1、JCS 35. 100. 70 L 79 中华人民共和国国家标准GB/T 20518-2006 信息安全技术公钥基础设施数字证书格式Information security techniques-Public key infrastructure Digital certificate format 2006-08”30发布2007”。2帽01实施中华人民共和国国家质量监督检验检菇总局嘻世中国国家标准化管理委员会也叩GB/T 20518-2006 目次前言雪. I 1 范囹2 规范做引用文件.3 术语和发义.1 4 缩略t吾,25 数字议书.25. 1 概述“.2 5. 2 数字议书格式圄,川
2、,36 算法技术的支持,.19附录A(资料做附录)证书的编构.20附放日(资料做附录)说书的纷构实例.22附法c(资料性附法)数字证书编码举例.24 附录。(资料性附录)算法举例.29GB/T 20518-2006 前窗本标准重要根据IE丁F(互联网工稳是务绷lRFC 245 9文件制定,并综合我丽数字证书应用的特点进行相应的扩充和调整。标准凡涉及密码算法相关内容,按自哥家有关法规实施。本标准的附条A、附筑队附袋C、附通ED为资料性附录。本标准由中华人民共和国信息产业部提出。本标准由余国信息安余标准化技术委员会(TC260)归口。本标准起草单位s商大正元信息技术股份有限公司、中自国电子技术标准
3、化研究所、联想控股有限公筒、阙瑞数码安余系统有限公司、北京嘉学网络技术研究所。本标准主要起草人2何立泼、姿三丘琳、农义者告、张?在欣。1 m;阁信息安全技术公钥葛础设施数字证书格式GB/T 20518-2006 本标准规定了中图数字证书的基本结构,并对数字证书巾的各数锻琐内容进行了描述。本标准规定了些标准的证书扩展城,并M每个扩展域的皇宫构迸衍了Ji.义特别是增加了一些专门面向国内应用的扩充顷,本标准网时还列辛苦了战证书中所支撑的算法e本标准运用于网内数字证书认被机构、数字证书认i正系统的开发商以及基于数字证书的安全庇用开发商。2 规范性引用文件下列文件中的条款通过本标准的引用mi成为本你准的
4、条款。凡是注日期的引用;文件,其随后所有的修改单(不包指勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究总部可使用这些文件的最新版本回凡是不注日期的引用文件,其最新版本适用于本标准。GB丁16262.1-2006 抽象谱法记法一ASN.1) 第1部分:基本记法规范(JSO/JEC 8824-1, 2002,!DT) GB/T 16262. 2一2006抽象谱法记法一ASN.1 l 第2部分.事体信息规范(!SO/JEC8824-2, 2002, IDT) GB/T 16262. 3 2006 抽象语法记法一(ASN.1) 第3部分z约束规范OSO/IEC88243,
5、 2002, IDTl GB/T 16262. 4 2006 抽象语法记法(ASN.1) 第4部分tASN. l规范的参数化(JSO/IEC88244 :2002, !DTJ GB丁16264.8-2005信息技术开放系统泼泼目录第8部分s公钥和腐做证书樵架OSO/IEC 9594 8: 2001, ID丁)GB/T 16284. 4 1996信息技术文本通信简向信娘的义本交换系统第4部分z抽象服务定义和l规程(idtISO/IEC 10021-4:1990) GB/T 17969. 12000信息技术开放系统互连OSI登记机构的操作规程第1部分:一般规程(eqvISO/IEC 9834 1:
6、 !993) ISO/IEC 9594 2, 2001 信息技术开放系统互连目录第2部分s模型RFC 2313 PKCS # 1: RSA加密版本1.5 RFC 822 Internet 文本邮件的标准消息格式RFC 1034 域名2概念利设备RFC 1630 互联网中的通用资派标识(URLlRFC 1738 统资源立这位苦苦 =CAV ,SN ,AI,CA, UCA,A, UA,Ap, T 这望V为证书版本;SN为证书)¥如j辛苦;AI为用来签署证书的算法标识符;UCA为CA的OJ选的唯一做标识、符;UA为用户A的可选的唯一性标识符;Ap为用户A的公钥;TA表示证书的有效期,囱两个日期组成,
