MH 0045.2-2013 民航电子政务数字证书服务及技术规范 第2部分：数字证书模板

'ICS35.040L71MH中华人民共和国民用航空行业标准MH/T0045.2—2013民航电子政务数字证书服务及技术规范第2部分：数字证书模板SpecificationsforCAACe-governmentdigitalcertificateserviceandtechniquePart2：Digitalcertificatetemplate2013–11–11发布2014–03–01实施中国民用航空局发布 MH/T0045.2—2013前言MH/T0045《民航电子政务数字证书服务及技术规范》分为四个部分：——第1部分：服务；——第2部分：数字证书模板；——第3部分：USBKey介质；——第4部分：证书应用集成。本部分为第2部分。本部分按照GB/T1.1-2009给出的规则起草。本部分由中国民用航空局综合司提出。本部分由中国民用航空局航空器适航审定司批准立项。本部分由中国民航科学技术研究院归口。本部分起草单位：中国民用航空局信息中心、北京数字认证股份有限公司。本部分主要起草人：胡东宏、张威、宋晨、于飞、于清洋。I MH/T0045.2—2013民航电子政务数字证书服务及技术规范第2部分：数字证书模板1范围MH/T0045的本部分规定了民航各级行政机关在开展经济运行、安全监管等政务活动中所使用的数字证书的基本格式要求，并给出了数字证书的模板。民航电子政务内网数字证书有关要求不在本部分内涉及。本部分适用于民航电子政务数字证书的管理方和服务提供方。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20518信息安全技术公钥基础设施数字证书格式GM/Z0001密码术语GM/T0015基于SM2密码算法的数字证书格式规范MH/T0045.1民航电子政务数字证书服务及技术规范第1部分服务3术语和定义GB/T20518、GM/Z0001、GM/T0015和MH/T0045.1界定的的术语定义适用于本文件。4缩略语下列缩略语适用于MH/T0045的本部分。CA认证机构(CertificationAuthority)CRL证书撤销列表(CertificateRevocationList)ASN抽象语法表示法（AbstractSyntaxNotation）DN甄别名（DistinguishedName）OID对象标识符（ObjectIdentifier）5数字证书基本格式5.1基本结构1 MH/T0045.2—2013数字证书的基本结构由三部分组成：基本证书域(TBSCertificate)、签名算法域(SignatureAlgorithm)、签名值域(SignatureValue)。其中，基本证书域由基本域和扩展域组成，如图1所示：基本域基本证书域扩展域数字证书签名算法域签名值域图1数字证书基本结构5.2基本证书域(TBSCertificate)5.2.1基本域5.2.1.1组成基本域由如下部分组成：a)版本（Version）；b)序列号（SerialNumber）；c)签名算法（SignatureAlgorithm）；d)颁发者（Issuer）；e)有效期（Validity)；f)主题（Subject)；g)主题公钥信息（SubjectPublicKeyInfo)；5.2.1.2版本描述了数字证书的版本号。MH/T0045的本部分本部分中数字证书应使用V3。5.2.1.3序列号CA系统分配给每个证书的一个正整数。一个CA系统签发的每张证书的序列号应是唯一的。序列号最长可为20个8位字节的序列号值。5.2.1.4签名算法包含CA签发该证书所使用的密码算法的标识符。算法标识符应与证书中SignatureAlgorithm项的算法标识符相同。签名算法应符合国家密码主管部门对密码算法的规定，并根据国家密码主管部门批准的最新算法及时调整，以适应国家最新技术标准要求。5.2.1.5颁发者标识了证书签名和证书颁发的实体。应包含一个非空的可甄别名。应被定义为X.500的Name类型。颁发者甄别名称（DistinguishedName，简称DN）的C（Country）属性的编码应使用PrintableString。Email属性的编码应使用IA5String。其他属性的编码应一律使用UTF8String。2 MH/T0045.2—2013证书颁发者DN编码规范如表1所示：表1证书颁发者DN编码规范表Name类型说明示例编码格式C国家CNPrintableStringO颁发机构名称xxCAUTF8String机构名称，可以是信任体系的OUxxCA-1UTF8String名称CN颁发机构通用名xxCAUTF8String5.2.1.6有效期一个时间段，在这个时间段内，CA系统担保它将维护关于证书状态的信息。该项被表示成一个具有两个时间值的SEQUENCE类型数据：证书有效期的起始时间（notBefore）和证书有效期的终止时间（notAfter）。