卫生系统数字证书格式规范
2卫生系统数字证书应用集成规范(试行1)
2卫⽣系统数字证书应⽤集成规范(试⾏1)卫⽣系统数字证书应⽤集成规范(试⾏)卫⽣部办公厅卫⽣部统计信息中⼼⼆○○九年六⽉⽬录第1章概述 (1)1.1范围 (1)1.2规范性引⽂ (1)1.3术语和定义 (1)第2章总体技术框架 (2)第3章统⼀证书应⽤接⼝ (3)3.1证书介质应⽤接⼝ (3)3.2密码设备应⽤接⼝ (3)3.3通⽤密码接⼝ (3)3.4客户端控件接⼝ (3)3.4.1概述 (3)3.4.2控件接⼝函数 (4)3.5服务端组件接⼝ (21)3.5.1概述 (21)3.5.2COM组件接⼝ (21)3.5.3Java组件接⼝ (41)第4章附录 (63)4.1典型证书应⽤部署模式 (63)4.2证书登录认证集成范例 (64)4.2.1证书登录认证流程 (64)4.2.2数据库改造 (65)4.3页⾯签名加密集成范例 (65)4.3.1页⾯签名加密流程 (65)4.3.2数据库改造 (66)第1章概述1.1范围本规范制定了卫⽣系统数字证书应⽤技术框架,规范了卫⽣体系统⼀证书应⽤接⼝规范和证书应⽤集成部署实施规范。
本规范适⽤于指导卫⽣系统内实现证书应⽤集成实施⼯作,指导为卫⽣系统提供证书应⽤的安全⼚家开发统⼀的证书应⽤接⼝,在卫⽣系统内实现基于数字证书的证书登录、电⼦签名与验证、加密解密等安全功能。
1.2规范性引⽂下列标准所包含的条⽂,通过本规范中的引⽤⽽构成本规范的条⽂。
考虑到标准的修订,使⽤本规范时,应研究使⽤下列标准最新版本的可能性。
公钥密码基础设施应⽤技术体系框架规范公钥密码基础设施应⽤技术体系密码设备应⽤接⼝规范公钥密码基础设施应⽤技术体系通⽤密码服务接⼝规范智能IC卡及智能密码钥匙密码应⽤接⼝规范1.3术语和定义以下术语和定义适⽤于本规范。
1.3.1 数字证书digital certificate由权威认证机构进⾏数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及⼀些扩展信息的数字⽂件。
1卫生系统电子认证服务规范(试行)
卫生系统电子认证服务规范(试行)卫生部办公厅卫生部统计信息中心二○○九年六月目录第1章概述 (1)1.1范围 (1)1.2规范性引文 (1)1.3术语和缩略语 (1)1.3.1术语和定义 (1)1.3.2符号和缩略语 (3)第2章服务总体要求 (4)2.1服务参与方 (4)2.2服务对象及证书分类 (4)2.3服务开展模式 (5)第3章电子认证服务交付要求 (7)3.1电子认证服务交付概述 (7)3.2证书产品的交付形态 (7)3.3身份鉴别 (8)3.3.1身份鉴别模式 (8)3.3.2身份鉴别流程 (8)3.3.3身份鉴别要求 (9)3.4证书申请和签发 (10)3.4.1面向内部用户 (10)3.4.2面向社会公众 (11)3.5证书更新 (11)3.5.1面向内部用户 (11)3.5.2面向社会公众 (12)3.6证书吊销 (12)3.6.1面向内部用户 (12)3.6.2面向社会公众 (13)3.7证书密码解锁 (13)3.7.1面向内部用户 (13)3.7.2面向社会公众 (14)3.8密钥恢复 (14)3.9证书信息发布 (14)3.10证书状态查询 (14)第4章电子认证服务支持要求 (16)4.1电子认证服务支持概述 (16)4.2呼叫中心热线支持 (16)4.3证书服务网站 (16)4.4现场技术支持 (17)4.5应用实施咨询 (17)4.6培训 (17)第5章服务的管理和控制 (18)5.1服务安全性要求 (18)5.2服务可靠性要求 (18)5.3服务时效性要求 (18)5.4服务费用 (19)5.5审计 (19)第1章概述1.1范围本规范描述了电子认证服务的总体要求,定义了参与卫生系统电子认证服务体系建设的相关方和开展电子认证服务的工作机制,规范了电子认证服务机构需要遵循的服务交付要求和服务支持要求,提出了服务的管理和控制要求。
