DB11-T254-1-2018政务数字证书规范第1部分：格式

1、ICS 35.240.30L 70DB11北京市地方标准DB11/T 254.12018代替 DB11/T 254.1-2004政务数字证书规范第 1 部分:格式Specification for digital certificate for government affairs Part 1:Format2018 - 04 - 04 发布2018 - 07 - 01 实施北京市质量技术监督局发 布DB11/T 254.12018目次前言II引言III范围1规范性引用文件1术语和定义、缩略语1政务数字证书基本格式2政务个人证书格式11政务机构证书格式12政务设备证书格式13附录A （资料性附

2、录） 政务数字证书编码示例14附录B （规范性附录） 主体命名示例18附录C （规范性附录） 主体可选替换名称命名示例20附录D （规范性附录） 政务个人证书模板21附录E （规范性附录） 政务机构证书模板25附录F （规范性附录） 政务设备证书规范29参考文献32IDB11/T 254.12018前言本部分按照GB/T 1.12009给出的规则起草。DB11/T 2542018政务数字证书规范分为两个部分：第1部分：格式；第2部分：应用接口。本部分为DB11/T 2542018的第1部分。本部分代替DB11/T 254.12004政务数字证书规范 第1部分：格式,本部分与DB11/T 254

3、.1-2004相比主要变化如下：修订了引言；修订了范围；第2章增加了新的规范性引用文件；第4章，将“政务数字证书通用格式”改为“政务数字证书基本格式”，描述政务数字证书的语法编码、基本结构、基本证书域、签名算法域、签名值域、命名规范。将政务证书所使用的扩展都在“证书基本格式”的“扩展域”中统一描述；对“4.3.2扩展域”中，加入GM/T 0015所规定的证书扩展项，个人身份识别码、个人社会保险号；加入北京市法人网上统一认证系统所需的证书扩展项包括统一社会信用代码、机构证书区分码；在“4.4签名算法域”中，加入“签名算法应使用国家密码管理局审核批准的密码算法。”的描述；第5章，删除“政务认证机构

4、证书规范”，改为“政务个人证书格式”，增加原政务个人证书中的“个人身份证号”、“个人社会保险号”、“主体银行帐号”、“政务实体唯一标识”扩展项，将政务个人证书模板移至附录D；第6章，改为“政务机构证书格式”，删除原机构证书中的“主体银行基本帐号”和“政务机构唯一标识”扩展，加入统一社会信用代码、机构证书区分码，并将政务机构证书模板移至附录E；第7章，改为“政务设备证书格式”，将政务设备证书模板移至附录F；删除原标准第8章， “政务代码签名证书格式”；附录A，改为“政务数字证书编码示例”，原附录A改为附录B；附录B，改为“主体命名示例”，原附录B改为附录C；附录C，改为“主体可选替换名称命名示例

5、”；添加附录D 政务个人证书模板；添加附录E 政务机构证书模板；添加附录F 政务设备证书模板。本部分由北京市经济和信息化委员会提出并归口。本部分由北京市经济和信息化委员会组织实施。本部分主要起草单位：北京市经济和信息化委员会、北京数字认证股份有限公司、中国科学院信息工程研究所、北京市国家保密局、北京市密码管理局。本部分主要起草人：潘锋、刘惠刚、刘莎、姚世全、陈淑仪、高能、荆继武、李述胜、李向锋。IIDB11/T 254.12018引言信息技术和网络技术在极大地促进了社会的经济、科技、文化、教育和管理等各个方面发展的同时， 也带来了巨大的信息安全风险。随着北京市电子政务工程的不断深入和发展，迫切

6、需要在开放的网络环境下建立一个真实、有效的身份信任体制，确认电子政务参与方的各自身份，建立彼此间的信任关系以及保证信息的保密性、完整性和可用性。以公开密钥基础设施（Public Key Infrastructure，PKI）为核心的网络身份认证体系和信息加密技术已成为业界广泛认同的一种构造网络身份信任体制的重要方 式，并成为信息安全保障体系中极其重要的组成部分之一。数字证书是PKI的关键要素之一，是传送和处理实体身份鉴别信息的重要载体。为了确保数字证书在电子政务活动中能够通用，实现网络互联互通和信息共享，形成统一的网络信任体系，满足首都信息化和电子政务发展的迫切需求，本部分遵照 GM/T 00

7、152012 基于SM2密码算法的数字证书格式规范，对证书基本域和扩展域的取值和编码进行了规范，规定了政务数字证书的基本格式、政务数字证书的主体命名规范和主体可选替换名称的命名规范，定义了政务数字证书的私有扩展项，规定了政务数字证书的必备项，并给出了政务证书认证机构数字证书、政务个人数字证书、政务机构数字证书和政务设备数字证书的模板。IIIDB11/T 254.12018政务数字证书规范 第 1 部分：格式范围本部分规定了电子政务外网中政务数字证书的格式，并给出了政务个人证书、政务机构证书、政务设备证书的模板。本部分适用于数字证书认证机构、数字证书认证系统的开发商、电子政务应用部门以及基于数字

