DB11T254.1-2004政务数字证书规范格式.pdf 46页

'+ICS35.240.30L70备案号：16483-2005DB北京市地方标准DB11/T254.1-2004政务数字证书规范第1部分：格式SpecificationofdigitalcertificateforgovernmentaffairPart1:Format2004-12-20发布2005-02-01实施北京市质量技术监督局发布 DB11/T254.1-2004目次前言....................................................................................................................................................................III引言....................................................................................................................................................................IV1范围..................................................................................................................................................................12规范性引用文件..............................................................................................................................................13术语和定义、缩略语......................................................................................................................................13.1术语和定义...................................................................................................................................................13.2缩略语...........................................................................................................................................................24政务数字证书通用格式..................................................................................................................................24.1基本结构.......................................................................................................................................................24.2基本证书域...................................................................................................................................................34.3签名算法域...................................................................................................................................................74.4签名值域.......................................................................................................................................................74.5命名规范.......................................................................................................................................................74.6政务数字证书编码示例...............................................................................................................................85政务证书认证机构证书规范..........................................................................................................................85.1概述...............................................................................................................................................................85.2政务证书认证机构证书基本证书域...........................................................................................................85.3政务证书认证机构证书签名算法域.........................................................................................................105.4政务证书认证机构证书签名值域.............................................................................................................105.5政务证书认证机构证书模板.....................................................................................................................106政务个人证书规范........................................................................................................................................126.1概述.............................................................................................................................................................126.2政务个人证书基本证书域.........................................................................................................................126.3政务个人证书签名算法域.........................................................................................................................156.4政务个人证书签名值域.............................................................................................................................156.5政务个人证书模板.....................................................................................................................................157政务机构证书规范........................................................................................................................................187.1概述.............................................................................................................................................................187.2政务机构证书基本证书域.........................................................................................................................187.3政务机构证书签名算法域.........................................................................................................................207.4政务机构证书签名值域.............................................................................................................................