GM/T 0043-2015 数字证书互操作检测规范在线下载,免费下载

犐犆犛３５．０４０犔８０： — 备案号４９７４２２０１５中华人民共和国密码行业标准犌犕／犜００４３—２０１５数字证书互操作检测规范犜犲狊狋狊狆犲犮犻犳犻犮犪狋犻狅狀犳狅狉犱犻犵犻狋犪犾犮犲狉狋犻犳犻犮犪狋犲犻狀狋犲狉狅狆犲狉犪犫犻犾犻狋狔２０１５０４０１发布２０１５０４０１实施国家密码管理局发布犌犕犜００４３２０１５ — ／中华人民共和国密码行业标准数字证书互操作检测规范ＧＭ／Ｔ００４３—２０１５  中国标准出版社出版发行北京市朝阳区和平里西街甲２号（１０００２９）北京市西城区三里河北街１６号（１０００４５）网址ｗｗｗ．ｓｐｃ．ｎｅｔ．ｃｎ总编室：（０１０）６８５３３５３３　发行中心：（０１０）５１７８０２３８读者服务部：（０１０）６８５２３９４６中国标准出版社秦皇岛印刷厂印刷各地新华书店经销  开本８８０×１２３０１／１６　印张１　字数１８千字２０１５年７月第一版　２０１５年７月第一次印刷  书号：１５５０６６·２２８７９０　定价１８．００元　如有印装差错由本社发行中心调换版权专有侵权必究举报电话　：（０１０）６８５１０１０７犌犕／犜００４３—２０１５目　　次前言 ………………………………………………………………………………………………………… Ⅲ １　范围 ……………………………………………………………………………………………………… １２　规范性引用文件 ………………………………………………………………………………………… １３　术语和定义 ……………………………………………………………………………………………… １４　符号和缩略语 …………………………………………………………………………………………… ２５　送检技术文档要求 ……………………………………………………………………………………… ２６　检测内容 ………………………………………………………………………………………………… ３　６．１　入根检测 …………………………………………………………………………………………… ３　６．２　数字证书和ＣＲＬ格式符合性检测 ………………………………………………………………… ３　６．３　数字证书互操作检测 ……………………………………………………………………………… ５７　检测方法 ………………………………………………………………………………………………… ５　７．１　入根检测 …………………………………………………………………………………………… ５　７．２　数字证书和ＣＲＬ格式符合性检测 ………………………………………………………………… ６　７．３　数字证书互操作检测 ……………………………………………………………………………… ６８　合格判定 ………………………………………………………………………………………………… ７附录Ａ（资料性附录）　ＣＡ证书申请文件ＡＳＮ．１结构 ………………………………………………… ８ Ⅰ 犌犕／犜００４３—２０１５前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由密码行业标准化技术委员会提出并归口。本标准起草单位：国家密码管理局商用密码检测中心、中金金融认证中心有限公司、卓望数码技术（深圳）有限公司、北京数字认证股份有限公司、长春吉大正元信息技术股份有限公司、上海格尔软件股份有限公司、北京国富安电子商务安全认证有限公司。本标准主要起草人：李大为、赵宇、李志伟、罗干生、薛迎俊、邓开勇、周笔、田敏求、李冬、肖秋林、韩亚宁、谭武征、李丽仙、霍云、商晋、赵丽丽、常玉明。 Ⅲ 犌犕／犜００４３—２０１５数字证书互操作检测规范１　范围本标准依据ＧＭ／Ｔ００１５和ＧＭ／Ｔ００３４的要求规定了数字证书互操作的检测内容与检测方法。本标准适用于证书认证系统签发的数字证书的检测。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ１６２６４．８—２００５　信息技术　开放系统互连　目录　第８部分：公钥和属性证书框架ＧＭ／Ｔ０００６　密码应用标识规范ＧＭ／Ｔ０００９　ＳＭ２密码算法使用规范ＧＭ／Ｔ００１５　基于ＳＭ２密码算法的数字证书格式规范ＧＭ／Ｔ００１６　智能密码钥匙密码应用接口规范ＧＭ／Ｔ００３４　基于ＳＭ２密码算法的证书认证系统密码及其相关安全技术规范ＧＭ／Ｚ４００１　密码术语ＰＫＣＳ＃１０（ｖ１．７）　ＣｅｒｔｉｆｉｃａｔｉｏｎＲｅｑｕｅｓｔＳｙｎｔａｘＳｔａｎｄａｒｄ　认证请求语法标准３　术语和定义３．１３．２３．３３．４ＧＭ／Ｚ４００１所界定的以及下列术语和定义适用于本文件。