7、两省之间的时间段即是证书的有效期。证书有效期是一个时间间,在这个时间区间里,CA必须保证维护该证书的状态信息,也就是发布有关撤销的信息数据。由于假定TA在不小子24h 的周期内变化,要要求系统以格林威治时间(CoordinatedUniversal Time)为猿猴时间。证书上的簇名可被任何知道CA公钥CAp的用户用来验证证书的有效性。5.2 擞字说书格式本标准采用G日IT16262系列标准的特定编码规则i.从用于证实说书缓名的公钥挣l:!l就用产生瞧一值的方法导出。公开哥哥钥的密钥标w,、符KeyIdentifier可采用下述阀种通用的方法生成za) keyldentifier由日ITSTR
8、ING subjectPublicKey假的160七itSHA-I散列值组成(去掉标簇、长度和若干不使用的字节);b) keyldentifier fll 0100加上底眼的BITSTRING subjectPublicKey值的SHA-I散列值中最低位的60bit级成。此密钥可以通过keyIdentifier字段中的密钥标识符来标识,也可以通过此密钥的证书的串串识(给出authorityCertlssur字段中的证书颁发者以及authorityCertSeria!Number字段中的证书序列主?)来标识,或者可以通过岱钥你识符和此密钥的证书你识来你识。如果使用两种标识形式,那么,证书或CRL
9、的颁发看成保证它们是一毅的。对于颁发机构的包含扩展的证书或CRL的所有密钥标识符而言,每个密钥标识符应该是唯一的。不要耳求支持此扩展的实现能够处现authorityCertlssuer字段中的所有名字形式。议书认诋机构指定或者自动产生说书序列号,这样颁发者和证书序列号相结合就唯一地标识了一份证书。除自签证书之外,所有的证书必须包含本扩展,而且要包含keyidentifier项。如果证书的颁发翁的证书有SubjectKeyIdentifier扩展,则本扩脱中keyIdentifier项必须与颁发窑的证书的SubjectKeyldentifier扩展的彼一致,如果诋书的颁发者的证书没有日ubjec
10、tKeyldentifi盯扩展,则可以使用上边介绍的话可种方法之一米产生。统构中的keyIdentifier, authorityCertSeriall可umb盯建议为必选,但本扩展必须是非关键的eGB/T 20518-2006 5.2.3.2.2 主体密钥栋U!符subjectKeyldeutlfier 本项提供一种识别包含有一个特定公钥的证书的方法。此扩且量标识了被认证的公开哥哥钥。它能够区分同一类体使用的不同密钥(例如,当密钥更新发生时)。此项n.义如下id“ ce-subjectKeyldentifier OBJECT IDENTIFIER:= id-ce 14) SubjectKey
11、ldentifier, , =Key Identifier 对于使用将钥标识符的交体的各个密钥标识符而言,每一个密钥标识符均应是唯一的此扩展项总是非关键的。所有的CA证书必须包括本扩展;而且CA簇发证书时必须把CA证书中本扩展的健赋给终端实体证书AuthorityKey Identifier扩展中的Keyldentifi盯项。CA证书的主体密钥标识符应从公钥巾或者生成唯一僚的方法中导出。终端实体证书的主体衔钥标识符Jl从公钥中导出。有闲种通用的方法从公钥中成密钥标识符(见5.2. 3. 2. 1)。5.2.3.2.3 密钥用法key Usage 项说明已认证的公开密钥用于何种用途,该项n.义如
12、下zid-le-keyUsage OBJECT IDENTIFIER : :怠工id-ce 15) KeyUsage:, =BIT STRING di日italSi日nature(0), nonRepudiation (!). keyEncipherment (2). dataEncipherment (3) key Agreement (4), keyCertSign (5), cRLSign (6), m抽e仙lyt deciph盯Only(8) Key Usage类骂目中的F割法如F: a) digitalSignature:验证下列b)、f)或自)所标识的用途之外的数字签名;b) no
