LD T 30.3-2009 人力资源和社会保障电子认证体系.第3部分：证书及证书撤销列表格式规范.pdf

1、ICS 35040L 80备案号：271 10-2010中华人民 共和L口国劳动和劳动安全行业标准LDT 3032009人力资源和社会保障电子认证体系第3部分：证书及证书撤消列表格式规范Human resources and social security electronic authentication systemPart 3：Format specifications of digital certificate and CRL2009-12-1 4发布 2010-0301实施中华人民共和国人力资源和社会保障部 发布前言l 范围-2规范性引用文件3术语和定义4缩略语5证书分类6数字证书

2、通用格式1基本结构2基本证书域3签名算法域4签名值域5命名规范7数字证书格式模板1根CA证书格式模板2二级CA证书格式模板3机构证书格式模板4工作人员证书格式模板5设备证书格式模板6单位证书格式模板7个人证书格式模板8 CRI，格式81 CRI。基本结构82 CRL格式模板附录A(资料性附录) 主体命名规范附录B(资料性附录) 数字证书编码示例附录C(资料性附录)算法举例目 次LDT 3032009：o0o，8加他H”博加毖孙刖 置LDT 3032009为适应人力资源和社会保障信息化发展要求，满足人力资源和社会保障网络信任体系建设和管理的需要，人力资源和社会保障部组织并制定了LDT 30-20

3、09人力资源和社会保障电子认证体系。网络信任体系包括电子认证体系、授权管理体系和责任认定体系，本标准主要描述了人力资源和社会保障电子认证体系相关内容，包括以下五个部分：第1部分：框架规范；第2部分：电子认证系统技术规范；第3部分：证书及证书撤消列表格式规范；第4部分：证书应用管理规范；第5部分：证书载体规范。本部分为I。DT 30 2009的第3部分。本部分描述了人力资源和社会保障电子认证系统签发的数字证书及证书撤消列表的基本结构和相关要求。本部分重点引用了GBT 20518 2006信息安全技术 公钥基础设施 数字证书格式，并在此基础上，扩展了证书分类、各类证书模板、证书DN命名规范、CRI

4、，格式规范等相关内容，给出了数字证书编码格式示例，从满足人力资源社会保障业务需求的角度，对本行业内所发放的数字证书和证书撤消列表的类型和格式提出规范和要求。本部分由中华人民共和国人力资源和社会保障部信息中心提出并归口。本部分主要起草单位：中华人民共和国人力资源和社会保障部信息中心、E海市人力资源和社会保障局信息中心、北京数字证书认证中心、维豪信息技术有限公司。本部分主要起草人：赵锡铭、戴瑞敏、贾怀斌、翟燕立、李丽虹、吴问滨、黄勇、吕丽娟、许华光、罗震、张加会、靳朝晖、陆春生、李永亮、宋京燕、杜守国、欧阳晋、林雪焰、李述胜、顾青、宋成。本部分凡涉及密码相关内容，均按国家有关法规实施。1范围人力资

5、源和社会保障电子认证体系第3部分：证书及证书撤消列表格式规范LDT 3032009LDT 30的本部分对人力资源和社会保障数字证书进行了分类，定义了数字证书及证书撤消列表的基本结构，描述了数字证书中的各数据项内容，制定了证书及证书撤消列表格式模板。本部分适用于指导人力资源和社会保障系统按照统一的证书及证书撤消列表格式进行定制和签发，以保证人力资源和社会保障各应用系统之间的互信互认。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GBT 162621 2006信息技术 抽象

6、语法记法一(ASN1) 第1部分：基本记法规范(ISO1EC 88241：2002，IDT)GBT 162622 2006信息技术抽象语法记法一(ASN1) 第2部分：客体信息规范(ISOIEC 88242：2002，IDT)GBT 1626232006信息技术抽象语法记法一(ASN1)第3部分：约束规范(1SOIEC8824 3：2002，1DT)GBT 1 62624 2006信息技术抽象语法记法一(ASN1) 第4部分：ASN1规范的参数化(ISOIEC 88244：2002，IDT)GBT 20518 2006 信息安全技术公钥基础设施数字证书格式信息技术 安全技术 密码术语(国家密码

