MH/T 0045.2-2013 民航电子政务数字证书服务及技术规范 第2部分：数字证书模板

ICS35.040

L71

MH

中华人民共和国民用航空行业标准

MH/T0045.2—2013

民航电子政务数字证书服务及技术规范

第2部分：数字证书模板

SpecificationsforCAACe-governmentdigitalcertificateserviceandtechnique

Part2：Digitalcertificatetemplate

2013–11–11发布2014–03–01实施

中国民用航空局发布

MH/T0045.2—2013

前言

MH/T0045《民航电子政务数字证书服务及技术规范》分为四个部分：

——第1部分：服务；

——第2部分：数字证书模板；

——第3部分：USBKey介质；

——第4部分：证书应用集成。

本部分为第2部分。

本部分按照GB/T1.1-2009给出的规则起草。

本部分由中国民用航空局综合司提出。

本部分由中国民用航空局航空器适航审定司批准立项。

本部分由中国民航科学技术研究院归口。

本部分起草单位：中国民用航空局信息中心、北京数字认证股份有限公司。

本部分主要起草人：胡东宏、张威、宋晨、于飞、于清洋。

I

MH/T0045.2—2013

民航电子政务数字证书服务及技术规范

第2部分：数字证书模板

1范围

MH/T0045的本部分规定了民航各级行政机关在开展经济运行、安全监管等政务活动中所使用的数

字证书的基本格式要求，并给出了数字证书的模板。民航电子政务内网数字证书有关要求不在本部分内

涉及。

本部分适用于民航电子政务数字证书的管理方和服务提供方。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20518信息安全技术公钥基础设施数字证书格式

GM/Z0001密码术语

GM/T0015基于SM2密码算法的数字证书格式规范

MH/T0045.1民航电子政务数字证书服务及技术规范第1部分服务

3术语和定义

GB/T20518、GM/Z0001、GM/T0015和MH/T0045.1界定的的术语定义适用于本文件。

4缩略语

下列缩略语适用于MH/T0045的本部分。

CA认证机构(CertificationAuthority)

CRL证书撤销列表(CertificateRevocationList)

ASN抽象语法表示法（AbstractSyntaxNotation）

DN甄别名（DistinguishedName）

OID对象标识符（ObjectIdentifier）

5数字证书基本格式

5.1基本结构

MH1

MH/T0045.2—2013

数字证书的基本结构由三部分组成：基本证书域(TBSCertificate)、签名算法域

(SignatureAlgorithm)、签名值域(SignatureValue)。其中，基本证书域由基本域和扩展域组成，如

图1所示：

基本域

基本证书域

扩展域

数字证书签名算法域

签名值域

图1数字证书基本结构

5.2基本证书域(TBSCertificate)