207.5政务机构证书模板.....................................................................................................................................218政务设备证书规范........................................................................................................................................248.1概述.............................................................................................................................................................248.2政务设备证书基本证书域.........................................................................................................................248.3政务设备证书签名算法域.........................................................................................................................258.4政务设备证书签名值域.............................................................................................................................258.5政务设备证书模板.....................................................................................................................................259政务代码签名证书规范................................................................................................................................27I DB11/T254.1-20049.1概述.............................................................................................................................................................289.2政务代码签名证书基本证书域.................................................................................................................289.3政务代码签名证书签名算法域.................................................................................................................299.4政务代码签名证书签名值域.....................................................................................................................299.5政务代码签名证书模板.............................................................................................................................29附录A（规范性附录）主体命名示例.........................................................................................................32A.1政务个人证书............................................................................................................................................32A.2政务机构证书............................................................................................................................................32A.3政务设备证书............................................................................................................................................33A.4政务代码签名证书....................................................................................................................................33附录B（规范性附录）主体可选替换名称命名示例.................................................................................35B.1政务个人证书............................................................................................................................................35B.2政务机构证书............................................................................................................................................35B.3政务设备证书............................................................................................................................................35B.4政务代码签名证书....................................................................................................................................36附录C（资料性附录）政务数字证书编码示例.........................................................................................37II标准分享网www.bzfxw.com免费下载 DB11/T254.1-2004前言DB11/T254-2004《政务数字证书规范》分为二个部分：——第1部分：格式；——第2部分：应用接口。本部分为DB11/T254-2004的第1部分。本部分从总体上同国家相关标准保持一致，并结合北京市实际工作特点而制定。本部分的附录A、附录B为规范性附录，附录C为资料性附录。本部分由北京市信息化工作办公室提出并归口。本部分主要起草单位：北京数字证书认证中心、中国科学院研究生院信息安全国家重点实验室、北京市国家保密局、北京市国密办、北京市委组织部、北京市委市政府信息中心、北京市人事局。本部分主要起草人：詹榜华、姚世全、陈淑仪、阳俊彪、林璟锵、吕建华、李少雄、宋国建、黄泽刚、李慧峰、郝延东、陆文毅、孙永、胡冰、李述胜、刘雅静。III DB11/T254.1-2004引言信息技术和网络技术在极大地促进了社会的经济、科技、文化、教育和管理等各个方面发展的同时，又带来了巨大的信息安全风险。随着北京市电子政务工程的不断深入和发展，迫切需要在开放的网络环境下建立一个真实、有效的身份信任体制，确认电子政务参与方的各自身份，建立彼此间的信任关系以及保证信息的保密性、完整性和可用性。以PKI为核心的网络身份认证体系和信息加密技术已成为业界广泛认同的一种构造网络身份信任体制的重要方式，并成为信息安全保障体系中极其重要的组成部分之一。数字证书是PKI的关键要素之一，是传送和处理实体身份鉴别信息的重要载体。国际标准IETFRFC3280对数字证书的基本格式进行了规定，但是未对数字证书的扩展项进行明确。为了确保数字证书在电子政务活动中能够通用，实现网络互联互通和信息共享，形成统一的网络信任体系，满足首都信息化和电子政务的发展的迫切需求，本部分在国际标准IETFRFC3280的基础上对证书基本域和扩展域的取值和编码进行了规范，规定了政务数字证书的通用格式、政务数字证书的主体命名规范和主体可选替换名称的命名规范，定义了主体银行基本帐号、政务个人唯一标识和政务机构唯一标识三项私有扩展项，规定了政务数字证书的必备项，规定了政务证书认证机构证书、政务个人证书、政务机构证书、政务设备证书和政务代码签名证书的格式和模板。IV标准分享网www.bzfxw.com免费下载 DB11/T254.1-2004政务数字证书规范第1部分：格式1范围本部分规定了政务数字证书通用格式，以及政务证书认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务代码签名证书的格式和模板。本部分规定的政务数字证书格式适用于加密证书和签名证书。本部分规定的政务数字证书格式同时适用于终端实体证书和证书认证机构证书。本部分适用于数字证书认证机构、数字证书认证系统的开发商、电子政务应用部门以及基于数字证书的安全应用开发商来设计和处理各类政务数字证书。应用于电子商务领域的数字证书格式也可以参照本部分。2规范性引用文件下列文件中的条款通过DB11/T254的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。