13、nRepudiation,验证用来提供抗抵赖服务的数字签名,这种服务防止签名实体不实地拒绝某种行为(不包括如f)或自)中的证书liltCRL签名) cl keyEncipherment:加德密钥或其他安全信息,例如ffl子哥哥钥传输;d) dataEncipherment,加密用户数撞击,但不包括上面c)中的密钥或其他安全信息;e) keyAgreement,用作公开密钥协商密钥$f) keyCertSign:验证证书的CA签名g自)CRLSign:验证CRL的CA簇名$h) 旦nciph盯Only,E当本位与己设置量的keyAgreement位一起使用时,公开密钥协商哥哥钥仪用于加密数据(本
14、位与t己设置的其他密钥用法位一起使用的含义米定义hi) DecipherOnly: 本位与已设置的keyAgreement位一起使用时,公开密钥协商密钥仅用于解密数据(本位与己设置的其他密锁用法位一起使用的含义未定义入keyC时tSign只用于CA证书。如果KeyUsage被量更为keyCertSign和2基本限制扩展存在于同一证书之中,那么,此扩展的CA成分的值lllZ被毁为TRUE,CA还可使用keyUsag中定义的其他密钥用法位,例如,提供鉴别和在线管理事务完整性的digitalSignature,者缺少keyAgreement位,则本规范不定义encipherOnly位的含义。着确定e
15、ncipherOnly位,且key Agreement位也被确定时,才5体公钥可只用于加窃数据,同时执行密钥协议。若未设毁keyAgreement f宜,则不定义decipherOnly俊的含义。辛苦确定出口pherOnlyUL,且key-8 GB/T 205182006 Agreement 位也被确定时,二E体公钥可只用于脱密数据,同时执行辛苦钥协议。所有的CA证书必须包括本扩腾,附且必须包俞keyertSign这一用法。此扩殷可以2主义为关键的或非炎键的,白证书签发者选挥。如柴此扩展标记为关键的,那么该说书成只用于相应密钥m法tr.l景为“1”的用途。如果此扩展标记为非关键的,那么它指明此
16、密钥的预期的网途或其他多种用途,并可用于查找具有多密钥说书的实体的原确哥哥钥iiE书。它是一个济询琐,并不意指此衔钥的用法限于指定的用途。量更为“。”的位指明此密钥不是预期的这一用您。直口巢所有位均为“。”,1.:指明此密钥预期用于所列用途之外的某种用途。在Eli挂附中,使用该扩越是明对面E斗H位嫂的进行院别.设置草了c)、d)、h)、i)位中的一项时,表示该证书为加密证书g当设置了a)、bl位中的一项时,农示该证书为签名证书e5.2.3.2.4扩展螃钥用途阳!KeyUsage 本项指明已验证的公开密钥可以刷子一种用途或多种用途,它们可作为对密钥用法扩展项中指明的基本用途的补充或替代。此项定义
17、如下gid-ce-extKeyUsage OBJECT IDENTIFIER , , id-ce 37 ExtKeyUsageSyntax , , =SEQUENCE SIZE (1川MAX)OF KeyPurposeld Key Purpose Id, :口OBJECTIDENTIFIER 密钥的用途可由有此需要的任何组织定义。ffl来标识、密钥用途的客体标识符$1按照GB/T 17969. 1 2000来分配。囱证书签发者确定此扩展是关键的或非关键的,如泉此扩展标记为关键的,那么,此证书成只用于所指示的用途之。如果此扩展标记为非关键的,那么,它指明此密钥的预期用途或其他用途,并可用于资找$
18、密钥证书的实体的正确领钥证书。它是个游询项,并不表示认证机掬将此密钥的用法限于所指示的用途。然而,进行戒用的证书仍然可以要求指明特定的用途,以便诋书为严成用接受。如果证书包含关键的密钥用途项和关键的扩展密钥琐,那么,两个项成独立地处理,并且证书成只用于与两个项一致的用途。如果没有与两个项一致的用途,那么,此诋书不能用于任何用途。本标准.iE义下列密钥用途zid-kp OBJECT IDENTIFIER , , = id-pkix 3 id-kp-serverAuth OBJECT IDENTIFIER , , = id句kp1 TLS Web server鉴别- Key usage 可以设置更
19、为digita!Signature,keyEncipherment或keyAgreement id-kp-clientAuth OBJECT IDENTIFIER , , id卡p2 TLS Web server且在别- Key usage jjf以设置为digita!Signature利或keyAgreement 叫“kp-codeSigningOBJECT IDENTIFIER , , = id-I OBJECT IDENTIFIER : :目( iso(l) identified organization(3) dad(日)internet(l) security(S) mecbanis
