LD/T 30.3-2009
基本信息
标准号: LD/T 30.3-2009
中文名称:人力资源和社会保障电子认证体系 第3部分:证书及证书撤销列表格式规范
标准类别:劳动和劳动安全行业标准(LD)
标准状态:现行
发布日期:2009-12-14
实施日期:2010-03-01
出版语种:简体中文
下载格式:.rar .pdf
下载大小:8234497
相关标签: 人力资源 社会保障 电子 认证 体系 证书 格式 规范
标准分类号
标准ICS号:信息技术、办公机械设备>>35.040字符集和信息编码
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
出版信息
页数:32页
标准价格:30.0 元
相关单位信息
起草单位:中华人民共和国人力资源和社会保障部信息中心
标准简介
LD/T 30.3-2009 人力资源和社会保障电子认证体系 第3部分:证书及证书撤销列表格式规范 LD/T30.3-2009 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
备案号:27110—2010
中华人民共和国劳动和劳动安全行业标准LD/T30.3—2009
人力资源和社会保障电子认证体系第3部分:证书及证书撤消列表格式规范Human resources and social security electronic authentication system-Part 3:Format specifications of digital certificate and CRL2009-12-14发布
中华人民共和国人力资源和社会保障部2010-03-01实施
规范性引用文件
术语和定义
缩略语
证书分类
数字证书通用格式
基本结构
基本证书域
签名算法域
签名值域
命名规范
数字证书格式模板
根CA证书格式模板
二级CA证书格式模板
机构证书格式模板
工作人员证书格式模板
设备证书格式模板
单位证书格式模板
个人证书格式模板.
CRL格式
CRL基本结构
CRL格式模板
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
主体命名规范
数字证书编码示例
算法举例
LD/T30.3—2009
LD/T30.3—2009
为适应人力资源和社会保障信息化发展要求,满足人力资源和社会保障网络信任体系建设和管理的需要,人力资源和社会保障部组织并制定了LD/T30一2009《人力资源和社会保障电子认证体系》。网络信任体系包括电子认证体系、授权管理体系和责任认定体系,本标准主要描述了人力资源和社会保障电子认证体系相关内容,包括以下五个部分:一第1部分:框架规范;
—第2部分:电子认证系统技术规范;一—第3部分:证书及证书撤消列表格式规范;—第4部分:证书应用管理规范;第5部分:证书载体规范。
本部分为LD/T30一2009的第3部分。本部分描述了人力资源和社会保障电子认证系统签发的数字证书及证书撤消列表的基本结构和相关要求。
本部分重点引用了GB/T20518一2006《信息安全技术公钥基础设施数字证书格式》,并在此基础上,扩展了证书分类、各类证书模板、证书DN命名规范、CRL格式规范等相关内容,给出了数字证书编码格式示例,从满足人力资源社会保障业务需求的角度,对本行业内所发放的数字证书和证书撤消列表的类型和格式提出规范和要求。本部分由中华人民共和国人力资源和社会保障部信息中心提出并归口。本部分主要起草单位:中华人民共和国人力资源和社会保障部信息中心、上海市人力资源和社会保障局信息中心、北京数字证书认证中心、维豪信息技术有限公司。本部分主要起草人:赵锡铭、戴瑞敏、贾怀斌、翟燕立、李丽虹、吴间滨、黄勇、吕丽娟、许华光、罗震、张加会、靳朝晖、陆春生、李永亮、宋京燕、杜守国、欧阳晋、林雪焰、李述胜、顾青、宋成。本部分凡涉及密码相关内容,均按国家有关法规实施。1范围
人力资源和社会保障电子认证体系第3部分:证书及证书撤消列表格式规范LD/T30.3—2009
LD/T30的本部分对人力资源和社会保障数字证书进行了分类,定义了数字证书及证书撤消列表的基本结构,描述了数字证书中的各数据项内容,制定了证书及证书撤消列表格式模板。本部分适用于指导人力资源和社会保障系统按照统一的证书及证书撤消列表格式进行定制和签发,以保证人力资源和社会保障各应用系统之间的互信互认。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T16262.1一2006信息技术抽象语法记法一(ASN.1)第1部分:基本记法规范(ISO/IEC8824-1:2002,IDT)
GB/T16262.2—2006
抽象语法记法一(ASN.1)
)第2部分:客体信息规范(ISO/信息技术
IEC8824-2:2002,IDT)
GB/T16262.32006
8824-3:2002,IDT)
GB/T16262.4——2006
信息技术
信息技术
(ISO/IEC8824-4:2002,IDT)
抽象语法记法(ASN.1)第3部分:约束规范(ISO/IEC抽象语法记法一(ASN.1)第4部分:ASN.1规范的参数化GB/T20518—2006信息安全技术
公钥基础设施
数字证书格式
信息技术安全技术密码术语(国家密码管理局)3术语和定义
以下术语和定义适用于本部分。3.1
gcertificationauthority
证书认证机构
负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。3.2
数字证书digitalcertificate
由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