数字证书有效期的NotBefore和NotAfter这两个时间应采用GeneralizedTime类型进行编码。GeneralizedTime字段包含一个本地和格林威治标准时间之间的时间差。GeneralizedTime值应用格林威治标准时间表示，且包含秒（即时间格式为YYYYMMDDHHMMSSZ）。5.2.1.7主题与主题公钥项中的公钥相对应的实体。主题名称可以出现在主题项或主题替换名称扩展项中（SubjectAltName）。如果主题是一个CA，那么主题项应与其签发的所有证书的颁发者相同，一个CA认证的每个证书持有者的甄别名称应是唯一的。一个CA可以为同一个证书持有者以相同的甄别名称签发多个证书。该项不应为空。5.2.1.8主题公钥信息用于标识公钥和相应的公钥算法。公钥算法使用算法标识符AlgorithmIdentifier结构来表示。5.2.2扩展域5.2.2.1概述MH/T0045的本部分定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及证书结构的管理方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的和非关键性的。一个扩展含有三部分，它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度（extensioncriticality）告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果不能识别关键的扩展时，应拒绝接受该证书，如果不能识别非关键的扩展，则可以忽略该扩展项的信息。5.2.2.2扩展域结构证书扩展域可有多个扩展项，每个扩展项包括扩展类型、扩展关键和扩展项值三部分，结构如图2所示：3 MH/T0045.2—2013扩展类型扩展项1扩展关键扩展项2扩展项值扩展域扩展项3……扩展项n图2扩展域构成本部分定义了一些标准的扩展项，遵循本规范的程序应能识别以下扩展项：a)密钥用法（KeyUsage）；b)主题密钥标识符（SubjectKeyIdentifier）；c)颁发机构密钥标识符（AuthorityKeyIdentifier）；d)证书策略（CertificatePolicies）；e)唯一标识符（用户证书应签发证书唯一标识扩展项）。5.2.2.3密钥用法本项说明已认证的公开密钥用于何种用途。所有证书应具有密钥用法扩展项。密钥用法定义：id-ce-keyUsageOBJECTIDENTIFIER::={id-ce15}KeyUsage::=BITSTRING{digitalSignature(0)，nonRepudiation(1)，keyEncipherment(2)，dataEncipherment(3)，keyAgreement(4)，keyCertSign(5)，cRLSign(6)，encipherOnly(7)，decipherOnly(8)}所有的CA证书应包括本扩展，而且应包含keyCertSign这一密钥用途。用户证书则根据证书用途，分“签名”证书和“加密”证书，选择对应的密钥用途进行签发。此扩展可定义为关键的或非关键的。5.2.2.4主题密钥标识符本项提供一种识别包含有一个特定公钥的证书的方法。此扩展标识了被认证的公开密钥，它能够区分同一主题使用的不同密钥。对于使用密钥标识符主题的各个密钥标识符而言，每一个密钥标识符均应是唯一的。CA签发证书时应把CA证书中本扩展的值赋给终端实体证书AuthorityKeyIdentifier扩展中的KeyIdentifier项。CA4 MH/T0045.2—2013证书的主题密钥标识符应从公钥中或者生成唯一值的方法中导出。终端实体证书的主题密钥标识符应从公钥中导出。所有的CA证书应包括本扩展，此扩展项为非关键项。5.2.2.5颁发机构密钥标识符机构密钥标识符扩展提供了一种方式，以识别与证书签名私钥相对应的公钥。当发起方由于有多个密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。识别可基于发起方证书中的主题密钥标识符或基于发起方的名称和序列号。相应CA产生的所有证书应包括authorityKeyIdentifier扩展的keyIdentifier项，以便于证书信任链的建立。CA以“自签”（self-signed）证书形式发放其公钥时，可以省略认证机构密钥标识符。此时，主题和认证机构密钥标识符是完全相同的。本项既可用作证书扩展亦可用作CRL扩展。本项标识用来验证在证书或CRL上签名的公开密钥。它能辨别同一CA使用的不同密钥（例如，在密钥更新发生时）。5.2.2.6证书策略本项包含了一系列策略信息条目，每个条目都有一个OID和一个可选的限定条件。在用户证书中，这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的；在CA证书中，这些策略条目指定了包含这个证书的验证路径的策略集合。