GB/T 30272-2013 信息安全技术 公钥基础设施 标准一致性测试评价指南

ICS35.040

L80

中华人民共和国国彖标准

GB/T30272—2013

信息安全技术公钥基础设施

标准一致性测试评价指

Informationsecuritytechnology—PublicKeyInfrastructure—

Testingandevaluationguideonstandardconformance

2013-12-31发布2014-07-15实施

GB/T30272—2013

目次

,、/d•、-T

刖BI

引言n

1范围1

2规范性引用文件1

3术语和定义1

4公钥基础设施测试评价指1

4.1在线证书状态协议测试评价指1

4.2证书管理协议测试评价指5

4.3PKI组件最小互操作规范测试评价指9

4.4数字证书格式测试评价指16

4.5特定权限管理中心技术规范测试评价指25

4.6时间戳规范测试评价指29

5综合评价38

6公钥基础设施测试环境示例39

附录A（资料性附录）测试项目总表41

GB/T30272—2013

刖s

本标准按照GB/T1.1—2009给出的规则起草。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心。

本标准主要起草人:邱梓华、顾健、张笑笑、顾玮、邹春明、宋好好、张艳、张岚。

I

GB/T30272—2013

引言

本标准是用以指导测试评价者，如何测试与评价公钥基础设施是否达到国家标准要求。

本标准依据国家已颁布、实施的6个公钥基础设施标准，即：

——GB/T19713—2005信息技术安全技术公钥基础设施在线证书状态协议

——GB/T19714—2005信息技术安全技术公钥基础设施证书管理协议

——GB/T19771—2005信息技术安全技术公钥基础设施PKI组件最小互操作规范

——GB/T20518—2006信息安全技术公钥基础设施数字证书格式

——GB/T20519—2006信息安全技术公钥基础设施特定权限管理中心技术规范

——GB/T20520—2006信息安全技术公钥基础设施时间戳规范

本标准以此6个标准为基础，对相应评价测试方法做了详细描述。对以后新发布的公钥基础设施

标准规范,将在修改版本中给出。

n

GB/T30272—2013

信息安全技术公钥基础设施

标准一致性测试评价指

1范围

本标准规定了公钥基础设施相关组件的测试评价指，涉及CA、RA、终端实体、证书资料库、时间

戳子系统、特定权限管理子系统、在线证书状态查询子系统。

本标准适用于按照GB/T19713—2005.GB/T19714—2005,GB/T19771—2005,GB/T20518—

2006.GB/T20519—2006和GB/T20520—2006进行研制开发的产品类公钥基础设施相关组件的测试

和评价。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T19713—2005信息技术安全技术公钥基础设施在线证书状态协议

GB/T19714—2005信息技术安全技术公钥基础设施证书管理协议

GB/T19771—2005信息技术安全技术公钥基础设施PKI组件最小互操作规范

GB/T20518—2006信息安全技术公钥基础设施数字证书格式

GB/T20519—2006信息安全技术公钥基础设施特定权限管理中心技术规范

GB/T20520—2006信息安全技术公钥基础设施时间戳规范

3术语和定义

GB/T19713—2005,GB/T19714—2005.GB/T19771—2005.GB/T20518—2006、GB/T20519—

2006和GB/T20520—2006界定的术语和定义适用于本文件。

4公钥基础设施测试评价指

4.1在线证书状态协议测试评价指

4.1.1总则

请求

评价内容：

见GB/T19713—2005中5.2的内容。

对开发者的要求：

a）开发者应提供文档，对所使用的在线证书状态协议进行说明;

b）开发者应提供工具模拟不满足条件的请求。

测试评价指：

1

GB/T30272—2013

a）由OCSP请求者发送多个不同状态证书的状态请求，检测OCSP响应器是否提供了正确的证

书状态响应；

b）检测OCSP请求是否包含以下数据:协议颁布、服务请求、目标证书标识符、其他扩展数据（如

OCSP请求者的签名、随机数等）；

c）使用工具发送不正确报文格式的请求，检测OCSP响应器是否发出错误信息；

d）使用T具发送响应器没有配置所要求服务的请求，检测OCSP响应器是否发出错误信息；

）使用工具发送不完整信息的请求，检测OCSP响应器是否发出错误信息。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