CA certificate
CA证书
由一个证书认证机构给另一个证书认证机构签发的数字证书,个证书认证机构也可以为自已签发数字证书,这是一种自签名的数字证书1
LD/T30.3—2009
electronic authentication system电子认证系统
证书认证系统certificateauthenticationsystem对生命周期内的数字证书进行全过程管理的安全系统。3.5
证书撤消列表
certificaterevocationlist
标记一系列不再被证书发布者认为有效的证书的签名列表。3.6
终端实体endentity
不以签署证书为目的而使用其私钥的证书主体或者证书使用者。3.7
证书序列号
certificate serial number
在一个证书认证机构所签发的证书中用于唯一标识数字证书的一个整数。3.8
通常,当一个实休(第一个实体)假设另一个实体(第二个实体)完全按照第一个实体的期望行动时,则称第一个实体“信任”第二个实体。这种“信任”可能只适用于某些特定功能。本框架中“信任”的关键作用是描述签别实体和认证机构之间的关系;鉴别实体应确信它能够“信任认证机构仅创建有效且可靠的证书。
4缩略语
下列缩略语适用于本部分:
5证书分类
抽象语法表示法(AbstractSyntaxNotation)国家(Country)
证书认证机构(CertificationAuthority)通用名(CommonName)
证书撤消列表(CertificateRevocationList)可区分编码规则(DistinguishedEncodingRules)甄别名称(DistinguishedName)机构(Organization)
对象标识符(ObjectIdentifier)机构单位(OrganizationUnit)证书注册机构(RegistrationAuthority)人力资源和社会保障电子认证系统主要为两类用户提供电子认证服务,一是全国人力资源和社会保障系统业务专网用户(以下简称内部用户),二是人力资源和社会保障业务办理中涉及的社会用户(个人、用人单位等,以下称外部用户)。针对这两类用户,电子认证系统主要签发和管理以下五类用户证书:
面向内部用户的证书有三类,分别是:LD/T30.3—2009
1)机构证书一一面向人力资源和社会保障系统内部机构(包括各级人力资源和社会保障部门、各类经办机构、公共服务机构、街道社区人力资源社会保摩服务站、所等)和服务于人力资源和社会保障业务的系统外机构(包括医疗机构、定点零售药店、人力资源社会保障事务代理机构等)发放。
子一面向人力资源和社会保障业务专网计算机终端用户(包括各级人力资2)
工作人员证书
源社会保障部门工作人员、经办人员等发放。设备证书—一面向人力资源和社会保障信息系统的服务器、终端设备等发放。3)
面向外部用户的证书有两类,分别是:b)
1)单位证书
面向人力资源和社会保障业务所管理服务的用人单位发放。2)个人证书
一一面向人力资源和社会保障业务所管理服务的个人发放。6数字证书通用格式
6.1基本结构
数字证书的基本结构由三部分组成:基本证书域TBSCertificate,签名算法域SignatureAlgorithm、签名值域SignatureValue。其中,基本证书域由基本域和扩展域组成,如图1所示。基本证书城
数字证书
6.2基本证书域
签名算法域
签名值域
图1数字证书基本结构示意图
基本证书域(TBSCertificate)包括基本域和扩展域。6.2.1基本域
基本域由以下部分组成:
序列号
签名算法
d)颁发者
有效期
主体公钥信息
6.2.1.1版本Version
Version
SerialNumber
Signature
Issuer
Validity
Subject
SubjectPublicKeyInfo
本项描述了数字证书的版本号。数字证书应使用版本3(对应的数值是整数“2”)。2序列号SerialNnmher
基本域
扩展域
本项是证书签发管理系统分配给每个证书的一个正整数,~个证书签发管理系统签发的每张证书3
LD/T30.3-2009
的序列号必须是唯一的(通过颁发者的名宇和序列号就可以唯一地确定一张证书),证书签发管理系统必须保证序列号是非负整数。序列号可以是长整数,证书用户必须能够处理最长达20个8位字节的序列号值。证书签发管理系统必须确保不使用大于20个8位字节的序列号。证书更新时序列号须改变、
本规范规定证书序列号的长度为16个8位字节,序列号编码规则如下:证书序列号(16位)=CA编号(2)十RA编号(6)十顺序号(8)其中,CA编号和RA编号应遵循《CA和RA命名规则》,顺序号可从1开始依次累加。例如:某一证书序列号是:3434020012345678。前2位\34”代表安徽省,第3位到8位“340200”代表芜潮市,最后8位“12345678”代表证书的顺序号。6.2.1.3签名算法Signature
本项包含CA签发该证书所使用的密码算法的标识符,这个算法标识符必须与证书中SignatureAlgorithm项的算法标识符相同。签名算法应符合国家密码主管部门对密码算法的规定,并根据国家密码主管部门批准的最新算法及时调整。
6.2.1.4颁发者Issuer
本项标识了证书签名和证书颁发的实体。它必须包含一个非空的甄别名称。该项被定义为X.500的Name类型。
顽发者甄别名称的C(Country)属性的编码使用PrintableString。Email属性的编码使用IA5String。其他属性的编码一律使用UTF8String。各项编码规范如表1所示。
表1颁发者DN编码规范
Name类型
颁发机构名称
颈发机构别名
有效期
Validity
