MHT 0045.2-2013 民航电子政务数字证书服务及技术规范 第2部分数字证书模板

ICS35.040L71MH中华人民共和国民用航空行业标准MH/T0045.2—2013民航电子政务数字证书服务及技术规范第2部分：数字证书模板SpecificationsforCAACe-governmentdigitalcertificateserviceandtechniquePart2：Digitalcertificatetemplate2013–11–11发布2014–03–01实施中国民用航空局发布MH/T0045.2—2013I前言MH/T0045《民航电子政务数字证书服务及技术规范》分为四个部分：——第1部分：服务；——第2部分：数字证书模板；——第3部分：USBKey介质；——第4部分：证书应用集成。本部分为第2部分。本部分按照GB/T1.1-2009给出的规则起草。本部分由中国民用航空局综合司提出。本部分由中国民用航空局航空器适航审定司批准立项。本部分由中国民航科学技术研究院归口。本部分起草单位：中国民用航空局信息中心、北京数字认证股份有限公司。本部分主要起草人：胡东宏、张威、宋晨、于飞、于清洋。MH/T0045.2—20131民航电子政务数字证书服务及技术规范第2部分：数字证书模板1范围MH/T0045的本部分规定了民航各级行政机关在开展经济运行、安全监管等政务活动中所使用的数字证书的基本格式要求，并给出了数字证书的模板。民航电子政务内网数字证书有关要求不在本部分内涉及。本部分适用于民航电子政务数字证书的管理方和服务提供方。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其昀新版本（包括所有的修改单）适用于本文件。GB/T20518信息安全技术公钥基础设施数字证书格式GM/Z0001密码术语GM/T0015基于SM2密码算法的数字证书格式规范MH/T0045.1民航电子政务数字证书服务及技术规范第1部分服务3术语和定义GB/T20518、GM/Z0001、GM/T0015和MH/T0045.1界定的的术语定义适用于本文件。4缩略语下列缩略语适用于MH/T0045的本部分。CA认证机构(CertificationAuthority)CRL证书撤销列表(CertificateRevocationList)ASN抽象语法表示法（AbstractSyntaxNotation）DN甄别名（DistinguishedName）OID对象标识符（ObjectIdentifier）5数字证书基本格式5.1基本结构MHMH/T0045.2—20132数字证书的基本结构由三部分组成：基本证书域(TBSCertificate)、签名算法域(SignatureAlgorithm)、签名值域(SignatureValue)。其中，基本证书域由基本域和扩展域组成，如图1所示：图1数字证书基本结构5.2基本证书域(TBSCertificate)5.2.1基本域5.2.1.1组成基本域由如下部分组成：a)版本（Version）；b)序列号（SerialNumber）；c)签名算法（SignatureAlgorithm）；d)颁发者（Issuer）；e)有效期（Validity)；f)主题（Subject)；g)主题公钥信息（SubjectPublicKeyInfo)；5.2.1.2版本描述了数字证书的版本号。MH/T0045的本部分本部分中数字证书应使用V3。5.2.1.3序列号CA系统分配给每个证书的一个正整数。一个CA系统签发的每张证书的序列号应是唯一的。序列号昀长可为20个8位字节的序列号值。5.2.1.4签名算法包含CA签发该证书所使用的密码算法的标识符。算法标识符应与证书中SignatureAlgorithm项的算法标识符相同。签名算法应符合国家密码主管部门对密码算法的规定，并根据国家密码主管部门批准的昀新算法及时调整，以适应国家昀新技术标准要求。5.2.1.5颁发者标识了证书签名和证书颁发的实体。应包含一个非空的可甄别名。应被定义为X.500的Name类型。颁发者甄别名称（DistinguishedName，简称DN）的C（Country）属性的编码应使用PrintableString。Email属性的编码应使用IA5String。其他属性的编码应一律使用UTF8String。数字证书基本证书域签名算法域签名值域基本域扩展域MH/T0045.2—20133证书颁发者DN编码规范如表1所示：表1证书颁发者DN编码规范表Name类型说明示例编码格式C国家CNPrintableStringO颁发机构名称xxCAUTF8StringOU机构名称，可以是信任体系的名称xxCA-1UTF8StringCN颁发机构通用名xxCAUTF8String5.2.1.6有效期一个时间段，在这个时间段内，CA系统担保它将维护关于证书状态的信息。该项被表示成一个具有两个时间值的SEQUENCE类型数据：证书有效期的起始时间（notBefore）和证书有效期的终止时间（notAfter）。数字证书有效期的NotBefore和NotAfter这两个时间应采用GeneralizedTime类型进行编码。GeneralizedTime字段包含一个本地和格林威治标准时间之间的时间差。GeneralizedTime值应用格林威治标准时间表示，且包含秒（即时间格式为YYYYMMDDHHMMSSZ）。5.2.1.7主题与主题公钥项中的公钥相对应的实体。主题名称可以出现在主题项或主题替换名称扩展项中（SubjectAltName）。如果主题是一个CA，那么主题项应与其签发的所有证书的颁发者相同，一个CA认证的每个证书持有者的甄别名称应是唯一的。一个CA可以为同一个证书持有者以相同的甄别名称签发多个证书。该项不应为空。5.2.1.8主题公钥信息用于标识公钥和相应的公钥算法。公钥算法使用算法标识符AlgorithmIdentifier结构来表示。