GB8561-1988专业技术职务代码GB/T11714－1997全国组织机构代码编码规则GB12403-1990干部职务名称代码GB/T16264.1-1996信息技术开放系统互连目录第一部分：概念、模型和服务的概述ISO/IEC9594-8:2001│ITU-TX.509Informationtechnology--OpenSystemsInterconnection–TheDirectory:Public-keyandattributecertificateframeworks信息技术－开放系统互连－目录：公钥与属性证书框架IETFRFC3280InternetX.509PublicKeyInfrastructureCertificateandCertificateRevocationList(CRL)Profile因特网X.509公开密钥基础设施证书与证书撤销列表轮廓3术语和定义、缩略语下列术语、定义和缩略语适用于DB11/T254的本部分。3.1术语和定义3.1.1公开密钥基础设施（PKI）publickeyinfrastructure支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。3.1.2公开密钥证书publickeycertificate用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。3.1.3证书认证机构（CA）certificationauthority受用户信任，负责创建和分配证书的权威机构。3.1.4数字证书（或证书）digitalcertificate1 DB11/T254.1-2004由国家认可的，具有权威性、可信性和公正性的第三方证书认证机构（CA）进行数字签名的一个可信的数字化文件。数字证书包含有公开密钥拥有者的信息、公开密钥、签名算法和CA的数字签名。3.1.5终端实体endentity不以签署证书为目的而使用其私钥的证书主体或者证书使用者。3.1.6政务数字证书governmentaffairdigitalcertificate用来标识电子政务参与方真实身份的数字证书。根据参与方的不同类别分为政务证书认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务代码签名证书。3.1.7政务证书认证机构证书governmentaffairCAcertificate颁发给参与电子政务的证书认证机构的数字证书，简称政务CA证书。3.1.8政务个人证书governmentaffairpersoncertificate颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。3.1.9政务机构证书governmentaffairunitcertificate颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。3.1.10政务设备证书governmentaffairdevicecertificate颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。3.1.11政务代码签名证书governmentaffaircodesigningcertificate颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字证书。3.2缩略语下列缩略语适用于本部分：ASN抽象语法表示法（AbstractSyntaxNotation）BER基本编码规则（BasicEncodingRules）C国家（Country）CA证书认证机构（CertificationAuthority）CN通用名（CommonName）CRL证书撤销列表（CertificateRevocationList）DER可区分编码规则（DistinguishedEncodingRules）DN可辨别名（DistinguishedName）O机构（Organization）OID对象标识符（ObjectIdentifier）OU机构单位（OrganizationUnit）PKI公钥基础设施（PublicKeyInfrastructure）4政务数字证书通用格式4.1基本结构政务数字证书的基本结构由三部分组成：基本证书域TBSCertificate、签名算法域SignatureAlgorithm、签名值域SignatureValue。基本证书域由基本域和扩展域组成，见图1。2标准分享网www.bzfxw.com免费下载 DB11/T254.1-2004基本域基本证书域扩展域政务数字签名算法域证书签名值域图1政务数字证书结构注：本章描述的是政务数字证书的通用格式，特定格式的描述见相应章节。4.2基本证书域4.2.1基本域基本域由如下部分组成：·版本Version·序列号SerialNumber·签名算法SignatureAlgorithm·颁发者Issuer·有效期Validity·主体Subject·主体公钥信息SubjectPublicKeyInfo本部分规定证书颁发者名称和证书主体名称不能重用。在证书基本域不包括颁发者唯一标识符IssuerUniqueID和主体唯一标识符SubjectUniqueID。4.2.1.1版本描述了数字证书的版本号。政务数字证书包含扩展域，因此规定政务数字证书应使用版本3（对应的值是整数2）。4.2.1.2序列号由CA分配给每个证书的一个正整数。一个CA颁发的每张证书的序列号应是唯一的，CA应保证序列号是非负整数。序列号可以是长整数，CA应确保不使用大于20个8比特字节的序列号。4.2.1.3签名算法CA颁发该证书所使用的密码算法的标识符，应与证书中签名算法域中的签名算法相同。可选参数的内容完全依赖所标识的具体算法。4.2.1.4颁发者标识了证书签名和证书颁发的实体。它必须包含一个非空的可辨别名。该项被定义为X.500的Name类型。颁发者可辨别名的C（Country）属性的编码使用PrintableString、Email属性的编码使用IA5String，其它属性的编码一律使用UTF8String。4.2.1.5有效期一个时间段。在这个时间段内，CA担保它将维护关于证书状态的信息。该项被表示成一个具有两个时间值的SEQUENCE类型数据：证书有效期的起始时间（notBefore）和证书有效期的终止时间（notAfter）。2049年之前（含2049年）的时间值应编码为UTCTime类型，2050年之后（含2050年）的时间值应编码为GeneralizedTime类型。4.2.1.6主体3 DB11/T254.1-2004描述了与主体公钥中的公钥绑定的实体信息。该项不能为空。终端实体数字证书主体的内容和编码方式见4.5。4.2.1.7主体公钥信息用来标识证书主体公钥和相应的公钥算法。4.2.2扩展域政务数字证书可使用扩展域。政务数字证书扩展域可包含多项扩展项。每项扩展项由扩展类型、扩展关键度和扩展项值组成，见图2。扩展类型扩展项1扩展关键度扩展项2扩展项值扩展域扩展项3……扩展项n图2扩展域构成政务数字证书可使用IETFRFC3280中定义的如下证书扩展项：·机构密钥标识符AuthorityKeyIdentifier·主体密钥标识符SubjectKeyIdentifier·密钥用法KeyUsage·扩展密钥用途ExtendedKeyUsage·私有密钥使用期PrivateKeyUsagePeriod·证书策略CertificatePolicies·策略映射PolicyMappings·主体可选替换名称SubjectAlternativeName·颁发者可选替换名称IssuerAlternativeName·主体目录属性SubjectDirectoryAttributes·基本限制BasicConstraints·名称限制NameConstraints·策略限制PolicyConstraints·证书撤销列表分发点CRLDistributionPoints·限制任意策略InhibitAnyPolicy·最新证书撤销列表FreshestCRL·机构信息访问AuthorityInformationAccess·主体信息访问SubjectInformationAccess4标准分享网www.bzfxw.com免费下载 DB11/T254.1-2004除上述证书扩展项，本部分还支持如下私有扩展项：·个人身份证号码IdentifyCardNumber·个人社会保险号InsuranceNumber·企业工商注册号ICRegistrationNumber·企业组织机构代码OrganizationCode·企业税号TaxationNumber除上述证书扩展项，本部分还定义了如下私有扩展项：·主体银行基本账号SubjectBasicAccount·政务个人唯一标识GovernmentAffairPersonUniqueID·政务机构唯一标识GovernmentAffairUnitUniqueID4.2.2.1机构密钥标识符用于标识与CA颁发该证书的签名私钥相对应的公钥。除CA自签名证书外，所有证书应具有机构密钥标识符扩展项。政务数字证书的机构密钥标识符应使用keyIdentifier的形式，从CA对应数字证书中的BITSTRINGsubjectPublicKey的160比特散列值（不包括标签、长度和不使用的字节数目）生成。该扩展项应为非关键扩展项。4.2.2.2主体密钥标识符提供了证书中的公开密钥的进一步标识。所有证书应具有主体密钥标识符扩展项。政务数字证书的主体密钥标识符应从该数字证书中的BITSTRINGsubjectPublicKey的160比特散列值（不包括标签、长度和不使用的字节数目）生成。该扩展项应为非关键扩展项。4.2.2.3密钥用法指示证书中的公开密钥用于何种用途。所有证书应具有密钥用法扩展项。该扩展项应为非关键扩展项。注：政务数字证书支持双证书体制，CA应区分用于机密性和其它用途的密钥。4.2.2.4扩展密钥用途指示证书中的公开密钥可以用于何种用途，它可作为对密钥用法扩展项中指明的基本用途的补充。扩展密钥用途以对象标识符OID的形式表示。政务数字证书可使用扩展密钥用途扩展项。该扩展项应为非关键扩展项。4.2.2.5私有密钥使用期指明与证书中的公开密钥相对应的私有密钥的使用期限。该项只能用于数字签名密钥。政务签名证书宜使用私有密钥使用期扩展项。该扩展项应为非关键扩展项。4.2.2.6证书策略列出了由颁发的CA所认可的证书策略。在CA证书中，证书策略扩展项表示了通过该CA证书的认证路径中允许的证书策略。在终端实体证书中，证书策略扩展项表示了该终端实体证书颁发过程中所使用的证书策略。政务数字证书中可使用证书策略扩展项。该扩展项应为非关键扩展项。4.2.2.7策略映射列出了在认证路径中等价的证书策略对。5 DB11/T254.1-2004策略映射扩展项只用于CA证书。政务CA证书中可使用策略限制扩展项。该扩展项应为非关键扩展项。4.2.2.8主体可选替换名称包含一个或多个可选替换名（可使用多种名称形式中的任一个）。主体可选替换名称扩展项中包含证书主体的附加信息。主体可选替换名称扩展项的名称形式包括：电子邮件地址、DNS名称、IP地址和统一资源标识符（URI）。主体可选替换名称扩展项可以包括多种名称形式、每种名称形式可以有多个实例。主体可选替换名称扩展项中的所有信息必须经过CA验证。