。EOU，表示部门名称，例卫生部信息中心。FCN，表示用户通用名，例卫生部信息中心。证书主体DN命名示例见附录A。4数字证书模板41个人证书模版内部工作人员证书和外部个人证书的证书模板如表3所示表3个人证书模板证书域名含义说明字段内容（示例）VERSION版本号证书版本号V3SERIALNUMBER序列号由颁发机构指定证书序列号SIGNATURE签名算法符合国家标准符合国家标准C国家CNO单位XXOU部门XXISSUER颁发者CN二级CA通用名XXCAVALIDITY有效期限最长2年NOTBEFORE有效期起始日期签发日期年月日时分秒NOTAFTER有效期终止日期起始日期X个月年月日时分秒SUBJECT主体C国家CN6S省份持证人所在省份，如广东L城市持证人所在城市，如深圳O用户单位/机构XX卫生厅（局）OU部门名称信息中心（可选字段）CN用户通用名张三（个人姓名）EMAIL电子邮件（可选字段）SUBJECTPUBLICKEYINFORMATION公钥包括加密算法及公钥值如采用RSA算法，密钥长度大于或等于1024EXTENSIONS扩展域KEYUSAGE密钥用法关键扩展项DIGITALSIGNATURE,KEYENCIPHERMENT；根据证书用途，分“签名”或“加密”证书SUBJECTUNIQUEID实体唯一标识非关键扩展项OID如12156XXX8，OID对应的值如11001SF0342222197205053618SUBJECTKEYIDENTIFIER主体密钥标识符关键扩展项用户证书公钥的哈希值AUTHORITYKEYIDENTIFIER颁发机构密钥标识符关键扩展项颁发单位证书公钥的哈希值CRLDISTRIBUTIONPOINTSCRL分发点非关键扩展项1CRLDISTRIBUTIONPOINTDISTRIBUTIONPOINTNAMEFULLNAMEDIRECTORYADDRESSDN2CRLDISTRIBUTIONPOINTDISTRIBUTIONPOINTNAMEFULLNAMEURLHTTP/LDAPXXCAORGCN/CRL/CAXCRLXXCRLSIGNATUREALGORITHM签名算法对证书基本信息的数字签名的签名算法ISSUERSSIGNATURE签名值颁发机构对证书基本信息的数字签名数字签名值42机构证书模版内部机构证书和外部机构证书的证书模板如表4所示表4单位证书模板证书域名含义说明字段内容（示例）VERSION版本号证书版本号V37SERIALNUMBER序列号由颁发机构指定证书序列号SIGNATURE签名算法符合国家标准符合国家标准C国家CNO单位XXOU部门XXISSUER颁发者CN二级CA通用名XXCAVALIDITY有效期限最长2年NOTBEFORE有效期起始日期签发日期年月日时分秒NOTAFTER有效期终止日期起始日期X个月年月日时分秒C国家CNS省份持证人所在省份，如广东L城市持证人所在城市，如深圳O用户单位/机构XX卫生厅（局）OU部门名称信息中心（可选字段）CN用户通用名XX卫生厅（局）XX部门（单位名称全称）SUBJECT主体EMAIL电子邮件（可选字段）SUBJECTPUBLICKEYINFORMATION公钥包括加密算法及公钥值采用RSA算法，密钥长度大于或等于1024EXTENSIONS扩展域KEYUSAGE密钥用法关键扩展项DIGITALSIGNATURE,KEYENCIPHERMENT；根据证书用途，分“签名”或“加密”证书SUBJECTUNIQUEID实体唯一标识非关键扩展项OID12156XXXX，OID对应的值如11001JJ0123456789SUBJECTKEYIDENTIFIER主体密钥标识符关键扩展项用户证书公钥的哈希值AUTHORITYKEYIDENTIFIER颁发机构密钥标识符关键扩展项颁发单位证书公钥的哈希值CRLDISTRIBUTIONPOINTSCRL分发点非关键扩展项1CRLDISTRIBUTIONPOINTDISTRIBUTIONPOINTNAMEFULLNAMEDIRECTORYADDRESSDN2CRLDISTRIBUTIONPOINTDISTRIBUTIONPOINTNAME8FULLNAMEURLHTTP/LDAPXXCAORGCN/CRL/CAXCRLXXCRLSIGNATUREALGORITHM签名算法对证书基本信息的数字签名的签名算法ISSUERSSIGNATURE签名值颁发机构对证书基本信息的数字签名数字签名值43设备证书模版内部设备证书和外部设备证书的证书模板如表5所示表5设备证书模板证书域名含义说明字段内容（示例）VERSION版本号证书版本号V3SERIALNUMBER序列号由颁发机构指定证书序列号SIGNATURE签名算法符合国家标准符合国家标准C国家CNO单位XXOU部门XXISSUER颁发者CN二级CA通用名XXCAVALIDITY有效期限最长2年NOTBEFORE有效期起始日期签发日期年月日时分秒NOTAFTER有效期终止日期起始日期X个月年月日时分秒C国家CNS省份持证人所在省份，如广东L城市持证人所在城市，如深圳O用户单位/机构如XX卫生厅（局）OU部门名称XX部门（可选字段）SUBJECT主体CN用户通用名服务器MAC地址/IP/名称或域名SUBJECTPUBLICKEYINFORMATION公钥包括加密算法及公钥值采用RSA算法，密钥长度大于