8、证书的安全应用开发商，来设计和处理各类政务数字证书。规范性引用文件下列文件对于本部分的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本部分。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本部分。GB/T 8561专业技术职务代码GB/T 12403干部职务名称代码GB/T 16262.1信息技术 抽象语法记法一(ASN.1) 第1部分:基本记法规范GB/T 16263.1信息技术 ASN.1 编码规则 第1部分：基本编码规则（BER）、正则编码规则（CER） 和非典型编码规则（DER）规范GB/T 250692010信息安全技术 术语GB 32100法人和其他组织统

9、一社会信用代码编码规则GM/T 00152012基于SM2密码算法的数字证书格式规范术语和定义、缩略语术语和定义GB/T 250692010界定的以及下列术语和定义适用于本文件。3.1.1政务数字证书 government affairs digital certificate用来标识电子政务参与方真实身份的数字证书。根据参与方的不同类别分为政务证书认证机构证书、政务个人证书、政务机构证书、政务设备证书。3.1.2政务证书认证机构证书 government affairs CA certificate颁发给参与电子政务的证书认证机构的数字证书，简称政务CA证书。3.1.3政务个人证书 gove

10、rnment affairs personal certificate1DB11/T 254.12018颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。3.1.4政务机构证书 government affairs unit certificate颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。3.1.5政务设备证书 government affairs device certificate颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。缩略语下列缩略语适用于本部分：CA证书认证机构（Certification Authority

11、） CRL证书撤销列表（Certificate Revocation List）DER可辨别编码规则（Distinguished Encoding Rules) DN可识别名（Distinguished Name）OID对象标识符（Object Identifier）PKI公钥基础设施（Public Key Infrastructure）政务数字证书基本格式语法和编码本部分的证书格式的语法描述遵循GB/T 16262.1，证书编码采用GB/T 16263.1中的非典型规则（DER）对证书项中的各项信息进行编码，组成特定的证书数据结构。编码示例参见附录A。基本结构政务数字证书的基本结构由三部分组

12、成： 基本证书域TBSCertificate 、 签名算法域 扩展域基本域SignatureAlgorithm、签名值域SignatureValue。其中，基本证书域由基本域和扩展域组成，见图1。基本证书域签名算法域签名值域政务数字证书图1政务数字证书结构2DB11/T 254.12018基本证书域基本域组成及要求基本域由如下部分组成：版本 Version序列号 SerialNumber签名算法 SignatureAlgorithm颁发者 Issuer有效期 Validity主体 Subject主体公钥信息 SubjectPublicKeyInfo在政务数字证书中，证书颁发者名称和证书主体名称

13、不应重复使用。版本本项描述了政务数字证书的版本号。序列号是CA分配给每个证书的一个正整数，CA应保证颁发的每张证书的序列号是唯一的。证书用户应处理长达20个8位字节的序列号值。CA应确保不使用大于20个8位字节的序列号。签名算法此项为CA颁发该证书所使用的密码算法的标识符，应与证书中签名算法域中的签名算法相同。可选参数的内容完全依赖所标识的具体算法。颁发者标识了证书签名和证书颁发的实体。它应包含一个非空的甄别名称。该项被定义为Name类型。其中， 颁发者可辨别名的C（Country）属性的编码使用PrintableString、Email属性的编码使用IA5String， 其它属性的编码一律使

14、用UTF8String。有效期一个时间段。在这个时间段内，CA担保它将维护关于证书状态的信息。该项被表示成一个具有两个时间值的SEQUENCE类型数据：证书有效期的起始时间（notBefore）和证书有效期的终止时间（notAfter）。在证书编码时，2049年之前（含2049年）的时间值应编码为UTCTime类型，2050年之后（含2050年）的时间值应编码为GeneralizedTime类型。主体描述了与主体公钥中的公钥绑定的实体信息。在政务数字证书中，主体项不能为空。主体的内容和编码方式见4.5。主体公钥信息用来标识证书主体公钥和相应的公钥算法。扩展域3DB11/T 254.12018证

15、书扩展组成及要求扩展项值扩展项2扩展关键度扩展项1扩展类型政务数字证书扩展域可包含多项扩展项。每项扩展项由扩展类型、扩展关键度和扩展项值组成，见图2。其中，关键度告诉一个证书的使用者是否可以忽略某一扩展，取值为“关键”或“非关键”。“关键”表示使用此证书的应用必须检查此扩展项，如果不能识别应拒绝此证书；“非关键”表示可以应用可以不检查此扩展项，如果不能识别可以忽略此扩展项。扩展项n扩展项3扩展域图2扩展域构成政务数字证书扩展项政务数字证书可使用如下证书扩展项：颁发机构密钥标识符 AuthorityKeyIdentifier主体密钥标识符 SubjectKeyIdentifier密钥用法 Key