政务数字证书中可使用主体可选替换名称扩展项。主体可选替换名称内容和编码方式见4.5。该扩展项应为非关键扩展项。4.2.2.9颁发者可选替换名称包含一个或多个可选替换名（可使用多种名称形式中的任一个）。颁发者可选替换名称扩展项中包含证书颁发者的附加信息。颁发者可选替换名称扩展项的名称形式包括：电子邮件地址、DNS名称、IP地址和统一资源标识符（URI）。颁发者可选替换名称扩展项可以包括多种名称形式、每种名称形式可以有多个实例。政务数字证书中可使用颁发者可选替换名称扩展项。该扩展项应为非关键扩展项。4.2.2.10主体目录属性包含证书主体期望的任何目录属性值。政务数字证书中不宜使用主体目录属性扩展项。该扩展项应为非关键扩展项。4.2.2.11基本限制用于标识证书的主体是否是一个CA、通过该CA可能存在的认证路径的最大长度。政务终端实体证书可使用基本限制扩展项。在政务终端实体证书中应为非关键扩展项。政务CA证书应使用基本限制扩展项。在政务CA证书中应为非关键扩展项。4.2.2.12名称限制包含一个名称空间，表明了在通过该CA的认证路径中后续的证书主体的名称空间。名称限制扩展项只用于CA证书。政务CA证书中可使用名称限制扩展项。该扩展项应为非关键扩展项。4.2.2.13策略限制提供了CA对于认证路径的附加要求。该扩展项可用于禁止策略映射或要求认证路径中的每个证书包含一个认可的证书策略OID。策略限制扩展项只用于CA证书。政务CA证书中可使用策略限制扩展项。该扩展项应为非关键扩展项4.2.2.14证书撤销列表分发点标识如何获得证书相应的CRL信息。政务数字证书中应具有证书撤销列表分发点扩展项。该扩展项应为非关键扩展项。4.2.2.15限制任意策略描述使用anyPolicyOID{2529320}时的限制。6 DB11/T254.1-2004限制任意策略扩展项只用于CA证书。政务CA证书中可使用名称限制扩展项。该扩展项应为非关键扩展项。4.2.2.16最新证书撤销列表标识如何获得最新的撤销信息（例如最新的增量CRL）。政务数字证书中可使用最新证书撤销列表扩展项。该扩展项应为非关键扩展项。4.2.2.17机构信息访问标识如何访问证书颁发者的信息以及服务。政务数字证书中不宜使用机构信息访问扩展项。该扩展项应为非关键扩展项。4.2.2.18主体信息访问包含如何访问证书主体的信息以及服务。政务数字证书中不宜使用主体信息访问扩展项。该扩展项应为非关键扩展项。4.3签名算法域包含CA颁发该证书所使用的密码算法的标识符，应与基本证书域中的签名算法所标识的签名算法相同。可选参数的内容完全依赖所标识的具体算法。4.4签名值域包含对基本证书域进行数字签名的结果。经过ASN.1DER编码的基本证书域作为数字签名算法的输入，签名的结果按照ASN.1编码成BITSTRING类型并保存在签名值域。4.5命名规范4.5.1主体政务数字证书中的主体的X.500DN应是C=CN命名空间下的X.500目录唯一名字。C（Country）属性的编码使用PrintableString、Email属性的编码使用IA5String，其它属性的编码一律使用UTF8String。主体的X.500DN应为4级或者5级。4级表示为：C=CNO=××OU=××CN=××5级表示为：C=CNO=××OU=××CN=××Email=××a)C（Country）应为CN，表示中国。b)O（Organization）中的内容分为2种：1）证书主体或者证书主体所属单位具有明确的上一级单位，则应为其上一级单位的名称全称；2）不存在1）中所述的上一级单位，则应为证书主体或者证书主体所属单位的所在省、自治区、直辖市名称全称。c)OU（OrganizationUnit）应为证书主体或者证书主体所属单位的名称全称。7 DB11/T254.1-2004d)CN（CommonName）中的内容分为4种：1）政务个人证书中应为证书主体的姓名（姓在前，名在后，中间无分隔符）；2）政务机构证书中应为证书主体单位的标准简称；3）政务设备证书应为证书主体设备的域名或者IP地址或者设备编码；4）政务代码签名证书应为负责人的姓名（姓在前，名在后，中间无分隔符），或者是所属单位的标准简称。e)Email仅在政务个人证书中存在，应为证书主体的有效电子邮件地址。主体命名示例见附录A。4.5.2主体可选替换名称政务数字证书的主体可选替换名称的directoryName的X.500DN应是C=CN命名空间下的X.500目录唯一名字。C（Country）属性的编码使用PrintableString、Email属性的编码使用IA5String，其它属性的编码一律使用UTF8String。a）政务数字证书的主体可选替换名称的directoryName的X.500DN中，宜包含如下属性：1）省或者直辖市名StateOrProvinceName2）城市名LocalityName3）邮政地址PostalAddress4）邮政编码PostalCode5）信箱号PostalOfficeBox6）电话号码TelephoneNumber7）电传（传真）号码TelexNumberb）政务个人证书的主体可选替换名称的directoryName的X.500DN中，宜包含职务Title属性。Title属性中所包含内容应遵循GB12403-1990干部职务名称或者GB8561-1988专业技术职务。c）政务机构证书、政务设备证书、政务代码签名证书的主体可选替换名称的directoryName的X.500DN中，宜包含电子邮件地址Email（对应负责人电子邮件地址）属性。主体可选替换名称命名示例见附录B。4.6政务数字证书编码示例政务数字证书编码可参照附录C。5政务证书认证机构证书规范5.1概述政务证书认证机构证书由基本证书域、签名算法域和签名值域组成。政务证书认证机构证书简称政务CA证书。5.2政务证书认证机构证书基本证书域基本证书域由基本域和扩展域组成。5.2.1政务证书认证机构证书基本域见4.2.1。5.2.2政务证书认证机构证书扩展域政务CA证书可包含如下扩展项：·机构密钥标识符AuthorityKeyIdentifier·主体密钥标识符SubjectKeyIdentifier·密钥用法KeyUsage·扩展密钥用途ExtendedKeyUsage·私有密钥使用期PrivateKeyUsagePeriod8 DB11/T254.1-2004·证书策略CertificatePolicies·策略映射PolicyMappings·主体可选替换名称SubjectAlternativeName·颁发者可选替换名称IssuerAlternativeName·主体目录属性SubjectDirectoryAttributes·基本限制BasicConstraints·名称限制NameConstraints·策略限制PolicyConstraints·证书撤销列表分发点CRLDistributionPoints·限制任意策略InhibitAnyPolicy·最新证书撤销列表FreshestCRL·机构信息访问AuthorityInformationAccess·主体信息访问SubjectInformationAccess5.2.2.1机构密钥标识符见4.2.2.1。5.2.2.2主体密钥标识符见4.2.2.2。5.2.2.3密钥用法政务CA证书应具有密钥用法扩展项。政务CA证书的密钥用法扩展项应包括keyCertSign。该扩展项应为非关键扩展项。5.2.2.4扩展密钥用途见4.2.2.4。5.2.2.5私有密钥使用期见4.2.2.5。5.2.2.6证书策略见4.2.2.6。5.2.2.7策略映射见4.2.2.7。5.2.2.8主体可选替换名称见4.2.2.8。5.2.2.9颁发者可选替换名称见4.2.2.9。5.2.2.10主体目录属性见4.2.2.10。5.2.2.11基本限制见4.2.2.11。5.2.2.12名称限制见4.2.2.12。5.2.2.13策略限制见4.2.2.13。5.2.2.14证书撤销列表分发点见4.2.2.14。5.2.2.15限制任意策略9 DB11/T254.1-2004见4.2.2.15。5.2.2.16最新证书撤销列表见4.2.2.16。5.2.2.17机构信息访问见4.2.2.17。5.2.2.18主体信息访问见4.2.2.18。5.3政务证书认证机构证书签名算法域见4.3。5.4政务证书认证机构证书签名值域见4.4。5.5政务证书认证机构证书模板本部分规定了政务证书认证机构证书模板，如表1所示：表1政务证书认证机构证书模板证书域关键/非证书域内容描述关键CertificateTbsCertificate需对下列域做签名Version2必备，2表示版本3SerialNumber必备，16进制CertificateSerialNumber正整数为该证书颁发CA能唯一标识的序列号Signature必备AlgorithmIdentifierAlgorithmParametersIssuer必备Name证书颁发CA的X.500DNRDNSequenceRelativeDistinguishedNameAttributeTypeAndValueAttributeTypeOIDAttributeValueValidity必备NotBeforeTime10 DB11/T254.1-2004UtcTimeUTCTimeYYMMDDHHMMSSZ2049年前（包括2049年）使用generalTime表1政务证书认证机构证书模板（续）证书域关键/非证书域内容描述关键GeneralizedTimeYYYYMMDDHHMMS2050年后（包括2050年）使用SZnotAfterTimeutcTimeUTCTimeYYMMDDHHMMSSZ2049年前（包括2049年）使用generalTimeGeneralizedTimeYYYYMMDDHHMMS2050年后（包括2050年）使用SZsubject必备Name证书主体的X.500DNRDNSequence参见4.5RelativeDistinguishedNameAttributeTypeAndValueAttributeTypeOIDAttributeValuesubjectPublicKeyInfo必备algorithmAlgorithmIdentifieralgorithmparameterssubjectPublicKeyBITSTRINGextensionsAuthorityKeyIdentifier非关键必备KeyIdentifierOCTETSTRING由该公钥的SHA-1值导出SubjectKeyIdentifier非关键必备KeyIdentifierOCTETSTRING由该公钥的SHA-1值导出11 DB11/T254.1-2004KeyUsage非关键必备DigitalSignature0/1表1政务证书认证机构证书模板（续）证书域关键/非证书域内容描述关键NonRepudiation0/1KeyEncipherment0/1DataEncipherment0/1KeyAgreement0/1KeyCertSign1CRLSign0/1EncipherOnly0/1DecipherOnly0/1ExtendedKeyUsage非关键PrivateKeyUsagePeriod非关键CertificatePolicies非关键PolicyMappings非关键SubjectAlternativeName非关键IssuerAlternativeName非关键SubjectDirectoryAttributes非关键不宜使用BasicConstraints非关键必备NameConstraints非关键PolicyConstraints非关键CRLDistributionPoints非关键必备InhibitAnyPolicy非关键FreshestCRL非关键AuthorityInformationAccess非关键不宜使用SubjectInformationAccess非关键不宜使用6政务个人证书规范6.1概述政务个人证书由基本证书域、签名算法域和签名值域组成。