ICS35.030 CCSL80 中华人民共和国密码行业标准 GM/T0043—2024 代替GM/T0043—2015 数字证书互操作检测规范 Testspecificationfordigitalcertificateinteroperability 2024-12-27发布 2025-07-01实施 国家密码管理局发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 1 …………………………………………………………………………………………………… 5 送检技术文档要求 2 ……………………………………………………………………………………… 6 检测内容 2 ………………………………………………………………………………………………… 6.1 入根检测 2 …………………………………………………………………………………………… 6.2 数字证书和CRL格式符合性检测 3 ………………………………………………………………… 6.3 数字证书互操作检测 4 ……………………………………………………………………………… 7 检测方法 5 ………………………………………………………………………………………………… 7.1 入根检测 5 …………………………………………………………………………………………… 7.2 数字证书和CRL格式符合性检测 6 ………………………………………………………………… 7.3 数字证书互操作检测 6 ……………………………………………………………………………… 8 判定规则 7 ………………………………………………………………………………………………… ⅠGM/T0043—2024前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件代替GM/T0043—2015《数字证书互操作检测规范》,与GM/T0043—2015相比,除结构调 整和编辑性改动外,主要技术变化如下: ———增加了OCSP符合性检测内容(见6.2.4); ———更改了终端实体证书中应存在密钥用法扩展域的描述(见6.2.2,2015年版的6.2.2); ———增加了对“基本限制”项的检测内容(见6.3.1); ———增加了OCSP符合性检测方法(见7.2.4)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位:商用密码检测认证中心、格尔软件股份有限公司、北京数字认证股份有限公司、 北京国富安电子商务安全认证有限公司、中金金融认证中心有限公司、卓望数码技术(深圳)有限公司、 长春吉大正元信息技术股份有限公司。 本文件主要起草人:张立花、肖秋林、郑强、商晋、王小飞、张绍博、谢宗晓、黄福飞、王巍、丁肇伟 本文件及其所代替文件的历次版本发布情况为: ———2015年首次发布为GM/T0043—2015; ———本次为第一次修订。 ⅢGM/T0043—2024数字证书互操作检测规范 1 范围 本文件规定了数字证书互操作的送检技术文档要求、检测内容、检测方法以及判定规则。 本文件适用于对数字证书互操作检测进行指导。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T19713 网络安全技术 公钥基础设施 在线证书状态协议 GM/T0006 密码应用标识规范 GM/T0009 SM2密码算法使用规范 GM/T0015—2023 数字证书格式 GM/T0016 智能密码钥匙密码应用接口规范 GM/T0018 密码设备应用接口规范 GM/T0034 基于SM2密码算法的证书认证系统密码及其相关安全技术规范 GM/T0092 基于SM2算法的证书申请语法规范 GM/Z4001 密码术语 3 术语和定义 GM/T0034、GM/T0015—2023和GM/Z4001界定的以及下列术语和定义适用于本文件。 3.1 国家根CA nationalrootCA 整个国家PKI信任体系的顶点。 注:为证书认证机构签发CA证书,并对接入国家根CA的证书认证机构进行监督管理。 3.2 证书互操作 digitalcertificateinteroperability 两个以上(含)证书实体之间进行加解密或签名验签的一种能力。 4 缩略语 下列缩略语适用于本文件。 CA:证书认证机构(CertificationAuthority) CRL:证书撤销列表(CertificateRevocationList) DN:可辨别名(DistinguishedName) OCSP:在线证书状态协议(Onlinecertificatestatusprotocol) 1GM/T0043—2024OID:对象标识符(ObjectIdentify) PKI:公钥基础设施(PublicKeyInfrastructure) URL:统一资源定位符(UniformResourceLocator) 5 送检技术文档要求 证书认证机构提交的文档资料应包含但不限于以下内容。 a) CA证书申请数据文件。 b) 证书认证机构的证书认证系统(以下简称“CA系统”)结构说明: 1) 以结构图的形式,说明整个CA系统的框架结构,包括CA系统的各子系统的构成、各子 系统的功能和各子系统的实现原理,并附以详细的文字说明; 2) 以拓扑图的形式,说明整个CA系统硬件系统结构情况,并附以详细的文字说明; 3) 详细描述CA系统的安全机制、密码体制,以及密钥使用情况。 c) CA系统签发数字证书说明: 1) 描述CA系统签发数字证书的机制和签发的数字证书种类,说明各类数字证书的格式; 2) 说明CA系统签发的各类数字证书的应用范围。 d) CA系统发布子系统说明: 详细描述发布子系统的结构、部署方式,数字证书和数字证书注销列表的发布方式和策略。 e) CA系统使用密码算法的清单。 6 检测内容 6.1 入根检测 6.1.1 CA证书申请功能 CA系统应具备CA证书申请功能,其内容应包括: a) 产生证书申请文件,应可以在申请时输入可辨别名(DN)中的相关信息; b) 将申请文件导出。 6.1.2 CA证书申请文件符合性 CA证书申请文件应符合以下要求。 a) 应符合GM/T0092格式要求,申请文件内容由申请信息、签名算法标识和对申请信息的数字 签名组成。其中申请信息由可辨别名(DN),公钥和其他属性组成。申请文件的结构描述应符 合GM/T0092格式要求。 b) 对CA证书申请文件进行签名应使用SM2算法,涉及SM2算法的公钥和签名部分应符合 GM/T0009,其中相关算法标识应符合GM/T0006。其中包括: 1) 签名算法OID应为1.2.156.10197.1.501; 2) DN项及编码要求: 对于运营CA使用的证书中DN项的构造顺序符合GM/T0034,编码格式应符合如下 要求: ———C项应使用PrintableString编码; ———如果存在E项,应采用IA5String编码; ———未做约定的其他项,应采用UTF8String编码。 2GM/T0043—2024