本规范适用于指导参与卫生系统电子认证服务相关方开发电子认证服务,有利于形成标准统一、安全可信、应用方便的卫生系统电子认证服务体系。
卫生部关于印发《卫生系统电子认证服务管理办法(试行)》的通知
卫生部关于印发《卫生系统电子认证服务管理办法(试行)》的通知文章属性•【制定机关】卫生部(已撤销)•【公布日期】2009.12.25•【文号】卫办发[2009]125号•【施行日期】2010.01.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】卫生医药、计划生育综合规定正文卫生部关于印发《卫生系统电子认证服务管理办法(试行)》的通知(卫办发〔2009〕125号)各省、自治区、直辖市卫生厅局,新疆生产建设兵团卫生局:为保障卫生信息系统安全,规范卫生系统电子认证服务体系建设,满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求,依据《中华人民共和国电子签名法》和《电子认证服务管理办法》(工业和信息化部令2009年第1号),结合卫生系统业务特点,我部制定了《卫生系统电子认证服务管理办法(试行)》,并经部务会讨论通过。
现印发给你们,请遵照执行。
附件:卫生系统电子认证服务管理办法(试行)二○○九年十二月二十五日附件卫生系统电子认证服务管理办法(试行)第一章总则第一条为保障卫生信息系统安全,规范卫生系统电子认证服务体系建设,依据《中华人民共和国电子签名法》和《电子认证服务管理办法》(工业和信息化部令2009年第1号),结合卫生系统业务特点,制定本办法。
第二条本办法适用于在全国卫生系统范围内管理、使用和提供电子认证服务的管理方、使用方和提供方。
管理方包括卫生部和各省级卫生行政部门信息化工作领导小组;使用方包括全国各级卫生行政部门和各级各类医疗卫生机构及其工作人员、涉及卫生业务的企事业单位和社会公众;提供方包括为卫生系统提供电子认证服务的电子认证服务机构。
第三条本办法所称电子认证服务,是指电子认证服务机构按照卫生系统电子认证服务体系相关技术标准和服务规范,为使用方提供数字证书的颁发、更新、吊销、密码解锁、密钥恢复以及证书应用等服务,从而满足卫生信息系统在身份认证、授权管理、责任认定等方面的信息安全需求。
卫生系统数字证书介质技术规范
卫生系统电子认证服务体系系列规范-卫生系统数字证书介质技术规范(试行)卫生部办公厅2010年4月30日1 范围 (3)2 安全机制 (3)2.1 证书介质初始化 (3)2.2 证书介质的安装注册 (3)2.3 介质口令管理 (3)2.4 扩展区要求 (3)2.5 介质类型要求 (3)3 软件要求 (3)3.1 证书介质接口 (3)3.2 安装程序 (5)3.3 卸载程序 (6)4 硬件技术指标 (6)附录(资料性附录) 名词解释 (7)1 范围本规范描述了在卫生系统中使用的数字证书介质的各项要求,包括对安全机制、软件要求、硬件技术指标要求等内容,用于指导电子认证服务机构在卫生系统内进行数字证书介质的定制和选型。
2 安全机制2.1证书介质初始化证书介质的初始化工具由各证书介质供应商提供。
初始化工具应有两种形式:可执行的初始化工具和动态库接口文件。
电子认证服务机构可根据动态库文件开发通用的初始化工具。
2.2证书介质的安装注册证书自动注册功能:要求证书介质内的证书可自动完成系统注册,即当证书介质插入电脑后,介质内证书自动注册到操作系统的证书存储区。
拔出证书介质以后,证书自动从证书存储区删除。
2.3介质口令管理介质口令包括介质用户口令和介质管理员口令两类。
电子认证服务机构应为用户提供的证书管理工具应具备校验介质用户口令和修改介质用户口令的功能。
当用户连续10次输错介质用户口令后,证书介质必须自动锁死。
介质用户口令锁死后,即使输入正确的口令也不能使用证书介质,必须使用介质管理员口令认证,为介质进行解锁,重新设置新的介质用户口令方可继续使用介质。