20、ms(5) pkix(7) id-pe OBJECT IDENTIFIER : :口id叩pkix1 每个项是个IA5String值的序列,每个值分别代表一个URI.URI 直接确定俗息的位豫和格式以及获得信息的方式。5. 2. 3. 3. 1机构借息访问刷tborityIofoAccess 4立项t描述了包含该扩展的证书的签发者如何访问CA的信息以及服务。包括在线验证服务和CA策略数据。该扩展可包括在用户证书和CA证书中,且必须为非关键的,idpe-authoritylnfoAccess OBJECT IDENTIFIER : : = id“ pe 1 AuthoritylnfoAccess
21、Syntax : :需SEQUENCE SIZE CL. MAX) OF AccessDescription AccessDescription , , :也SEQUENCE accessM时hodaccessL。cal!onOBJECT IDENTIFIER, Genera!Name id ad OBJECr IDEN丁IFIER, : = id pkix 48 id ad-calssuers OBJECT IDENTIFIER , : = id-ad 2 id-ad咀espOBJECT IDENTIFIER : : = id-ad 1 序列AuthoritylnforAccessSynta
22、x巾的每个人口描述有关颁发含有该扩展的证书的CA附加信息格式和仿嫂”信息的类裂和格式由accessMethod字段说明;信息的佼Jl朗accessLocation字段说明。18 GB/T 20518 2006 检索机制可以由accessMethod表明或由accessLocation说明本标准定义用于accessMethod的一个川口。附加的傍,、列出了发行证书的CA高于发行该扩展的证书CA时,使用id“ad-calssuersOID. id-ad-calssuers以accessInfo Type出现时,accessLocation字段捕述丁获得访问协议的形式。AccessLoca ti o
23、n ¥段定义为GeneralName,它可有几种形式:当然息l1iT以通过http.ftp成ldap获得时,accessLocation必须是一个uniformResourceldentifier类圾。2封信息,可以通过目录访问协议获得时,accessLocation必须是叫个directoryName类型。当信息1J以通过电子邮件获得时,accessLocation必须是一个rfc822Name类嫂。5. 2. 3, 3. 2 :!:体倍息访问SubjectlnformationAccess 本项描述了证衍:t体如何访问信息和服务。如果主体经CA,则包括证书验证服务和CA策略数据,如果或体是
24、用户,则描述了银供的服务的类级以及如何访问官们,在这种情况下,扩展域项中的内容在所立持的服务协议的说明中应义。这个扩展琐必须定义为非关键的。id pe-SubjectlnformationAccess OBJECT IDENTIFIER: I = id-pe 11 SubjectlnfoAccessSyntax , , = SEQUENCE SIZE Cl . MAX) OF AccessDescription AccessDescription , ,皿SEQUENCE accessMethod OBJECT IDENTIFIER, accessLocat10n GeneralName 另外
25、附录A:fl规定了我因预申请的规抱你识符(01凹,附条B中列举出你准的数字证书结构,并制定了数据冽的关键程度,附录C中列举了中阙目前通用的数字证书结构供参考,附录。中提供了证书DER编码供参等。6 3事法技术的支持阴求国际上的数字证书可支扮多种密码算法,如散列函数SHA-1、签名算法RSA理事,参见附边走E。在国内成用时,应使用阁家密码镑王盟主管部门审核批液的相关算法。19 GB/T 20518 2006 A. 1 证书结构(J1表A.1)基本证书蝙(TBSCenilicate)理事41i事法城(signatureAlgodthm)簇41愤填(signa阳reValue) 附缓A(资料性附.)