响应

评价内容：

见GB/T19713—2005中5.3的内容。

对开发者的要求：

开发者应提供文档，对响应签名的密钥、响应消息格式、响应消息内容等进行说明。

测试评价指：

a）模拟各种身份的OCSP请求者，发送多个不同状态证书的状态请求,OCSP响应请求，检测此

过程中是否对所有明确的响应报文都进行数字签名。

b）检测响应签名的密钥是否为下列三种情况之一：

1）签发待查询证书的CA；

2）可信赖的响应器，即请求者信任该响应器的公钥；

3）CA指定的响应器。

c）由OCSP请求者发送多个不同状态证书的状态请求，检测OCSP响应器的响应消息中是否包

含以下内容：

1）响应语法的版本；

2）响应器的名称；

3）对请求中每个证书的响应；

4）可选择的扩展；

5）签名算法的OID；

6）响应的哈希签名。

d）检测对请求中每个证书的响应,是否包含以下内容：

1）目标证书标识符；

2）证书状态值；

3）响应有效期限；

4）可选的扩展。

）检测OCSP响应消息中，证书状态值是否为以下三种响应标识符：

1）Good,表示对状态查询的肯定响应；

2）Revoked（已撤销）,表示证书已被撤销；

3）Unknown（未知）：表示不能鉴別待验证状态的证书。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

异常情况

评价内容：

2

GB/T30272—2013

见GB/T19713—2005中5.4的内容。

对开发者的要求：

a）开发者应提供文档，对OCSP响应器返回的错误消息进行说明；

b）开发者应提供T具模拟各种异常情况。

测试评价指：

a）使用T具发送一个没有遵循OCSP语法的请求，检测OCSP响应器是否发出相应的错误

信息；

b）使响应器处于非协调的工作状态，发送一个正常请求，检测OCSP响应器是否发出相应的错

误信息；

c）使响应器处于不能返回所请求证书的状态，发送一个证书请求，检测OCSP响应器是否发出相

应的错误信息；

d）使用工具发送一个没有签名的请求，检测OCSP响应器是否发出相应的错误信息；

）使用工具发送一个未授权的请求，检测OCSP响应器是否发出相应的错误信息。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

thisUpdate、nextUpdate和producedAt的语义

评价内容：

见GB/T19713—2005中5.5的内容。

对开发者的要求：

开发者应提供文档，对thisUpdat、nexlUpdat和producedAt的语义进行说明。

测试评价指：

a）发送多个证书请求，检测OCSP响应消息是否包含以下时间字段：

1）thisUpdat：此次更新时间；

2）nextUpdateC可选字段）：下次更新时间；若没有设置此字段，需指明随时可以获得更新的

撒销信息；

3）producedAt:签发时间。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

OCSP签名机构的委托

评价内容：

见GB/T19713—2005中5.7的内容。

对开发者的要求：

开发者应提供文档，对所使用的在线证书状态协议中OCSP签名机构的委托过程进行说明。

测试评价指：

a）如果签署证书状态信息的密钥与签署证书的密钥不同，由CA向响应器签发一个含有extend-

edKeyUsagc唯一值的证书；

b）发送一个证书状态查询请求，检测响应器能否用上述证书对证书状态信息进行签名。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

CA密钥泄露

评价内容:

3

GB/T30272—2013

见GB/T19713—2005中5.8的内容。

对开发者的要求：

开发者应提供文档，对CA密钥泄露时OCSP响应器的设置进行说明。

测试评价指：

a）在OCSP响应器中，将某一个CA的状态设置为私钥泄露；

b）发送一个上述CA签发的证书状态查询请求，检测OCSP响应器能否返回证书已撤销的状态

信息。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

4.1.2功能要求

证书内容

评价内容：

见GB/T19713—2005中6.1的内容。

对开发者的要求：

开发者应提供文档，对CA的证书相关内容进行说明。

测试评价指：

a）检测CA是否在AccessDescriptionSEQUENCE中包含URIaccessLocation值和对象标识符

id-adocspo

b）检测OCSP响应器的访问位置，是否通过以下两种方式之一给出：

1）在证书扩展项中提供用于OCSP访问的AuthoritylnfoAccess；

2）在OCSP客户端配置。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

签名响应的接收要求

评价内容：

见GB/T19713—2005中6.2的内容。

对开发者的要求：

开发者应提供文档，对所使用的在线证书状态协议进行说明。

测试评价指：

检测在把OCSP响应视作有效之前,OCSP客户端是否确认以下内容：

a）响应中所鉴别的证书和请求中的证书一致；

b）响应器的签名是有效的；

c）响应器的签名者身份和请求的预定接收者一致；

d）签名者已被授权对响应进行签名；

）指明证书状态的时间（thisUpdat）为当前最近的时间；

f）如果设置了nextUpdat字段，此时间晚于客户端当前时间。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