或等于1024EXTENSIONS扩展域KEYUSAGE密钥用法关键扩展项DIGITALSIGNATURE,KEYENCIPHERMENT；根据证书用途，分“签名”或“加密”证书SUBJECTUNIQUEID实体唯一标识非关键扩展项OID12156XXXX，OID对应的值如11001JJ0123456789主体密钥关键扩展项用户证书公钥的哈希值9SUBJECTKEYIDENTIFIER标识符AUTHORITYKEYIDENTIFIER颁发机构密钥标识符关键扩展项颁发单位证书公钥的哈希值CRLDISTRIBUTIONPOINTSCRL分发点非关键扩展项1CRLDISTRIBUTIONPOINTDISTRIBUTIONPOINTNAMEFULLNAMEDIRECTORYADDRESSDN2CRLDISTRIBUTIONPOINTDISTRIBUTIONPOINTNAMEFULLNAMEURLHTTP/LDAPXXCAORGCN/CRL/CAXCRLXXCRLSIGNATUREALGORITHM签名算法对证书基本信息的数字签名的签名算法ISSUERSSIGNATURE签名值颁发机构对证书基本信息的数字签名数字签名值5CRL格式51CRL基本结构CRL是CA对吊销的证书而签发的一个列表文件，该文件可用于业务系统鉴别用户证书的有效性。CRL文件结构主要包括A版本号B颁发者C生效日期D下次更新日期E签名算法F吊销日期G扩展项H被吊销的证书列表511版本号CRL版本号采用V2，数值为“1”，表示版本2（V2）512颁发者颁发者的X500目录示例如下CN卫生部信息中心/通用名OU卫生部信息中心/部门O卫生部信息中心/组织名称L北京/城市S北京/省份CCN/国家名513生效日期10颁发CRL之日起生效。514下次更新日期该域含有一个日期/时间值，用以表明下一次CRL将要发布的时间。515签名算法使用国家密码管理主管部门审核批准的相关算法。516吊销日期该域含有已经吊销或者挂起的证书列表。本列表中含有证书的序列号和证书被吊销的日期和时间。517扩展项颁发机构密钥标识符（AUTHORITYKEYIDENTIFIER）。518被吊销的证书列表该域签发被吊销的证书序列号、吊销时间和吊销原因。52CRL模版CRL格式模板如表6所示表6CRL模板证书域名含义说明VERSION版本号1（表示V2版本）SIGNATURE签名算法使用国家密码管理主管部门审核批准的相关算法DN_C国家代码DN_O组织名称DN_OU组织地址ISSUER签发机构名DN_CN组织编号VALIDITY有效期限THISUPDATA本次更新日期签发时确定NEXTUPDATE下次更新日期根据签发CRL策略确定REVOKECERTLIST被吊销的证书列表CERTINFO证书信息被撤消的证书关键信息SERIALNUMBER序列号被撤消的证书序列号REVOCATIONDATE时间吊销时间EXTNVALUE扩展项吊销原因代码SIGNATUREALGORITHM签名算法对CRL基本信息的数字签名的签名算法SIGNATUREVALUE签名值对CRL基本信息的数字签名的签名值11附录A资料性附录证书主体DN命名示例A1个人证书主体DN示例个人证书主体DN命名示例适用于内部工作人员证书和外部个人证书，DN命名示例如下CCNS北京市（省/直辖市）L北京市（市/地区）O某某单位（单位名称）OU某某部门（部门名称）CN张三（个人姓名）EZHANGSAN126COM电子邮件,可选A2机构证书主体DN示例机构证书主体DN命名示例适用于内部机构证书和外部机构证书，DN命名示例如下CCNS北京市（省/直辖市）L北京市（市/地区）O某某单位OU某某部门CN单位名称部门名称A3设备证书主体DN示例设备证书主体DN命名示例适用于内部设备证书和外部设备证书，DN命名示例如下CCNS北京市（省/直辖市）L北京市（市/地区）O某某单位OU某某部门CN设备名称/MAC地址/IP地址/域名12附录B资料性附录证书格式编码示例B1内部工作人员证书编码示例序列号是30000000000000551476签名算法是SHA1RSA颁发者DN是CCNOXXCAOUXXCA；CNXXCA主体DN是CCNS北京市L北京市O卫生部OU信息中心CN张三EZHANGSAN126COM有效期是从2010年1月1日101846到2011年1月1日101846主体公钥信息中包含1024比特的RSA密钥机构密钥标识符扩展项KEYID318FA094895BDF573B7F67A1DA98CF8987BF80B9主体密钥标识符扩展FBAFA55A41AC6FDD59A6618539389AF582B92F2B密钥用法扩展项DIGITALSIGNATURE,NONREPUDIATIONC0主体唯一标识11001SF0342222197205053618以某一测试证书为例，数字证书格式如下OFFSET|LEN|0|794|SEQUENCE4|643|SEQUENCE8|3|CONTEXTSPECIFIC010|1|INTEGER213|8|INTEGER3000000000000055147623|13|SEQUENCE25|9|OBJECTIDENTIFIERSHA1WITHRSAENCRYPTION1284011354911536|0|NULL38|123|SEQUENCE40|13|SET42|11|SEQUENCE44|3|OBJECTIDENTIFIERCOUNTRYNAME254649|4|PRINTABLESTRINGCN55|13|SET57|11|SEQUENCE59|3|OBJECTIDENTIFIERORGANIZATIONNAME2541064|4|UTF8STRINGXXCA70|13|SET72|11|SEQUENCE74|3|OBJECTIDENTIFIERORGANIZATIONUNITNAME2541179|4|UTF8STRINGXXCA124|37|SET126|35|SEQUENCE128|3|OBJECTIDENTIFIERCOMMONNAME2543133|28|UTF8STRINGXXCA163|30|SEQUENCE13165|13|UTCTIME100101101846Z180|13|UTCTIME110101101846Z195|170|SEQUENCE198|13|SET200|11|SEQUENCE202|3|OBJECTIDENTIFIERCOUNTRYNAME2546207|4|PRINTABLESTRINGCN213|15|SET215|13|SEQUENCE217|3|OBJECTIDENTIFIERSTATEORPROVINCENAME2548222|6|UTF8STRING北京市230|15|SET232|13|SEQUENCE234|3|OBJECTIDENTIFIERLOCALITYNAME2547239|6|UTF8STRING北京市247|29|SET249|27|SEQUENCE251|3|OBJECTIDENTIFIERORGANIZATIONNAME25410256|20|UTF8STRING卫生部278|26|SET280|24|SEQUENCE282|9|OBJECTIDENTIFIERORGANIZATIONALUNITNAME25411293|11|UTF8STRING信息中心306|29|SET308|27|SEQUENCE310|3|OBJECTIDENTIFIERCOMMONNAME2543315|20|UTF8STRING张三337|29|SET339|27|SEQUENCE341|3|OBJECTIDENTIFIEREMAILADDRESS12840113549191IA5STRINGZHANGSAN126COM368|159|SEQUENCE371|13|SEQUENCE373|9|OBJECTIDENTIFIERRSAENCRYPTION12840113549111384|0|NULL386|141|BITSTRINGUNUSEDBITS0390|137|SEQUENCE393|129|INTEGER0E8C3CE9E6CA1C75A71E3C6B4A908A6A8951AE224E5F3D15067A6E35A1A00D9DC2755B3309B3794C03E80766E29CEC38DB8B5AB2A8AAE1E095586E9645C100A16B8820345F0F84742CF3878CBFD94FE6DCA7A305F47A112C91E3F95B0901CC1B7A217680836F4A244599046C66F691034E142BB1C7860BF7869801B2B4D6A0191525|3|INTEGER6553714530|119|CONTEXTSPECIFIC3532|117|SEQUENCE534|29|SEQUENCE536|3|OBJECTIDENTIFIERSUBJECTKEYIDENTIFIER252914541|22|OCTETSTRING543|20|OCTETSTRING|FBAFA55A41AC6FDD59A6618539389AF582B92F2B565|14|SEQUENCE567|3|OBJECTIDENTIFIERKEYUSAGE252915572|1|BOOLEANFF575|4|OCTETSTRING577|2|BITSTRINGUNUSEDBITS6C0581|31|SEQUENCE583|3|OBJECTIDENTIFIERAUTHORITYKEYIDENTIFIER252935588|24|OCTETSTRING590|22|SEQUENCE592|20|CONTEXTSPECIFIC0|318FA094895BDF573B7F67A1DA98CF8987BF80B9614|35|SEQUENCE616|5|OBJECTIDENTIFIER12862111623|1|BOOLEANFF626|23|OCTETSTRING|3140325346373837363837363836383637383637383637651|13|SEQUENCE653|9|OBJECTIDENTIFIERSHA1WITHRSAENCRYPTION12840113549115664|0|NULL666|129|BITSTRINGUNUSEDBITS00FE66EAF169EBA59353215E18DC0A12AF6531DD6F246CD054E85FA9B4F7C1165187B5B8597D03F163C0F315B11DF8E2E28C42525A1698765A0A23CFF55559005E4279C9FAE181110