证书签发管理系统所在省份,例如北京证书签发管理系统所在城市,例如北京人力资源和社会保障部信息中心人力资源和社会保障部信息中心编码格式
PrintableString
UTF8String
UTF8String
UTF8String
UTF8String
本项是指一个时间段,在这个时间段内,证书签发管理系统担保它将维护关于证书状态的信息。该项被表示成一个具有两个时间值的SEQUENCE类型数据:证书有效期的起始时间(notBefore)和证书有效期的终止时间(notAfter)。NotBefore和NotAfter这两个时间都可以作为UTCTime类型或者GeneralizedTime类型进行编码。在本项中,UTCTime值必须用格林威治标准时间表示,并且必须包含秒,即使秒的数值为零(即时间格式为YYMMDDHHMMSSZ)。系统对年字段(YY)应解释为20YY。GeneralizedTime字段能包含一个本地和格林威治标准时间之间的时间差。GeneralizedTime值必须用格林威治标准时间表示,且必须包含秒,即使秒的数值为零(即时间格式为YYYYMMDDH-HMMSSZ)。GeneralizedTime值绝不能包含小数秒(fractionalseconds)。4
根CA证书有效期最长为20年,CA证书的有效期最长为10年。6.2.1.6主体Subject
LD/T30.3—2009
本项描述了与主体公钥项中的公钥相对应的实体。主体名称可以出现在主体项和/或主体替换名称扩展项中(SubjectAltName)。如果主体是一个CA,那么主体项必须是一个非空的与颁发者项的内容相匹配的甄别名称(DistinguishedName),一个CA认证的每个主体实体的甄别名称必须是唯一的。一个CA可以为同一个主体实体以相同的甄别名称签发多个证书。该项不能为空。
6.2.1.7主体公钥信息SubjectPublicKeyInfo本项用来标识公钥和相应的公钥算法。公钥算法使用算法标识符AlgorithmIdentifier结构来表示。
6.2.2扩展域
本部分定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及证书结构的管理方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的和非关键性的。一个扩展含有三部分,它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度(cxtcnsioncriticality)告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果不能识别关键的扩展时,必须拒绝接受该证书,如果不能识别非关键的扩展,则可以忽略该扩展项的信息。证书扩展域结构如图2所示。
扩展类型
扩展项1
扩展项2
扩展域
扩展项3
扩展项
图2扩展域构成
本条定义了如下一些标准扩展项和专用扩展项:a)
密钥用法
主体密钥标识符
颁发机构密钥标识符
d)基本限制
e)证书策略
实体唯一标识
KeyUsage
SubjectKeyldentifier
AuthorityKeyldentifier
BasicConstraints
CertificatePolicies
SubjectUniquelD
扩展关键度
扩展项值
注:对于根CA证书和二级CA证书,可以不签发实体唯一标识;对于终端实体证书,则必须签发实体唯一标识,以用于区分用户。
密钥用法KeyUsage
本项说明已认证的公开密钥用于何种用途。所有证书应具有密钥用法扩展项。该项定义如下:id-ce-keyUsageOBJECTIDENTIFIER::=(id-ce15)5
LD/T30.3—2009
KeyUsage::=BIT STRING
digitalSignature
nonRepudiation
keyEncipherment
dataEncipherment
keyAgreement
keyCertSign
cRLSign
encipherOnly
decipherOnly
(2),
(3),
(4),
(5),
(6),
(7),
所有的CA证书必须包括本扩展,而且必须包含kcyCcrtSign这一用法。用户证书则根据证书用途,分为签名证书和加密证书,选择对应的密钥用途进行签发。此扩展可以定义为关键的或非关键的,由证书颁发者选择。
6.2.2.2主体密钥标识符SubjectKeyIdentifier本项提供一种识别包含有一个特定公钥的证书的方法。此扩展标识了被认证的公开密钥。它能够区分同一主体使用的不同密钥(例如,当密钥更新发生时)。对于使用密钥标识符的主体的各个密钥标识符而言,每一个密钥标识符均应是唯一的。CA签发证书时必须把CA证书中本扩展的值赋给终端实体证书AuthorityKeyIdentifier扩展中的Keyldentifier项。CA证书的主体密钥标识符应从公钥中或者生成唯一值的方法中导出。终端实体证书的主体密销标识符应从公钥中导出,
所有的CA证书必须包括本扩展,此扩展项总是非关键的。6.2.2.3领发机构密钥标识符AuthorityKeyIdentifier本项提供了一种方式,以识别与证书签名私钥相应的公钥。当颁发者由于有多个密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。识别可基于颁发者证书中的主体密钥标识符或基于颁发者的名称和序列号。
相应CA产生的所有证书应包括AuthorityKeyIdentifier扩展的KeyIdentifier项,以便于链的建立。CA以“自签”(self-signed)证书形式发放其公钥时,可以省略认证机构密钥标识符。此时,主体和认证机构密钥标识符是完全相同的。本项既可用作证书扩展亦可用作CRL扩展。本项标识用来验证在证书或CRI.上签名的公开密钥。它能辨别同一CA使用的不同密钥(例如,在密钥更新发生时)。6.2.2.4证书策略CertificatePolicies本项包含了一系列策略信息条目,每个条目都有一个OID和一个可选的限定条件。这个可选的限定条件不能改变策略的定义