26、证书的结构亵A.1证书结构A.2 Ii:$:证书域翁构(J1表A.2) 褒A.2 iii本证书铺翁构41 称捕述说明versmn 版本号serial Number 序列号signature 签名算法issuer 颁发着validity 有效日期suhiect 二E体subjectPublicKeylnfo 主体公锐信息issuerUniquelD 颁发密唯一串串识符本标准中不使用subj时tUniquelD主体唯一标识符本书草准中不使用extensions 扩展明按本标准的扩展项进行忘义,参考第B.3意A.3 标准的扩展域翁拘(见表A.3) 襄A.3标准的扩展域编构41 称捕述关键度autho
27、rityKeyldentifier 机构攒钥标识符非关键s u bjectK ey Identifier :体密钥标识符非关键keyUsage 密钥用法双证书标记为关键,单证书标记为非关键extKeyUsage 扩展密钥用途如果密钥的阴法只限于所指示的朋途时标记为关键,杏则栋it!为非关键privateKeyUsagePeriod 私有密钥使用期非关键certif1catePohc1es 证书策略非关键policyM叩pings策略映射如果证书用户肯需要正确解释发布的CA设定的规则时栋识为关键,否则串串识为非关键20 GB/T 20518-2006 袋A.3(续)名称描述关键度subjectA
28、ltName 主体替换名称非关键issuerAltName 颁发者替换名称非关键subjectDirectoryAttributes 主体目最鹏t生非关键basicConstraints 基本限制CA证书你记为关镑,终端实体证书串串iC为非羡键如果证书用户统应梭验所处理的认证路径nameConstraints ,g称限制与此扩展中的值是否一款时标记为关键,否则标记为非关键policyConstraints 策略限制如果证书用户常接lE确地解稀认诋机构CA设您的规则l时你识为关键,沓则你识为非关键CRLDistributionPoints CRL分发点非关键inhibitAnyPolicy 限制
29、所有策略如巢证书用户锵婆正确地解稀认证机构CA设定的规则时标识为关键,否则标识为非关键freshestCRI. 最新的CRL非关键id-pkix 私有的Internet扩展非关镰authority Info Access 机构信息访问乖关辙Subject!nformationAccess 主体信息访问非关键ldentifyCardNumber 个人身份证号码非3是键InsuranceNumber 个人社会保险号斗在关键!CRegistrationNumber 企业工商注册号非关键OrgantzationCcde 企业组织机构代码非关键TaxationNumber 企业税号非关键21 GB/T
30、205182006 附最B(资料性附亵)证书的错构flJ底1用户相E书的结构实例(见我队。袋B.1用户证书结构版本号(version)训E书序列号(serialNumber)4在名算法串串识符(signa tu re) 颁发者名称(issuer)一一一一一一一一一一一一一有效期起始有效期(vahd1ty) 终止有效期因家(countryName) 省份(stateOrProvmceName) 主体名称地市ClocalityName)(subject) 组织名称(organiationName) 机构41称(organizationalU nitName) 用户名称(CommanName) 主体
31、公钥f盲息(subjectPublicKey Jnf,颁发机掬的哥哥钥标识(阳thorityK盯Identifier)主体密钥标识符(subjectKeyldentifier) CRL分发点(CRLDis tri butionPoints) B.2 服务锦证书的编掬例(见褒B.2) B.2 服务哥哥证书编构版本号(version)诋书序列号(serialNumber)3在41算法标识符(signatu阿)颁发者4l称(issuer)有效期起始有效期(validity) 终止有效期22 GB/T 205182006 褒B.2(续)凶家(countryName) 省份(stateOrProvinc
32、eName) 主体名称蝴市ClocalityName)(subjet) 缀伊、名称(organizationNamel机构名称(organizationa!UnitName)服务糟也称(CommanName)5E体公钥信息(sujectPublkKeylnfo)颁发机构的哥哥钥标识(authorityKe.yldentif ier) 5E体精钥标识符(su hjectKeyldentilier) CRL分发点(CRLDistributionPoints) 23 GB/T 20518一200624 附染C(资料性附亵戴字证书编码举例以下内容将以x.509版本3证书为例,证书包含下列俄息sa) t