A33A337DC274E8DEB282B93A28EB8BA82A0075192324E0E22F637E5EBB405BF1D047B4500A85D94463B6853E10BE7449EC6B2内部机构证书编码示例序列号是30000000000000551478签名算法是SHA1RSA颁发者DN是CCNOXXCAOUXXCA；CNXXCA主体DN是CCNS北京市L北京市O卫生部OU信息中心CN卫生部信息中心有效期是从2010年1月1日101846到2011年1月1日101846主体公钥信息中包含1024比特的RSA密钥机构密钥标识符扩展项KEYID318FA094895BDF573B7F67A1DA98CF8987BF80B0主体密钥标识符扩展FBAFA55A41AC6FDD59A6618539389AF582B92F2F密钥用法扩展项DIGITALSIGNATURE,NONREPUDIATIONC0主体唯一标识11001JJ0123456789以某一测试证书为例，数字证书格式如下15OFFSET|LEN|0|794|SEQUENCE4|643|SEQUENCE8|3|CONTEXTSPECIFIC010|1|INTEGER213|8|INTEGER3000000000000055147823|13|SEQUENCE25|9|OBJECTIDENTIFIERSHA1WITHRSAENCRYPTION1284011354911536|0|NULL38|123|SEQUENCE40|13|SET42|11|SEQUENCE44|3|OBJECTIDENTIFIERCOUNTRYNAME254649|4|PRINTABLESTRINGCN55|13|SET57|11|SEQUENCE59|3|OBJECTIDENTIFIERORGANIZATIONNAME2541064|4|UTF8STRINGXXCA70|13|SET72|11|SEQUENCE74|3|OBJECTIDENTIFIERORGANIZATIONUNITNAME2541179|4|UTF8STRINGXXCA124|37|SET126|35|SEQUENCE128|3|OBJECTIDENTIFIERCOMMONNAME2543133|28|UTF8STRINGXXCA163|30|SEQUENCE165|13|UTCTIME100101101846Z180|13|UTCTIME110101101846Z195|170|SEQUENCE198|13|SET200|11|SEQUENCE202|3|OBJECTIDENTIFIERCOUNTRYNAME2546207|4|PRINTABLESTRINGCN213|15|SET215|13|SEQUENCE217|3|OBJECTIDENTIFIERSTATEORPROVINCENAME2548222|6|UTF8STRING北京市230|15|SET232|13|SEQUENCE234|3|OBJECTIDENTIFIERLOCALITYNAME2547239|6|UTF8STRING北京市247|29|SET249|27|SEQUENCE16251|3|OBJECTIDENTIFIERORGANIZATIONNAME25410256|20|UTF8STRING卫生部278|26|SET280|24|SEQUENCE282|9|OBJECTIDENTIFIERORGANIZATIONALUNITNAME25411293|11|UTF8STRING信息中心306|29|SET308|27|SEQUENCE310|3|OBJECTIDENTIFIERCOMMONNAME2543315|20|UTF8STRING卫生部信息中心368|159|SEQUENCE371|13|SEQUENCE373|9|OBJECTIDENTIFIERRSAENCRYPTION12840113549111384|0|NULL386|141|BITSTRINGUNUSEDBITS0390|137|SEQUENCE393|129|INTEGER0E8C3CE9E6CA1C75A71E3C6B4A908A6A8951AE224E5F3D15067A6E35A1A00D9DC2755B3309B3794C03E80766E29CEC38DB8B5AB2A8AAE1E095586E9645C100A16B8820345F0F84742CF3878CBFD94FE6DCA7A305F47A112C91E3F95B0901CC1B7A217680836F4A244599046C66F691034E142BB1C7860BF7869801B2B4D6A0191525|3|INTEGER65537530|119|CONTEXTSPECIFIC3532|117|SEQUENCE534|29|SEQUENCE536|3|OBJECTIDENTIFIERSUBJECTKEYIDENTIFIER252914541|22|OCTETSTRING543|20|OCTETSTRING|FBAFA55A41AC6FDD59A6618539389AF582B92F2F565|14|SEQUENCE567|3|OBJECTIDENTIFIERKEYUSAGE252915572|1|BOOLEANFF575|4|