介质用户口令和介质管理员口令的长度应为6-16位,电子认证服务机构应保证交付给用户的每个介质的管理员口令不同。
2.4扩展区要求证书介质内可创建用户私有文件区,要求可以在卡内保存用户私有文件,可实现扩展应用。
对私有文件区操作时,用户应输入证书介质口令进行验证。
证书介质私有扩展区的空间应不小于10K。
卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知-卫办综发[2010]74号
![卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知-卫办综发[2010]74号](https://img.taocdn.com/s3/m/3485a66df56527d3240c844769eae009581ba2d3.png)
卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 卫生部办公厅关于做好卫生系统电子认证服务体系建设工作的通知(卫办综发〔2010〕74号)各省、自治区、直辖市卫生厅局,新疆生产建设兵团及计划单列市卫生局,部直属各单位,部机关各司局:为有效贯彻落实《卫生系统电子认证服务管理办法(暂行)》(以下简称《办法》),加快卫生系统电子认证服务体系建设,保障卫生信息系统安全,现将有关事项通知如下:一、充分认识推行电子认证服务工作的重要意义电子认证服务是网络信任体系建设的重要内容,必须加强宏观指导、规划管理。
目前,全国已建或在建各类卫生信息系统,均需要采取电子认证技术有效防止假冒身份、篡改信息、越权操作、否定责任等问题;而且推进电子认证服务是卫生信息化发展的需要,统一的身份认证是各类卫生信息系统实现互联互通、业务协同的基础,有助于解决信息“孤岛”和信息“烟囱”等制约卫生信息化发展的难题。
卫生行政部门必须充分认识,高度重视,认真组织,切实做好电子认证服务工作。
二、积极开展电子认证服务工作为确保电子认证服务机构配制的数字证书能够在各类卫生信息系统中进行注册、授权及使用,实现互信互认、一证多用,我部组织专家研究制定了《卫生系统电子认证服务规范(试行)》、《卫生系统数字证书应用集成规范(试行)》、《卫生系统数字证书格式规范(试行)》、《卫生系统数字证书介质技术规范(试行)》、《卫生系统数字证书服务管理平台接入规范(试行)》等电子认证服务技术规范,明确了卫生系统电子认证服务体系建设的工作机制、服务要求、数字证书应用集成、格式规范、数字证书服务管理平台接入等要求。
卫生系统数字证书格式规范
卫生系统电子认证服务体系系列规范- 卫生系统数字证书格式规范(试行)卫生部办公厅XX年4月30日目录1 范围 (1)2 数字证书类别 (1)3 数字证书基本格式 (1)3.1基本结构 (1)3.2基本证书域TBSCertificate (1)3.3 签名算法域SignatureAlgorithm (5)3.4 签名值域SignatureValue (5)3.5 命名规范 (5)4 数字证书模板 (5)4.1 个人证书模版 (5)4.2 机构证书模版 (6)4.3 设备证书模版 (8)5 CRL格式 (9)5.1 CRL基本结构 (9)5.2 CRL模版 (10)附录A (资料性附录) 证书主体DN命名示例 (11)附录B (资料性附录) 证书格式编码示例 (12)附录C (资料性附录) 名词解释 (20)1 范围本规范描述了卫生系统电子认证服务体系中使用的数字证书的类型、数字证书和证书撤销列表的格式,制定了各类数字证书及证书撤消列表格式模板,用于指导电子认证服务机构签发统一格式的数字证书和证书撤消列表,以保障数字证书在卫生系统内各信息系统之间的互信互认。
本规范在GB/T 20518-2006《信息安全技术 公钥基础设施 数字证书格式》基础上,针对卫生系统的电子认证需求,在证书类型、证书格式模板、实体唯一标识扩展项等方面进行了扩充,以适应卫生系统的业务特点和应用需求。