5.2.2扩展域5.2.2.1概述MH/T0045的本部分定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及证书结构的管理方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的和非关键性的。一个扩展含有三部分，它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度（extensioncriticality）告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果不能识别关键的扩展时，应拒绝接受该证书，如果不能识别非关键的扩展，则可以忽略该扩展项的信息。5.2.2.2扩展域结构证书扩展域可有多个扩展项，每个扩展项包括扩展类型、扩展关键和扩展项值三部分，结构如图2所示：MHMH/T0045.2—20134图2扩展域构成本部分定义了一些标准的扩展项，遵循本规范的程序应能识别以下扩展项：a)密钥用法（KeyUsage）；b)主题密钥标识符（SubjectKeyIdentifier）；c)颁发机构密钥标识符（AuthorityKeyIdentifier）；d)证书策略（CertificatePolicies）；e)唯一标识符（用户证书应签发证书唯一标识扩展项）。5.2.2.3密钥用法本项说明已认证的公开密钥用于何种用途。所有证书应具有密钥用法扩展项。密钥用法定义：id-ce-keyUsageOBJECTIDENTIFIER::={id-ce15}KeyUsage::=BITSTRING{digitalSignature(0)，nonRepudiation(1)，keyEncipherment(2)，dataEncipherment(3)，keyAgreement(4)，keyCertSign(5)，cRLSign(6)，encipherOnly(7)，decipherOnly(8)}所有的CA证书应包括本扩展，而且应包含keyCertSign这一密钥用途。用户证书则根据证书用途，分“签名”证书和“加密”证书，选择对应的密钥用途进行签发。此扩展可定义为关键的或非关键的。5.2.2.4主题密钥标识符本项提供一种识别包含有一个特定公钥的证书的方法。此扩展标识了被认证的公开密钥，它能够区分同一主题使用的不同密钥。对于使用密钥标识符主题的各个密钥标识符而言，每一个密钥标识符均应是唯一的。CA签发证书时应把CA证书中本扩展的值赋给终端实体证书AuthorityKeyIdentifier扩展中的KeyIdentifier项。CA扩展域扩展项1扩展项2扩展项3扩展关键扩展项值……扩展项n扩展类型MH/T0045.2—20135证书的主题密钥标识符应从公钥中或者生成唯一值的方法中导出。终端实体证书的主题密钥标识符应从公钥中导出。所有的CA证书应包括本扩展，此扩展项为非关键项。5.2.2.5颁发机构密钥标识符机构密钥标识符扩展提供了一种方式，以识别与证书签名私钥相对应的公钥。当发起方由于有多个密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。识别可基于发起方证书中的主题密钥标识符或基于发起方的名称和序列号。相应CA产生的所有证书应包括authorityKeyIdentifier扩展的keyIdentifier项，以便于证书信任链的建立。CA以“自签”（self-signed）证书形式发放其公钥时，可以省略认证机构密钥标识符。此时，主题和认证机构密钥标识符是完全相同的。本项既可用作证书扩展亦可用作CRL扩展。本项标识用来验证在证书或CRL上签名的公开密钥。它能辨别同一CA使用的不同密钥（例如，在密钥更新发生时）。5.2.2.6证书策略本项包含了一系列策略信息条目，每个条目都有一个OID和一个可选的限定条件。在用户证书中，这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的；在CA证书中，这些策略条目指定了包含这个证书的验证路径的策略集合。数字证书是否包括本扩展为可选的，是否为关键项也是可选的。5.2.2.7唯一标识符单位证书中应具有实体唯一标识符，用于区分辨别名相同的数字证书，实体唯一标识的OID由证书认证机构自行申请和定义。本部分中对单位数字证书的唯一标识符的编码规范如下：实体唯一标识符=证书实体编号（变长）+“@”+证件类型代码（2位）+证件号码（变长）其中，证书实体编号是一个证书实体的证书序号，同一个实体申请多个证书时，证书实体编号应不同，以便于区分不同的证书。证书类型和号码类型的代码如表2所示。表2证书类型与证件类型代码对应证书类型办理证书时可使用的证件名称证件类型代码单位证书组织机构代码、工商营业执照、税务登记证、其他JJ、GS、SW、QT个人证书身份证、军官证、护照、回乡证、其他SF、JR、HZ、HX、QT设备证书组织机构代码、工商营业执照、税务登记证、其他JJ、GS、SW、QT其他证书组织机构代码、工商营业执照、税务登记证、其他JJ、GS、SW、QT用户根据不同的证书类型，应提供不同的证件办理数字证书。实体唯一标识项数据的总长度不应超过128字节，唯一标识属性的编码应使用UTF8String。对于终端实体证书，该扩展项应签发，该项应为非关键扩展项。5.3签名算法域(SignatureAlgorithm)证书中的签名算法应使用国家密码管理主管部门审核批准的相关算法。MHMH/T0045.2—201365.4签名值域(SignatureValue)本项包含对基本证书域进行数字签名的结果。经ASN.1DER编码的基本证书域作为数字签名算法的输入，签名的结果按照ASN.1编码成BITSTRING类型并保存在签名值域。5.5命名规范数字证书中的主题DN命名规范为：a)C（Country）应为证书持有者所在国家；b)S（State）应为证书持有者所在省份；c)L（Location）应为证书持有者所在地市州；d)O（Organization）应为证书持有者所属单位的上一级单位的名称全称；e)OU（OrganizationUnit）应为证书持有者或者证书持有者所属单位的名称全称；f)CN（CommonName