4.1.3安全考虑

评价内容：

4

GB/T30272—2013

见GB/T19713—2005中第8章的内容。

对开发者的要求：

开发者应提供文档，对所使用的在线证书状态协议进行脆弱性分析。

测试评价指：

查看开发者提供的脆弱性分析报告，检测OCSP系统能否抵御标准中的相关攻击（至少应该包括

拒绝服务攻击和重放攻击）。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

4.2证书管理协议测试评价指

4.2.1必需的PKI管理功能

4.2.1.1根CA初始化

评价内容：

见GB/T19714—2005中8.1的内容。

对开发者的要求：

开发者应提供文档，针对根CA初始化的过程进行说明。

测试评价指：

a）根据开发者文档，产生一对根CA的密钥对，并将密钥对分散保存，检测根密钥的保存方式是

否安全；

b）选择此密钥对进行根CA初始化，用产生的私钥为公钥签发证书，产生自己的自签名证书，检

测这个证书的结构是否和“newWithNew”证书结构相同；

c）为CA的公钥产牛一个指纹，并检测传递指纹的数据结构是否为OOBCeriHash.

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

根CA密钥更新

评价内容：

见GB/T19714—2005中&2的内容。

对开发者的要求：

开发者应提供文档，针对根CA密钥更新的过程进行说明。

测试评价指：

a）在CA的生命周期到期前，模拟一次根CA密钥更新的过程；

b）产生新的根CA的密钥对；

c）产生一个用新私钥为旧公钥签名的证书（“oldwithnew”证书）；

d）产生一个用旧私钥为新公钥签名的证书（“newwithold”证书）；

）产生—用新私钥为新公钥签名的证书（"newwithnew"证书）；

f）发布这些新证书；

g）导出CA的新公钥；

h）使用CA的新密钥为一个终端实体签发一个新证书；

1）利用CA旧公钥的终端实体，验证上述新证书，检测验证者是否进行以下操作：在数据库中查

找caCertificat属性，获得NewWithOld证书，并利用CA旧密钥验证该NewWithOld证书是

否正确，如果正确，利用CA新密钥验证新证书；

5

GB/T30272—2013

j）利用CA新公钥的终端实体，验证CA旧密钥签发的旧证书，检测验证者是否进行以下操作：

在数据库中查找caCertificat属性，获得OldWilhNew证书，并利用CA新密钥验证该（）ld-

WithNew证书是否正确，如果正确，利用CA旧密钥验证旧证书。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

下级CA初始化

评价内容：

见GB/T19714—2005中&3的内容。

对开发者的要求：

开发者应提供文档，针对下级CA初始化的过程进行说明。

测试评价指：

a）在下级CA初始化之前，检测下级CA能否获得以下PKI信息：

1）当前根CA的公钥，并使用哈希值对根CA公钥进行带外验证；

2）撤销列表以及撤销列表的认证路径；

3）所支持的每一种相关应用的算法和算法变量。

b）模拟一次下级CA初始化的过程:产生下级CA密钥，利用根证书产生下级CA的签名证书。

c）产生初始的撤销列表。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

CRL产生

评价内容：

见GB/T19714—2005中&4的内容。

对开发者的要求：

开发者应提供文档，针对CRL产生的过程进行说明。

测试评价指：

a）在发布证书之前，在新建立CA中产生空的CRL列表；

b）检测能否操作成功。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

PKI信息请求

评价内容：

见GB/T19714—2005中&5的内容。

对开发者的要求：

开发者应提供文档，针对PKI信息请求进行说明。

测试评价指：

a）评价者模拟各种PKI信息请求，检测CA是否能够向请求者提供至少请求者要求的所有请求

信息，如果某些信息不能提供,CA是否给请求者返回错误信息；

b）检测文档是否和标准的规定一致。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

6

GB/T30272—2013

交叉认证

评价内容：

见GB/T19714—2005中&6的内容。

对开发者的要求：

开发者应提供文档，针对交叉认证过程进行说明。

测试评价指：

评价者模拟一次交叉认证过程：

a）新建三个CA系统，分别命名为A、B、C；

b）分别使用三个CA系统,签发三个证书，分别命名为：a、b、c；

c）以CA系统A为请求者，CA系统B为响应者，进行交叉认证操作，检测操作过程和消息结构

是否符合标准要求；

d）在拥有证书b的终端实体上，使用交叉认证证书验证证书a,应能验证成功；

）在拥有证书b的终端实体上，验证证书c,验证应不成功。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果系统提供交叉认证功能，以上结果全部正确，则本项满足；如果系统不提供交叉认证功能，在此