2 数字证书类别根据卫生系统用户特点及应用需求,数字证书按照内部用户和外部用户分成如下六类。
1) 内部机构证书 2) 内部工作人员证书 3) 内部设备证书 4) 外部机构证书 5) 外部个人证书 6) 外部设备证书 3 数字证书基本格式3.1 基本结构数字证书的基本结构由基本证书域TBSCertificate 、签名算法域SignatureAlgorithm 、签名值域SignatureValue 等三部分组成。
其中,基本证书域由基本域和扩展域组成,如图1所示:图 1 数字证书基本结构示意图3.2 基本证书域 TBSCertificate基本证书域包括基本域和扩展域。
卫生系统电子认证服务规范
卫生系统电子认证服务体系系列规范- 卫生系统电子认证服务规范(试行)卫生部办公厅2010年4月30日1 范围 (1)2 服务总体要求 (1)2.1 证书分类 (1)2.2 证书产品 (1)2.3 服务模式 (1)2.4 服务内容 (1)2.5 平台接入 (2)3 证书业务服务 (2)3.1 证书申请 (2)3.2 证书发放 (2)3.3 证书更新 (2)3.4 证书吊销 (2)3.5 证书解锁 (2)3.6 密钥恢复 (3)3.7 证书查询 (3)4 技术支持服务 (3)4.1服务方式 (3)4.2服务内容 (3)5 服务的保障 (4)5.1组织保障 (4)5.2制度保障 (4)5.3安全保障 (4)附录(资料性附录) 名词解释 (5)1 范围本规范依据《卫生系统电子认证服务管理办法(试行)》,定义了参与卫生系统电子认证服务体系建设的管理方、使用方和提供方开展电子认证服务的工作机制,描述了卫生系统电子认证服务的总体要求,规范了电子认证服务机构需要遵循的证书业务服务和证书支持服务的要求,提出了服务的保障要求。
本规范适用于卫生系统电子认证服务体系建设的管理方、使用方和提供方。
2 服务总体要求2.1 证书分类根据卫生系统内的用户群体所处单位和担任的职能不同,数字证书用户包括卫生系统内部用户和外部用户。
内部用户是指全国各级卫生行政部门和各级各类医疗卫生机构及其工作人员。
外部用户是指涉及卫生业务的企事业单位和社会公众。
根据用户特点及应用需求,卫生系统数字证书分为内部用户证书和外部用户证书,共六类:(1)内部机构证书是指为各级卫生行政部门和各级各类医疗卫生机构颁发的证书,代表卫生机构的身份。
(2)内部工作人员证书是指为各级卫生行政部门和各级各类医疗卫生机构的工作人员颁发的证书,代表个人的身份。
(3)内部设备证书是指各级卫生信息系统使用的服务器证书或VPN设备证书等。
(4)外部机构证书是指为涉及卫生业务的企事业单位颁发的代表法人身份的证书。
数字证书管理使用规程
数字证书管理使用规程一、总则(一)为进一步规范“全国卫生监督信息系统”数字证书的使用,规范数字证书的管理,制定本规程。
(二)本规程所称数字证书,是指在“全国卫生监督信息系统”中使用的数字证书,主要是颁发给个人的数字证书,个人数字证书用于认证各级卫生监督工作人员的身份。
(三)本规程所称数字证书服务,主要包括:数字证书的申请、更新、撤销、解锁,以及数字证书的应用支持等。
二、数字证书的申请(一)申请数字证书,由各单位统一收集证书申请者的信息。
证书办理单位对证书申请人信息的真实性、完整性和准确性负责。
(二)办理数字证书的业务流程如下:1.证书办理单位填写《信天行数字证书业务申请表》(附件1)。
表中带*号为必填项,选择信天行数字证书(个人版),证书初次申请业务类型,加盖单位公章。
2.证书办理单位负责核实个人的姓名、身份证号码等身份信息,将个人申请信息填入《信天行数字证书业务申请明细表》(附件2),并加盖单位公章。
3.证书办理单位提交《信天行数字证书业务申请表》和《信天行数字证书业务申请明细表》给卫生部卫生监督中心信息处。
4. 卫生部卫生监督中心信息处将信息提交给证书制作单位,统一制作证书,并发放给最终用户。
三、数字证书的更新(一)数字证书有效期为一年。