7、管理局)3术语和定义以下术语和定义适用于本部分。31证书认证机构certification authorityCA负责创建和分配证书受用户信任的权威机构。用户可以选择该机构为其创建密钥。32数字证书digital certificate由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。33CA证书 CA certificate由一个证书认证机构给另一个证书认证机构签发的数字证书，一个证书认证机构也可以为自己签发数字证书，这是一种自签名的数字证书。34电子认证系统electronic authentication system证书认证系统

8、certificate authentication system对生命周期内的数字证书进行全过程管理的安全系统。35证书撤消列表certificate revocation listCRL标记一系列不再被证书发布者认为有效的证书的签名列表。36终端实体end entity不以签署证书为目的而使用其私钥的证书主体或者证书使用者。37证书序列号certificate serial number在一个证书认证机构所签发的证书中用于唯一标识数字证书的一个整数。38信任trust通常，当一个实体(第一个实体)假设另一个实体(第二个实体)完全按照第一个实体的期望行动时，则称第一个实体“信任”第二个实体。

9、这种“信任”可能只适用于某些特定功能。本框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系；鉴别实体应确信它能够“信任”认证机构仅创建有效且可靠的证书。4缩略语下列缩略语适用于本部分：ASN 抽象语法表示法(Abstract Syntax Notation)L 国家(Count ry)CA 证书认证机构(Certification Authority)CN 通用名(Common Name)CRI 证书撤消列表(Certificate Revocation I。ist)DER 可区分编码规则(Distinguished Encoding Rules)DN 甄别名称(Distinguish

10、ed Name)() 机构(Organization)OID 对象标识符(Objeel Identifier)OU 机构单位(Organization Unit)RA 证书注册机构(Registration Authority)5证书分类人力资源和社会保障电子认证系统主要为两类用户提供电子认证服务，一是全国人力资源和社会保障系统业务专网用户(以下简称内部用户)，二足人力资源和社会保障业务办理中涉及的社会用户(个人、用人单位等以下称外部用户)。针对这两类用户，电子认证系统主要签发和管理以下五类用户证书：a) 面向内部用户的证书有三类分别是：oLDT 30320091) 机构证书面向人力资源和社会

11、保障系统内部机构(包括各级人力资源和社会保障部门、各类经办机构、公共服务机构、街道社区人力资源社会保障服务站、所等)和服务于人力资源和社会保障业务的系统外机构(包括医疗机构、定点零售药店、人力资源社会保障事务代理机构等)发放。2) 工作人员证书一面向人力资源和社会保障业务专网计算机终端用户(包括各级人力资源社会保障部门工作人员、经办人员等)发放。3) 设备证书面向人力资源和社会保障信息系统的服务器、终端设备等发放。b)面向外部用户的证书有两类分别是：1) 单位证书一面向人力资源和社会保障业务所管理服务的用人单位发放。2) 个人证书一-_面向人力资源和社会保障业务所管理服务的个人发放。6数字证书

12、通用格式61基本结构数字证书的基本结构由三部分组成：基本证书域TBSCertificate、签名算法域SignatureAlgorithm、签名值域SignatureValue。其中，基本证书域由基本域和扩展域组成如图1所示。图1 数字证书基本结构示意图62基本证书域基本证书域(TBSCertificate)包括基本域和扩展域。621基本域基本域由以下部分组成：a) 版本 Versionb)序列号 SerialNumberc) 签名算法 Signatured)颁发者 Issuere) 有效期 Validityf) 主体 Subjectg) 主体公钥信息 subjectPublicKeylnfo

13、6211版本Version本项描述了数字证书的版本号。数字证书应使用版本3(对应的数值是整数“2”)。6212序列号SerialNumber本项是证书签发管理系统分配给每个证书的一个正整数一个证书签发管理系统签发的每张证书3LDT 3032009的序列号必须是唯一的(通过颁发者的名字和序列号就可以唯一地确定一张证书)，证书签发管理系统必须保证序列号是非负整数。序列号可以是长整数证书用户必须能够处理最长达20个8位字节的序列号值。证书签发管理系统必须确保不使用大于20个8位字节的序列号。证书更新时序列号须改变。本规范规定证书序列号的长度为l 6个8位字节，序列号编码规则如下：证书序列号(1 6位

14、)一CA编号(2)+RA编号(6)+顺序号(8)其中，CA编号和RA编号应遵循CA和RA命名规则，顺序号可从1开始依次累加。例如：某一证书序列号是：3434020012345678。前2位“34”代表安徽省，第3位到8位“340200”代表芜湖市，最后8位“12345678”代表证书的顺序号。6213签名算法Signature本项包含CA签发该证书所使用的密码算法的标识符，这个算法标识符必须与证书中SignatureAlgorithm项的算法标识符相同。签名算法应符合国家密码主管部门对密码算法的规定。并根据国家密码主管部门4t准的最新算法J5乏时调整。6214颁发者Issuer本项标识了证书签

