附 錄 A
(資料性附錄)
證書的結構
A.1 證書構成(見表B.1)
表B.1 證書結構
| 基本證書域(TBSCertificate) |
| 簽名算法域(signatureAlgorithm) |
| 簽名值域(signatureValue) |
A.2 基本證書域(見表B.2)
表B.2 基本證書域結構
| 名稱 |
描述 |
說明 |
| version |
版本號 |
|
| serialNumber |
序列號 |
|
| signature |
簽名算法 |
|
| issuer |
頒發者 |
|
| validity |
有效日期 |
|
| subject |
主體 |
|
| subjectPublicKeyInfo |
主體公鑰信息 |
|
| issuerUniqueID |
頒發者唯一標識符 |
本標准中不使用 |
| subjectUniqueID |
主體唯一標識符 |
本標准中不使用 |
| extensions |
擴展項 |
按本標准的擴展項進行定義,參考第B.3章 |
A.3 標准的擴展域(見表B.3)
表B.3 標准的擴展域結構
| 名稱 |
描述 |
關鍵度 |
| authorityKeyIdentifier |
機構密鑰標識符 |
非關鍵 |
| subjectKeyIdentifier |
主體密鑰標識符 |
非關鍵 |
| keyUsage |
密鑰用法 |
雙證書標記為關鍵,單證書標記為非關鍵 |
| extKeyUsage |
擴展密鑰用途 |
如果密鑰的用法只限於所指示的用途時標記為關鍵,否則標記為非關鍵 |
| privateKeyUsagePeriod |
私有密鑰使用期 |
非關鍵 |
| certificatePolicies |
證書策略 |
非關鍵 |
| policyMappings |
策略映射 |
如果證書用戶需要正確解釋發布的CA設定的規則時標識為關鍵,否則標識為非關鍵 |
| subjectAltName |
主體 |
非關鍵 |
| issuerAltName |
頒發者 |
非關鍵 |
表B.3 (續)
| 名稱 |
描述 |
關鍵度 |
| subjectDirectoryAttributes |
主體目錄屬性 |
非關鍵 |
| basicConstraints |
基本限制 |
CA證書標記為關鍵,終端實體證書標記為非關鍵 |
| nameConstraints |
名稱限制 |
如果證書用戶系統應檢驗所處理的認證路徑與此擴展中的值是否一致時標記為關鍵,否則標記為非關鍵 |
| policyConstraints |
策略限制 |
如果證書用戶需要正確地解釋認證機構CA設定的規則時標識為關鍵,否則標識為非關鍵 |
| CRLDistributionPoints |
CRL分發點 |
非關鍵 |
| inhibitAnyPolicy |
限制所有策略 |
如果證書用戶需要正確地解釋認證機構CA設定的規則時標識為關鍵,否則標識為非關鍵 |
| freshestCRL |
最新的CRL |
非關鍵 |
| id-pkix |
私有的 Internet 擴展 |
非關鍵 |
| authorityInfoAccess |
機構信息訪問 |
非關鍵 |
| SubjectInformationAccess |
主體信息訪問 |
非關鍵 |
| IdentifyCardNumber |
個人身份證號碼 |
非關鍵 |
| InuranceNumber |
個人社會保險號 |
非關鍵 |
| ICRegistrationNumber |
企業工商注冊號 |
非關鍵 |
| OrganizationCode |
企業組織機構代碼 |
非關鍵 |
| TaxationNumber |
企業稅號 |
非關鍵 |