有效期满前一个月内,卫生部卫生监督中心信息处将通知各单位组织办理证书更新业务。
证书更新方式为网上自主更新。
(二)办理证书网上自主更新的业务流程如下:1.证书办理单位填写《信天行数字证书业务申请表》(附件1)。
表中带*号为必填项,选择信天行数字证书(个人版),证书更新业务类型,加盖单位公章。
2.证书办理将需要更新证书的用户信息填入《信天行数字证书业务申请明细表》(附件2),并加盖单位公章。
3.证书办理单位提交《信天行数字证书业务申请表》和《信天行数字证书业务申请明细表》给卫生部卫生监督中心信息处。
4.卫生部卫生监督中心信息处经过审核及授权后,证书用户访问证书更新网址,使用原有证书登录并输入证书密码,按照提示完成证书更新。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
卫生系统电子认证服务体系系列规范- 卫生系统数字证书格式规范(试行)卫生部办公厅XX年4月30日目录1 范围 (1)2 数字证书类别 (1)3 数字证书基本格式 (1)3.1基本结构 (1)3.2基本证书域TBSCertificate (1)3.3 签名算法域SignatureAlgorithm (5)3.4 签名值域SignatureValue (5)3.5 命名规范 (5)4 数字证书模板 (5)4.1 个人证书模版 (5)4.2 机构证书模版 (6)4.3 设备证书模版 (8)5 CRL格式 (9)5.1 CRL基本结构 (9)5.2 CRL模版 (10)附录A (资料性附录) 证书主体DN命名示例 (11)附录B (资料性附录) 证书格式编码示例 (12)附录C (资料性附录) 名词解释 (20)1 范围本规范描述了卫生系统电子认证服务体系中使用的数字证书的类型、数字证书和证书撤销列表的格式,制定了各类数字证书及证书撤消列表格式模板,用于指导电子认证服务机构签发统一格式的数字证书和证书撤消列表,以保障数字证书在卫生系统内各信息系统之间的互信互认。
本规范在GB/T 20518-2006《信息安全技术 公钥基础设施 数字证书格式》基础上,针对卫生系统的电子认证需求,在证书类型、证书格式模板、实体唯一标识扩展项等方面进行了扩充,以适应卫生系统的业务特点和应用需求。
2 数字证书类别根据卫生系统用户特点及应用需求,数字证书按照内部用户和外部用户分成如下六类。
1) 内部机构证书 2) 内部工作人员证书 3) 内部设备证书 4) 外部机构证书 5) 外部个人证书 6) 外部设备证书 3 数字证书基本格式3.1 基本结构数字证书的基本结构由基本证书域TBSCertificate 、签名算法域SignatureAlgorithm 、签名值域SignatureValue 等三部分组成。
其中,基本证书域由基本域和扩展域组成,如图1所示:图 1 数字证书基本结构示意图3.2 基本证书域 TBSCertificate基本证书域包括基本域和扩展域。
3.2.1 基本域基本域由如下部分组成:a) 版本 Versionb) 序列号 SerialNumberc) 签名算法 SignatureAlgorithm d) 颁发者 Issuer e) 有效期 Validity f) 主体 Subjectg) 主体公钥信息 SubjectPublicKeyInfo 下面分别详细介绍各组成部分的格式要求。
3.2.1.1 版本 Version本项描述了数字证书的版本号。
数字证书应使用版本3(对应的数值是整数“2”)。
数字证书基本证书域签名算法域 签名值域基本域扩展域3.2.1.2 序列号SerialNumber本项是CA系统分配给每个证书的一个正整数,一个CA系统签发的每张证书的序列号应是唯一的。
序列号最长可为20个8位字节的序列号值。
证书更新时序列号应改变。
3.2.1.3 签名算法SignatureAlgorithm本项包含CA签发该证书所使用的密码算法的标识符,算法标识符应与证书中SignatureAlgorithm 项的算法标识符相同。