数字证书是否包括本扩展为可选的，是否为关键项也是可选的。5.2.2.7唯一标识符单位证书中应具有实体唯一标识符，用于区分辨别名相同的数字证书，实体唯一标识的OID由证书认证机构自行申请和定义。本部分中对单位数字证书的唯一标识符的编码规范如下：实体唯一标识符=证书实体编号（变长）+“@”+证件类型代码（2位）+证件号码（变长）其中，证书实体编号是一个证书实体的证书序号，同一个实体申请多个证书时，证书实体编号应不同，以便于区分不同的证书。证书类型和号码类型的代码如表2所示。表2证书类型与证件类型代码对应证书类型办理证书时可使用的证件名称证件类型代码单位证书组织机构代码、工商营业执照、税务登记证、其他JJ、GS、SW、QT个人证书身份证、军官证、护照、回乡证、其他SF、JR、HZ、HX、QT设备证书组织机构代码、工商营业执照、税务登记证、其他JJ、GS、SW、QT其他证书组织机构代码、工商营业执照、税务登记证、其他JJ、GS、SW、QT用户根据不同的证书类型，应提供不同的证件办理数字证书。实体唯一标识项数据的总长度不应超过128字节，唯一标识属性的编码应使用UTF8String。对于终端实体证书，该扩展项应签发，该项应为非关键扩展项。5.3签名算法域(SignatureAlgorithm)证书中的签名算法应使用国家密码管理主管部门审核批准的相关算法。5 MH/T0045.2—20135.4签名值域(SignatureValue)本项包含对基本证书域进行数字签名的结果。经ASN.1DER编码的基本证书域作为数字签名算法的输入，签名的结果按照ASN.1编码成BITSTRING类型并保存在签名值域。5.5命名规范数字证书中的主题DN命名规范为：a)C（Country）应为证书持有者所在国家；b)S（State）应为证书持有者所在省份；c)L（Location）应为证书持有者所在地市州；d)O（Organization）应为证书持有者所属单位的上一级单位的名称全称；e)OU（OrganizationUnit）应为证书持有者或者证书持有者所属单位的名称全称；f)CN（CommonName）中的内容分为四种：1)个人证书中应为证书持有者的姓名；2)机构证书中应为证书持有者单位的名称；3)设备证书中应为证书持有者设备的设备编码、服务器地址、IP或通用名；4)代码签名证书中应为负责人的姓名，或者是所属单位的名称。证书主题DN命名示例参见附录A。6数字证书模板6.1个人数字证书模板个人数字证书模板见表3：表3个人数字证书模板证书域名含义说明字段内容（示例）Version版本号证书版本号V3SerialNumber序列号由颁发机构指定证书序列号Signature签名算法遵循国家密码主管部门的要求sha1RSAC国家CNO单位BJCAIssuer颁发者OU部门PublicTrustCACN二级CA通用名PublicTrustCA-1notBefor有效期起始日期签发日期,年月日+时分秒eValidity有效期限起始日期+有效期,年月日+时notAfter有效期终止日期分秒C国家CNSubject主题S省份持证人所在省份，如：北京L城市持证人所在城市，如：北京6 MH/T0045.2—2013表3(续)证书域名含义说明字段内容（示例）O用户单位/机构可选字段OU部门名称，可多级可选字段Subject主题CN用户姓名张三Email电子邮件（可选字段）SubjectPublicKey主题公钥信息遵循国家密码主管部门的要求公钥InformationBasicConstrain基本限制表示证书持有者是否是认证结点遵循国家密码主管部门的要求ts个人签名证书密钥用法（KeyUsage）扩展域子项为：数字签名（digitalSignature）不可否认（nonRepudiation）KeyUsage密钥用法详细定义见密钥用法keyUsage个人加密证书密钥用法（KeyUsage）扩展域子项为：密钥加密（keyEncipherment）数据加密（dataEncipherment）ExtendedKeyUsa增强型密钥用法，包括扩展域：增强型密钥用法遵循国家密码主管部门的要求ge客户端认证（clientAuth）AuthorityKeyId颁发机构密钥标详细定义见机构密钥标识符扩颁发机构公钥的hash值entifier识符authorityKeyIdentifier展CRLDistributio证书撤销列表分域CRL发布点，可以为多个值遵循国家密码主管部门的要求nPoints发点AuthorityInfoA颁发机构信息访颁发机构的信息URL，可以为多个值遵循国家密码主管部门的要求ccess问SubjectKeyIden主题密钥标识符本证书公钥的hash值遵循国家密码主管部门的要求tifier个人用户身份标自定义扩展项用户证件类型和证件号码1.2.86.11.7.1识政务个人证书实自定义扩展项1.2.86.11.7.8体唯一标识符该域包含CA系统颁发该证书所使SignatureAlgorithm遵循国家密码主管部门的要求用的密码算法标识符Issuer’sSignature签名值颁发机构对证书基本信息的数字签名数字签名值7 