6.2政务个人证书基本证书域基本证书域由基本域和扩展域组成。6.2.1政务个人证书基本域12 DB11/T254.1-2004见4.2.1。6.2.2政务个人证书扩展域政务个人证书扩展域可包含如下扩展项：·机构密钥标识符AuthorityKeyIdentifier·主体密钥标识符SubjectKeyIdentifier·密钥用法KeyUsage·扩展密钥用途ExtendedKeyUsage·私有密钥使用期PrivateKeyUsagePeriod·证书策略CertificatePolicies·主体可选替换名称SubjectAlternativeName·颁发者可选替换名称IssuerAlternativeName·主体目录属性SubjectDirectoryAttributes·基本限制BasicConstraints·证书撤销列表分发点CRLDistributionPoints·最新证书撤销列表FreshestCRL·机构信息访问AuthorityInformationAccess·主体信息访问SubjectInformationAccess·个人身份证号码IdentifyCardNumber·个人社会保险号InsuranceNumber·主体银行基本帐号SubjectBasicAccount·政务个人唯一标识GovernmentAffairPersonUniqueID6.2.2.1机构密钥标识符见4.2.2.1。6.2.2.2主体密钥标识符见4.2.2.2。6.2.2.3密钥用法政务个人证书中应具有密钥用法扩展项，区分签名证书和加密证书，支持双证书体系。政务个人签名证书的密钥用法扩展项的设置见表3。政务个人加密证书的密钥用法扩展项的设置见表4。该扩展项应为非关键扩展项。6.2.2.4扩展密钥用途见4.2.2.4。6.2.2.5私有密钥使用期见4.2.2.5。6.2.2.6证书策略见4.2.2.6。6.2.2.7主体可选替换名称见4.2.2.8。6.2.2.8颁发者可选替换名称见4.2.2.9。6.2.2.9主体目录属性见4.2.2.10。6.2.2.10基本限制见4.2.2.11。13 DB11/T254.1-20046.2.2.11证书撤销列表分发点见4.2.2.14。6.2.2.12最新证书撤销列表见4.2.2.16。6.2.2.13机构信息访问见4.2.2.17。6.2.2.14主体信息访问见4.2.2.18。6.2.2.15个人身份证号码包含证书主体的身份证号码。其定义如下：id-cce-identifyCodeOBJECTIDENTIFIER::={12861171}IdentifyCode::=SET{residenterCardNumber[0]PRINTABLESTRINGOPTIONAL,militaryOfficerCardNumber[1]UTF8STRINGOPTIONAL,passportNumber[2]PRINTABLESTRINGOPTIONAL,...}政务个人证书可使用个人身份证号码扩展项。该扩展项应为非关键扩展项。6.2.2.16个人社会保险号用于表示证书主体的个人社会保险号码，其定义如下：id-cce-insuranceNumberOBJECTIDENTIFIER::={12861172}InsuranceNumber::=PRINTABLESTRING政务个人证书可使用个人社会保险号扩展项。该扩展项应为非关键扩展项。6.2.2.17主体银行基本帐号表示证书主体的银行基本帐号信息，其定义如下：id-cce-subjectBasicAccountOBJECTIDENTIFIER::={12861177}SubjectBasicAccount::=UTF8STRING政务个人证书可使用主体银行基本帐号扩展项，表示证书主体的个人银行基本帐号。该扩展项应为非关键扩展项。6.2.2.18政务个人唯一标识用来唯一地标识参与电子政务的个人实体，其定义如下：id-cce-governmentAffairPersonUniqueIDOBJECTIDENTIFIER::={12861178}GovernmentAffairPersonUniqueID::=UTF8STRING政务个人可以使用不同的证件类型来标识。政务个人唯一标识中的内容规定如下：·字符串的前2位字符表示不同的证件类型，采用前两个汉字的拼音首字母的大写形式来标识。例如，SF表示身份证、JG表示军官证。14 DB11/T254.1-2004·从第3位开始的字符串表示证件号码。本部分定义的证件类型和对应的字符如下：·GA港澳台居民身份证·HK户口簿·HZ护照·JG军官证·JI警官证·JL外国人永久居留证·SB士兵证·SF身份证·SG士官证·WZ文职干部证政务个人证书应使用政务个人唯一标识扩展项。该扩展项应为非关键扩展项。6.3政务个人证书签名算法域见4.3。6.4政务个人证书签名值域见4.4。6.5政务个人证书模板本部分规定了政务个人证书模板，如表2所示：表2政务个人证书模板证书域关键/非证书域内容描述关键CertificateTbsCertificate需对下列域做签名Version2必备，2表示版本3SerialNumber必备，16进制CertificateSerialNumber正整数为该证书颁发CA能唯一标识的序列号Signature必备AlgorithmIdentifierAlgorithmParametersIssuer必备Name证书颁发CA的X.500DNRDNSequenceRelativeDistinguishedNameAttributeTypeAndValue15 DB11/T254.1-2004AttributeTypeOID表2政务个人证书模板（续）证书域关键/非证书域内容描述关键AttributeValueValidity必备notBeforeTimeutcTimeUTCTimeYYMMDDHHMMSSZ2049年前（包括2049年）使用generalTimeGeneralizedTimeYYYYMMDDHHMMS2050年后（包括2050年）使用SZnotAfterTimeutcTimeUTCTimeYYMMDDHHMMSSZ2049年前（包括2049年）使用generalTimeGeneralizedTimeYYYYMMDDHHMMS2050年后（包括2050年）使用SZSubject必备Name证书主体的X.500DNRDNSequence参见4.5RelativeDistinguishedNameAttributeTypeAndValueAttributeTypeOIDAttributeValuesubjectPublicKeyInfo必备algorithmAlgorithmIdentifieralgorithmparameterssubjectPublicKeyBITSTRING16 DB11/T254.1-2004extensions表2政务个人证书模板（续）证书域关键/非证书域内容描述关键AuthorityKeyIdentifier非关键必备KeyIdentifierOCTETSTRING由该公钥的SHA-1值导出SubjectKeyIdentifier非关键必备KeyIdentifierOCTETSTRING由该公钥的SHA-1值导出KeyUsage非关键必备DigitalSignatureNonRepudiationKeyEnciphermentDataEnciphermentKeyAgreementKeyCertSignCRLSignEncipherOnlyDecipherOnlyExtendedKeyUsage非关键PrivateKeyUsagePeriod非关键宜在签名证书中使用CertificatePolicies非关键SubjectAlternativeName非关键参见4.5IssuerAlternativeName非关键SubjectDirectoryAttributes非关键不宜使用BasicConstraints非关键CRLDistributionPoints非关键必备FreshestCRL非关键AuthorityInformationAccess非关键不宜使用SubjectInformationAccess非关键不宜使用IdentifyCardNumber非关键InsuranceNumber非关键17 DB11/T254.1-2004SubjectBasicAccount非关键GovernmentAffairPersonUniqu非关键应使用eID加密证书与签名证书的密钥用法扩展项设置不同。签名证书的密钥用法扩展项的设置如表3所示：表3政务个人签名证书密钥用法扩展项设置KeyUsage非关键必备DigitalSignature1NonRepudiation1KeyEncipherment0DataEncipherment0KeyAgreement0KeyCertSign0CRLSign0EncipherOnly0DecipherOnly0加密证书的密钥用法扩展项的设置如表4所示：表4政务个人加密证书密钥用法扩展项设置KeyUsage非关键必备DigitalSignature0NonRepudiation0KeyEncipherment1DataEncipherment1KeyAgreement1KeyCertSign0CRLSign0EncipherOnly0/1由CA决定DecipherOnly0/1由CA决定7政务机构证书规范7.1概述政务机构证书由基本证书域、签名算法域和签名值域组成。7.2政务机构证书基本证书域基本证书域由基本域和扩展域组成。7.2.1政务机构证书基本域见4.2.1。18 DB11/T254.1-20047.2.2政务机构证书扩展域政务机构证书扩展域可包含如下扩展项：·机构密钥标识符AuthorityKeyIdentifier·主体密钥标识符SubjectKeyIdentifier·密钥用法KeyUsage·扩展密钥用途ExtendedKeyUsage·私有密钥使用期PrivateKeyUsagePeriod·证书策略CertificatePolicies·主体可选替换名称SubjectAlternativeName·颁发者可选替换名称IssuerAlternativeName·主体目录属性SubjectDirectoryAttributes·基本限制BasicConstraints·证书撤销列表分发点CRLDistributionPoints·最新证书撤销列表FreshestCRL·机构信息访问AuthorityInformationAccess·主体信息访问SubjectInformationAccess·企业工商注册号ICRegistrationNumber·企业组织机构代码OrganizationCode·企业税号TaxationNumber·主体银行基本帐号SubjectBasicAccount·政务机构唯一标识GovernmentAffairUnitUniqueID7.2.2.1机构密钥标识符见4.2.2.1。