16、Usage扩展密钥用途 ExtendedKeyUsage私有密钥使用期 PrivateKeyUsagePeriod证书策略 CertificatePolicies策略映射 PolicyMappings主体可选替换名称 SubjectAlternativeName颁发者可选替换名称 IssuerAlternativeName主体目录属性 SubjectDirectoryAttributes基本限制 BasicConstraints名称限制 NameConstraints策略限制 PolicyConstraints证书撤销列表分发点 CRLDistributionPoints限制任意策略 Inhi

17、bitAnyPolicy最新证书撤销列表 FreshestCRL机构信息访问 AuthorityInformationAccess4DB11/T 254.12018主体信息访问 SubjectInformationAccess个人身份证号码 IdentifyCode个人社会保险号 InsuranceNumber证书实体唯一标识 EntityUniqueID地税计算机代码 TaxationComputerNumber统一社会信用代码 UnifiedSocialCreditCode纳税人识别号 TaxIdentifictionNumber机构证书区分码 UnitUniqueID颁发机构密钥标识符用

18、于标识与CA颁发该证书的签名私钥相对应的公钥。政务数字证书中，可使用颁发机构密钥标识符扩展项，使用时应满足如下要求：内容应遵循 GM/T 00152012 中 .2 的规定；该扩展项应为非关键扩展项。主体密钥标识符提供一种识别包含有一个特定公钥的证书的方法。政务数字证书中，可使用主体密钥标识符扩展项， 使用时应满足如下要求：内容应遵循 GM/T 00152012 中 .3 的规定；该扩展项应为非关键扩展项。密钥用法指示证书中的公开密钥用于何种用途。政务数字证书中，应使用密钥用法扩展项，使用时应满足如下要求：内容应遵循 GM/T 00152012 中 .4 的规定；该扩展项应为关键扩展项。注：政

19、务数字证书支持双证书体制，CA应区分用于机密性和其它用途的密钥。扩展密钥用途指示证书中的公开密钥可以用于何种用途，它可作为对密钥用法扩展项中指明的基本用途的补充。政务数字证书中，可使用扩展密钥用途扩展项，使用时应满足如下要求：内容应遵循 GM/T 00152012 中 .5 的规定；该扩展项应为非关键扩展项。私有密钥使用期指明与证书中的公开密钥相对应的私有密钥的使用期限。该项只能用于数字签名密钥。政务数字证书中，可使用私有密钥使用期扩展项，使用时应满足如下要求：内容应遵循 GM/T 00152012 中 .6 的规定；该扩展项应为非关键扩展项。证书策略列出了由颁发的CA所认可的证书策略。在政务

20、CA证书中，证书策略扩展项表示了通过该政务CA证书的认证路径中允许的证书策略。在终端实体证书中，证书策略扩展项表示了该终端实体证书颁发过程中5DB11/T 254.12018所使用的证书策略。政务数字证书中，证书策略扩展项应明确列出一系列策略信息条目，每个条目都有一个证书策略对应的OID，使用时满足如下要求：内容应遵循 GM/T 00152012 中 .7 的规定；该扩展项应为非关键扩展项。策略映射列出了在认证路径中等价的证书策略对。策略映射扩展项只用于政务CA证书。政务数字证书中，可使用策略映射扩展项，使用时应满足如下要求：内容应遵循 GM/T 00152012 中 .8 的规定；该扩展项应

21、为非关键扩展项。主体可选替换名称包含一个或多个可选替换名（可使用多种名称形式中的任一个）。该扩展项中包含证书主体的附加信息。主体可选替换名称扩展项可以包括多种名称形式如：电子邮件地址、DNS名称、IP地址和统一资源标识符（URI），每种名称形式可以有多个实例。政务数字证书中，可使用主体可替换名称扩展项， 使用时应满足如下要求：内容应遵循 GM/T 00152012 中 .9 的规定；主体可选替换名称扩展项中的所有信息必须经过 CA 验证；该扩展项应为非关键扩展项。颁发者可选替换名称包含一个或多个可选替换名（可使用多种名称形式中的任一个）。该扩展项中包含证书颁发者的附加信息。颁发者可选替换名称扩