签名算法应符合国家密码主管部门对密码算法的规定,并根据国家密码主管部门批准的最新算法及时调整,以适应国家最新技术标准要求。
3.2.1.4 颁发者Issuer本项标识了证书签名和证书颁发的实体。
它必须包含一个非空的可甄别名。
该项被定义为X.500的Name类型。
颁发者甄别名称(Distinguished Name,简称DN)的C(Country)属性的编码应使用PrintableString。
Email属性的编码应使用IA5String。
其它属性的编码应一律使用UTF8String。
证书颁发者DN编码规范如表1所示:3.2.1.5 有效期Validity本项是指一个时间段,在这个时间段内,CA系统担保它将维护关于证书状态的信息。
该项被表示成一个具有两个时间值的SEQUENCE类型数据:证书有效期的起始时间(notBefore)和证书有效期的终止时间(notAfter)。
卫生系统数字证书有效期的NotBefore和 NotAfter这两个时间都采用GeneralizedTime类型进行编码。
GeneralizedTime字段能包含一个本地和格林威治标准时间之间的时间差。
GeneralizedTime值必须用格林威治标准时间表示,且必须包含秒(即时间格式为YYYYMMDDHHMMSSZ)。
3.2.1.6 主体Subject本项描述了与主体公钥项中的公钥相对应的实体。
主体名称可以出现在主体项或主体替换名称扩展项中(SubjectAltName)。
如果主体是一个CA,那么主体项必须与其签发的所有证书的颁发者相同,一个CA认证的每个主体实体的甄别名称应是唯一的。
一个CA可以为同一个主体实体以相同的甄别名称签发多个证书。
该项不能为空。
3.2.1.7 主体公钥信息SubjectPublicKeyInfo本项用来标识公钥和相应的公钥算法。
公钥算法使用算法标识符AlgorithmIdentifier结构来表示。
3.2.2 扩展域本规范定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及证书结构的管理方法。
数字证书允许定义标准扩展项和专用扩展项。
每个证书中的扩展可以定义成关键性的和非关键性的。
一个扩展含有三部分,它们分别是扩展类型、扩展关键度和扩展项值。
扩展关键度(extension criticality)告诉一个证书的使用者是否可以忽略某一扩展类型。
证书的应用系统如果不能识别关键的扩展时,必须拒绝接受该证书,如果不能识别非关键的扩展,则可以忽略该扩展项的信息。
证书扩展域结构如图2所示。
图 2 扩展域构成示意图本条定义了如下一些标准的扩展项和专业扩展项:a) 密钥用法 KeyUsageb) 主体密钥标识符 SubjectKeyIdentifierc) 颁发机构密钥标识符 AuthorityKeyIdentifier d) 证书策略 CertificatePoliciese) 实体唯一标识 用户证书必须签发证书唯一标识扩展项。
3.2.2.1 密钥用法 KeyUsage本项说明已认证的公开密钥用于何种用途。
所有证书应具有密钥用法扩展项。
密钥用法定义:id-ce-keyUsage OBJECT IDENTIFIER ::= {id-ce 15} KeyUsage::=BIT STRING{digitalSignature (0), nonRepudiation (1), keyEncipherment (2), dataEncipherment (3), keyAgreement (4), keyCertSign (5), cRLSign (6), encipherOnly (7), decipherOnly (8) }所有的CA 证书必须包括本扩展,而且必须包含keyCertSign 这一密钥用途。
用户证书则根据证书用途,分“签名”证书和“加密”证书,选择对应的密钥用途进行签发。
此扩展可定义为关键的或非关键的。