5.2.1基本域

组成

基本域由如下部分组成：

a)版本（Version）；

b)序列号（SerialNumber）；

c)签名算法（SignatureAlgorithm）；

d)颁发者（Issuer）；

e)有效期（Validity)；

f)主题（Subject)；

g)主题公钥信息（SubjectPublicKeyInfo)；

版本

描述了数字证书的版本号。MH/T0045的本部分本部分中数字证书应使用V3。

序列号

CA系统分配给每个证书的一个正整数。一个CA系统签发的每张证书的序列号应是唯一的。序列号最

长可为20个8位字节的序列号值。

签名算法

包含CA签发该证书所使用的密码算法的标识符。算法标识符应与证书中SignatureAlgorithm项的算

法标识符相同。

签名算法应符合国家密码主管部门对密码算法的规定，并根据国家密码主管部门批准的最新算法及

时调整，以适应国家最新技术标准要求。

颁发者

标识了证书签名和证书颁发的实体。应包含一个非空的可甄别名。应被定义为X.500的Name类型。

颁发者甄别名称（DistinguishedName，简称DN）的C（Country）属性的编码应使用

PrintableString。Email属性的编码应使用IA5String。其他属性的编码应一律使用UTF8String。

2

MH/T0045.2—2013

证书颁发者DN编码规范如表1所示：

表1证书颁发者DN编码规范表

Name类型说明示例编码格式

C国家CNPrintableString

O颁发机构名称xxCAUTF8String

机构名称，可以是信任体系的

OUxxCA-1UTF8String

名称

CN颁发机构通用名xxCAUTF8String

有效期

一个时间段，在这个时间段内，CA系统担保它将维护关于证书状态的信息。该项被表示成一个具有

两个时间值的SEQUENCE类型数据：证书有效期的起始时间（notBefore）和证书有效期的终止时间

（notAfter）。

数字证书有效期的NotBefore和NotAfter这两个时间应采用GeneralizedTime类型进行编码。

GeneralizedTime字段包含一个本地和格林威治标准时间之间的时间差。GeneralizedTime值应用格林威

治标准时间表示，且包含秒（即时间格式为YYYYMMDDHHMMSSZ）。

主题

与主题公钥项中的公钥相对应的实体。主题名称可以出现在主题项或主题替换名称扩展项中

（SubjectAltName）。如果主题是一个CA，那么主题项应与其签发的所有证书的颁发者相同，一个CA

认证的每个证书持有者的甄别名称应是唯一的。一个CA可以为同一个证书持有者以相同的甄别名称签发

多个证书。

该项不应为空。

主题公钥信息

用于标识公钥和相应的公钥算法。公钥算法使用算法标识符AlgorithmIdentifier结构来表示。

5.2.2扩展域

概述

MH/T0045的本部分定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及证书

结构的管理方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的

和非关键性的。一个扩展含有三部分，它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度

（extensioncriticality）告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果

不能识别关键的扩展时，应拒绝接受该证书，如果不能识别非关键的扩展，则可以忽略该扩展项的信息。

扩展域结构

证书扩展域可有多个扩展项，每个扩展项包括扩展类型、扩展关键和扩展项值三部分，结构如图2

所示：

MH3

MH/T0045.2—2013

扩展类型

扩展项1扩展关键

扩展项2扩展项值

扩展域扩展项3

……

扩展项n

图2扩展域构成

本部分定义了一些标准的扩展项，遵循本规范的程序应能识别以下扩展项：

a)密钥用法（KeyUsage）；

b)主题密钥标识符（SubjectKeyIdentifier）；

c)颁发机构密钥标识符（AuthorityKeyIdentifier）；

d)证书策略（CertificatePolicies）；

e)唯一标识符（用户证书应签发证书唯一标识扩展项）。

密钥用法

本项说明已认证的公开密钥用于何种用途。

所有证书应具有密钥用法扩展项。

密钥用法定义：

id-ce-keyUsageOBJECTIDENTIFIER::={id-ce15}

KeyUsage::=BITSTRING{

digitalSignature(0)，

nonRepudiation(1)，

keyEncipherment(2)，

dataEncipherment(3)，

keyAgreement(4)，

keyCertSign(5)，

cRLSign(6)，

encipherOnly(7)，

decipherOnly(8)}

所有的CA证书应包括本扩展，而且应包含keyCertSign这一密钥用途。用户证书则根据证书用途，

分“签名”证书和“加密”证书，选择对应的密钥用途进行签发。

此扩展可定义为关键的或非关键的。

主题密钥标识符

本项提供一种识别包含有一个特定公钥的证书的方法。此扩展标识了被认证的公开密钥，它能够区

分同一主题使用的不同密钥。

对于使用密钥标识符主题的各个密钥标识符而言，每一个密钥标识符均应是唯一的。CA签发证书时

应把CA证书中本扩展的值赋给终端实体证书AuthorityKeyIdentifier扩展中的KeyIdentifier项。CA

4

MH/T0045.2—2013

证书的主题密钥标识符应从公钥中或者生成唯一值的方法中导出。终端实体证书的主题密钥标识符应从

公钥中导出。

所有的CA证书应包括本扩展，此扩展项为非关键项。

颁发机构密钥标识符

机构密钥标识符扩展提供了一种方式，以识别与证书签名私钥相对应的公钥。当发起方由于有多个

密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。识别可基于发起方证书中的主题密钥标识

符或基于发起方的名称和序列号。

相应CA产生的所有证书应包括authorityKeyIdentifier扩展的keyIdentifier项，以便于证书信任

链的建立。CA以“自签”（self-signed）证书形式发放其公钥时，可以省略认证机构密钥标识符。

此时，主题和认证机构密钥标识符是完全相同的。

本项既可用作证书扩展亦可用作CRL扩展。本项标识用来验证在证书或CRL上签名的公开密钥。它能

辨别同一CA使用的不同密钥（例如，在密钥更新发生时）。

证书策略

本项包含了一系列策略信息条目，每个条目都有一个OID和一个可选的限定条件。

在用户证书中，这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的；在CA证书中，

这些策略条目指定了包含这个证书的验证路径的策略集合。

数字证书是否包括本扩展为可选的，是否为关键项也是可选的。

唯一标识符

单位证书中应具有实体唯一标识符，用于区分辨别名相同的数字证书，实体唯一标识的OID由证书

认证机构自行申请和定义。

本部分中对单位数字证书的唯一标识符的编码规范如下：

实体唯一标识符=证书实体编号（变长）+“@”+证件类型代码（2位）+证件号码（变长）

其中，证书实体编号是一个证书实体的证书序号，同一个实体申请多个证书时，证书实体编号应不

同，以便于区分不同的证书。证书类型和号码类型的代码如表2所示。

表2证书类型与证件类型代码对应

证书类型办理证书时可使用的证件名称证件类型代码

单位证书组织机构代码、工商营业执照、税务登记证、其他JJ、GS、SW、QT

个人证书身份证、军官证、护照、回乡证、其他SF、JR、HZ、HX、QT

设备证书组织机构代码、工商营业执照、税务登记证、其他JJ、GS、SW、QT

其他证书组织机构代码、工商营业执照、税务登记证、其他JJ、GS、SW、QT

用户根据不同的证书类型，应提供不同的证件办理数字证书。

实体唯一标识项数据的总长度不应超过128字节，唯一标识属性的编码应使用UTF8String。

对于终端实体证书，该扩展项应签发，该项应为非关键扩展项。

5.3签名算法域(SignatureAlgorithm)

证书中的签名算法应使用国家密码管理主管部门审核批准的相关算法。

MH5

MH/T0045.2—2013

5.4