在用户证书中,这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的;在CA证书中,这些策略条日指定了包含这个证书的验证路径的策略集合。具有待定策略需求的应用系统应该拥有它们将接受的策略的列表,并把证书中的策略OID与该列表进行比较。如果该扩展是关键的,则路径有效性软件必须能够解释该扩展(包括选择性限定语),否则必须拒绝该证书。数字证书是否包括本扩展为可选的,是否为关键项也是可选的。6.2.2.5实体唯一标识SubjectUniquelD本项是代表证书持有者身份的唯一编码,在业务系统中,本标识可与系统内用户名一一关联,从而6
LD/T30.3—2009
实现证书用户与系统用户的绑定。实体唯一标识可以用来处理主体名称的重用间题,例如一个用户申请多张证书,业务系统可通过解析实体唯一标识来区分用户。“实体唯一标识”的编码规则为:用户编号(变长)十十证书类型代码(1位)十证件类型代码(2位)十证件号码(变长)“实体唯一标识”的数据总长度不限制,可根据证件号码长度灵活调整。其中,用户编号是同一用户所持证书的顺序号,一个证件号码允许申请多张证书,例如一个用户申请2张证书,则其用户编号为1和2。证件号码是指用户申请证书时使用的证件号码。证书类型代码和证件类型代码如表2所示。表2证书类型与证件类型代码对应表证书类型
机构证书
工作人员证书
设备证书
单位证书
个人证书
6.3签名算法域
证书类型代码
证件名称
组织机构代码
身份证
MAC地址
组织机构代码
身份证
证件类型代码
签名算法域(SignatureAlgorithm)包含数字证书的密码算法,如散列函数SHA-1、签名算法RSA,详细内容参见附录C。在人力资源和社会保障系统应用时,应使用国家密码管理主管部门审核批准的相关算法。
6.4签名值域
签名值域(SignatureValue)包含对基本证书域进行数字签名的结果。经ASN.1DER编码的基本证书域作为数字签名算法的输人,签名的结果按照ASN.1编码成BITSTRING类型并保存在签名值域。
6.5命名规范
数字证书中的主体DN的编码规范是:DN_C(Country)属性的编码使用PrintableString,Email属性的编码使用IA5String,其他属性的编码一律使用UTF8String。数字证书中的主体DN命名规范为:a)C,表示国家。
b)S,表示省、自治区、直辖市。c)L,表示地市。
d)O,表示单位或机构名称。
OU,表示部门名称。
CN,表示单位或机构别名。
主体命名示例参见附录A。
数宇证书格式模板
1根CA证书格式模板
人力资源和社会保障部采用统一的根证书格式,各级部门直接使用部里的根证书。7
LD/T30.3—2009
根CA证书模板如表3所示。
证书域名
Version
Serial Number
Signature
Issuer
Validity
notBefore
notAfter
Subject
Subject
Public
Extensions
KeyUsage
SubjectKeyldentifier
BasicConstraints
SignatureAlgorithm
Issuer's Signature
版本号
序列号
签名算法
顽发者
有效期限
有效期起始
有效期终止
扩展城
密钥用法
主体密钥标
基本限制
签名算法
签名值
二级CA证书格式模板
根CA证书模板
证书版本号
由颁发机构指定
符合国家标准
最长30年
签发日期
单位或机构名称
单位或机构别名
起始日期十有效期
单位或机构名称
单位或机构别名
包括加密算法及公钥值
非关键扩展项
非关键扩展项
非关键扩展项
对证书基本信息的数字签名
的签名算法
颁发机构对证书基本信息的
数字签名
二级CA证书模板如表4所示。
字段内容(示例)
如:0100 00 00 00 00 00 00 00 00 00 00 0000 01
符合国家标准
人力资源和社会保障部
人力资源和社会保障部
2008年8月7日13:01;52
2038年8月7日13:01;52
人力资源和社会保障部
人力资源和社会保障部
采用RSA算法,密钥长度不少于2048Signing,
Certificate Signing, Off-lineCRLS
CRL Signing (06)
根证书公钥的哈希值
CA=True免费标准下载网bzxz
pathLenConstraint=1
数字答名值
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
备案号:27110—2010
中华人民共和国劳动和劳动安全行业标准LD/T30.3—2009
人力资源和社会保障电子认证体系第3部分:证书及证书撤消列表格式规范Human resources and social security electronic authentication system-Part 3:Format specifications of digital certificate and CRL2009-12-14发布
中华人民共和国人力资源和社会保障部2010-03-01实施
规范性引用文件
术语和定义
缩略语
证书分类
数字证书通用格式
基本结构
基本证书域
签名算法域
签名值域
命名规范
数字证书格式模板
根CA证书格式模板
二级CA证书格式模板
机构证书格式模板
工作人员证书格式模板
设备证书格式模板
单位证书格式模板
个人证书格式模板.