项不作为最终结果的判断依据。

终端实体初始化

.1获得PKI信息

评价内容：

见GB/T197142005中8.7.1的内容。

对开发者的要求：

开发者应提供文档，针对终端实体初始化过程中的“获得PKI信息”这一步骤进行说明。

测试评价指：

在终端实体初始化之前，检测能否获得以下PKI信息：

a）当前根CA的公钥；

b）撤销列表以及撤销列表的认证路径；

c）所支持的每一种相关应用的算法和算法变量。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

.2根CA密钥的带外验证

评价内容：

见GB/T19714—2005中8.7.2的内容。

对开发者的要求：

开发者应提供文档，针对终端实体初始化过程中的“根CA密钥的带外验证”这一步骤进行说明。

测试评价指：

检测系统是否能够通过一些安全的“带外”方法给终端实体提供CA的证书指纹。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

7

GB/T30272—2013

证书请求

评价内容：

见GB/T19714—2005中&8的内容。

对开发者的要求：

开发者应提供文档，针对证书模板和证书请求进行说明。

测试评价指：

检测经过初始化的终端实体是否能够请求一个额外的证书：

a）对每一种证书模板，选择一个经过初始化的终端实体，提出证书请求；

b）检测这个请求是否使用认证请求（cr）消息；

c）检测能否返回新的证书；

d）选择一个已经拥有一对签名密钥（带有相应的验证证书）的终端实体，提出证书请求

）检测请求（cr）消息是否使用此实体的数字签名来保护；

f）检测能否返回新的证书；

g）检查文档是否和标准的规定一致。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

4.2.1.9密钥更新

评价内容：

见GB/T19714—2005中&9的内容。

对开发者的要求：

开发者应提供文档，针对密钥更新进行说明。

测试评价指：

a）在终端实体的证书将要过期前，评价者模拟密钥更新的过程；

b）检查文档是否和标准的规定一致。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

4.2.2传输

评价内容：

见GB/T19714—2005中第9章的内容。

对开发者的要求：

开发者应提供文档，说明在EE.RAs.CAs之间传输PKT消息的传输协议和消息格式。

测试评价指：

a）如果PKI消息通过文件传输，检测PKI消息的格式是否符合标准要求；

b）如果PKI消息通过TCP管理协议传输，检测PKI消息的格式是否符合标准要求；

c）如果PKI消息通过E-mail方式传输，检测PKI消息的格式是否符合标准要求；

d）如果PKI消息通过HTTP方式传输，检测PKI消息的格式是否符合标准要求。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果系统支持的每种传输方式的消息格式和传输协议均符合标准要求，则本项满足。

4.2.3必选的PKI管理消息结构

初始的注册/认证（基本认证方案）

评价内容：

8

GB/T30272—2013

见GB/T19714—2005中B.4的内容。

对开发者的要求：

开发者应提供文档，说明初始的注册/认证的消息格式。

测试评价指：

通过未初始化的终端实体向CA请求第一个证书，根据开发者所提供的文档，检测终端实体和PKI

之间的通信消息是否符合标准要求。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

证书请求

评价内容：

见GB/T19714—2005中B.5的内容。

对开发者的要求：

开发者应提供文档，说明证书请求的消息格式。

测试评价指：

通过已经初始化的终端实体向CA请求证书，根据开发者所提供的文档，检测终端实体和PKI之

间的通信消息是否符合标准要求。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

4.2.3.3密钥更新请求

评价内容：

见GB/T19714—2005中B.6的内容。

对开发者的要求：

开发者应提供文档，说明密钥更新请求的消息格式。

测试评价指：

在密钥即将过期前，通过已经初始化的终端实体向CA请求证书（用于更新密钥对和/或已经拥有

的相应证书），根据开发者所提供的文档，检测终端实体和PKI之间的通信消息是否符合标准要求。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