15、名和证书颁发的实体。它必须包含一个非空的甄别名称。该项被定义为X500的Name类型。颁发者甄别名称的c(Countryl属性的编码使用PrIntablest“ng。Email属性的编码使用IASSt ring。其他属性的编码一律使用UTF8String。各项编码规范如表1所示。表1颁发者DN编码规范Name类型 说明 示例 编码格式C 国家 fN PrintableStringS 省份 证书签发管理系统所在省份御l如北京 UTF8S1ringL 城市 证书茬发管理系统所在城仃例如北京 UTF8String() 颁发机构名称 人力资源和社会保障部信息中心 UTF8S*ringCN 颁发机构别名

16、 人力资源和社会保障部信息巾心 UTF8String6215有效期Validity本项是指一个时间段，在这个时间段内，证书签发管理系统担保它将维护关于证书状态的信息。该项被表示成一个具有两个时间值的SEQUENCE类型数据：证书有效期的起始时间(notBefore)和证书有效期的终止时间(n01After)。NotBefore和NotAfter这两个时间都可以作为uTcTime类型或者GeneralizedTime类型进行编码。在本项中UTCTime值必须用格林威治标准时间表示，并且必须包含秒，即使秒的数值为零(即时间格式为YYMMDDHHMMSSZ)。系统对年字段(YY)应解释为20YY。G

17、eneralizedTime字段能包含一个本地和格林威治标准时间之间的时间差。GeneralizedTime值必须用格林威治标准时间表示，且必须包含秒，即使秒的数值为零(即时间格式为YYYYMMDDHHMMSSZ)。GeneralizedTime值绝不能包含小数秒(fractional seconds)。4根CA证书有效期最长为20年，CA证书的有效期最长为10年。6216主体SubjectLDT 3032009本项描述了与主体公钥项中的公钥相对应的实体。主体名称可以出现在主体项和，或主体替换名称扩展项中(subjectAltName)。如果主体是一个CA，那么主体项必须是一个非空的与颁发者项

18、的内容相匹配的甄别名称(Distinguished Name)，一个CA认证的每个主体实体的甄别名称必须是唯一的。一个CA可以为同一个主体实体以相同的甄别名称签发多个证书。该项不能为空。6217主体公钥信息SubjectPublicKeylnfo本项用来标识公钥和相应的公钥算法。公钥算法使用算法标识符Algorithmldemifier结构来表示。622扩展域本部分定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及证书结构的管理方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的和非关键性的。一个扩展含有三部分，它们分别是扩展类型、扩展关键度和扩展项值

19、。扩展关键度(extensioncriticality)告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果不能识别关键的扩展时必须拒绝接受该证书，如果不能识别非关键的扩展则可以忽略该扩展项的信息。证书扩展域结构如图2所示。围2扩展域构成本条定义了如下一些标准扩展项和专用扩展项：a)密钥用法 KeyUsageb) 主体密钥标识符 su bjectKeyIdentifierc) 颁发机构密钥标识符 AuthorityKeyldentlflerd)基本限制 BasicConstraintse) 证书策略 certificatePoliciesf) 实体唯一标识 SubjeetUniqu

20、elD注：对于根CA证书和二级CA证书可以不签发实体唯一标识；对于终端实体证书，则必须签发实体唯一标识，以用于区分用户。6221密钥用法KeyUsage本项说明已认证的公开密钥用于何种用途。所有证书应具有密钥用法扩展项。该项定义如下：id ce keyUsage OBJECT IDENTIFIER：=id ce 1 55LDT 3032009KeyUsage：一BIT STRINGdi画talSignature (0)，nonReDudiation (1)keyEncipherment (2)，dataEncipherment (3)，keyAgreement (4)，keyCertSign

21、(5)，cRLSign (6)eneipherOnly (7)decipherOnly (8)所有的CA证书必须包括本扩展，而且必须包含keyCertSign这一用法。用户证书则根据证书用途，分为签名证书和加密证书，选择对应的密钥用途进行签发。此扩展可以定义为关键的或非关键的，由证书颁发者选择。6222主体密钥标识符subjectKeyldentifier本项提供一种识别包含有一个特定公钥的证书的方法。此扩展标识了被认证的公开密钥。它能够区分同一主体使用的不同密钥(例如当密钥更新发生时)。对于使用密钥标识符的主体的各个密钥标识符而言，每一个密钥标识符均应是唯一的。CA签发证书时心须把CA证书中