33、he serial number is 6565422187515605500000000000000000000; b) the certificate is signed with RSA and the shal hash algorithm; c) the issuers distinguished name is CN =Certificate Center; C=CN 1 dl and the subjects distinguished name is CN用户名字;OU部门名称:0皿组织名称;S=省份名称;C=CN;e) the certificate was issued o
34、n August 7, 2003 and expired on August 6 ,2004; fl the certificate contains a 1024 bit RSA public key; 自)the certificate is an end entity certificate (not a CA certificate); h) the certificate includes an alternative subject name , is URL; i) the certificate include an authority key identifier , sub
35、ject Key Identifier and basic constraints extens10ns; j) the certificate includes a critical key usage extension specifying the public 1s intended for gen eration of digital signatures; k) the certificate include a extend key usage extensions; ll the certificate include a er! d1stribut10npoints exte
36、nsions. 0000 30 82 04 16 1046: SEQUENCE 0004 30 82 02 FE 766: , SEQUENCE 0008 aO 03 3 , . . 0 0010 02 01 0013 02 10 0031 30 OD 0033 06 09 0044 05 00 0046 30 2A 0048 31 0日0050 30 09 0052 06 03 0057 13 02 0061 31 l日0063 30 19 1 , , , INTEGER 2 : 02 16, , , INTEGER 6565422187515605500000000000000000000
37、 ,04 FO 74 4E 3D 72 65 06 C4 92 77 OA SE 71 Fl SB 13: . SEQUENCE g, . . om L 2. 840. 113549. 1. i. s shal withRSAEncryption ,2a 86 48 86 f7 Od 01 01 05 O, , , NULL 42: . SEQUENCE 11, . SET 9, . SEQUENCE 3, . , , OID 2. 5. 4. 6, C country Name . 55 04 06 2: . PrintableString CN , 43 4E 27: . , . SET
38、25, , , , . SEQUENCE 0065 06 03 0070 13 12 0090 30 IE 0092 17 OD 01071700 。122307A0124 31 lF 0126 30 lD 0128 06 09 。13916 10 。15731 OB 0159 30 09 0161 06 03 0166 13 02 0170 31 11 0172300F 01740603 。1791E08。18931 11 0191 30 OF 0193 06 03 0198 lE 08 0208 31 11 0210 30 OF 0212 06 03 02171E08 0227 31 11
39、 0229 30 OF 0231 06 03 GB/T 205182006 3: . OID2.5.4.3,CN : 55 04 03 18: . PrintableString Certificate Center : 43 65 72 74 69 66 69 63 61 74 65 20 43 65 6E 74 65 72 30: . SEQUENCE 13: . . . UTCTime 0308070638112 : 30 33 30 38 30 37 30 36 33 38 31 31 5A 13: . UTCTime 040806063811Z : 30 34 30 38 30 36