CRL格式
CRL基本结构
CRL格式模板
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
主体命名规范
数字证书编码示例
算法举例
LD/T30.3—2009
LD/T30.3—2009
为适应人力资源和社会保障信息化发展要求,满足人力资源和社会保障网络信任体系建设和管理的需要,人力资源和社会保障部组织并制定了LD/T30一2009《人力资源和社会保障电子认证体系》。网络信任体系包括电子认证体系、授权管理体系和责任认定体系,本标准主要描述了人力资源和社会保障电子认证体系相关内容,包括以下五个部分:一第1部分:框架规范;
—第2部分:电子认证系统技术规范;一—第3部分:证书及证书撤消列表格式规范;—第4部分:证书应用管理规范;第5部分:证书载体规范。
本部分为LD/T30一2009的第3部分。本部分描述了人力资源和社会保障电子认证系统签发的数字证书及证书撤消列表的基本结构和相关要求。
本部分重点引用了GB/T20518一2006《信息安全技术公钥基础设施数字证书格式》,并在此基础上,扩展了证书分类、各类证书模板、证书DN命名规范、CRL格式规范等相关内容,给出了数字证书编码格式示例,从满足人力资源社会保障业务需求的角度,对本行业内所发放的数字证书和证书撤消列表的类型和格式提出规范和要求。本部分由中华人民共和国人力资源和社会保障部信息中心提出并归口。本部分主要起草单位:中华人民共和国人力资源和社会保障部信息中心、上海市人力资源和社会保障局信息中心、北京数字证书认证中心、维豪信息技术有限公司。本部分主要起草人:赵锡铭、戴瑞敏、贾怀斌、翟燕立、李丽虹、吴间滨、黄勇、吕丽娟、许华光、罗震、张加会、靳朝晖、陆春生、李永亮、宋京燕、杜守国、欧阳晋、林雪焰、李述胜、顾青、宋成。本部分凡涉及密码相关内容,均按国家有关法规实施。1范围
人力资源和社会保障电子认证体系第3部分:证书及证书撤消列表格式规范LD/T30.3—2009
LD/T30的本部分对人力资源和社会保障数字证书进行了分类,定义了数字证书及证书撤消列表的基本结构,描述了数字证书中的各数据项内容,制定了证书及证书撤消列表格式模板。本部分适用于指导人力资源和社会保障系统按照统一的证书及证书撤消列表格式进行定制和签发,以保证人力资源和社会保障各应用系统之间的互信互认。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T16262.1一2006信息技术抽象语法记法一(ASN.1)第1部分:基本记法规范(ISO/IEC8824-1:2002,IDT)
GB/T16262.2—2006
抽象语法记法一(ASN.1)
)第2部分:客体信息规范(ISO/信息技术
IEC8824-2:2002,IDT)
GB/T16262.32006
8824-3:2002,IDT)
GB/T16262.4——2006
信息技术
信息技术
(ISO/IEC8824-4:2002,IDT)
抽象语法记法(ASN.1)第3部分:约束规范(ISO/IEC抽象语法记法一(ASN.1)第4部分:ASN.1规范的参数化GB/T20518—2006信息安全技术
公钥基础设施
数字证书格式
信息技术安全技术密码术语(国家密码管理局)3术语和定义
以下术语和定义适用于本部分。3.1
gcertificationauthority
证书认证机构
负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。3.2
数字证书digitalcertificate
由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
CA certificate
CA证书
由一个证书认证机构给另一个证书认证机构签发的数字证书,个证书认证机构也可以为自已签发数字证书,这是一种自签名的数字证书1
LD/T30.3—2009
electronic authentication system电子认证系统
证书认证系统certificateauthenticationsystem对生命周期内的数字证书进行全过程管理的安全系统。3.5
证书撤消列表
certificaterevocationlist
标记一系列不再被证书发布者认为有效的证书的签名列表。3.6
终端实体endentity
不以签署证书为目的而使用其私钥的证书主体或者证书使用者。3.7
证书序列号
certificate serial number
在一个证书认证机构所签发的证书中用于唯一标识数字证书的一个整数。3.8
通常,当一个实休(第一个实体)假设另一个实体(第二个实体)完全按照第一个实体的期望行动时,则称第一个实体“信任”第二个实体。这种“信任”可能只适用于某些特定功能。本框架中“信任”的关键作用是描述签别实体和认证机构之间的关系;鉴别实体应确信它能够“信任认证机构仅创建有效且可靠的证书。
4缩略语
下列缩略语适用于本部分:
5证书分类