22、本扩展的值赋给终端实体证书Auth。yKeyIdentifiPr扩展中的KeyIdentifier项。CA证书的主体密钥标识符应从公钥中或者生成唯一值的方法中导出。终端实体证书的主体密钥标识符应从公钥中导出。所有的CA证书必须包括本扩展，此扩展项总是非关键的。6223 颁发机构密钥标识符 AuthorityKeyIdentifier本项提供了一种方式以识别与证书签名私钥相应的公钥。当颁发者由于有多个密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。识别可基于颁发者证书中的主体密钥标识符或基于颁发者的名称和序列号。相应CA产生的所有证书应包括Autho“tyKeyIdentitier扩展的K

23、eyldentifier项，以便于链的建立。CA以“自签”(self signed)证书形式发放其公钥时，可以省略认证机构密钥标识符。此时主体和认证机构密钥标识符是完全相同的。本项既可用作证书扩展亦可用作CRI扩展。本项标识用来验证在证书或CRL上签名的公开密钥。它能辨别同一CA使用的不同密钥(例如，在密钥更新发生时)。6224证书策略CertificatePolicies本项包含了一系列策略信息条目，每个条目都有一个OID和一个可选的限定条件。这个可选的限定条件不能改变策略的定义。在用户证书中，这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的；在CA证书中，这些策略条目指定了包含

24、这个证书的验证路径的策略集合。具有特定策略需求的应用系统应该拥有它们将接受的策略的列表，并把证书中的策略OID与该列表进行比较。如果该扩展是关键的，则路径有效性软件必须能够解释该扩展(包括选择性限定语)，否则必须拒绝该证书。数字证书是否包括本扩展为可选的，是否为关键项也是可选的。6225实体唯一标识SubjectUniquelD本项是代表证书持有者身份的唯一编码，在业务系统中，本标识可与系统内用户名一一关联，从而6LDT 3032009实现证书用户与系统用户的绑定。实体唯一标识可以用来处理主体名称的重用问题，例如一个用户申请多张证书，业务系统可通过解析实体唯一标识来区分用户。“实体唯一标识”的

25、编码规则为：用户编号(变长)+证书类型代码(1位)+证件类型代码(2位)十证件号码(变长)“实体唯一标识”的数据总长度不限制，可根据证件号码长度灵活调整。其中，用户编号是同一用户所持证书的顺序号，一个证件号码允许申请多张证书，例如一个用户申请2张证书，则其用户编号为1和2。证件号码是指用户申请证书时使用的证件号码。证书类型代码和证件类型代码如表2所示。表2证书类型与证件类型代码对应表证书类型 证书类型代码 证件名称 证件类型代码机构证书 l 组织机构代码 ZZ工作人员证书 2 身份证 SF设备证书 3 MAC地址 SB单位证书 4 组织机构代码 ZZ个人证书 5 身份证 SF63签名算法域签名

26、算法域(SignatureAlgorithm)包含数字证书的密码算法，如散列函数SHA l、签名算法RSA，详细内容参见附录【：。在人力资源和社会保障系统应用时，应使用国家密码管理主管部门审核批准的相关算法。64签名值域签名值域(SignatureValue)包含对基本证书域进行数字签名的结果。经ASN1 DER编码的基本证书域作为数字签名算法的输入，签名的结果按照ASN1编码成BIT STRING类型并保存在签名值域。65命名规范数字证书中的主体DN的编码规范是：DNC(Country)属性的编码使用Printablest“ng，Email属性的编码使用1A5String其他属性的编码一律使

27、用UTF8String。数字证书中的主体DN命名规范为：a)C表示国家。b)S，表示省、自治区、直辖市。c) I，表示地市。d)O，表示单位或机构名称。e)OU，表示部门名称。f) CN，表示单位或机构别名。主体命名示例参见附录A。7数宇证书格式模板71根CA证书格式模板人力资源和社会保障部采用统一的根证书格式，各级部门直接使用部里的根证书。LDT 3032009根CA证书模板如表3所示。表3根CA证书模板证书域名 含义 说明 字段内容(示例)Version 版本号 证书版本号 V3如：01 00 00 00 00 00 00 00 00 00 00 00 00Serial Number 序列

