中华人民共和国密码行业标准
GM/T0043-2024代替GM/T0043-2015
数字证书互操作检测规范
Test specification for digital certificate interoperability
国家密码管理局 发布
目次
前言1范围2规范性引用文件3术语和定义4缩略语5送检技术文档要求6检测内容6.1人根检测 6.2数字证书和CRL格式符合性检测6.3数字证书互操作检测7检测方法7.1人根检测7.2数字证书和CRL格式符合性检测7.3数字证书互操作检测8判定规则
前言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
本文件代替GM/T0043-2015(数字证书互操作检测规范》,与GM/T0043-2015相比,除结构调整和编辑性改动外,主要技术变化如下:
增加了OCSP符合性检测内容(见6.2.4);
更改了终端实体证书中应存在密钥用法扩展域的描述(见6.2.2,2015年版的6.2.2);
增加了对“基本限制”项的检测内容(见6.3.1):
增加了OCSP符合性检测方法(见7.2.4).
请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任.
本文件由密码行业标准化技术委员会提出并归口.
本文件起草单位:商用密码检测认证中心、格尔软件股份有限公司、北京数字认证股份有限公司、北京国富安电子商务安全认证有限公司、中金金融认证中心有限公司、卓望数码技术(深圳)有限公司、长春吉大正元信息技术股份有限公司.
本文件主要起草人:张立花、肖秋林、郑强、商晋、王小飞、张绍博、谢宗晓、黄福飞、王巍、丁肇伟
本文件及其所代替文件的历次版本发布情况为:
2015年首次发布为GM/T0043-2015;
本次为第一次修订.
数字证书互操作检测规范
1范围
本文件规定了数字证书互操作的送检技术文档要求、检测内容、检测方法以及判定规则.本文件适用于对数字证书互操作检测进行指导.
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于 本文件.
GB/T19713网络安全技术公钥基础设施在线证书状态协议GM/T0006密码应用标识规范GM/T0015-2023数字证书格式 GM/T0009SM2密码算法使用规范GM/T0016智能密码钥匙密码应用接口规范GM/T0018密码设备应用接口规范GM/T0034基于SM2密码算法的证书认证系统密码及其相关安全技术规范GM/T0092基于SM2算法的证书申请语法规范 GM/Z4001密码术语
3术语和定义
GM/T0034、GM/T0015-2023和GM/Z4001界定的以及下列术语和定义适用于本文件.
3. 1
整个国家PKI信任体系的顶点.注:为证书认证机构签发CA证书,并对接人国家根CA的证书认证机构进行监督管理.
证书互操作digital certificate interoperability
两个以上(含)证书实体之间进行加解密或签名验签的一种能力.
4缩略语
下列缩略语适用于本文件.CA:证书认证机构(Certification Authority)CRL:证书撤销列表(Certificate Revocation List)OCSP:在线证书状态协议(Online certificate status protocol) DN ;可辨别名(Distinguished Name)
OID:对象标识符(ObjectIdentify)PK1:公钥基础设施(Public Key Infrastructure)URL:统一资源定位符(Uniform Resource Locator)
5送检技术文档要求
证书认证机构提交的文档资料应包含但不限于以下内容.
a)CA证书申请数据文件.b)证书认证机构的证书认证系统(以下简称"CA系统")结构说明:1)以结构图的形式,说明整个CA系统的框架结构包括CA系统的各子系统的构成、各子 系统的功能和各子系统的实现原理,并附以详细的文字说明:2)以拓扑图的形式,说明整个CA系统硬件系统结构情况,并附以详细的文字说明;3)详细描述CA系统的安全机制、密码体制,以及密钥使用情况.c)CA系统签发数字证书说明: 1)描述CA系统签发数字证书的机制和签发的数字证书种类,说明各类数字证书的格式;2)说明CA系统签发的各类数字证书的应用范围.d)CA系统发布子系统说明:详细描述发布子系统的结构、部署方式,数字证书和数字证书注销列表的发布方式和策略.e)CA系统使用密码算法的清单.
6检测内容
6.1入根检测
6.1.1CA证书申请功能
CA系统应具备CA证书申请功能,其内容应包括:a)产生证书申请文件,应可以在申请时输人可辨别名(DN)中的相关信息:b)将申请文件导出.
6.1.2CA证书申请文件符合性
CA证书申请文件应符合以下要求.a)应符合GM/T0092格式要求,申请文件内容由申请信息、签名算法标识和对申请信息的数字签名组成.其中申请信息由可辨别名(DN),公钥和其他属性组成.申请文件的结构描述应符 合GM/T0092格式要求.b)对CA证书申请文件进行签名应使用SM2算法,涉及SM2算法的公钥和签名部分应符合GM/T0009,其中相关算法标识应符合GM/T0006.其中包括:1)签名算法OID应为1.2.156.10197.1.501;2)DN项及编码要求: 对于运营CA使用的证书中DN项的构造顺序符合GM/T0034,编码格式应符合如下要求:C项应使用PrintableString编码:如果存在E项,应采用IA5String编码; -未做约定的其他项,应采用UTF8String编码.