3.2.2.2 主体密钥标识符 SubjectKeyIdentifier本项提供一种识别包含有一个特定公钥的证书的方法。
此扩展标识了被认证的公开密钥,它能够区分同一主体使用的不同密钥。
对于使用密钥标识符的主体的各个密钥标识符而言,每一个密钥标识符均应是唯一的。
CA 签发证书时必须把CA 证书中本扩展的值赋给终端实体证书AuthorityKeyIdentifier 扩展中的KeyIdentifier 项。
CA 证书的主体密钥标识符应从公钥中或者生成唯一值的方法中导出。
终端实体证书的主体密钥标识符应从公钥中导出。
所有的CA 证书必须包括本扩展,此扩展项为非关键项。
3.2.2.3 颁发机构密钥标识符 AuthorityKeyIdentifier扩展域扩展项1 扩展项2扩展项3 扩展关键度 扩展项值…… 扩展项n扩展类型本项提供了一种方式,以识别与证书签名私钥相应的公钥。
当颁发者由于有多个密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。
识别可基于颁发者证书中的主体密钥标识符或基于颁发者的名称和序列号。
CA产生的所有证书应包括AuthorityKeyIdentifier扩展的KeyIdentifier项,以便于链的建立。
CA以“自签”(self-signed )证书形式发放其公钥时,可以省略认证机构密钥标识符。
本项既可用作证书扩展亦可用作CRL扩展。
本项标识用来验证在证书或CRL上签名的公开密钥。
它能辨别同一CA使用的不同密钥。
3.2.2.4 证书策略CertificatePolicies本项包含了一系列策略信息条目,每个条目都有一个OID和一个可选的限定条件。
在用户证书中,这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的;在CA证书中,这些策略条目指定了包含这个证书的验证路径的策略集合。
数字证书是否包括本扩展为可选的,是否为关键项也是可选的。
3.2.2.5 实体唯一标识本项代表一个证书持有者身份的唯一编码,在业务系统中,本标识可与应用系统内用户账号一一关联,从而用于实现证书用户与系统用户的绑定。
实体唯一标识的OID由各电子认证服务机构自行申请和定义。
“实体唯一标识”的编码规范如下:用户编号(变长)+ “@”+ CA编号(4位)+证件类型代码(2位)+安全标识(1位)+证件号码(变长)其中,用户编号是一个证书实体的证书序号,建议用户编号采用阿拉伯数字,例如一个企业申请2个证书,则第一张证书的用户编码为1,第2张证书的用户编号为2,依次类推。
CA编号应为CA机构的《电子认证服务许可证》上的“许可证编号”的后四位数字。
证件类型代码是证书用户申请数字证书使用的关键证件的编码,证书类型和号码类型的代码如表2所示:表2 证书类型与证件类型代码对应表安全标识使用1位数字代表不同含义,其意义如下:0:代表其后的“证件号码”为明文格式签发;1:代表其后的“证件号码”为BASE64编码格式签发;各类证书中证件号码的安全标识的定义根据应用需求而定。
用户根据不同的证书类型,应提供不同的证件办理数字证书。
例如:个人证书的办理时提供的证件为身份证,身份证号码为:342222************,CA机构编号为1001,该CA中心为用户签发的第一张数字证书的实体唯一标识应为:1)安全标识为0时的值应为:1@1001SF03422221972050536182)安全标识为1时的值应为:1@1001SF1+ Base64(342222************)对于机构证书,如果提供组织机构代码证件号码为:123456789, CA机构编号为1001,该CA中心为用户签发的第一张数字证书的实体唯一标识应为:1)安全标识为0时的值应为:1@1001JJ01234567892)安全标识为1时的值应为:1@1001JJ1+ Base64(123456789)实体唯一标识项数据的总长度不应超过128字节。