LD/T 02.3-2022标准规范下载简介
LD/T 02.3-2022 人力资源社会保障电子认证体系规范 第3部分:数字证书格式规范.pdfICS35.040 CCS L 80
中华人民共和国劳动和劳动安全行业标准
音乐厅施工组织设计LD/T 02.3—2022 代替LD/T30.3—2009
人力资源社会保障电子认证体系规范
中华人民共和国人力资源和社会保障部
中华人民共和国人力资源和社会保障部 发布
前言 引言 范围 规范性引用文件 3术语和定义 1缩略语... 5证书分类, 数字证书通用格式 6.1基本结构. 6.2基本证书域. 6.3签名算法域.. 6.4签名值域... 6.5命名规范... 数字证书格式模板 7.1CA证书格式模板.. 7.2机构证书格式模板. 7.3人员证书格式模板... 7.4设备证书格式模板.. 7.5持卡人证书格式模板.. 4 CRL格式 8.1CRL基本结构.. 8.2CRL格式模板. 附录A(资料性)主体命名示例.. 附录B(资料性)数字证书编码示例. 附录C(资料性)算法说明.. 参考文献. 22
前言.. 引言, 范围 规范性引用文件 3术语和定义 1缩略语... 5证书分类, 数字证书通用格式 6.1基本结构. 6.2基本证书域. 6.3签名算法域.. 6.4签名值域... 6.5命名规范... 数字证书格式模板 7.1CA证书格式模板. 7.2机构证书格式模板. 7.3人员证书格式模板... 7.4设备证书格式模板. 7.5持卡人证书格式模板. CRL格式 8.1CRL基本结构.. 8.2CRL格式模板. 付录A(资料性)主体命名示例.. 付录B(资料性)数字证书编码示例.. 附录C(资料性)算法说明... 参考文献
可辨别名distinguishedname 数字证书实体特征名 用来识别公钥的实体名称,通堂
可辨别名distinguishedname 数字证书实体特征名 用来识别公钥的实体名称,通常包括实体的通用名、单位、组织和国家信息。
下列缩略语适用于本文件: ASN:抽象语法表示法(AbstractSyntax Notation) C:国家(Country) CA:证书认证机构(CertificationAuthority) CN:通用名(CommonName) CRL:证书撤销列表(CertificateRevocationList) DER:可区分编码规则(DistinguishedEncodingRules) DN:可辨别名(DistinguishedName) O:机构(Organization) OID:对象标识符(ObjectIdentifier) OU:机构单位(OrganizationUnit) RA:证书注册机构(RegistrationAuthority)
人力资源社会保障电子认证系统主要签发和管理以下四类用户证书: a 机构证书一一面向人力资源社会保障系统内部机构(包括各级人力资源社会保障部门、各类经 办机构、公共服务机构、街道社区人力资源社会保障服务站、所等)、服务于人力资源社会保 障业务的系统外机构(包括人力资源社会保障事务代理机构等),以及人力资源社会保障业务 所管理服务的企事业单位发放; b) 人员证书一一面向人力资源社会保障业务专网计算机终端用户(包括各级人力资源社会保障部 门工作人员、经办人员等)发放; 设备证书一一面向人力资源社会保障信息系统的服务器、终端设备等发放; d)持卡人证书 面向第三代社会保障卡持卡人发放。
数字证书由三部分组成:基本证书域TBSCertificate、签名算法域SignatureAlgorithm、签名值域 SignatureValue。其中,基本证书域由基本域和扩展域组成,如图1所示。
本证书域(TBSCertificate)包括基本域和扩展域
基本域由以下部分组成: a) 版本 Version b) 序列号 SerialNumber c) 签名算法 SignatureAlgorithm d) 颁发者 Issuer e) 有效期 Validity f) 主体 Subject g) 主体公钥信息 SubjectPublicKeylnfo
6. 2. 1. 1版本
本项描述了数字证书的版本号 数字证书应使用版本3(对应的数值是整数“2”)
图1数字证书基本结构示意图
6. 2. 1. 2序列号