抽象语法表示法(AbstractSyntaxNotation)国家(Country)
证书认证机构(CertificationAuthority)通用名(CommonName)
证书撤消列表(CertificateRevocationList)可区分编码规则(DistinguishedEncodingRules)甄别名称(DistinguishedName)机构(Organization)
对象标识符(ObjectIdentifier)机构单位(OrganizationUnit)证书注册机构(RegistrationAuthority)人力资源和社会保障电子认证系统主要为两类用户提供电子认证服务,一是全国人力资源和社会保障系统业务专网用户(以下简称内部用户),二是人力资源和社会保障业务办理中涉及的社会用户(个人、用人单位等,以下称外部用户)。针对这两类用户,电子认证系统主要签发和管理以下五类用户证书:
面向内部用户的证书有三类,分别是:LD/T30.3—2009
1)机构证书一一面向人力资源和社会保障系统内部机构(包括各级人力资源和社会保障部门、各类经办机构、公共服务机构、街道社区人力资源社会保摩服务站、所等)和服务于人力资源和社会保障业务的系统外机构(包括医疗机构、定点零售药店、人力资源社会保障事务代理机构等)发放。
子一面向人力资源和社会保障业务专网计算机终端用户(包括各级人力资2)
工作人员证书
源社会保障部门工作人员、经办人员等发放。设备证书—一面向人力资源和社会保障信息系统的服务器、终端设备等发放。3)
面向外部用户的证书有两类,分别是:b)
1)单位证书
面向人力资源和社会保障业务所管理服务的用人单位发放。2)个人证书
一一面向人力资源和社会保障业务所管理服务的个人发放。6数字证书通用格式
6.1基本结构
数字证书的基本结构由三部分组成:基本证书域TBSCertificate,签名算法域SignatureAlgorithm、签名值域SignatureValue。其中,基本证书域由基本域和扩展域组成,如图1所示。基本证书城
数字证书
6.2基本证书域
签名算法域
签名值域
图1数字证书基本结构示意图
基本证书域(TBSCertificate)包括基本域和扩展域。6.2.1基本域
基本域由以下部分组成:
序列号
签名算法
d)颁发者
有效期
主体公钥信息
6.2.1.1版本Version
Version
SerialNumber
Signature
Issuer
Validity
Subject
SubjectPublicKeyInfo
本项描述了数字证书的版本号。数字证书应使用版本3(对应的数值是整数“2”)。2序列号SerialNnmher
基本域
扩展域
本项是证书签发管理系统分配给每个证书的一个正整数,~个证书签发管理系统签发的每张证书3
LD/T30.3-2009
的序列号必须是唯一的(通过颁发者的名宇和序列号就可以唯一地确定一张证书),证书签发管理系统必须保证序列号是非负整数。序列号可以是长整数,证书用户必须能够处理最长达20个8位字节的序列号值。证书签发管理系统必须确保不使用大于20个8位字节的序列号。证书更新时序列号须改变、
本规范规定证书序列号的长度为16个8位字节,序列号编码规则如下:证书序列号(16位)=CA编号(2)十RA编号(6)十顺序号(8)其中,CA编号和RA编号应遵循《CA和RA命名规则》,顺序号可从1开始依次累加。例如:某一证书序列号是:3434020012345678。前2位\34”代表安徽省,第3位到8位“340200”代表芜潮市,最后8位“12345678”代表证书的顺序号。6.2.1.3签名算法Signature
本项包含CA签发该证书所使用的密码算法的标识符,这个算法标识符必须与证书中SignatureAlgorithm项的算法标识符相同。签名算法应符合国家密码主管部门对密码算法的规定,并根据国家密码主管部门批准的最新算法及时调整。
6.2.1.4颁发者Issuer
本项标识了证书签名和证书颁发的实体。它必须包含一个非空的甄别名称。该项被定义为X.500的Name类型。
顽发者甄别名称的C(Country)属性的编码使用PrintableString。Email属性的编码使用IA5String。其他属性的编码一律使用UTF8String。各项编码规范如表1所示。
表1颁发者DN编码规范
Name类型
颁发机构名称
颈发机构别名
有效期
Validity
证书签发管理系统所在省份,例如北京证书签发管理系统所在城市,例如北京人力资源和社会保障部信息中心人力资源和社会保障部信息中心编码格式
PrintableString
UTF8String
UTF8String
UTF8String
UTF8String
