《信息安全技术 数字证书格式》.docxVIP

GB/TXXXX-XXXX

GB/TXXXX-XXXX

PAGE14

信息技术安全技术公钥基础设施

数字证书格式Informationtechnology-securitytechnology-p

信息技术安全技术公钥基础设施

数字证书格式

Informationtechnology-securitytechnology-publickeyinfrastructure

digitalcertificateformat

（征求意见稿）

2016-06

ICS35.040.

L80

XXXX-XX-XX实施

XXXX-XX-XX发布

中华人民共和国国家标准

GB/TXXXX—XXXX

GB/TXXXX—201X

PAGEIII

GB/TXXXX—201X

PAGE18

信息技术安全技术公钥基础设施

数字证书格式

范围

本标准规定了中国数字证书的基本结构，并对数字证书中的各数据项内容进行了描述。本标准规定了一些标准的证书扩展域，并对每个扩展域的结构进行了定义，特别是增加了一些专门面向国内应用的扩充项。建议在今后的应用中应按照本标准的规定使用这些扩充项。本标准还对证书中所应支持的签名算法、哈希函数、公开密钥算法进行了描述，另外在附录C中列举了中国目前通用的数字证书结构,附录zD中提供了证书DER编码供参考。

本标准适用于国内数字证书认证机构、数字证书认证系统的开发商以及基于数字证书的安全应用开发商来设计和处理各类数字证书。

本标准推荐的数字证书格式可以同RFC2459,ISO/IEC/ITUX.509v3推荐的数字证书格式通用。

规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T16264.8—200×信息技术开放系统互连目录公钥和属性证书框架。

RFC2459：1999，互联网X.509公钥基础设施证书和CRL轮廓。

ITU-TX.680（1994）│ISO/IEC8824-1：1994，信息技术-抽象语法记法1（ASN.1）：基本记法规范。

ITU-TX.681（1994）│ISO/IEC8824-2：1994，信息技术-抽象语法记法1（ASN.1）：客体信息规范。

ITU-TX.682（1994）│ISO/IEC8824-3：1994，信息技术-抽象语法记法1（ASN.1）：约束规范。

ITU-TX.683（1994）│ISO/IEC8824-4：1994，信息技术-抽象语法记法1（ASN.1）：ASN.1规范参数化。

ITU-TX.690（1994）│ISO/IEC8825-1：1994，信息技术-ASN.1编码规则：基本编码规则（BER）的规范，正规编码规则（CER）和可辨别编码规则（DER）。

术语和定义

下列定义适用于本标准。

公开密钥基础设施（PKI）publicKeyInfrastructure

支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。

公开密钥证书PublicKeyCertificate

用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。

证书撤销列表（CRL）CertificateRevocationList

一个已标识的列表，它指定了一套证书颁发者确认为无效的证书。除了普通CRL外，还定义了一些特殊的CRL类型用于覆盖特殊领域的CRLs。

证书序列号CertificateSerialNumber

在CA颁发的证书范围内为每个证书分配的一个整数值。此整数值对于该CA所颁发的每一张证书必须是唯一的。

证书认证机构(CA)CertificationAuthority

受用户信任,负责创建和分配证书的权威机构。证书认证机构也可以为用户创建密钥。

证书撤销列表分发点CRLDistributionPoint

一个CRL的目录项或其他CRL分发源,通过CRL分发点分发的CRL可以只含有某个CA所颁发的证书全集中的某个子集的撤销项，也可以包括有多个CA的撤销项。

数字证书（或证书）DigitalCertificate

数字证书是由国家认可的，具有权威性、可信性和公正性的第三方证书认证机构（CA）进行数字签名的一个可信的数字化文件。数字证书包含有公开密钥拥有者的信息、公开密钥，签名算法和CA的数字签名。

缩略语

下列缩略语适用于本标准：

CA证书认证机构

CRL证