本项是证书签发管理系统分配给每个证书的一个正整数,一个证书签发管理系统签发的每张证书的 列号必须是唯一的(通过颁发者的名字和序列号就可以唯一地确定一张证书),证书签发管理系统必 呆证序列号是非负整数。 证书更新时序列号须改变。 a 机构证书、人员证书、设备证书的序列号规则一致,证书序列号的长度为16个16进制数字, 序列号编码规则如下: 证书序列号(16位)=CA编号(2)+RA编号(6)+顺序号(8) 其中,CA编号编码规则为“CA+行政区划前4位”,RA编号编码规则为“RA+行政区划 (6位)”,顺序号可从1开始依次累加。 例如:某一证书序列号是:1034000000316098。前2位“10”代表部CA系统,第3位到8位 “340000”代表安徽省RA,最后8位“00316098”代表证书的顺序号。 b)持卡人证书序列号的长度为32个16进制数字,序列号编码规则如下: 持卡人证书序列号(32位)=证书类型编号(2)+发卡地行政区划代码(6)+CA编号(2) +随机数(22) 其中,发卡地行政区划代码遵循《社会保障卡发行地区行政区划代码》,CA编号CA编号编 码规则为“CA+行政区划前4位”。 例如:某一证书序列号是:10341000347517737135237362193813。前2位“10”代表签名证书, 第3位到8位“341000”代表安徽省黄山市,第9位到10位“34”代表安徽省,最后22位 “7517737135237362193813”代表证书的随机号
6. 2. 1. 3签名算法
本项包含CA签发该证书所使用的密码算法的标识符,这个算法标识符必须与证 gnatureAlgorithm项的算法标识符相同,签名算法采用SM3withSM2。 签名算法应符合国家密码主管部门对密码算法的规定,并根据国家密码主管部门批准的最新算 调整。
6. 2. 1. 4颁发者
本项标识了证书签名和证书颁发的实体。它必须包含一个非空的可辨别名(DN)。该项被定义为 Name类型,其ASN.1的结构如下: Name:=CHOICERDNSequence) RDNSequence:=SEQUENCEOFRelativeDistinguishedName RelativeDistinguishedName :=SET OFAttributeTypeAndValue AttributeTypeAndValue ::=SEQUENCE typeAttributeType, valueAttributeValue AttributeType ::=OBJECTIDENTIFIER AttributeValue :=ANYDEFINEDBYAttributeType DirectoryString := CHOICE { teletexString TeletexString (SIZE (1..MAX), printableString PrintableString (SIZE (1..MAX)), universalString UniversalString (SIZE (1..MAX), utf8String UTF8String (SIZE (1..MAX)), bmpString BMPString (SIZE (1..MAX)))
Name描述了一些属性组成的层次结构的名称,如国家名、相应的值,如“C=CN”。颁发者可辨 别名的C(Country)属性的编码使用PrintableString。其它属性的编码一律使用UTF8String。 各项编码规范如表1所示,
表 1颁发者 DN编码规
6. 2. 1. 5 有效期
本项是指一个时间段,在这个时间段内,证书签发管理系统担保它将维护关于证书状态的信息。该 项被表示成一个具有两个时间值的SEQUENCE类型数据:证书有效期的起始时间(notBefore)和证书 有效期的终止时间(notAfter)。NotBefore和NotAfter这两个时间都可以作为UTCTime类型或者 GeneralizedTime类型进行编码。 在本项中,UTCTime值必须用格林威治标准时间表示,并且必须包含秒,即使秒的数值为零(即 时间格式为YYMMDDHHMMSSZ)。系统对年字段(YY)应解释为20YY。 GeneralizedTime字段能包含一个本地和格林威治标准时间之间的时间差。GeneralizedTime值必须 用格林威治标准时间表示,且必须包含秒,即使秒的数值为零(即时间格式为 YYYYMMDDHHMMSSZ)。GeneralizedTime值绝不能包含小数秒(fractionalseconds)。 CA证书的有效期最长为20年
6. 2. 1. 6主体