22、展项可以包括多种名称形式，如：电子邮件地址、DNS名称、IP地址和统一资源标识符（URI）。每种名称形式可以有多个实例。政务数字证书中，可使用颁发者可替换名称扩展项，使用时应满足如下要求：内容应遵循 GM/T 00152012 中 .10 的规定；该扩展项应为非关键扩展项。主体目录属性包含证书主体期望的任何目录属性值。政务数字证书中不宜使用主体目录属性扩展项。基本限制用于标识证书的主体是否是一个CA、并标识通过该CA可能存在的认证路径的最大长度。政务数字证书中可使用基本限制扩展项，使用时应满足如下要求：在政务个人证书、政务机构证书和政务设备证书中可使用基本限制扩展项，此时该扩展项应为非关键扩展

23、项；政务 CA 证书应使用基本限制扩展项。此时该扩展项应为关键扩展项；内容应遵循 GM/T 00152012 中 .12 的规定。名称限制包含一个名称空间，表明了在通过该CA的认证路径中后续的证书主体的名称空间。政务数字证书中，可使用名称限制扩展项，使用时应满足如下要求：名称限制扩展项只用于政务 CA 证书；政务 CA 证书中可使用名称限制扩展项，内容应遵循 GM/T 00152012 中 .13 的规定；6DB11/T 254.12018该扩展项应为关键扩展项。策略限制提供了CA对于认证路径的附加要求。该扩展项可用于禁止策略映射或要求认证路径中的每个证书包含一个认可的证书策略OID。政务数字

24、证书中，可使用策略限制扩展项，使用时应满足如下要求：策略限制扩展项只用于政务 CA 证书；政务 CA 证书中可使用策略限制扩展项，内容应遵循 GM/T 00152012 中 .14 的规定；该扩展项应为非关键扩展项。证书撤销列表分发点标识如何获得证书相应的CRL信息。政务数字证书中，应使用证书撤销列表发布点扩展项，使用时应满足如下要求：内容应遵循 GM/T 00152012 中 .15 的规定；该扩展项应为非关键扩展项。限制任意策略描述使用anyPolicy OID 2.0 时的限制。政务CA证书中，可使用限制任意策略扩展项， 使用时应满足如下要求：限制任意策略扩展项只用于政务 CA 证书；内

25、容应遵循 GM/T 00152012 中 .16 的规定；该扩展项应为关键扩展项。最新证书撤销列表标识如何获得最新的撤销信息（例如最新的增量CRL）。政务数字证书中，可使用最新证书撤销列表扩展项，使用时应满足如下要求：内容应遵循 GM/T 00152012 中 .17 的规定；该扩展项应为非关键扩展项。机构信息访问标识如何访问证书颁发者的信息以及服务。政务数字证书中不宜使用机构信息访问扩展项。主体信息访问包含如何访问证书主体的信息以及服务。政务数字证书中不宜使用主体信息访问扩展项。个人身份标识码用于标识证书主体的个人身份证件的号码。政务个人证书可使用个人身份标识码扩展项，使用时应应满足如下要求

26、：内容应遵循 GM/T 00152012 中 .18 的规定；该扩展项应为非关键扩展项。个人社会保险号用于表示证书主体的个人社会保险号码。政务个人证书可使用个人社会保险号扩展项，使用时应满足如下要求：内容应遵循 GM/T 00152012 中 .19 的规定；7DB11/T 254.12018该扩展项应为非关键扩展项。地税计算机代码用于表示企业计算机代码。计算机代码指主管地税机关为纳税人办理税务登记后核发的征收管理码。政务机构证书可使用计算机代码扩展项。该扩展项应为非关键扩展项。企业计算机代码扩展项定义如下：id-taxationComputerNumber OBJECT IDENTIFIER

27、 := 125.1 TaxationComputerNumber:= UTF8String证书实体唯一标识定义用来唯一标识参与电子政务的实体。政务证书应使用政务机构唯一标识扩展项。该扩展项应为非关键扩展项。证书实体唯一标识扩展项定义如下：id-EntityUniqueID OBJECT IDENTIFIER := 125.23 EntityUniqueID := UTF8String内容其中，“证书实体唯一标识”扩展内容的编码应为：用户编号+ “” + CA编号（4位）+证件类型代码（2位）+安全标识（1位）+证件号码其中各部分内容取值如下：用户编号是一个证书实体的证书序号。CA 编号应为 C

28、A 机构的电子认证服务许可证上的“许可证编号”的后四位数字。证件类型代码是证书用户申请数字证书使用的关键证件的编码，证书类型和号码类型的代码应遵循表 1：表1证书类型与证件类型代码对应表证书类型办理证书时可使用的证件名称证件类型代码个人证书身份证SF军官证JG护照HZ回乡证HX其他QT安全标识使用 1 位数字代表不同含义，其意义如下： 0：代表其后的“证件号码”为明文格式签发； 1：代表其后的“证件号码”为BASE64编码格式签发； 2：其它编码方式。各类证书中证件号码的安全标识的定义根据应用需求而定。 用户根据不同的证书类型，应提供不同的证件办理数字证书。8DB11/T 254.12018示