40、 30 36 31 38 31 31 5A 122: SEQUENCE 31, . SET 29: . SEQUENCE 9: . OID 1. 2. 840. 113549. I. 9. 1 emailAddress : 2A 86 48 86 F7 OD 01 09 01 16, . IA5Strin日. en : 6E 61 6D 65 40 6D 61 69 6C 2E 63 6F 60 2E 63 6E 11, . SET 9:. SEQUENCE 3 : . OID 2. 5. 4. 6: C : 55 04 06 2: . PrintableString CN , 43 4E 1
41、7, . SET 15: . SEQUENCE 3 . OID 2. 5. 4. 8:日: 55 04 08 8: . . . BMPStrin日省份名称: 77 01 4日FD54 OD 79 FO 17: . SET 15: . SEQUENCE 3:. OID 2. 5. 4. 10。,: 55 04 OA 8: . BMPStri吨组织名称: 7E C4 7E C7 54 OD 79 FO 17:. SET 15: . SEQUENCE 3: . OID 2. 5. 4. 11。u: 55 04 OB 8, . . . . . BMPString部门名称, 90 E8 95 E8 54
42、 OD 79 FO 17: . SET 15: . . . SEQUENCE 3, . OID 2. 5. 4. 3 CN 25 GB/T 205182006 26 0236 lE 08 0246 30 81 9F 0249 30 OD 0251 06 09 0262 05 00 0264 03 81 80 :55 04 03 8: . BMPString用户名字:75 28 62 37 54 OD 5B 57 159: . SEQUENCE 13: . SEQUENCE 9:. OID 1. 2. 840. 113549. 1. 1. 1 rsaEncryption : 2A 86 48 8
43、6 F7 OD 01 01 01 o,. NULL 141 . BIT STRING : 00 (0 unused bits) 30 81 89 02 81 81 00 EO 57 4A 86日652 91 85 14 6日44DB 9E E9 58 2日9F20 86 BO Cl ES A9 3日CB75 08 9C 59 C2 A9 DD BA 42 6日F8 FC SF BC 2E 53 C6 B5 FD A3 EE 55 30 12 01 05 3B E2 76 CB 59 CE AE 2C 7A 30 4C 6B 83 58 39 OF 74 09 OD 61 OC 25 20 4F
44、 98 3A F2 C7 84 B2 73 OF 61 34 24 CF 29 B8 FA SC 7E SF 2A 42 B2 72 E6 BE CA DE LD ED 3B DO OE 25 C3 87 C7 36 EF OE 4C 84 FA A7 00 44 8F 71 FE 46 62 A3日0co 7D 02 03 01 00 01 0408 A3 82 01 6A 362, . 3 0412 30 82 01 66 358: . SEQUENCE 0416 30 lF 0418 06 03 0423 04 18 0449 30 lD 0451 06 03 0456 04 16 04
45、80 30 OB 0482 06 03 0487 04 04 0493 30 1日0495 06 03 0500 04 14 31: . . . SEQUENCE 3: . OID 2. 5. 29. 35 authorityKeyldentifier : 55 lD 23 24: . OCTEf、ST民ING: 30 16 80 14 E7 9F 11 9C EA 2口2054 05 34 24 D1 B2 53 23 67 DS A7 ES EB 29, . . . SEQUENCE 3: . OID 2. 5. 29. 14 subjectKeyldentifier : 55 ID OE
46、 22: . . . . . OCTET STRING , 04 14 SC FS D9 F7 EC 3E AZ日EBl 3日7E63 SE Cl BB 2A 15 A3 BF 72 11: . . . SEQUENC巴3: . . . OID 2. 5. 29. 15 key Usage : 55 lD OF 4: . . . . . OCTET STRING , 03 02 03 F8 27: .” SEQUENCE 3: . OID 2. 5. 29. 17 subjectAltName 55 lD 11 20, . OCTET STRING 0522 30 oc 0524 06 03 0529 04 05 0536 30 3B 0538 06 03 0543 04 34 0597 30 81 AE 0600 06 03 0605 04 81 A6 0774 30 OD 0776 06 09