28、号 由颁发机构指定00 01Signature 签名算法 符合国家标准 符合国家标准C 国家 CNS 省份 省Issuer 颁发者 L 城市 市() 单位或机构名称 人力资源和社会保障部CN 单位或机构别名 人力资源和社会保障部Validity 有效期限 最长30年 30年有效期起始nolBefore 签发日期 2008年8月7日1 3：01：52日期有效期终止notAfter 起始日期+有效期 2038年8月7日13：0i：52日期C 国家 CNS 省份 x省suhject 主体 L 城市 市() 单位或机构名称 人力资源和社会保障部CN 单位或机构别名 人力资源和社会保障部subject

29、Public Key公钥 包括加密算法及公钥值 采用RSA算法密钥长度不少于2048InfoExtensions 扩展域Certificate Signing()ff-line CRL SigningKeyUsage 密钥用法 非关键扩展项CRISigning(06)主体密钥标SubjeetKeyldentifier 非关键扩展项 根证书公钥的哈希值识符CA=，Il-tieBasicConst rains 基本限制 非关键扩展项pathI。enConstraint一1对证书基本信息的数字签名SignatureAlgorithm 签名算法 的签名算法颁发机构对证书基本信息的Issuers Sig

30、nature 签名值 数字签名值数字签名72二级CA证书格式模板二级CA证书模板如表4所示。8表4二级CA证书模板LDT 3032009证书域名 含义 说明 字段内容(示例)Version 版本号 证书版本号 V3Serial Number 序列号 由颁发机掏指定 10 00 OO 00 00 00 00 02 00 03Signature 签名算法 符合国家标准 shalRSAC 国家 CNS 省份 省Issuer 颁发者 1 城市 市() 单位或机构名称 人力资源和社会保障部【1N 单位或机构别名 人力资源和社会保障部最长20年，根据应用需求定Validity 有效期限 义但必须在根证书有

31、效期范 20年围内有效期起始n()tBefore 签发日期 2008年9月1 7 El 16：1 9：35El期有效期终止notAfter 起始日期T有效期 2028年9月1 7日16：1 9：35日期C 国家 CNS 省份 省Subject 主体 I。 城市 市() 单位或机构名称 人力资源和社会保障厅(局)信息中心CN 单位或机构别名 人力资源和社会保障厅(局)信息中心subject Public Key公钥 包括加密算法及公钥值 采用RSA算法。密钥长度不少于2 048Inf0ExteflsioH$ 扩展域Certificate SigningOff line CRI。SigningKe

32、yUsage 密钥用法 菲关键扩展项CRI，Signing(06)主体密钥标suMectKeyIdenllfler 非关键扩展项 二级CA证书公钥的哈希值识符颁发机构密Aulhor“yKeyIdentlfler 非关键扩展项 根证书公钥的哈希值钥标识符CATrueBasicConst ranls 基本限制 非戈键扩展项pathIenConst raint=0对证书基本信息的数字签名SignatureAIgorithm 签名算法 的签名算法颁发机构对证书基本信息的IssuPrs Signature 签名值 数字签名值数字签名9LDT 303200973机构证书格式模板机构证书模板如表5所示。表5

33、机构证书模板证书域名 含义 说明 字段内容(示例)version 版本号 证书版本号 V3Serial Number 序列号 按照82 12 按照序列号规范定义Signature 签名算法 包括加密算法及公钥值 采用RSA算法，密钥长度不少于1 024C 国家 CNS 省份 省Issuer 颁发者 L 城市 市O 单位或机构名称 x人力资源和社会保障厅(局)信息中心CN 单位或机构别名 人力资源和社会保障厅(局)信息中心最长5年，根据应用需求定Validity 有效期限 义，但必须在二级CA证书有 5往效期范围内有效期起始notBefore 签发日期 2009年9月】7日16：19：35日期有

34、效期终止nolAfter 起始日期+有效期限 201 4年9月1 7日1 6：1 9：35日期C 国家 CNS 省份 省L 城市 市Subjeet 主体 0 单位或机构名称oU 部门名称CN 单位或机构别名Email 电子邮件 user263colnSubject Public Key 公钥 包括加密算法及公钥值 采用RSA算法，密钥长度不少于1024InfoExtensions 扩展域Digital Signature，keyEnciphermentKeyUsage 密钥用法 关键扩展项 根据证书用途，分签名或加密证书实体唯一 OID为：121562316；SubjectUniquelD 关