29、例：例如某个人证书的办理时提供的证件为身份证，身份证号码为CA机构编号为1001，该CA中心为用户签发的第一张数字证书的实体唯一标识为：1)安全标识为0时的值应为：11001SF03422221972050536182)安全标识为1时的值应为：11001SF1+ Base64实体唯一标识项数据的总长度不应超过128字节。统一社会信用代码统一社会信用代码是一组长度为18位的用于法人和其他组织身份识别的代码。用于企业“一证多用” 业务。政务机构证书可使用企业信用代码，该扩展项应为非关键扩展项，内容应遵循GB 32100

30、的要求。统一社会信用代码扩展项定义如下：id-UnifiedSocialCreditCode OBJECT IDENTIFIER := 125.17 UnifiedSocialCreditCode:= UTF8String企业纳税识别号企业纳税识别号由税务系统按照统一规则产生并分配给企业用户。政务机构证书可使用企业纳税识别号。该扩展项应为非关键扩展项。企业纳税识别号扩展项定义如下：id-TaxIdentifictionNumber OBJECT IDENTIFIER := 125.31 TaxIdentifictionNumber:= UTF8String机构证书区别码定义用来区分同一机构实体

31、的不同用户。政务机构证书应使用机构证书区别码扩展项。该扩展项应为非关键扩展项。机构证书区别码扩展项定义如下：id-UnitUniqueID OBJECT IDENTIFIER := 125.29 UnitUniqueID := UTF8String内容其中，“机构证书区别码”扩展内容的编码应为： 用户编号+ “” +证件类型代码（2位）+证件号码。其中，用户编号是一个证书实体的证书序号。证件类型代码是证书用户申请数字证书使用的关键证件的编码，应采用统一社会信用代码（JJ）。示例：例如某机构证书，统一社会信用代码为:123456789123456789，该CA中心为用户签发的第一张数字证书的证书

32、区别码为：1BJJ123456789123456789。签名算法域包含CA颁发该证书所使用的密码算法的标识符，应与基本证书域中的签名算法所标识的签名算法相同。可选参数的内容完全依赖所标识的具体算法。签名算法应使用国家密码管理局审核批准的密码算法。签名值域9DB11/T 254.12018包含对基本证书域进行数字签名的结果。经过ASN.1 DER编码的基本证书域作为数字签名算法的输入，签名的结果按照ASN.1编码成BIT STRING类型并保存在签名值域。命名规范主体主体命名要求政务数字证书中的主体应是C=CN命名空间下的唯一名字。层次主体DN应为4级或者5级。4级表示为： C=CNO=OU=C

33、N=5级表示为： C=CNO=OU=CN=Email=编码C（Country）属性的编码使用PrintableString、Email属性的编码使用IA5String，其它属性的编码一律使用UTF8String。具体要求如下：C（Country）应为 CN，表示中国。O（Organization）中的内容分为 2 种：证书主体或者证书主体所属单位具有明确的上一级单位，则应为其上一级单位的名称全称；不存在 1）中所述的上一级单位，则应为证书主体或者证书主体所属单位的所在省、自治区、直辖市名称全称。OU（OrganizationUnit）应为证书主体或者证书主体所属单位的名称全称，证书可以有多个O

34、U 属性。CN（CommonName）中的内容分为 4 种：政务个人证书中应为证书主体的姓名（姓在前，名在后，中间无分隔符）；政务机构证书中应为证书主体单位的标准简称；政务设备证书应为证书主体设备的域名或者 IP 地址或者设备编码；政务代码签名证书应为负责人的姓名（姓在前，名在后，中间无分隔符），或者是所属单位的标准简称。Email 仅在政务个人证书中存在，应为证书主体的有效电子邮件地址。示例主体命名示例见附录B。10DB11/T 254.12018主体可选替换名称政务数字证书的主体可选替换名称应是C=CN命名空间下的唯一名字。C（Country）属性的编码使用PrintableString、

35、Email属性的编码使用IA5String，其它属性的编码一律使用UTF8String。具体要求如下：政务数字证书的主体可选替换名称中，宜包含如下属性： 1） 省或者直辖市名 StateOrProvinceName2） 城 市 名 LocalityName 3） 邮政地址 PostalAddress 4） 邮政编码 PostalCode 5） 信箱号 PostalOfficeBox电话号码 TelephoneNumber电传（传真）号码 TelexNumber政务个人证书的主体可选替换名称中，宜包含职务 Title 属性。Title 属性中所包含内容应遵循 GB 12403 或GB 8561。

