数字证书结构
附 录 A
(资料性附录)
证书的结构
A.1 证书构成(见表B.1)
表B.1 证书结构
|
基本证书域(TBSCertificate) |
|
签名算法域(signatureAlgorithm) |
|
签名值域(signatureValue) |
A.2 基本证书域(见表B.2)
表B.2 基本证书域结构
|
名称 |
描述 |
说明 |
|
version |
版本号 |
|
|
serialNumber |
序列号 |
|
|
signature |
签名算法 |
|
|
issuer |
颁发者 |
|
|
validity |
有效日期 |
|
|
subject |
主体 |
|
|
subjectPublicKeyInfo |
主体公钥信息 |
|
|
issuerUniqueID |
颁发者唯一标识符 |
本标准中不使用 |
|
subjectUniqueID |
主体唯一标识符 |
本标准中不使用 |
|
extensions |
扩展项 |
按本标准的扩展项进行定义,参考第B.3章 |
A.3 标准的扩展域(见表B.3)
表B.3 标准的扩展域结构
|
名称 |
描述 |
关键度 |
|
authorityKeyIdentifier |
机构密钥标识符 |
非关键 |
|
subjectKeyIdentifier |
主体密钥标识符 |
非关键 |
|
keyUsage |
密钥用法 |
双证书标记为关键,单证书标记为非关键 |
|
extKeyUsage |
扩展密钥用途 |
如果密钥的用法只限于所指示的用途时标记为关键,否则标记为非关键 |
|
privateKeyUsagePeriod |
私有密钥使用期 |
非关键 |
|
certificatePolicies |
证书策略 |
非关键 |
|
policyMappings |
策略映射 |
如果证书用户需要正确解释发布的CA设定的规则时标识为关键,否则标识为非关键 |
|
subjectAltName |
主体 |
非关键 |
|
issuerAltName |
颁发者 |
非关键 |
表B.3 (续)
|
名称 |
描述 |
关键度 |
|
subjectDirectoryAttributes |
主体目录属性 |
非关键 |
|
basicConstraints |
基本限制 |
CA证书标记为关键,终端实体证书标记为非关键 |
|
nameConstraints |
名称限制 |
如果证书用户系统应检验所处理的认证路径与此扩展中的值是否一致时标记为关键,否则标记为非关键 |
|
policyConstraints |
策略限制 |
如果证书用户需要正确地解释认证机构CA设定的规则时标识为关键,否则标识为非关键 |
|
CRLDistributionPoints |
CRL分发点 |
非关键 |
|
inhibitAnyPolicy |
限制所有策略 |
如果证书用户需要正确地解释认证机构CA设定的规则时标识为关键,否则标识为非关键 |
|
freshestCRL |
最新的CRL |
非关键 |
|
id-pkix |
私有的 Internet 扩展 |
非关键 |
|
authorityInfoAccess |
机构信息访问 |
非关键 |
|
SubjectInformationAccess |
主体信息访问 |
非关键 |
|
IdentifyCardNumber |
个人身份证号码 |
非关键 |
|
InuranceNumber |
个人社会保险号 |
非关键 |
|
ICRegistrationNumber |
企业工商注册号 |
非关键 |
|
OrganizationCode |
企业组织机构代码 |
非关键 |
|
TaxationNumber |
企业税号 |
非关键 |
