LD／T 02.3-2022标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

LD／T 02.3-2022 人力资源社会保障电子认证体系规范 第3部分：数字证书格式规范.pdf

本项标识了证书签名和证书颁发的实体。它必须包含一个非空的可辨别名（DN）。该项被定义为 Name类型，其ASN.1的结构如下： Name:=CHOICERDNSequence) RDNSequence:=SEQUENCEOFRelativeDistinguishedName RelativeDistinguishedName :=SET OFAttributeTypeAndValue AttributeTypeAndValue ::=SEQUENCE typeAttributeType, valueAttributeValue AttributeType ::=OBJECTIDENTIFIER AttributeValue :=ANYDEFINEDBYAttributeType DirectoryString := CHOICE { teletexString TeletexString (SIZE (1..MAX), printableString PrintableString (SIZE (1..MAX)), universalString UniversalString (SIZE (1..MAX), utf8String UTF8String (SIZE (1..MAX)), bmpString BMPString (SIZE (1..MAX)))

Name描述了一些属性组成的层次结构的名称，如国家名、相应的值，如“C=CN”。颁发者可辨 别名的C（Country）属性的编码使用PrintableString。其它属性的编码一律使用UTF8String。 各项编码规范如表1所示，

表 1颁发者 DN编码规

6. 2. 1. 5 有效期

本项是指一个时间段，在这个时间段内，证书签发管理系统担保它将维护关于证书状态的信息。该 项被表示成一个具有两个时间值的SEQUENCE类型数据：证书有效期的起始时间（notBefore）和证书 有效期的终止时间（notAfter）。NotBefore和NotAfter这两个时间都可以作为UTCTime类型或者 GeneralizedTime类型进行编码。 在本项中，UTCTime值必须用格林威治标准时间表示，并且必须包含秒，即使秒的数值为零（即 时间格式为YYMMDDHHMMSSZ）。系统对年字段（YY）应解释为20YY。 GeneralizedTime字段能包含一个本地和格林威治标准时间之间的时间差。GeneralizedTime值必须 用格林威治标准时间表示GB/T 778.4-2018 饮用冷水水表和热水水表 第4部分：GBT 778.1中未包含的非计量要求，且必须包含秒，即使秒的数值为零（即时间格式为 YYYYMMDDHHMMSSZ）。GeneralizedTime值绝不能包含小数秒（fractionalseconds）。 CA证书的有效期最长为20年

6. 2. 1. 6主体

本项描述了与主体公钥项中的公钥相对应的实体。主体名称可以出现在主体项和/或主体替换名称 扩展项中（SubjectAltName）。如果主体是一个CA，那么主体项必须是一个非空的与颁发者项的内容 相匹配的甄别名称（DistinguishedName），一个CA认证的每个主体实体的甄别名称必须是唯一的。 个CA可以为同一个主体实体以相同的甄别名称签发多个证书。 该项不能为空

.2.1.7主体公钥信息

本项用来标识公钥和相应的公钥算法。公钥算法使用算法标识符AlgorithmIdentifier结构来表示， 公钥算法采用SM2椭圆曲线公钥密码算法。

6. 2. 2 扩展域

方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的和非关键性 的。一个扩展含有三部分，它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度（extensior criticality）告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果不能识别关键的扩 展时，必须拒绝接受该证书，如果不能识别非关键的扩展，则可以忽略该扩展项的信息。 证书扩展域结构如图2所示

a) 密钥用法 KeyUsage b) 主体密钥标识符 SubjectKeyldentifier c) 颁发机构密钥标识符 AuthorityKeyldentifier d) 证书策略 CertificatePolicies e) 实体唯一标识 SubjectUniqueID 注：对于CA证书，可以不签发实体唯一标识：对于终端

6. 2. 2. 1 密钥用法

已认证的公开密钥 OBJECTIDENTIF T STRING digitalSignature nonRepudiation keyEncipherment dataEncipherment keyAgreement keyCertSign cRLSign encipherOnly decipherOnly

OBJECT IDENTI T STRING digitalSignature nonRepudiation keyEncipherment dataEncipherment keyAgreement keyCertSign cRLSign encipherOnly decipherOnly

所有的CA证书必须包括本扩展，而且必须包含keyCertSign这一用法。用户证书则根据证书人 为签名证书和加密证书，选择对应的密钥用途进行签发。此扩展可以定义为关键的或非关键的， 颁发者选择

6.2.2.2主体密钥标识符

对于使用密钥标识符的主体的各个密钥标识符而言，每一个密钥标识符均应是唯一的。CA签发证 书时必须把CA证书中本扩展的值赋给终端实体证书的AuthorityKeyldentifier扩展中的Keyldentifier项。 CA证书的主体密钥标识符应从公钥中或者生成唯一值的方法中导出。终端实体证书的主体密钥标识符 应从公钥中导出。 所有的CA证书必须包括本扩展，此扩展项总是非关键的

6.2.2.3颁发机构密钥标识符

本项提供了一种方式，以识别与证书签名私钥相应的公钥。当颁发者由于有多个密钥共存或由于发 生变化而具有多个签名密钥时使用该扩展。识别可基于颁发者证书中的主体密钥标识符或基于颁发者的 名称和序列号。 相应CA产生的所有证书应包括AuthorityKeyldentifier扩展的Keyldentifier项，以便于链的建立。 本项既可用作证书扩展亦可用作CRL扩展。本项标识用来验证在证书或CRL上签名的公开密钥。它 能辨别同一CA使用的不同密钥（例如，在密钥更新发生时）