36、政务机构证书、政务设备证书、政务代码签名证书的主体可选替换名称中，宜包含电子邮件地址 Email（对应负责人电子邮件地址）属性。主体可选替换名称命名示例参见附录 C。政务个人证书格式政务个人证书基本证书域政务个人证书基本域政务个人证书基本域应符合4.3.1的要求。政务个人证书扩展域根据使用场景不同，政务个人证书扩展域可包含如下扩展项：颁发机构密钥标识符 AuthorityKeyIdentifier主体密钥标识符 SubjectKeyIdentifier密钥用法 KeyUsage扩展密钥用途 ExtendedKeyUsage私有密钥使用期 PrivateKeyUsagePeriod证书策略 Ce

37、rtificatePolicies主体可选替换名称 SubjectAlternativeName颁发者可选替换名称 IssuerAlternativeName主体目录属性 SubjectDirectoryAttributes基本限制 BasicConstraints证书撤销列表分发点 CRLDistributionPoints最新证书撤销列表 FreshestCRL机构信息访问 AuthorityInformationAccess主体信息访问 SubjectInformationAccess个人身份证识别码 IdentifyCode个人社会保险号 InsuranceNumber11DB11/T

38、 254.12018证书实体唯一标识 EntityUniqueID政务个人证书签名算法域政务个人证书签名算法域应符合4.4的要求。政务个人证书签名值域政务个人证书签名值域应符合4.5的要求。政务个人证书模板见附录D。政务机构证书格式政务机构证书基本证书域政务机构证书基本域政务机构证书基本域应符合4.3.1的要求。政务机构证书扩展域根据使用场景不同，政务机构证书扩展域可包含如下扩展项：颁发机构密钥标识符 AuthorityKeyIdentifier主体密钥标识符 SubjectKeyIdentifier密钥用法 KeyUsage扩展密钥用途 ExtendedKeyUsage私有密钥使用期 Pri

39、vateKeyUsagePeriod证书策略 CertificatePolicies主体可选替换名称 SubjectAlternativeName颁发者可选替换名称 IssuerAlternativeName主体目录属性 SubjectDirectoryAttributes基本限制 BasicConstraints证书撤销列表分发点 CRLDistributionPoints最新证书撤销列表 FreshestCRL机构信息访问 AuthorityInformationAccess主体信息访问 SubjectInformationAccess企业信用代码 UnifiedSocialCreditC

40、ode企业纳税识别号 TaxIdentifictionNumber机构证书区分码 UnitUniqueID政务机构证书签名算法域政务机构证书签名算法域应符合4.4的要求。政务机构证书签名值域政务机构证书签名值域应符合4.5的要求。12DB11/T 254.12018政务机构证书模板见附录E。政务设备证书格式政务设备证书基本证书域政务设备证书基本域政务设备证书基本域应符合4.3.1的要求。政务设备证书扩展域政务设备证书扩展域可包含如下扩展项：颁发机构密钥标识符 AuthorityKeyIdentifier主体密钥标识符 SubjectKeyIdentifier密钥用法 KeyUsage扩展密钥用

41、途 ExtendedKeyUsage私有密钥使用期 PrivateKeyUsagePeriod证书策略 CertificatePolicies主体可选替换名称 SubjectAlternativeName颁发者可选替换名称 IssuerAlternativeName主体目录属性 SubjectDirectoryAttributes基本限制 BasicConstraints证书撤销列表分发点 CRLDistributionPoints最新证书撤销列表 FreshestCRL机构信息访问 AuthorityInformationAccess主体信息访问 SubjectInformationAcce

42、ss政务设备证书签名算法域政务设备证书签名算法域应符合4.4的要求。政务设备证书签名值域政务设备证书签名值域应符合4.5的要求。政务设备证书模板政务设备证书模板见附录F。13DB11/T 254.12018附录A（资料性附录）政务数字证书编码示例这部分包括版本3证书共814字节十六进制编码示例。证书包含下列信息：序列号是 1A100000000000092FAB签名算法是 SM2 签名算法颁发者是 C=CN; CN=Virtual CA主体是 C=CN; O=北京市政府; OU=北京市某政府部门; CN=北京市某政府部门信息中心有效期是从 2014 年 7 月 18 日到 2015 年 7 月

43、 17 日主体公钥信息中包含 256 比特的 SM2 密钥机构密钥标识符扩展项主体密钥标识符扩展密钥用法扩展项基本限制扩展项扩展密钥用途扩展项证书撤销列表分发点扩展项000030234:SEQUENCE 0004301DB:SEQUENCE 0008A03:0 000A021:INTEGER 2:000D0210:INTEGER:04 F0 74 4E 3D 72 65 C1 82 1C 49 A1 EA 70 0000001F30A:SEQUENCE 0021068:OBJECT IDENTIFIER 1 2 156 10197 1 501:002B3022:SEQUENCE 002D31B