OCTETSTRING577|2|BITSTRINGUNUSEDBITS6C0581|31|SEQUENCE583|3|OBJECTIDENTIFIERAUTHORITYKEYIDENTIFIER252935588|24|OCTETSTRING590|22|SEQUENCE592|20|CONTEXTSPECIFIC0|318FA094895BDF573B7F67A1DA98CF8987BF80B0614|35|SEQUENCE616|5|OBJECTIDENTIFIER12862111623|1|BOOLEANFF17626|23|OCTETSTRING|3140325346373837363837363836383637383637383637651|13|SEQUENCE653|9|OBJECTIDENTIFIERSHA1WITHRSAENCRYPTION12840113549115664|0|NULL666|129|BITSTRINGUNUSEDBITS00FE66EAF169EBA59353215E18DC0A12AF6531DD6F246CD054E85FA9B4F7C1165187B5B8597D03F163C0F315B11DF8E2E28C42525A1698765A0A23CFF55559005E4279C9FAE181110A33A337DC274E8DEB282B93A28EB8BA82A0075192324E0E22F637E5EBB405BF1D047B4500A85D94463B6853E10BE7449EC6B3内部设备证书编码示例序列号是30000000000000551486签名算法是SHA1RSA颁发者DN是CCNOXXCAOUXXCA；CNXXCA主体DN是CCNS北京市L北京市O卫生部OU信息中心CNWWWMOHGOVCN有效期是从2010年1月1日101846到2011年1月1日101846主体公钥信息中包含1024比特的RSA密钥机构密钥标识符扩展项KEYID318FA094895BDF573B7F67A1DA98CF8987BF80B8主体密钥标识符扩展FBAFA55A41AC6FDD59A6618539389AF582B92F2C密钥用法扩展项DIGITALSIGNATURE,NONREPUDIATIONC0主体唯一标识11001JJ0123456789以某一测试证书为例，数字证书格式如下OFFSET|LEN|0|794|SEQUENCE4|643|SEQUENCE8|3|CONTEXTSPECIFIC010|1|INTEGER213|8|INTEGER3000000000000055148623|13|SEQUENCE25|9|OBJECTIDENTIFIERSHA1WITHRSAENCRYPTION1284011354911536|0|NULL38|123|SEQUENCE40|13|SET42|11|SEQUENCE44|3|OBJECTIDENTIFIERCOUNTRYNAME254649|4|PRINTABLESTRINGCN55|13|SET57|11|SEQUENCE59|3|OBJECTIDENTIFIERORGANIZATIONNAME2541064|4|UTF8STRINGXXCA70|13|SET1872|11|SEQUENCE74|3|OBJECTIDENTIFIERORGANIZATIONUNITNAME2541179|4|UTF8STRINGXXCA124|37|SET126|35|SEQUENCE128|3|OBJECTIDENTIFIERCOMMONNAME2543133|28|UTF8STRINGXXCA163|30|SEQUENCE165|13|UTCTIME100101101846Z180|13|UTCTIME110101101846Z195|170|SEQUENCE198|13|SET200|11|SEQUENCE202|3|OBJECTIDENTIFIERCOUNTRYNAME2546207|4|PRINTABLESTRINGCN213|15|SET215|13|SEQUENCE217|3|OBJECTIDENTIFIERSTATEORPROVINCENAME2548222|6|UTF8STRING北京市230|15|SET232|13|SEQUENCE234|3|OBJECTIDENTIFIERLOCALITYNAME2547239|6|UTF8STRING北京市247|29|SET249|27|SEQUENCE251|3|OBJECTIDENTIFIERORGANIZATIONNAME25410256|20|UTF8STRING卫生部278|26|SET280|24|SEQUENCE282|9|OBJECTIDENTIFIERORGANIZATIONALUNITNAME25411293|11|UTF8STRING信息中心306|29|SET308|27|SEQUENCE310|3|OBJECTIDENTIFIERCOMMONNAME2543315|20|UTF8STRINGWWWMOHGOVCN368|159|SEQUENCE371|13|SEQUENCE373|9|OBJECTIDENTIFIERRSAENCRYPTION12840113549111384|0|NULL3