7.2.2.2主体密钥标识符见4.2.2.2。7.2.2.3密钥用法政务机构证书中应具有密钥用法扩展项，区分签名证书和加密证书，支持双证书体系。政务机构签名证书的密钥用法扩展项的设置见表6。政务机构加密证书的密钥用法扩展项的设置见表7。该扩展项应为关键扩展项。7.2.2.4扩展密钥用途见4.2.2.4。7.2.2.5私有密钥使用期见4.2.2.5。7.2.2.6证书策略见4.2.2.6。7.2.2.7主体可选替换名称见4.2.2.8。7.2.2.8颁发者可选替换名称见4.2.2.9。7.2.2.9主体目录属性见4.2.2.10。7.2.2.10基本限制见4.2.2.11。19 DB11/T254.1-20047.2.2.11证书撤销列表分发点见4.2.2.14。7.2.2.12最新证书撤销列表见4.2.2.16。7.2.2.13机构信息访问见4.2.2.17。7.2.2.14主体信息访问见4.2.2.18。7.2.2.15企业工商注册号用于表示企业工商注册号码，其定义如下：id-cce-iCRegistrationNumberOBJECTIDENTIFIER::={12861174}ICRegistrationNumber::=PRINTABLESTRING政务机构证书可使用企业工商注册号扩展项。该扩展项应为非关键扩展项。7.2.2.16企业组织机构代码用于表示企业组织机构代码，其定义如下：id-cce-organizationCodeOBJECTIDENTIFIER::={12861173}OrganizationCode::=PRINTABLESTRING政务机构证书可使用企业组织机构代码扩展项。该扩展项应为非关键扩展项。7.2.2.17企业税号用于表示企业税号码，其定义如下：id-cce-taxationNumberOBJECTIDENTIFIER::={12861175}TaxationNumber::=PRINTABLESTRING政务机构证书可使用企业税号扩展项。该扩展项应为非关键扩展项。7.2.2.18主体银行基本帐号定义见6.2.2.17。政务机构证书可使用主体银行基本帐号扩展项，表示证书主体的单位银行基本帐号。该扩展项应为非关键扩展项。7.2.2.19政务机构唯一标识用来唯一地标识参与电子政务的机构实体，其定义如下：id-cce-governmentAffairUnitUniqueIDOBJECTIDENTIFIER::={12861179}GovernmentAffairUnitUniqueID::=UTF8STRING政务机构唯一标识符扩展项中包含内容应遵循GB/T11714－1997全国组织机构代码编码规则。政务机构证书应使用政务机构唯一标识扩展项。该扩展项应为非关键扩展项。7.3政务机构证书签名算法域见4.3。7.4政务机构证书签名值域20 DB11/T254.1-2004见4.4。7.5政务机构证书模板本部分规定了政务机构证书模板，如表5所示：表5政务机构证书模板证书域关键/非证书域内容描述关键CertificateTbsCertificate需对下列域做签名Version2必备，2表示版本3SerialNumber必备，16进制CertificateSerialNumber正整数为该证书颁发CA能唯一标识的序列号Signature必备AlgorithmIdentifierAlgorithmParametersIssuer必备Name证书颁发CA的X.500DNRDNSequenceRelativeDistinguishedNameAttributeTypeAndValueAttributeTypeOIDAttributeValuevalidity必备notBeforeTimeutcTimeUTCTimeYYMMDDHHMMSSZ2049年前（包括2049年）使用generalTimeGeneralizedTimeYYYYMMDDHHMMS2050年后（包括2050年）使用SZnotAfterTimeutcTime21 DB11/T254.1-2004UTCTimeYYMMDDHHMMSSZ2049年前（包括2049年）使用generalTime表5政务机构证书模板（续）证书域关键/非证书域内容描述关键GeneralizedTimeYYYYMMDDHHMMS2050年后（包括2050年）使用SZsubject必备Name证书主体的X.500DNRDNSequence参见4.5RelativeDistinguishedNameAttributeTypeAndValueAttributeTypeOIDAttributeValuesubjectPublicKeyInfo必备algorithmAlgorithmIdentifieralgorithmparameterssubjectPublicKeyBITSTRINGextensionsAuthorityKeyIdentifier非关键必备KeyIdentifierOCTETSTRING由该公钥的SHA-1值导出SubjectKeyIdentifier非关键必备KeyIdentifierOCTETSTRING由该公钥的SHA-1值导出KeyUsage非关键必备DigitalSignatureNonRepudiationKeyEnciphermentDataEnciphermentKeyAgreementKeyCertSign22 DB11/T254.1-2004CRLSignEncipherOnly表5政务机构证书模板（续）证书域关键/非证书域内容描述关键DecipherOnlyExtendedKeyUsage非关键PrivateKeyUsagePeriod非关键宜在签名证书中使用CertificatePolicies非关键SubjectAlternativeName非关键参见4.5IssuerAlternativeName非关键SubjectDirectoryAttributes非关键不宜使用BasicConstraints非关键CRLDistributionPoints非关键必备FreshestCRL非关键AuthorityInformationAccess非关键不宜使用SubjectInformationAccess非关键不宜使用ICRegistrationNumber非关键OrganizationCode非关键TaxationNumber非关键SubjectBasicAccount非关键GovernmentAffairUnitUniqueID非关键应使用加密证书与签名证书的密钥用法扩展项设置不同。签名证书的密钥用法扩展项的设置如表6所示：表6政务机构签名证书密钥用法扩展项设置KeyUsage关键必备DigitalSignature1NonRepudiation1KeyEncipherment0DataEncipherment0KeyAgreement0KeyCertSign023 DB11/T254.1-2004CRLSign0EncipherOnly0DecipherOnly0加密证书的密钥用法扩展项的设置如表7所示：表7政务机构加密证书密钥用法扩展项设置KeyUsage非关键必备DigitalSignature0NonRepudiation0KeyEncipherment1DataEncipherment1KeyAgreement1KeyCertSign0CRLSign0EncipherOnly0/1由CA决定DecipherOnly0/1由CA决定8政务设备证书规范8.1概述政务设备证书由基本证书域、签名算法域和签名值域组成。8.2政务设备证书基本证书域基本证书域由基本域和扩展域组成。8.2.1政务设备证书基本域见4.2.1。8.2.2政务设备证书扩展域政务设备证书扩展域可包含如下扩展项：·机构密钥标识符AuthorityKeyIdentifier·主体密钥标识符SubjectKeyIdentifier·密钥用法KeyUsage·扩展密钥用途ExtendedKeyUsage·私有密钥使用期PrivateKeyUsagePeriod·证书策略CertificatePolicies·主体可选替换名称SubjectAlternativeName·颁发者可选替换名称IssuerAlternativeName·主体目录属性SubjectDirectoryAttributes·基本限制BasicConstraints·证书撤销列表分发点CRLDistributionPoints·最新证书撤销列表FreshestCRL·机构信息访问AuthorityInformationAccess·主体信息访问SubjectInformationAccess24 DB11/T254.1-20048.2.2.1机构密钥标识符见4.2.2.1。8.2.2.2主体密钥标识符见4.2.2.2。8.2.2.3密钥用法政务设备证书中可使用密钥用法扩展项。该扩展项应为非关键扩展项。8.2.2.4扩展密钥用途见4.2.2.4。8.2.2.5私有密钥使用期见4.2.2.5。8.2.2.6证书策略见4.2.2.6。8.2.2.7主体可选替换名称见4.2.2.8。8.2.2.8颁发者可选替换名称见4.2.2.9。8.2.2.9主体目录属性见4.2.2.10。8.2.2.10基本限制见4.2.2.11。8.2.2.11证书撤销列表分发点见4.2.2.14。8.2.2.12最新证书撤销列表见4.2.2.16。8.2.2.13机构信息访问见4.2.2.17。8.2.2.14主体信息访问见4.2.2.18。8.3政务设备证书签名算法域见4.3。8.4政务设备证书签名值域见4.4。