44、:SET 002F309:SEQUENCE 0031063:OBJECT IDENTIFIER countryName (2 5 4 6)0036132:PrintableString CN:003A3113:SET 003C3011:SEQUENCE 003E063:OBJECT IDENTIFIER commonName (2 5 4 3)00430CA:UTF8String Virtual CA:56 69 72 74 75 61 6C 20 43 41:004F301E:SEQUENCE 14DB11/T 254.12018005117D:UTCTime 140718040000Z00

45、6017D:UTCTime 150718040000Z:006F3070:SEQUENCE 007131B:SET 0073309:SEQUENCE 0075063:OBJECT IDENTIFIER countryName (2 5 4 6)007A132:PrintableString CN:007E3118:SET 00803016:SEQUENCE 0082063:OBJECT IDENTIFIER organizationName (2 5 4 10)00870CF:UTF8String 北京市政府:E5 8C 97 E4 BA AC E5 B8 82 E6 94 BF E5 BA

46、9C:0098312A:SET 009A3028:SEQUENCE 009C063:OBJECT IDENTIFIER organizationalUnitName (2 5 4 11)00A10C24:UTF8String北京市某政府部门:E5 8C 97E4 BA AC E5 B8 82 E4 BF A1 E6 81 AF E5:8C 96 E5B7 A5 E4 BD 9C:00C4311B:SET 00C63019:SEQUENCE 00C8063:OBJECT IDENTIFIER commonName (2 5 4 3)00CD0C12:UTF8String 北京市某政府部门信息中心

47、:E5 8C 97 E4 BA AC E5 B8 82 E4 BF A1 E6 81 AF E5:8A 9E 8C 96 E5 B7 A5 E4 BD 9C 6B F0 5A 54 46 E8：.D9 22 FF 65:3743089:SEQUENCE 3763019:SEQUENCE 378067:OBJECT IDENTIFIER ecPublicKey (1 2 840 10045 2 1)387068:OBJECT IDENTIFIER 1 2 156 10197 1 301:3970366:BIT STRING 0 unused bits:04 7D 06 DD 9A 8E 99 5

48、5 20 6B F0 5A 54 0D 40 FA:16 85 58 1B 8F 15 82 31 4C E3 5A C9 5B F1 EC 0215DB11/T 254.12018:7D F7 B5 3C 4B B5 E4 B3 56 D5 46 E8 20 3B AA 6A28 5D 6A B7 82 9F 04 15 D5 E1 F6 3B 9C 09 C0 F032013CA3A4:3 013F30A1:SEQUENCE 014230C:SEQUENCE 0144063:OBJECT IDENTIFIER basicConstraints (2 5 29 19)0149011:BOOL

49、EAN TRUE014C042:OCTET STRING:30 00:015030B:SEQUENCE 0152063:OBJECT IDENTIFIER keyUsage (2 5 29 15)0157044:OCTET STRING:03 02 06 C0:015D301D:SEQUENCE 015F063:OBJECT IDENTIFIER subjectKeyIdentifier (2 5 29 14)01640416:OCTET STRING:04 14 FA 37 6E 38 36 26 49 1F B6 F3 B6 B5 C0 6B:1C 20 8B BA 70 2B:017C3

50、01F:SEQUENCE 017E063:OBJECT IDENTIFIER authorityKeyIdentifier (2 5 29 35)01830418:OCTET STRING:30 16 80 14 75 5D 3A 4E 0F EC 40 66 9F 76 0D 6F:47 EA C2 1A D9 2F 84 6A:019D302F:SEQUENCE 019F063:OBJECT IDENTIFIER cRLDistributionPoints (2 5 29 31)01A40428:OCTET STRING:30263024A022A020 A4 1E 301C31 0D 3

51、0 0B:06035504030C0463 72 6C 31310B 30 09 06:035504061302636E:01CE 3013:SEQUENCE 01D0 063:OBJECT IDENTIFIER extKeyUsage (2 5 29 37)01D5 04C:OCTET STRING:30 0A 06 08 2B 06 01 05 05 07 03 02:16DB11/T 254.1201801E3 30A:SEQUENCE 01E5 068:OBJECT IDENTIFIER 1 2 156 10197 1 501:01EF 0347:BIT STRING 0 unused

52、 bits:304402204B9055972BE29E418435D99E:DAF103E7734904CA9A4F28489352041F:058203090220765FA622C97B87835D19:4030194B407F465BC63ED922FF65FD06:20981F6A5D61:17DB11/T 254.12018附录B（规范性附录）主体命名示例政务个人证书所列示例均系虚构。北京市某政府部门的工作人员赵某某（有Email），其政务个人证书主体DN为：C=CNO=北京市政府OU=北京市某政府部门CN=赵某某 HYPERLINK mailto:Email%3Dzhao Ema