6. 2.2. 4 证书策略

本项包含了一系列策略信息条目，每个条目都有一个OID和一个可选的限定条件。这个可选的限 定条件不能改变策略的定义。 在用户证书中，这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的；在CA证书 中，这些策略条目指定了包含这个证书的验证路径的策略集合。具有特定策略需求的应用系统应该拥有 它们将接受的策略的列表，并把证书中的策略OID与该列表进行比较。如果该扩展是关键的，则路径有 效性软件必须能够解释该扩展（包括选择性限定语），否则必须拒绝该证书。 数字证书是否包括本扩展为可选的，是否为关键项也是可选的，

6. 2.2. 5 实体唯一标识

证书类型与证件类型代

6.2.2.6社会保障号码标识

本项是代表持卡人证书持有者身份的编码，采用社会保障号码经SM3算法运算后的哈希值作 保障号码标识。

本项是持卡人证书持有者所持有的社会保障卡卡号

签名算法域（SignatureAlgorithm）包含数字证书的密码算法，如杂凑算法SM3、签名算法 SM3WithSM2等，详细内容参见附录C。在人力资源社会保障系统应用时，应使用国家密码管理主管部 门审核批准的SM2、SM3等密码算法。

签名值域（SignatureValue）包含对基本证书域进行数字签名的结果。经ASN.1DER编码的基 域作为数字签名算法的输入，签名的结果按照ASN.1编码成BITSTRING类型并保存在签名值域

7.1CA证书格式模板

CA证书模板如表3所示。

7.2机构证书格式模板

机构证书模板如表4所示

7.3人员证书格式模板

工作人员证书模板如表5所示。

表5工作人员证书模板

持卡人证书模板如表7所示，

B8. 1CRL 基本结构

CRL是CA对撤销的证书而签发的一个列表文件，该文件可用于业务系统鉴别用户证书的有效性。 CRL文件结构主要包括： a) 版本号 b) 颁发者 c) 生效日期 d) 下次更新日期 e) 签名算法 f) 撤销日期 R 扩展项 h)被撤销的证书列表

RL文件结构主要包括： a) 版本号 b) 颁发者 c) 生效日期 d) 下次更新日期 e) 签名算法 f) 撤销日期 g) 扩展项 h) 被撤销的证书列表

CRL版本号采用v2.

本项包含CA签发该CRL所使用的密码算法的标识符，这个算法标识符必须与证书中 SignatureAlgorithm项的算法标识符相同。 人力资源社会保障电子认证系统应使用国家密码管理主管部门审核批准的SM3withSM2算法。

页发者的X.500目录示例如下： CN=人力资源社会保障部信息中心； //通用名 OU=人力资源社会保障部信息中心 /部门 O人力资源社会保障部信息中心 /组织名称 L=北京 /城市 S=北京 //省份 C=CN /国家名

8. 1.4 生效日期

颁发CRL之日起生效

8. 1. 5 下次更新日期

含有一个日期/时间值，用以表明下一次CRL将更

8.1.6被撤销的证书列表

该域签发被撤销的证书序列号、撤销时间和撤全

8.1.6.1被撤销的证书序列号

被撤销的证书序列号（SerialNumber）

被撤销的证书序列号（SerialNumber）

8. 1. 6. 2撤销时间

该域含有已经撤销或者挂起的证书列表。 。本列表中含有证书的序列号和证书被撤销的日期和时间。

8. 1. 6. 3撤销原因

撤销原因（CRLReason），表明证书撤销的原因。

要包括颁发机构密钥标识符和证书撤销列表号

8.1.7.1颁发机构密钥标识符

8.1.7.2证书撤销列表号

CRL格式模板如表8所示

CNAS CNAS-CI15：2015 检验机构能力认可准则在建筑节能检验领域的应用说明表8CRL格式模板表

以下所列示例仅供参考！

Offsetl Len

Offisetl Ler

0I 794 SEQUENCE 4I 643 SEQUENCE : 8] 3I CONTEXT SPECIFIC (O) : 10| 1I INTEGER : 2 13 81 INTEGER:'1111000100000585 23| 13| SEOUENCE : 25] 8 OBJECT IDENTIFIER :SM3WithSM2Encryption [1.2.156.10197.1.501] 36| 0I NULL : 38 123 SEQUENCE : 40 13I SET : 42| 11I SEQUENCE : 44| 3I OBJECT IDENTIFIER:countryName [2.5.4.6] 49| 41 PrintableString :'CN' 55] 13| SET : 57] 11I SEQUENCE : 59| 3I OBJECTIDENTIFIER :stateOrProvinceName[2.5.4.8] 64| 4/ UTF8String：‘北京 70 13| SET : 72| 11I SEQUENCE : 74] 3] OBJECTIDENTIFIER :localityName[2.5.4.7] 79] 4I UTF8String：北京 85| 37| SET : 87] 35] SEQUENCE:

525 3 INTEGER : 6553° 530 119 CONTEXT SPECIFIC (3):

INTEGER : 65537 ONTEXT SPECIFIC (3):

算法是国家密码管理主管部门公布的杂凑算法JB/T 9608-2013 型材切割机，