MH/T0045.2—20136.2机构证书模板机构数字证书模板如表4所示：表4机构数字证书模板证书域名含义说明字段内容（示例）Version版本号证书版本号V3SerialNumber序列号由颁发机构指定证书序列号Signature签名算法符合国家标准sha1RSAC国家CNO单位BJCAIssuer颁发者OU部门PublicTrustCACN二级CA通用名PublicTrustCA-1notBefor有效期起始日期签发日期,年月日+时分秒Validity有效期限enotAfter有效期终止日期起始日期+有效期,年月日+时分秒C国家CNS省份持证人所在省份，如：北京L城市持证人所在城市，如：北京Subject主题O用户单位或机构可选字段OU部门名称，可多级可选字段CN单位名称全称具体根据实际机构名称填写Email电子邮件（可选字段）SubjectPublicKey公钥包括加密算法及公钥值遵循国家密码主管部门的要求Information表示证书持有者是否是认证BasicConstraints基本限制遵循国家密码主管部门的要求结点机构签名证书密钥用法（KeyUsage）扩展域子项为：扩数字签名展（digitalSignature）域不可否认（nonRepudiation）KeyUsage密钥用法密钥协商（keyagreement）详细定义见密钥用法keyUsage密钥加密（keyEncipherment）（KeyUsage）扩展域子项为：密钥加密（keyEncipherment）数据加密（dataEncipherment）8 MH/T0045.2—2013表4(续)证书域名含义说明字段内容（示例）ExtendedKeyUsa增强型密钥用增强型密钥用法，包括扩展遵循国家密码主管部门的要求ge法域：客户端认证（clientAuth）AuthorityKeyIden颁发机构密钥详细定义见机构密钥标识符颁发机构公钥的hash值tifier标识符authorityKeyIdentifierCRLDistributionP证书撤销列表CRL发布点，可以为多个值遵循国家密码主管部门的要求扩oints分发点展AuthorityInfoA颁发机构信息颁发机构的信息URL，可以为遵循国家密码主管部门的要求域ccess访问多个值SubjectKeyIden主题密钥标识本证书公钥的hash值遵循国家密码主管部门的要求tifier符1.2.86.11.7.3机构身份标识自定义扩展项用户证件类型和证件号码政务机构证书自定义扩展项1.2.86.11.7.9实体唯一标识符该域包含CA系统颁发该证书遵循国家密码主管部门的要SignatureAlgorithm所使用的密码求算法标识符颁发机构对证书基本信息的Issuer’sSignature签名值数字签名值数字签名6.3设备证书模板设备数字证书模板如表5所示：表5设备数字证书模板证书域名含义说明字段内容（示例）Version版本号证书版本号V3SerialNumber序列号由颁发机构指定证书序列号Signature签名算法符合国家标准sha1RSAC国家CNIssuer颁发者O单位BJCAOU部门PublicTrustCA9 MH/T0045.2—2013表5(续)证书域名含义说明字段内容（示例）CN二级CA通用名PublicTrustCA-1Validity有效期限notBefore有效期起始日期签发日期,年月日+时分秒notAfter有效期终止日期起始日期+有效期,年月日+时分秒C国家CNSubject主题S省份持证人所在省份，如：北京L城市持证人所在城市，如：北京O用户单位/机构可选字段OU部门名称，可多级可选字段Subject主题服务器MAC地址例如：ca.caac.gov.cnCN/IP/名称或域名根据实际的名称填写SubjectPublicKey公钥包括加密算法及公钥值遵循国家密码主管部门的要求InformationBasicConstraints基本限制该证书持有者是否是认证结点遵循国家密码主管部门的要求密钥用法（KeyUsage）扩展域子项为：数字签名（digitalSignature）KeyUsage密钥用法不可否认（nonRepudiation）详细定义见密钥用法keyUsage密钥协商（keyagreement）密钥加密（keyEncipherment）数据加密（dataEncipherment）增强型密钥增强型密钥用法，包括扩展域：ExtendedKeyUsage遵循国家密码主管部门的要求用法服务端认证（serverAuth）AuthorityKeyIden颁发机构密详细定义见机构密钥标识符颁发机构公钥的hash值tifier钥标识符authorityKeyIdentifier扩CRLDistributionP证书撤销列展CRL发布点，可以为多个值遵循国家密码主管部门的要求oints表分发点域AuthorityInfoAcc颁发机构信颁发机构的信息URL，可以为多遵循国家密码主管部门的要求ess息访问个值SubjectKeyIdenti主题密钥标本证书公钥的hash值遵循国家密码主管部门的要求fier识符机构身份标自定义扩展项用户证件类型和证件号码1.2.86.11.7.3识政务机构证自定义扩展项1.2.86.11.7.9书实体唯一标识符10 