35、键扩展项标识 值如：21ZZl23456789主体密钥标SubjectKeyldemifier 关键扩展项 证书中公钥的哈希值识符颁发机构密AuthorityKeyldentifier 关键扩展项 颁发机构公钥的哈希值钥标识符表5机构证书模板(续)LDT 3032009证书域名 含义 说明 字段内容f示例)1CRL Distribution PointDistribution Point Name：Full Name：DirecTory Address：CRI，DistributiOll I)NCRL分发点 非关键扩展项Points 2CRL Distribution PointDistrib

36、ulIon Point Name：Full Nallle：URLhttp：ldap xxca govcnerlxx crl对证书基本信息的数字签名SignatureAlgorithm 签名算法 的签名算法颁发机构对证书基本信息的Issuers Signature 签名值 数字签名值数字签名74工作人员证书格式模板工作人员证书模板如表6所示。表6工作人员证书模板证书域名 含义 说明 字段内容(示例)Version 版本号 证书版本号 V3SeriaI Number 序列号 由颁发机构指定 按照序列号规范定义Signature 签名算法 包括加密算法及公钥值 采用RSA算法，密钥长度不少于1 02

37、4C 国家 CNS 省份 省Issuer 颁发者 I， 城市 市() 单位或机构名称 人力资源和社会保障厅(局)信息中心CN 用户名 人力资源和社会保障厅(局)信息中心最长5年，根据应用需求定Validity 有效期限 义，但必须在二级CA证书有 5篮效期范围内有效期起始notBefore 签发日期 2009年9月1 7日16：19：35日期有效期终止notAfter 起始日期+有效期限 201 4年9月1 7日16：19：35日期LDT 3032009表6工作人员证书模板(续)证书域名 含义 说明 字段内容(示例)C 国家 CNS 省份 省L 城市 市sixbject 主体 O 单位或机构名

38、称 人力资源和社会保障厅(局)()U 部门名称 人力资源和社会保障厅(局)信息中心CN 用户名 张三Email 电子邮件 (可选字段)subjeet Public Key公钥 包括加密算法及公钥值 采用RSA算法密钥长度大于或等于1 024Inf0Extensions 扩展域Digital Signatu rekeyEncipherment；KeyUsage 密钥用法 关键扩展项 根据证书用途分签名或加密证招实体唯 OID：12 156 2316subjectUniquelD 关键扩展项标识 值如：12SF3422221 97800053618Address 地址 非荧键扩展项 用户地址主体密

39、钥标SubjectKeyldentifier 关键扩展项 用户证书公钥的哈希值识符颁发机构密AuthorlyKeyIdenllfler 关键扩展项 颁发机构证书公钥的哈希值钥标识符1CRII)ist ribution PointDis*ribution Point Name：FulI NameDirectory Address：DNCRL【)istnbullonPoInts CRI。分发点 非关键扩展项2CRL Dist ribution PointDis T ribuIion Point Name：Full Name：URI一httpldap xxcagov cncrlXXcrl对证书基本信

40、息的数字签名SignatureAlgorithm 签名算法 的签名算法颁发机构对证书基本信息的Issuers Signature 签名值 数字签名值数字签名75设备证书格式模板设备证书模板如表7所示。12表7设备证书模板LDT 3032009证书域名 含义 说明 字段内容(示例)version 版本号 证书版本号 V3Serial Number 序列号 由颁发机构指定 按照序列号规范定义Signature 签名算法 包括加密算法及公钥值 采用RSA算法密钥长度不少于1 024C 国家 CNS 省份 x z毡Issuer 颁发者 L 城市 市() 单位或机构名称 人力资源和社会保障厅(局)信息中

41、心CN 单位或机构别名 人力资源和社会保障厅(局)信息中心最长10年根据应用需求定Validity 有效期限 义但必须在二级CA证书有 10年效期范围内有敬期起始notBefore 签发El期 2009年9月l 7日1 6：1 9：35El期有效期终止nolAter 起始日期+有效期 2019年9月17日16：1 9：35日期C 国家 CNS 省份 省I 城市 x市subject 主体() 单位或机构名称 x人力资源和社会保障厅(局)oU 部门名称 人力资源和社会保障厅(局)信息中心CN 单位或机构别名 可为IP地址、设备名称、域名等subject Public Key 公钥 包括加密算法及公