53、il=zhao北京市信息化工作办公室的工作人员赵某某（无Email），其政务个人证书主体的DN为：C=CNO=北京市政府OU=北京市某政府部门CN=赵某某政务机构证书所列示例均系虚构。北京市信息化工作办公室，其政务机构证书主体的DN为: C=CNO=北京市政府CN=北京市某政府部门北京市某政府部门网络管理处，其政务机构证书主体的DN为: C=CNO=北京市某政府部门OU=北京市某政府部门网络管理处CN=北京市某政府部门网管处北京市某公司，其政务机构证书主体的DN为: C=CNO=北京市OU=北京市某公司CN=公司名称政务设备证书所列示例均系虚构。北京市某政府部门的设备（域名为 HYPERLIN

54、K / ），其政务设备证书主体的DN为:18DB11/T 254.12018C=CNO=北京市政府OU=北京市某政府部门CN= HYPERLINK / 北京市某政府部门的设备（IP地址为7），其政务设备证书主体的DN为: C=CNO=北京市政府OU=北京市某政府部门CN=7北京市某政府部门的设备（设备编码为BJXXB123456），其政务设备证书主体的DN为: C=CNO=北京市政府OU=北京市某政府部门CN=BJXXB123456北京市某政府部门网络管理处的设备（域名为 HYPERLINK / ），其政务设备证书主体的DN为: C=CNO=北京市某政府部门OU=北京市某政府部门网络管理处CN

55、= HYPERLINK / 北京市某政府部门网络管理处的设备（IP地址为7），其政务设备证书主体的DN为: C=CNO=北京市某政府部门OU=北京市某政府部门网络管理处CN=7北京市某政府部门网络管理处的设备（设备编码为BJXXB123456），其政务设备证书主体的DN为: C=CNO=北京市某政府部门OU=北京市某政府部门网络管理处CN=BJXXB12345619DB11/T 254.12018附录C（规范性附录）主体可选替换名称命名示例政务个人证书所列示例均系虚构。北京市某政府部门的工作人员赵某某，其政务个人证书主体可选替换名称为：StateOrProvinceName=北京市Locali

56、tyName=西城区PostalCode=100000 TelephoneNumberTelexNumber者包含其中的部分属性。政务机构证书所列示例均系虚构。北京市某政府部门（负责人电子邮件地址为 HYPERLINK mailto:Email%3Dzhao Email=zhao），其政务机构证书主体可选替换名称为:StateOrProvinceName=北京市LocalityName=西城区PostalCode=100000 TelephoneNumberTelexNumberHY

57、PERLINK mailto:Email%3Dzhao Email=zhao或者包含其中的部分属性。政务设备证书所列示例均系虚构。北京市某政府部门的设备（负责人电子邮件地址为 HYPERLINK mailto:zhao zhao），其政务设备证书主体可选替换名称为:StateOrProvinceName=北京市LocalityName=西城区PostalCode=100000 TelephoneNumberTelexNumberHYPERLINK mailto:Email%3Dzhao Email=zhao或者包含其中的部分属性。20DB

58、11/T 254.12018附录D（规范性附录）政务个人证书模板政务个人证书模板政务个人证书模板见表D.1。表 D.1 政务个人证书模板证书域关键/非关键证书域内容描述CertificateTbsCertificate需对下列域做签名Version2必备，2 表示版本 3SerialNumber必备CertificateSerialNumber正整数为该证书颁发 CA 能唯一标识的序列号Signature必备AlgorithmIdentifierAlgorithmParametersIssuer必备Name证书颁发 CA 持有者名称RDNSequenceRelativeDistinguishe

59、dNameAttributeTypeAndValueAttributeTypeOIDAttributeValueValidity必备notBeforeTimeutcTimeUTCTimeYYMMDDHHMMSSZ2049 年前（包括 2049 年）使用generalTimeGeneralizedTimeYYYYMMDDHHMMSSZ2050 年后（包括 2050 年）使用21DB11/T 254.12018表 D.1政务个人证书模板（续）证书域关键/非关键证书域内容描述notAfterTimeutcTimeUTCTimeYYMMDDHHMMSSZ2049 年前（包括 2049 年）使用gene

60、ralTimeGeneralizedTimeYYYYMMDDHHMMSSZ2050 年后（包括 2050 年）使用Subject必备Name证书主体名称RDNSequence参见 4.5RelativeDistinguishedNameAttributeTypeAndValueAttributeTypeOIDAttributeValuesubjectPublicKeyInfo必备AlgorithmAlgorithmIdentifierAlgorithmParameterssubjectPublicKeyBIT STRINGExtensionsAuthorityKeyIdentifier非关键必