MH/T0045.2—2013表5(续)证书域名含义说明字段内容（示例）该域包含CA系统颁发该SignatureAlgorithm证书所使用遵循国家密码主管部门的要求的密码算法标识符颁发机构对证书基本信息的数Issuer’sSignature签名值数字签名值字签名6.4代码签名证书模板代码签名证书的模板如表6所示：表6代码签名证书证书域名含义说明字段内容（示例）Version版本号证书版本号V3SerialNumber序列号由颁发机构指定证书序列号Signature签名算法符合国家标准符合国家标准C国家CNO单位BJCAIssuer颁发者OU部门PublicTrustCACN二级CA通用名PublicTrustCA-1notBefore有效期起始日期签发日期,年月日+时分秒Validity有效期限notAfter有效期终止日期起始日期+有效期,年月日+时分秒C国家CNS省份持证人所在省份，如：北京L城市持证人所在城市，如：北京Subject主题O用户单位/机构可选字段OU部门名称，可多级可选字段例如：CN=运行保障处CN代码所属单位或个人具体可根据实际情况填写SubjectPublicKey公钥包括加密算法及公钥值遵循国家密码主管部门的要求Information11 MH/T0045.2—2013表6(续)证书域名含义说明字段内容（示例）BasicConstraints基本限制该证书持有者是否是认证结点遵循国家密码主管部门的要求密钥用法（KeyUsage）扩展域子项为：KeyUsage密钥用法详细定义见密钥用法keyUsage数字签名（digitalSignature）不可否认（nonRepudiation）增强型密钥增强型密钥用法，包括扩展域：ExtendedKeyUsage遵循国家密码主管部门的要求用法代码签名（codeSign）AuthorityKeyIdent颁发机构密详细定义见机构密钥标识符颁发机构公钥的hash值ifier钥标识符authorityKeyIdentifier扩展CRLDistributionPo证书撤销列CRL发布点，可以为多个值遵循国家密码主管部门的要求域ints表分发点AuthorityInfoAcce颁发机构信颁发机构的信息URL，可以为多遵循国家密码主管部门的要求ss息访问个值SubjectKeyIdentif主题密钥标本证书公钥的hash值遵循国家密码主管部门的要求ier识符机构身份标自定义扩展项用户证件类型和证件号码1.2.86.11.7.3识政务机构证自定义扩展项1.2.86.11.7.9书实体唯一标识符该域包含CA系统颁发该SignatureAlgorithm证书所使用遵循国家密码主管部门的要求的密码算法标识符颁发机构对证书基本信息的数Issuer’sSignature签名值数字签名值字签名6.5其他证书MH/T0045的本部分没有涉及到的特殊需求的证书类型，在不违背本规范中定义的证书基本要求的前提下，根据业务的实际要求进行扩展定义。12 MH/T0045.2—2013AA附录A（资料性附录）证书主题DN命名示例A.1个人证书主题DN示例个人证书主题DN命名示例适用于内部工作人员证书和外部个人证书，DN命名示例如下:C=CNS=北京市（省/直辖市，可选项）L=北京市（市/地区，可选项）O=民航局信息中心（单位名称，可选项）OU=某某部门（部门名称，可选项）CN=张三（个人姓名，必填项）E=zhangsan@caac.gov.cn(电子邮件,可选)A.2单位证书主题DN示例单位证书主题DN命名示例适用于民航各级单位，DN命名示例如下:C=CNS=四川省（省/直辖市，可选项）L=成都市（市/地区，可选项）O=西南地区管理局（单位名称，可选项）OU=运行保障部（部门名称，可选项）CN=西南地区管理局运行保障部（单位名称，必填项）A.3设备证书主题DN示例设备证书主题DN命名示例适用于内部设备证书和外部设备证书，DN命名示例如下:C=CNS=新疆维吾尔族自治区（省/直辖市，可选项）L=乌鲁木齐市（市/地区，可选项）O=新疆管理局（单位名称，可选项）OU=某某部门（部门名称，可选项）CN=设备名称/MAC地址/IP地址/域名（设备名称，必填项）A.4代码签名证书主题DN示例代码签名证书主题DN命名示例适用于机构或者个人，DN命名示例如下:C=CNS=北京市（省/直辖市，可选项）13 MH/T0045.2—2013L=北京市（市/地区，可选项）O=某某单位（单位名称，可选项）OU=某某部门（部门名称，可选项）CN=代码发布机构名称/个人姓名（代码签名主题，必填项）_________________________________14'