ICS 35.240.30 L 70 DB11 北 京 市 地 方 标 准 DB11/T 254.1—2018 代替 DB11/T 254.1-2004 政务数字证书规范 第 1 部分:格式 Specification for digital certificate for government affairs Part 1:Format 2018 - 04 - 04 发布 北京市质量技术监督局 2018 - 07 - 01 实施 发 布 DB11/T 254.1—2018 目 次 前 言.............................................................................. II 引 言............................................................................. III 1 范围................................................................................. 1 2 规范性引用文件....................................................................... 1 3 术语和定义、缩略语 ................................................................... 1 4 政务数字证书基本格式 ................................................................. 2 5 政务个人证书格式.................................................................... 11 6 政务机构证书格式.................................................................... 12 7 政务设备证书格式.................................................................... 13 附 录 A （资料性附录） 政务数字证书编码示例 ......................................... 14 附 录 B （规范性附录） 主体命名示例 ................................................. 18 附 录 C （规范性附录） 主体可选替换名称命名示例 ..................................... 20 附 录 D （规范性附录） 政务个人证书模板 ............................................. 21 附 录 E （规范性附录） 政务机构证书模板 ............................................. 25 附 录 F （规范性附录） 政务设备证书规范 ............................................. 29 参 考 文 献........................................................................ 32 I DB11/T 254.1—2018 前 言 本部分按照GB/T 1.1—2009给出的规则起草。 DB11/T 254—2018《政务数字证书规范》分为两个部分： ——第1部分：格式； ——第2部分：应用接口。 本部分为DB11/T 254—2018的第1部分。 本部分代替DB11/T 254.1—2004《政务数字证书规范 第1部分：格式》,本部分与DB11/T 254.1-2004 相比主要变化如下： ——修订了引言； ——修订了范围； ——第2章增加了新的规范性引用文件； ——第4章，将“政务数字证书通用格式”改为“政务数字证书基本格式”，描述政务数字证书的 语法编码、基本结构、基本证书域、签名算法域、签名值域、命名规范。将政务证书所使用的扩展都在 “证书基本格式”的“扩展域”中统一描述； ——对“4.3.2扩展域”中，加入GM/T 0015所规定的证书扩展项，个人身份识别码、个人社会保险 号；加入北京市法人网上统一认证系统所需的证书扩展项包括统一社会信用代码、机构证书区分码； ——在“4.4签名算法域”中，加入“签名算法应使用国家密码管理局审核批准的密码算法。”的 描述； ——第5章，删除“政务认证机构证书规范”，改为“政务个人证书格式”，增加原政务个人证书 中的“个人身份证号”、“个人社会保险号”、“主体银行帐号”、“政务实体唯一标识”扩展项，将 政务个人证书模板移至附录D； ——第6章，改为“政务机构证书格式”，删除原机构证书中的“主体银行基本帐号”和“政务机 构唯一标识”扩展，加入统一社会信用代码、机构证书区分码，并将政务机构证书模板移至附录E； ——第7章，改为“政务设备证书格式”，将政务设备证书模板移至附录F； ——删除原标准第8章， “政务代码签名证书格式”； ——附录A，改为“政务数字证书编码示例”，原附录A改为附录B； ——附录B，改为“主体命名示例”，原附录B改为附录C； ——附录C，改为“主体可选替换名称命名示例”； ——添加附录D 政务个人证书模板； ——添加附录E 政务机构证书模板； ——添加附录F 政务设备证书模板。 本部分由北京市经济和信息化委员会提出并归口。 本部分由北京市经济和信息化委员会组织实施。 本部分主要起草单位：北京市经济和信息化委员会、北京数字认证股份有限公司、中国科学院信息 工程研究所、北京市国家保密局、北京市密码管理局。 本部分主要起草人：潘锋、刘惠刚、刘莎、姚世全、陈淑仪、高能、荆继武、李述胜、李向锋。 II DB11/T 254.1—2018 引 言 信息技术和网络技术在极大地促进了社会的经济、科技、文化、教育和管理等各个方面发展的同时， 也带来了巨大的信息安全风险。随着北京市电子政务工程的不断深入和发展，迫切需要在开放的网络环 境下建立一个真实、有效的身份信任体制，确认电子政务参与方的各自身份，建立彼此间的信任关系以 及保证信息的保密性、完整性和可用性。以公开密钥基础设施（Public Key Infrastructure，PKI）为 核心的网络身份认证体系和信息加密技术已成为业界广泛认同的一种构造网络身份信任体制的重要方 式，并成为信息安全保障体系中极其重要的组成部分之一。 数字证书是PKI的关键要素之一，是传送和处理实体身份鉴别信息的重要载体。为了确保数字证书 在电子政务活动中能够通用，实现网络互联互通和信息共享，形成统一的网络信任体系，满足首都信息 化和电子政务发展的迫切需求，本部分遵照 GM/T 0015—2012 《基于SM2密码算法的数字证书格式规 范》，对证书基本域和扩展域的取值和编码进行了规范，规定了政务数字证书的基本格式、政务数字证 书的主体命名规范和主体可选替换名称的命名规范，定义了政务数字证书的私有扩展项，规定了政务数 字证书的必备项，并给出了政务证书认证机构数字证书、政务个人数字证书、政务机构数字证书和政务 设备数字证书的模板。 III DB11/T 254.1—2018 政务数字证书规范 第 1 部分：格式 1 范围 本部分规定了电子政务外网中政务数字证书的格式，并给出了政务个人证书、政务机构证书、政务 设备证书的模板。 本部分适用于数字证书认证机构、数字证书认证系统的开发商、电子政务应用部门以及基于数字证 书的安全应用开发商，来设计和处理各类政务数字证书。 2 规范性引用文件 下列文件对于本部分的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本部分。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本部分。 GB/T 8561 专业技术职务代码 GB/T 12403 干部职务名称代码 GB/T 16262.1 信息技术 抽象语法记法一(ASN.1) 第1部分:基本记法规范 GB/T 16263.1 信息技术 ASN.1 编码规则 第1部分：基本编码规则（BER）、正则编码规则（CER） 和非典型编码规则（DER）规范 GB/T 25069—2010 信息安全技术 术语 GB 32100 法人和其他组织统一社会信用代码编码规则 GM/T 0015—2012 基于SM2密码算法的数字证书格式规范 3 术语和定义、缩略语 3.1 术语和定义 GB/T 25069—2010界定的以及下列术语和定义适用于本文件。 3.1.1 政务数字证书 government affairs digital certificate 用来标识电子政务参与方真实身份的数字证书。根据参与方的不同类别分为政务证书认证机构证 书、政务个人证书、政务机构证书、政务设备证书。 3.1.2 政务证书认证机构证书 government affairs CA certificate 颁发给参与电子政务的证书认证机构的数字证书，简称政务CA证书。 3.1.3 政务个人证书 government affairs personal certificate 1 DB11/T 254.1—2018 颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。 3.1.4 政务机构证书 government affairs unit certificate 颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。 3.1.5 政务设备证书 government affairs device certificate 颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。 3.2 缩略语 下列缩略语适用于本部分： CA 证书认证机构（Certification Authority） CRL 证书撤销列表（Certificate Revocation List） DER 可辨别编码规则（Distinguished Encoding Rules) DN 可识别名（Distinguished Name） OID 对象标识符（Object Identifier） PKI 公钥基础设施（Public Key Infrastructure） 4 政务数字证书基本格式 4.1 语法和编码 本部分的证书格式的语法描述遵循GB