本项描述了与主体公钥项中的公钥相对应的实体。主体名称可以出现在主体项和/或主体替换名称 扩展项中(SubjectAltName)。如果主体是一个CA,那么主体项必须是一个非空的与颁发者项的内容 相匹配的甄别名称(DistinguishedName),一个CA认证的每个主体实体的甄别名称必须是唯一的。 个CA可以为同一个主体实体以相同的甄别名称签发多个证书。 该项不能为空
.2.1.7主体公钥信息
本项用来标识公钥和相应的公钥算法。公钥算法使用算法标识符AlgorithmIdentifier结构来表示, 公钥算法采用SM2椭圆曲线公钥密码算法。
6. 2. 2 扩展域
方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的和非关键性 的。一个扩展含有三部分,它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度(extensior criticality)告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果不能识别关键的扩 展时,必须拒绝接受该证书,如果不能识别非关键的扩展,则可以忽略该扩展项的信息。 证书扩展域结构如图2所示
a) 密钥用法 KeyUsage b) 主体密钥标识符 SubjectKeyldentifier c) 颁发机构密钥标识符 AuthorityKeyldentifier d) 证书策略 CertificatePolicies e) 实体唯一标识 SubjectUniqueID 注:对于CA证书,可以不签发实体唯一标识:对于终端
6. 2. 2. 1 密钥用法
已认证的公开密钥 OBJECTIDENTIF T STRING digitalSignature nonRepudiation keyEncipherment dataEncipherment keyAgreement keyCertSign cRLSign encipherOnly decipherOnly
OBJECT IDENTI T STRING digitalSignature nonRepudiation keyEncipherment dataEncipherment keyAgreement keyCertSign cRLSign encipherOnly decipherOnly
所有的CA证书必须包括本扩展,而且必须包含keyCertSign这一用法。用户证书则根据证书人 为签名证书和加密证书,选择对应的密钥用途进行签发。此扩展可以定义为关键的或非关键的, 颁发者选择
6.2.2.2主体密钥标识符
对于使用密钥标识符的主体的各个密钥标识符而言,每一个密钥标识符均应是唯一的。CA签发证 书时必须把CA证书中本扩展的值赋给终端实体证书的AuthorityKeyldentifier扩展中的Keyldentifier项。 CA证书的主体密钥标识符应从公钥中或者生成唯一值的方法中导出。终端实体证书的主体密钥标识符 应从公钥中导出。 所有的CA证书必须包括本扩展,此扩展项总是非关键的
6.2.2.3颁发机构密钥标识符
本项提供了一种方式,以识别与证书签名私钥相应的公钥。当颁发者由于有多个密钥共存或由于发 生变化而具有多个签名密钥时使用该扩展。识别可基于颁发者证书中的主体密钥标识符或基于颁发者的 名称和序列号。 相应CA产生的所有证书应包括AuthorityKeyldentifier扩展的Keyldentifier项,以便于链的建立。 本项既可用作证书扩展亦可用作CRL扩展。本项标识用来验证在证书或CRL上签名的公开密钥。它 能辨别同一CA使用的不同密钥(例如惠州市润宇豪庭商住楼建筑工程施工组织设计,在密钥更新发生时)
6. 2.2. 4 证书策略
本项包含了一系列策略信息条目,每个条目都有一个OID和一个可选的限定条件。这个可选的限 定条件不能改变策略的定义。 在用户证书中,这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的;在CA证书 中,这些策略条目指定了包含这个证书的验证路径的策略集合。具有特定策略需求的应用系统应该拥有 它们将接受的策略的列表,并把证书中的策略OID与该列表进行比较。如果该扩展是关键的,则路径有 效性软件必须能够解释该扩展(包括选择性限定语),否则必须拒绝该证书。 数字证书是否包括本扩展为可选的,是否为关键项也是可选的,
6. 2.2. 5 实体唯一标识
证书类型与证件类型代
建筑场地强夯施工组织设计6.2.2.6社会保障号码标识
本项是代表持卡人证书持有者身份的编码,采用社会保障号码经SM3算法运算后的哈希值作 保障号码标识。
本项是持卡人证书持有者所持有的社会保障卡卡号