8.5政务设备证书模板本部分规定了政务设备证书模板，如表8所示：表8政务设备证书模板证书域关键/非证书域内容描述关键CertificateTbsCertificate需对下列域做签名Version2必备，2表示版本3SerialNumber必备，16进制25 DB11/T254.1-2004CertificateSerialNumber正整数为该证书颁发CA能唯一标识的序列号Signature必备表8政务设备证书模板（续）证书域关键/非证书域内容描述关键AlgorithmIdentifierAlgorithmParametersIssuer必备Name证书颁发CA的X.500DNRDNSequenceRelativeDistinguishedNameAttributeTypeAndValueAttributeTypeOIDAttributeValueValidity必备notBeforeTimeutcTimeUTCTimeYYMMDDHHMMSSZ2049年前（包括2049年）使用generalTimeGeneralizedTimeYYYYMMDDHHMMS2050年后（包括2050年）使用SZnotAfterTimeutcTimeUTCTimeYYMMDDHHMMSSZ2049年前（包括2049年）使用generalTimeGeneralizedTimeYYYYMMDDHHMMS2050年后（包括2050年）使用SZSubject必备Name证书主体的X.500DN26 DB11/T254.1-2004RDNSequence参见4.5RelativeDistinguishedNameAttributeTypeAndValue表8政务设备证书模板（续）证书域关键/非证书域内容描述关键AttributeTypeOIDAttributeValuesubjectPublicKeyInfo必备algorithmAlgorithmIdentifieralgorithmparameterssubjectPublicKeyBITSTRINGExtensionsAuthorityKeyIdentifier非关键必备KeyIdentifierOCTETSTRING由该公钥的SHA-1值导出SubjectKeyIdentifier非关键必备KeyIdentifierOCTETSTRING由该公钥的SHA-1值导出KeyUsage非关键ExtendedKeyUsage非关键PrivateKeyUsagePeriod非关键宜在签名证书中使用CertificatePolicies非关键SubjectAlternativeName非关键参见4.5IssuerAlternativeName非关键SubjectDirectoryAttributes非关键不宜使用BasicConstraints非关键CRLDistributionPoints非关键必备FreshestCRL非关键AuthorityInformationAccess非关键不宜使用SubjectInformationAccess非关键不宜使用9政务代码签名证书规范27 DB11/T254.1-20049.1概述政务代码签名证书由基本证书域、签名算法域和签名值域组成。9.2政务代码签名证书基本证书域基本证书域由基本域和扩展域组成。9.2.1政务代码签名证书基本域见4.2.1。9.2.2政务代码签名证书扩展域政务代码签名证书扩展域可包含如下扩展项：·机构密钥标识符AuthorityKeyIdentifier·主体密钥标识符SubjectKeyIdentifier·密钥用法KeyUsage·扩展密钥用途ExtendedKeyUsage·私有密钥使用期PrivateKeyUsagePeriod·证书策略CertificatePolicies·主体可选替换名称SubjectAlternativeName·颁发者可选替换名称IssuerAlternativeName·主体目录属性SubjectDirectoryAttributes·基本限制BasicConstraints·证书撤销列表分发点CRLDistributionPoints·最新证书撤销列表FreshestCRL·机构信息访问AuthorityInformationAccess·主体信息访问SubjectInformationAccess9.2.2.1机构密钥标识符见4.2.2.1。9.2.2.2主体密钥标识符见4.2.2.2。9.2.2.3密钥用法政务代码签名证书中应使用密钥用法扩展项，明确表示可用于数字签名。政务代码签名证书的密钥用法扩展项的设置见表9。该扩展项应为关键扩展项。9.2.2.4扩展密钥用途见4.2.2.4。9.2.2.5私有密钥使用期见4.2.2.5。9.2.2.6证书策略见4.2.2.6。9.2.2.7主体可选替换名称见4.2.2.8。9.2.2.8颁发者可选替换名称见4.2.2.9。9.2.2.9主体目录属性见4.2.2.10。9.2.2.10基本限制见4.2.2.11。28 DB11/T254.1-20049.2.2.11证书撤销列表分发点见4.2.2.14。9.2.2.12最新证书撤销列表见4.2.2.16。9.2.2.13机构信息访问见4.2.2.17。9.2.2.14主体信息访问见4.2.2.18。9.3政务代码签名证书签名算法域见4.3。9.4政务代码签名证书签名值域见4.4。9.5政务代码签名证书模板本部分规定了政务代码签名证书模板，如表9所示：表9政务代码签名证书模板证书域关键/非证书域内容描述关键CertificateTbsCertificate需对下列域做签名Version2必备，2表示版本3SerialNumber必备，16进制CertificateSerialNumber正整数为该证书颁发CA能唯一标识的序列号Signature必备AlgorithmIdentifierAlgorithmParametersIssuer必备Name证书颁发CA的X.500DNRDNSequenceRelativeDistinguishedNameAttributeTypeAndValueAttributeTypeOIDAttributeValuevalidity必备notBeforeTime29 DB11/T254.1-2004utcTimeUTCTimeYYMMDDHHMMSSZ2049年前（包括2049年）使用表9政务代码签名证书模板（续）证书域关键/非证书域内容描述关键generalTimeGeneralizedTimeYYYYMMDDHHMMS2050年后（包括2050年）使用SZnotAfterTimeutcTimeUTCTimeYYMMDDHHMMSSZ2049年前（包括2049年）使用generalTimeGeneralizedTimeYYYYMMDDHHMMS2050年后（包括2050年）使用SZsubject必备Name证书主体的X.500DNRDNSequence参见4.5RelativeDistinguishedNameAttributeTypeAndValueAttributeTypeOIDAttributeValuesubjectPublicKeyInfo必备algorithmAlgorithmIdentifieralgorithmparameterssubjectPublicKeyBITSTRINGextensionsAuthorityKeyIdentifier非关键必备KeyIdentifierOCTETSTRING由该公钥的SHA-1值导出SubjectKeyIdentifier非关键必备KeyIdentifierOCTETSTRING由该公钥的SHA-1值导出30 DB11/T254.1-2004KeyUsage非关键必备DigitalSignature1表9政务代码签名证书模板（续）证书域关键/非证书域内容描述关键NonRepudiation1KeyEncipherment0DataEncipherment0KeyAgreement0KeyCertSign0CRLSign0EncipherOnly0DecipherOnly0ExtendedKeyUsage非关键PrivateKeyUsagePeriod非关键宜使用CertificatePolicies非关键SubjectAlternativeName非关键参见4.5IssuerAlternativeName非关键SubjectDirectoryAttributes非关键不宜使用BasicConstraints非关键CRLDistributionPoints非关键必备FreshestCRL非关键AuthorityInformationAccess非关键不宜使用SubjectInformationAccess非关键不宜使用31 DB11/T254.1-2004附录A（规范性附录）主体命名示例A.1政务个人证书所列示例均系虚构。北京市信息化工作办公室的工作人员赵方林（有Email），其政务个人证书主体的X.500DN为：C=CNO=北京市政府OU=北京市信息化工作办公室CN=赵方林Email=zhaofl@bj.cn北京市信息化工作办公室的工作人员赵方林（无Email），其政务个人证书主体的X.500DN为：C=CNO=北京市政府OU=北京市信息化工作办公室CN=赵方林北京市信息化工作办公室网络管理处的工作人员赵方林（有Email），其政务个人证书主体的X.500DN为：C=CNO=北京市政府信息化工作办公室OU=北京市信息化工作办公室网络管理处CN=赵方林Email=zhaofl@bj.cn北京市信息化工作办公室网络管理处的工作人员赵方林（无Email），其政务个人证书主体的X.500DN为：C=CNO=北京市信息化工作办公室OU=北京市信息化工作办公室网络管理处CN=赵方林A.2政务机构证书所列示例均系虚构。北京市信息化工作办公室，其政务机构证书主体的X.500DN为:C=CNO=北京市政府OU=北京市信息化工作办公室CN=北京市信息办北京市信息化工作办公室网络管理处，其政务机构证书主体的X.500DN为:C=CNO=北京市信息化工作办公室OU=北京市信息化工作办公室网络管理处32 DB11/T254.1-2004CN=北京市信息办网管处北京市神州科技有限公司，其政务机构证书主体的X.500DN为:C=CNO=北京市OU=北京市神州科技有限公司CN=神州科技A.3政务设备证书所列示例均系虚构。北京市信息化工作办公室的设备（域名为www.bj.cn），其政务设备证书主体的X.500DN为:C=CNO=北京市政府OU=北京市信息化工作办公室CN=www.bj.cn北京市信息化工作办公室的设备（IP地址为192.168.0.77），其政务设备证书主体的X.500DN为:C=CNO=北京市政府OU=北京市信息化工作办公室CN=192.168.0.77北京市信息化工作办公室的设备（设备编码为BJXXB123456），其政务设备证书主体的X.500DN为:C=CNO=北京市政府OU=北京市信息化工作办公室CN=BJXXB123456北京市信息化工作办公室网络管理处的设备（域名为www.bj.cn），其政务设备证书主体的X.500DN为:C=CNO=北京市信息化工作办公室OU=北京市信息化工作办公室网络管理处CN=www.bj.cn北京市信息化工作办公室网络管理处的设备（IP地址为192.168.0.77），其政务设备证书主体的X.500DN为:C=CNO=北京市信息化工作办公室OU=北京市信息化工作办公室网络管理处CN=192.168.0.77北京市信息化工作办公室网络管理处的设备（设备编码为BJXXB123456），其政务设备证书主体的X.500DN为:C=CNO=北京市信息化工作办公室OU=北京市信息化工作办公室网络管理处CN=BJXXB123456A.4政务代码签名证书33 DB11/T254.1-2004所列示例均系虚构。北京市信息化工作办公室，其政务代码签名证书主体的X.500DN为:C=CNO=北京市政府OU=北京市信息化工作办公室CN=北京市信息办北京市信息化工作办公室（代码签名负责人为赵方林），其政务代码签名证书主体的X.500DN为:C=CNO=北京市政府OU=北京市信息化工作办公室CN=赵方林北京市信息化工作办公室网络管理处，其政务代码签名证书主体的X.500DN为:C=CNO=北京市信息化工作办公室OU=北京市信息化工作办公室网络管理处CN=北京市信息办网管处北京市信息化工作办公室网络管理处（代码签名负责人为赵方林），其政务代码签名证书主体的X.500DN为:C=CNO=北京市信息化工作办公室OU=北京市信息化工作办公室网络管理处CN=赵方林34 DB11/T254.1-2004附录B（规范性附录）主体可选替换名称命名示例B.1政务个人证书所列示例均系虚构。