42、钥值 采用RSA算法密钥长度大于或等于1024InfoExtensions 扩展域Digilal SignaturekeyEneiphermem；根据证KeyUsage 密钥用法 关键扩展项书用途，分签名或加密证书实体唯 关键扩展项； OID：f 2 1562316；Sub】ectUniquelD 标识一个设备的唯一编码标汉 值如：13SBl921 68 2 23的值人力资源和社会保障厅(局)信息Address 用户地址 非关键扩展项中心主体密钥标su bjectKeyldenllfler 关键扩展项 本证书公钥的哈希值识符LDT 3032009表7设备证书模板(续)证书域名 含义 说明 字段

43、内容(示例)颁发机构密Aulllo小yKeyIdentlfler 关键扩展项 颁发机构公钥的哈希值钥标识符IcRI，Distribution PointI)istribution Point Name：Full Nalne：Directory Address：1)NCRIDistributionPoints CRL分发点 非关键扩展项2CRIDistribution PointDist ributIon Point Name：Full NarrLe：URLhup：ldapxxca gov encrlxx crl对证书基本信息的数字签名SignatureAlgorithm 签名算法 的签名算法颁

44、发机构对证书基本信息的Issuers Signature 签名值 数字签名值数字签名76单位证书格式模板单位证书模板如表8所示。表8单位证书模板证书域名 含义 说明 字段内容(示例)Version 版本号 证书|叵本号 V3Serial Number 序列号 由颁发机构指定 按序列号规范定义Signature 签名算法 包括加密算法及公钥值 采用RSA算法密钥长度不少于1 024C 国家 CNS 省份 省Issuer 颁发者 I 城市 市O 单位或机构名称 人力资源和社会保障厅(局)信息中心CN 单位或机构别名 人力资源和社会保障厅(局)信息中心最长5年，根据应用需求定Validity 有效期

45、限 义，但必须在二级CA证书有 5拄效期范围内有效期起始notBefore 签发日期 2009年9月17日16：1 9：35日期4表8单位证书模板(续)LDT 3032009证书域名 含义 说明 字段内容(示例)有效期终止riOtAher 起始日期+有效期限 2014年9月17日16：19：35日期C 国家 CNS 省份 省I。 城市 市Subject 主体 f) 单位或机构名称()U 部门名称CN 单位或机构别名Email 电子邮件subject Public Key 公钥 包括加密算法及公钥值 采用RSA算法密钥长度不少于l024InfoExtensions 扩展域Digital Sign

46、aturekeyEncipherment；KeyUsage 密钥用法 关键扩展项 根据证书用途，分签名或加密证书实体唯一 关键扩展项，标识一个单位的 OID：121562316SubjectUniquelD 标识 唯一编码的值 值如：24ZZl23456789Address 单位地址 非关键扩展项主体密钥标su bje“Keyldentlfler 关键扩展项 本证书公钥的哈希值识符颁发机构密AuthoyKeyIdenIlfler 关键扩程项 颁发机构公钥的哈希值钥标识符CRI。Dist ributionCRL分发点 非关键扩展项 CRI。分发点Poims1CRL Distribution Po

47、intDistribution Point Name：Full Name：Directory Address：DNeritieal 扩展项类别2CRL Dislribution PointDistribulion Poim Name：Full Name：URI。一htlp：ldap xxcagovcncrlxxcrl对证书基本信息的数字签名SignatureAIgorithm 签名算法 的签名算法颁发机构对证书基本信息的Issuers Signature 签名值 数字签名值数字签名LDT 303200977个人证书格式模板个人证书模板如表9所示。表9个人证书模板证书域名 含义 说明 字段内容(

48、示例)Version 版本号 证书版本号 V3Serial Number 序列号 由颁发机构指定 按照序列号规范定义Signature 签名算法 包括加密算法及公钥值 采用RSA算法，密钥长度不少于1 024C 国家 CNS 省份 x省Issuer 颁发者 L 城市 市0 单位或机构名称 人力资源和社会保障厅(局)信息中心CN 用户名 人力资源和社会保障厅(局)信息中心最长5年根据应用需求定义，Validity 有效期限 但必须在二级CA证书有效期 5住范围内有效期起始DotBefore 签发日期 2009年j月17日16：1 9：35日期有效期终止notAfter 起始日期+有效期限 2014年?月1 7口16：19：35日期C 国家 CNS 省