本项是指一个时间段,在这个时间段内,证书签发管理系统担保它将维护关于证书状态的信息。该项被表示成一个具有两个时间值的SEQUENCE类型数据:证书有效期的起始时间(notBefore)和证书有效期的终止时间(notAfter)。NotBefore和NotAfter这两个时间都可以作为UTCTime类型或者GeneralizedTime类型进行编码。在本项中,UTCTime值必须用格林威治标准时间表示,并且必须包含秒,即使秒的数值为零(即时间格式为YYMMDDHHMMSSZ)。系统对年字段(YY)应解释为20YY。GeneralizedTime字段能包含一个本地和格林威治标准时间之间的时间差。GeneralizedTime值必须用格林威治标准时间表示,且必须包含秒,即使秒的数值为零(即时间格式为YYYYMMDDH-HMMSSZ)。GeneralizedTime值绝不能包含小数秒(fractionalseconds)。4
根CA证书有效期最长为20年,CA证书的有效期最长为10年。6.2.1.6主体Subject
LD/T30.3—2009
本项描述了与主体公钥项中的公钥相对应的实体。主体名称可以出现在主体项和/或主体替换名称扩展项中(SubjectAltName)。如果主体是一个CA,那么主体项必须是一个非空的与颁发者项的内容相匹配的甄别名称(DistinguishedName),一个CA认证的每个主体实体的甄别名称必须是唯一的。一个CA可以为同一个主体实体以相同的甄别名称签发多个证书。该项不能为空。
6.2.1.7主体公钥信息SubjectPublicKeyInfo本项用来标识公钥和相应的公钥算法。公钥算法使用算法标识符AlgorithmIdentifier结构来表示。
6.2.2扩展域
本部分定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及证书结构的管理方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的和非关键性的。一个扩展含有三部分,它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度(cxtcnsioncriticality)告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果不能识别关键的扩展时,必须拒绝接受该证书,如果不能识别非关键的扩展,则可以忽略该扩展项的信息。证书扩展域结构如图2所示。
扩展类型
扩展项1
扩展项2
扩展域
扩展项3
扩展项
图2扩展域构成
本条定义了如下一些标准扩展项和专用扩展项:a)
密钥用法
主体密钥标识符
颁发机构密钥标识符
d)基本限制
e)证书策略
实体唯一标识
KeyUsage
SubjectKeyldentifier
AuthorityKeyldentifier
BasicConstraints
CertificatePolicies
SubjectUniquelD
扩展关键度
扩展项值
注:对于根CA证书和二级CA证书,可以不签发实体唯一标识;对于终端实体证书,则必须签发实体唯一标识,以用于区分用户。
密钥用法KeyUsage
本项说明已认证的公开密钥用于何种用途。所有证书应具有密钥用法扩展项。该项定义如下:id-ce-keyUsageOBJECTIDENTIFIER::=(id-ce15)5
LD/T30.3—2009
KeyUsage::=BIT STRING
digitalSignature
nonRepudiation
keyEncipherment
dataEncipherment
keyAgreement
keyCertSign
cRLSign
encipherOnly
decipherOnly
(2),
(3),
(4),
(5),
(6),
(7),
所有的CA证书必须包括本扩展,而且必须包含kcyCcrtSign这一用法。用户证书则根据证书用途,分为签名证书和加密证书,选择对应的密钥用途进行签发。此扩展可以定义为关键的或非关键的,由证书颁发者选择。
6.2.2.2主体密钥标识符SubjectKeyIdentifier本项提供一种识别包含有一个特定公钥的证书的方法。此扩展标识了被认证的公开密钥。它能够区分同一主体使用的不同密钥(例如,当密钥更新发生时)。对于使用密钥标识符的主体的各个密钥标识符而言,每一个密钥标识符均应是唯一的。CA签发证书时必须把CA证书中本扩展的值赋给终端实体证书AuthorityKeyIdentifier扩展中的Keyldentifier项。CA证书的主体密钥标识符应从公钥中或者生成唯一值的方法中导出。终端实体证书的主体密销标识符应从公钥中导出,
所有的CA证书必须包括本扩展,此扩展项总是非关键的。6.2.2.3领发机构密钥标识符AuthorityKeyIdentifier本项提供了一种方式,以识别与证书签名私钥相应的公钥。当颁发者由于有多个密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。识别可基于颁发者证书中的主体密钥标识符或基于颁发者的名称和序列号。