北京市信息化工作办公室的工作人员赵方林科长，其政务个人证书主体可选替换名称的directoryName的X.500DN为：StateOrProvinceName=北京市LocalityName=西城区PostalAddress=南礼士路头条3号PostalCode=100045PostalOfficeBox=7号信箱TelephoneNumber=010-68013106TelexNumber=010-68011922Title=科长或者包含其中的部分属性。B.2政务机构证书所列示例均系虚构。北京市信息化工作办公室（负责人电子邮件地址为Email=zhaofl@bj.cn），其政务机构证书主体可选替换名称的directoryName的X.500DN为:StateOrProvinceName=北京市LocalityName=西城区PostalAddress=南礼士路头条3号PostalCode=100045PostalOfficeBox=7号信箱TelephoneNumber=010-68013106TelexNumber=010-68011922Email=zhaofl@bj.cn或者包含其中的部分属性。B.3政务设备证书所列示例均系虚构。北京市信息化工作办公室的设备（负责人电子邮件地址为zhaofl@bj.cn），其政务设备证书主体可选替换名称的directoryName的X.500DN为:StateOrProvinceName=北京市LocalityName=西城区PostalAddress=南礼士路头条3号PostalCode=100045PostalOfficeBox=7号信箱TelephoneNumber=010-6801310635 DB11/T254.1-2004TelexNumber=010-68011922Email=zhaofl@bj.cn或者包含其中的部分属性。B.4政务代码签名证书所列示例均系虚构。北京市信息化工作办公室（代码签名负责人电子邮件地址为zhaofl@bj.cn），其政务代码签名证书主体可选替换名称的directoryName的X.500DN为:StateOrProvinceName=北京市LocalityName=西城区PostalAddress=南礼士路头条3号PostalCode=100045PostalOfficeBox=7号信箱TelephoneNumber=010-68013106TelexNumber=010-68011922Email=zhaofl@bj.cn或者包含其中的部分属性。36 DB11/T254.1-2004附录C（资料性附录）政务数字证书编码示例这部分包括版本3证书共814字节十六进制（堆）解释。证书包含下列信息：·序列号是6565422187515605500000000000000000000·签名算法是sha1withRSAEncryption·颁发者是C=CN;CN=VirtualCA·主体是C=CN;O=北京市政府;OU=北京市信息化工作办公室;CN=北京市信息办·有效期是从2004年7月18日到2005年7月17日·主体公钥信息中包含1024比特的RSA密钥·机构密钥标识符扩展项·主体密钥标识符扩展·密钥用法扩展项·基本限制扩展项·扩展密钥用途扩展项·证书撤销列表分发点扩展项00003082032A810:SEQUENCE000430820293659:.SEQUENCE0008A0033:..[0]001002011:...INTEGER2:020013021016:..INTEGER6565422187515605500000000000000000000:04F0744E3D726506C492770A5E71F15B0031300D13:..SEQUENCE003306099:...OID1.2.840.113549.1.1.5sha1withRSAEncryption:2A864886F70D010105004405000:...NULL0046302234:..SEQUENCE0048310B11:...SET005030099:....SEQUENCE005206033:.....OID2.5.4.6:C:550406005713022:.....PrintableString"CN":434E0061311319:...SET0063301117:....SEQUENCE006506033:.....OID2.5.4.3:CN:55040300700C0A10:.....UTF8String"VirtualCA":5669727475616C20434137 DB11/T254.1-20040082301E30:..SEQUENCE0084170D13:...UTCTime"040718161012Z":3034303731383038313031325A0099170D13:...UTCTime"050717161012Z":3035303731373038313031325A01143070112:..SEQUENCE0156310B11:...SET015830099:....SEQUENCE016006033:.....OID2.5.4.6:C:550406016513022:.....PrintableString"CN":434E0199311824:...SET0201301622:....SEQUENCE020306033:.....OID2.5.4.10O:55040A02080C0F15:.....UTF8String"北京市政府":E58C97E4BAACE5B882E694BFE5BA9C0238312A42:...SET0240302840:....SEQUENCE024206033:.....OID2.5.4.11OU:55040B02470C2133:.....UTF8String"北京市信息化工作办公室":E58C97E4BAACE5B882E4BFA1E681AFE58C96E5B7A5E4BD9CE58A9EE585ACE5AEA40261311B27:...SET0263301925:....SEQUENCE026506033:.....OID2.5.4.3CN:55040302700C1218:.....UTF8String"北京市信息办":E58C97E4BAACE5B882E4BFA1E681AFE58A9E027830819F159:..SEQUENCE0280300D13:...SEQUENCE028206099:.....OID1.2.840.113549.1.1.1rsaEncryption:2A864886F70D010101029305000:.....NULL029503818D141:...BITSTRING:00（0unusedbits）308189028181009E75D33591CA6B3ACFB26FCCC9101B4B1B4B61730B25B1457632E5AB1E68AC2AAB8118139BDAEE3D914BDFB1FDCA926B6B6F4F1AC75C31E27D38 DB11/T254.1-200400426EC8768F44DE1F01C375773F4DDB36F46FE35DDBB2D1702C8012EB984E48813E2E58DD5C8AED6C57E5A24F896EAD75E83BC867EF8DCA5AB53061B3BD4A65388B6C84F0A85F02030100010372A3820111273:..[3]03763082010D269:...SEQUENCE0380301f31:....SEQUENCE038206033:.....OID2.5.29.35AuthorityKeyIdentifier:551D230387041824:.....OCTETSTRING:301680145042969F550FFD1ABDC8E0FCA77413589CAE50200413301D29:....SEQUENCE041506033:.....OID2.5.29.14SubjectKeyIdentifier:551D0E0420041622:.....OCTETSTRING:0414202E0C787DDE04400BA2007D5C829EB757BF6D610444300B11:....SEQUENCE044606033:.....OID2.5.29.15KeyUsage:551D0F045104044:.....OCTETSTRING:030203F80498300C12:....SEQUENCE050006033:.....OID2.5.29.19BasicConstraints:551D13050504055:.....OCTETSTRING:30030101000512303B59:....SEQUENCE051406033:.....OID2.5.29.37ExtKeyUsage:551D250519043452:.....OCTETSTRING:303206082B0601050507030106082B0601050507030206082B0601050507030306082B0601050507030406082B0601050507030805733073115:....SEQUENCE057506033:.....OID2.5.29.31CRLDistributionPoints:551D1F0580046C108:.....OCTETSTRING:306A303FA03DA03BA4393037310D300B0603550403130463726C30310C300A060355040B130363726C310C300A06035539 DB11/T254.1-2004040B1303313034310A3008060355040B1301323027A025A0238621687474703A2F2F63726C2E6A69742E636F6D2E636E2F63726C2F63726C2E63726C0690300D13:.SEQUENCE069206099:..OID1.2.840.113549.1.1.5sha1withRSAEncryption:2A864886F70D010105070305000:..NULL0705038181129:.BITSTRING:00A7F114C19394E18EB21ABD9F6D1FE80044D92B63374C953FDE03B644AF6A45359065A2D702D485D1F1388AAF9FE902E118279D2794BC85BD6B3A247A2A0F036A9A73B1D95608B6D640D67EC7473B4FF9B6B2F3A342ACC822E5A8DE5FA74F62D37EF60B4630744FAE6933E25374C7BA340F9C3C3DD4D228DABD0BCAC9CED5CB58________________________________40'