证书认证系统　犮犲狉狋犻犳犻犮犪狋犲犪狌狋犺犲狀狋犻犮犪狋犻狅狀狊狔狊狋犲犿对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。证书认证机构　犮犲狉狋犻犳犻犮犪狋犻狅狀犪狌狋犺狅狉犻狋狔对数字证书进行全生命周期管理的实体。也称为电子认证服务机构。证书撤销列表　犮犲狉狋犻犳犻犮犪狋犲狉犲狏狅犮犪狋犻狅狀犾犻狊狋由证书认证机构（ＣＡ）签发并发布的被撤销证书的列表。数字证书　犱犻犵犻狋犪犾犮犲狉狋犻犳犻犮犪狋犲也称公钥证书，由证书认证机构（ＣＡ）签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书，按用途可分为签名证书和加密证书。３．５根犆犃　狉狅狅狋犆犃整个国家ＰＫＩ信任体系的顶点，为运营ＣＡ签发ＣＡ证书，并对运营ＣＡ进行监督管理。１犌犕／犜００４３—２０１５３．６运营犆犃　狅狆犲狉犪狋犻狀犵犆犃国家根ＣＡ下所有提供第三方电子认证服务的ＣＡ。３．７犆犃证书　犆犃犮犲狉狋犻犳犻犮犪狋犲颁发给数字证书认证机构的证书。３．８终端实体证书　犲狀狋犻狋狔犮犲狉狋犻犳犻犮犪狋犲也称为用户证书，是由数字证书认证机构签发的个人证书、机构证书、设备证书等。４　符号和缩略语下列缩略语适用于本文件。ＣＡ　证书认证机构（ＣｅｒｔｉｆｉｃａｔｉｏｎＡｕｔｈｏｒｉｔｙ）ＣＲＬ　证书撤销列表（ＣｅｒｔｉｆｉｃａｔｅＲｅｖｏｃａｔｉｏｎＬｉｓｔ）ＤＮ　甄别名（ＤｉｓｔｉｎｇｕｉｓｈｅｄＮａｍｅ）ＯＩＤ　对象标识符（ＯｂｊｅｃｔＩｄｅｎｔｉｆｙ）ＰＫＣＳ　公钥密码格式标准（ＰｕｂｌｉｃＫｅｙＣｒｙｐｔｏｇｒａｐｈｙＳｔａｎｄａｒｄｓ）ＰＫＩ　公钥基础设施（ＰｕｂｌｉｃＫｅｙＩｎｆｒａｓｔｒｕｃｔｕｒｅ）ＲＡ　证书注册机构（ＲｅｇｉｓｔｒａｔｉｏｎＡｕｔｈｏｒｉｔｙ）ＵＲＬ　统一资源定位符（ＵｎｉｆｏｒｍＲｅｓｏｕｒｃｅＬｏｃａｔｏｒ）５　送检技术文档要求送检单位提交的文档资料应包含但不限于以下内容：ａ）　证书认证系统ＣＡ证书申请数据文件（数字证书制作数据，以光盘形式提交）。ｂ）　证书认证系统结构说明：１）　以结构图的形式，说明整个证书认证系统的框架结构，包括证书认证系统的各子系统的构成、各子系统的功能和各子系统的实现原理，并附以详细的文字说明；２）　以拓扑图的形式，说明整个证书认证系统硬件系统结构情况，并附以详细的文字说明；３）　详细描述证书认证系统的安全机制、密码体制，以及密钥使用情况。ｃ）　证书认证系统签发数字证书说明：１）　描述证书认证系统签发数字证书的机制和签发的数字证书种类，说明各类数字证书的格式和应用范围；２）　证书认证系统签发的数字证书的使用说明。ｄ）　证书认证系统发布子系统说明：详细描述发布子系统的结构、部署，数字证书和数字证书注销列表的发布方式和策略。ｅ）　证书认证系统使用密码算法的清单。２犌犕／犜００４３—２０１５６　检测内容６．１　入根检测６．１．１　犆犃证书申请功能检测运营ＣＡ的证书认证系统（以下简称“ＣＡ系统”）应具备ＣＡ证书申请功能，其内容应包括：ａ）　产生证书申请文件，应可以在申请时输入可甄别名（ＤＮ）中的相关信息；ｂ）　将申请文件导出。６．１．２　犆犃证书申请文件符合性检测ＣＡ证书申请文件应符合以下要求：ａ）　符合ＰＫＣＳ＃１０格式要求，申请文件内容由申请信息、签名算法标识和对申请信息的数字签名组成。其中申请信息由可甄别名（ＤＮ）、公钥和其他属性组成。申请文件的结构描述参见附录Ａ。ｂ）　ＣＡ证书申请文件应使用ＳＭ２算法，涉及ＳＭ２算法的公钥和签名部分应符合ＧＭ／Ｔ０００９的要求，其中相关算法标识符合ＧＭ／Ｔ０００６的要求。其中包括：１）　签名算法ＯＩＤ应为１．２．１５６．１０１９７．１．５０１；２）　ＤＮ项及编码要求，对于运营ＣＡ使用的证书中ＤＮ项的构造顺序（以Ｗｉｎｄｏｗｓ系统下所看到证书的ＤＮ顺序为准）、编码格式应符合如下要求： ——— 最后一项必须是Ｃ＝ＣＮ； ——— 如果有ＣＮ项，需要放在ＤＮ的最前面； ——— 其他项按照从小到大的顺序排列：如同时存在ＯＵ和Ｏ项，ＯＵ在Ｏ之前，同时存在Ｓ和Ｌ项，Ｌ在Ｓ前面； ———Ｃ项应使用ＰｒｉｎｔａｂｌｅＳｔｒｉｎｇ编码； ——— 如果存在Ｅ项，应采用ＩＡ５Ｓｔｒｉｎｇ编码； ——— 未做约定的其他项，应采用ＵＴＦ８Ｓｔｒｉｎｇ编码。ｃ）　应能成功验证ＣＡ证书申请文件中的签名值。６．１．３　犆犃证书导入功能检测运营ＣＡ的ＣＡ系统应支持将根ＣＡ签发出的ＣＡ证书导入至系统中。６．１．４　入根后签发功能检测入根后的ＣＡ系统应具备证书签发等功能，其中包括：ａ）　签发用户证书，应能使用根ＣＡ签发的二级ＣＡ