相应CA产生的所有证书应包括AuthorityKeyIdentifier扩展的KeyIdentifier项,以便于链的建立。CA以“自签”(self-signed)证书形式发放其公钥时,可以省略认证机构密钥标识符。此时,主体和认证机构密钥标识符是完全相同的。本项既可用作证书扩展亦可用作CRL扩展。本项标识用来验证在证书或CRI.上签名的公开密钥。它能辨别同一CA使用的不同密钥(例如,在密钥更新发生时)。6.2.2.4证书策略CertificatePolicies本项包含了一系列策略信息条目,每个条目都有一个OID和一个可选的限定条件。这个可选的限定条件不能改变策略的定义
在用户证书中,这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的;在CA证书中,这些策略条日指定了包含这个证书的验证路径的策略集合。具有待定策略需求的应用系统应该拥有它们将接受的策略的列表,并把证书中的策略OID与该列表进行比较。如果该扩展是关键的,则路径有效性软件必须能够解释该扩展(包括选择性限定语),否则必须拒绝该证书。数字证书是否包括本扩展为可选的,是否为关键项也是可选的。6.2.2.5实体唯一标识SubjectUniquelD本项是代表证书持有者身份的唯一编码,在业务系统中,本标识可与系统内用户名一一关联,从而6
LD/T30.3—2009
实现证书用户与系统用户的绑定。实体唯一标识可以用来处理主体名称的重用间题,例如一个用户申请多张证书,业务系统可通过解析实体唯一标识来区分用户。“实体唯一标识”的编码规则为:用户编号(变长)十十证书类型代码(1位)十证件类型代码(2位)十证件号码(变长)“实体唯一标识”的数据总长度不限制,可根据证件号码长度灵活调整。其中,用户编号是同一用户所持证书的顺序号,一个证件号码允许申请多张证书,例如一个用户申请2张证书,则其用户编号为1和2。证件号码是指用户申请证书时使用的证件号码。证书类型代码和证件类型代码如表2所示。表2证书类型与证件类型代码对应表证书类型
机构证书
工作人员证书
设备证书
单位证书
个人证书
6.3签名算法域
证书类型代码
证件名称
组织机构代码
身份证
MAC地址
组织机构代码
身份证
证件类型代码
签名算法域(SignatureAlgorithm)包含数字证书的密码算法,如散列函数SHA-1、签名算法RSA,详细内容参见附录C。在人力资源和社会保障系统应用时,应使用国家密码管理主管部门审核批准的相关算法。
6.4签名值域
签名值域(SignatureValue)包含对基本证书域进行数字签名的结果。经ASN.1DER编码的基本证书域作为数字签名算法的输人,签名的结果按照ASN.1编码成BITSTRING类型并保存在签名值域。
6.5命名规范
数字证书中的主体DN的编码规范是:DN_C(Country)属性的编码使用PrintableString,Email属性的编码使用IA5String,其他属性的编码一律使用UTF8String。数字证书中的主体DN命名规范为:a)C,表示国家。
b)S,表示省、自治区、直辖市。c)L,表示地市。
d)O,表示单位或机构名称。
OU,表示部门名称。
CN,表示单位或机构别名。
主体命名示例参见附录A。
数宇证书格式模板
1根CA证书格式模板
人力资源和社会保障部采用统一的根证书格式,各级部门直接使用部里的根证书。7
LD/T30.3—2009
根CA证书模板如表3所示。
证书域名
Version
Serial Number
Signature
Issuer
Validity
notBefore
notAfter
Subject
Subject
Public
Extensions
KeyUsage
SubjectKeyldentifier
BasicConstraints
SignatureAlgorithm
Issuer's Signature
版本号
序列号
签名算法
顽发者
有效期限
有效期起始
有效期终止
扩展城
密钥用法
主体密钥标
基本限制
签名算法
签名值
二级CA证书格式模板
根CA证书模板
证书版本号
由颁发机构指定
符合国家标准
最长30年
签发日期
单位或机构名称
单位或机构别名
起始日期十有效期
单位或机构名称
单位或机构别名
包括加密算法及公钥值
非关键扩展项
非关键扩展项
非关键扩展项
对证书基本信息的数字签名
的签名算法
颁发机构对证书基本信息的
数字签名
二级CA证书模板如表4所示。
字段内容(示例)
如:0100 00 00 00 00 00 00 00 00 00 00 0000 01
符合国家标准
人力资源和社会保障部
人力资源和社会保障部
2008年8月7日13:01;52
2038年8月7日13:01;52
人力资源和社会保障部
人力资源和社会保障部
采用RSA算法,密钥长度不少于2048Signing,
Certificate Signing, Off-lineCRLS
CRL Signing (06)
根证书公钥的哈希值
CA=True免费标准下载网bzxz
pathLenConstraint=1
数字答名值
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。