ICS 35.040 L 71 MH 中华人民共和国民用航空行业标准 MH/T 0045.2 —2013 民航电子政务数字证书服务及技术规范 第 2部分：数字证书模板 Specifications for CAAC e-government dig ital certificate service and technique Part 2：Digital certificate template 2013 – 11 – 11 发布 2014 – 03–01 实施 中国民用航空局 发布 MH/T 0045.2 —2013 I 前 言 MH/T 0045《民航电子政务数字证书服务及技术规范》分为四个部分： ——第 1 部分：服务； ——第 2 部分：数字证书模板； ——第 3 部分：USB Key介质； ——第 4 部分：证书应用集成。 本部分为第 2 部分。 本部分按照 GB/T 1.1-2009 给出的规则起草。 本部分由中国民用航空局综合司提出。 本部分由中国民用航空局航空器适航审定司批准立项。 本部分由中国民航科学技术研究院归口。 本部分起草单位：中国民用航空局信息中心、北京数字认证股份有限公司。 本部分主要起草人：胡东宏、张威、宋晨、于飞、于清洋。 MH/T 0045.2 —2013 1 民航电子政务数字证书服务及技术规范 第 2 部分：数字证书模板 1 范围 MH/T 0045 的本部分规定了民航各级行政机关在开展经济运行、安全监管等政务活动中所使用的数 字证书的基本格式要求，并给出了数字证书的模板。民航电子政务内网数字证书有关要求不在本部分内 涉及。 本部分适用于民航电子政务数字证书的管理方和服务提供方。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20518 信息安全技术 公钥基础设施 数字证书格式 GM/Z 0001 密码术语 GM/T 0015 基于 SM2 密码算法的数字证书格式规范 MH/T 0045.1 民航电子政务数字证书服务及技术规范 第1部分 服务 3 术语和定义 GB/T 20518、GM/Z 0001、GM/T 0015和MH/T 0045.1界定的的术语定义适用于本文件。 4 缩略语 下列缩略语适用于MH/T 0045 的本部分。 CA 认证机构(Certification Authority) CRL 证书撤销列表(Certifica te Revocati on List) ASN 抽象语法表示法（Abstract Syntax N otation） DN 甄别名（Distinguished Name） OID 对象标识符（Object Identifier） 5 数字证书基本格式 5.1 基本结构 MHMH/T 0045.2 —2013 2 数字证书的基本结构由三部分组成：基本证书域( T B S C e r t i f i c a t e )、签名算法域 (SignatureAlgorithm)、签名值域(SignatureValue)。其中，基本证书域由基本域和扩展域组成，如 图1所示： 图1 数字证书基本结构 5.2 基本证书域 (TBSCertificate) 5.2.1 基本域 5.2.1.1 组成 基本域由如下部分组成： a) 版本（Version）； b) 序列号（SerialNumber）； c) 签名算法（SignatureAlgorithm）； d) 颁发者（Issuer）； e) 有效期（Validity)； f) 主题（Subject)； g) 主题公钥信息（SubjectPubli cKeyInfo)； 5.2.1.2 版本 描述了数字证书的版本号。MH/T 0045 的本部分本部分中数字证书应使用V3。 5.2.1.3 序列号 CA系统分配给每个证书的一个正整数。一个CA系统签发的每张证书的序列号应是唯一的。序列号最 长可为20个8位字节的序列号值。 5.2.1.4 签名算法 包含CA签发该证书所使用的密码算法的标识符。 算法标识符应与证书中SignatureAlgorithm项的算 法标识符相同。 签名算法应符合国家密码主管部门对密码算法的规定， 并根据国家密码主管部门批准的最新算法及 时调整，以适应国家最新技术标准要求。 5.2.1.5 颁发者 标识了证书签名和证书颁发的实体。应包含一个非空的可甄别名。应被定义为X.500的Name类型。 颁发者甄别名称（Distinguished Name，简称DN）的 C（Country）属性的编码应使用 PrintableString。 Email属性的编码应使用IA5String 。其他属性的编码应一律使用UTF8String。 数字证书 基本证书域 签名算法域 签名值域 基本域 扩展域 MH/T 0045.2 —2013 3 证书颁发者DN编码规范如表1所示： 表1 证书颁发者 DN编码规范表 Name类型 说明 示例 编码格式 C 国家 CN PrintableString O 颁发机构名称 xxCA UTF8String OU 机构名称，可以是信任体系的 名称 xxCA-1 UTF8String CN 颁发机构通用名 xxCA UTF8String 5.2.1.6 有效期 一个时间段，在这个时间段内，CA系统担保它将维护关于证书状态的信息。该项被表示成一个具有 两个时间值的SEQUENCE类型数据：证书有效期的起始时间（notBefore）和证书有效期的终止时间 （notAfter）。 数字证书有效期的NotBefore和 NotAfter这两个时间应采用GeneralizedTime类型进行编码。 GeneralizedTime字段包含一个本地和格林威治标准时间之间的时间差。 GeneralizedTime值应用格林威 治标准时间表示，且包含秒（即时间格式为YYYYMMDD HHMMSSZ）。 5.2.1.7 主题 与主题公钥项中的公钥相对应的实体。主题名称可以出现在主题项或主题替换名称扩展项中 （SubjectAltName）。如果主题是一个CA，那么主题项应与其签发的所有证书的颁发者相同，一个CA认证的每个证书持有者的甄别名称应是唯一的。 一个CA可以为同一个证书持有者以相同的甄别名称签发 多个证书。 该项不应为空。 5.2.1.8 主题公钥信息 用于标识公钥和相应的公钥算法。公钥算法使用算法标识符AlgorithmIdentifier结构来表示。 5.2.2 扩展域 5.2.2.1 概述 MH/T 0045的本部分定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及证书 结构的管理方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的 和非关键性的。一个扩展含有三部分，它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度（extension cr iticality）告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果 不能识别关键的扩展时， 应拒绝接受该证书， 如果不能识别非关键的扩展， 则可以忽略该扩展项的信息。 5.2.2.2 扩展域结构 证书扩展域可有多个扩展项，每个扩展项包括扩展类型、扩展关键和扩展项值三部分，结构如图2 所示： MHMH/T 0045.2 —2013 4 图2 扩展域构成 本部分定义了一些标准的扩展项，遵循本规范的程序应能识别以下扩展项： a) 密钥用法（KeyUsage）； b) 主题密钥标识符（SubjectKeyId entifier）； c) 颁发机构密钥标识符（AuthorityKeyIdentifier）； d) 证书策略（CertificatePolicies）； e) 唯一标识符（用户证书应签发证书唯一标识扩展项）。 5.2.2.3 密钥用法 本项说明已认证的公开密钥用于何种用途。 所有证书应具有密钥用法扩展项。 密钥用法定义： id-ce-keyUsage OBJECT IDENTIFIER ::= {id-ce 15} KeyUsage::=BIT STRING{ digitalSignature (0)， nonRepudiation (1)， keyEncipherment (2)， dataEncipherment (3)， keyAgreement (4)， keyCertSign (5)， cRLSign (6)， encipherOnly (7)， decipherOnly (8)} 所有的CA证书应包括本扩展，而且应包含keyCer tSign这一密钥用途。用户证书则根据证书用途， 分“签名”证书和“