4.3PKI组件最小互操作规范测试评价指

4.3.1PKI组件规范

证书认证机构（CA）

.1颁发数字签名证书

评价内容：

见GB/T19771—2005中5.2.2a）的内容。

对开发者的要求：

开发者应提供文档，针对数字签名证书的颁发进行说明。

测试评价指：

a）对每一种证书模板，通过授权RA产生多个签名数字证书请求，并发送给CA,检测CA能否生

9

GB/T30272—2013

成新证书并将其放在资料库中；

b）通过非授权RA产生一个签名数字证书请求，并发送给CA,检测CA能否拒绝该证书申请，能

否向RA报告失败并说明原因；

c）通过授权RA产生一个包含不匹配信息的签名数字证书请求，并发送给CA,检测CA能否拒

绝该证书申请，能否向RA报告失败并说明原因；

d）对每一种证书模板，产生多个自我注册的证书请求，并发送给CA,检测CA是否验证请求者的

身份并验证申请者的相应私钥，如果验证成功，检测CA能否生成新证书并将其放在资料库

中；如果验证失败，检测CA能否拒绝该证书申请，能否向申请者报告失败并说明原因；

）对每一种证书模板，产生多个更新的证书请求，并发送给CA,检测CA是否验证请求者的身

份,如果验证成功，检测CA能否生成新证书并将其放在资料库中；如果签名无效或者CA策

略不允许更新，检测CA能否拒绝该证书更新请求,并向申请者报告失败并说明原因；

f）以非法的请求者产生一个更新的证书请求，检测CA能否拒绝该证书更新请求，能否向申请者

报告失败并说明原因。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

.2颁发加密证书

评价内容：

见GB/T19771—2005中5.2.2b）的内容。

对开发者的要求：

开发者应提供文档，针对加密证书的颁发进行说明。

测试评价指：

a）由第三方集中产生加密密钥对，并通过带外方式提供给CA；

b）由证书持有者生成多个加密证书请求，说明自己想要的加密算法，并对该请求进行数字签名，

将该请求发送给CA；

c）检测CA能否验证请求者身份，并颁发加密证书和加密密钥给请求者。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

.3交叉认证

评价内容：

见GB/T19771—2005中5.2.2c）的内容。

对开发者的要求：

开发者应提供文档，针对CA间的交叉认证进行说明。

测试评价指：

a）在两个交叉认证的CA之间交换CA的公钥，分別为对方的公钥生成证书，并将其存放到资料

库中；

b）检测双方之间的证书能否交叉认证。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果系统提供交叉认证功能，以上结果全部正确，则本项满足；如果系统不提供交叉认证功能，在此

项不作为最终结果的判断依据。

.4撤销证书

评价内容：

10

GB/T30272—2013

见GB/T19771—2005中5.2.2d）的内容。

对开发者的要求：

开发者应提供文档，针对证书的撤销进行说明。

测试评价指：

a）以多个证书持有者身份请求撤销证书，并将请求发送给CA,检测CA是否验证请求者身份，验

证成功后能否将证书放入CRL中；

b）检测新的CRL产生时，老CRL中的全部信息是否放到新CRL中；

c）通过RA向CA发送多个证书撤销请求，检测CA是否验证请求者身份，验证成功后能否将证

书放入CRL中。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

.5请求CA证书

评价内容：

见GB/T19771—2005中5.2.20的内容。

对开发者的要求：

开发者应提供文档，针对向更高层次CA申请证书进行说明。

测试评价指：

通过CA向层次更高的CA申请证书，检测能否申请成功。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

注册机构（RA）

评价内容：

见GB/T19771—2005中5.3的内容。

对开发者的要求：

开发者应提供文档，针对RA的操作规范进行说明。

测试评价指：

a）针对每一种证书模板，向RA提交多个CertReq格式的证书请求；

b）检测RA是否审查请求者的身份；

c）检测RA是否确认请求者是否拥有相应的完整的密钥对；

d）验证通过后，检测RA能否抽取公钥信息并用RA的名字和签名建立一个新的CertReq消息；

）检测RA能否将新的CertReq消息发送给CA；

0如果证书请求被接受，检测RA能否接收CA颁发的新证书，并将新证书发送给请求者；

g）如果证书请求被拒绝，检测RA能否审查从CA发来的错误代码；

h）向RA提交多个证书撤销请求，检测RA是否验证请求者身份，并产生新的RevRcq消息；

1）检测RA能否将新的RevRcq消息发送给CA；

j）如果证书撤销请求被接受，检测RA能否接收CA回应的RevRcq消息，能否将此信息提交给

请求者；

k）如果证书撤销请求被拒绝，检测RA能否审查错误代码，并再次产生撤销请求。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

11

GB/T30272—2013

证书持有者规范

评价内容：

见GB/T19771—2005中5.4的内容。

对开发者的要求：

开发者应提供文档，针对证书持有者规范进行说明。

测试评价指：

a）以多个用户身份申请签名证书，检测能否成功申请并且获取证书；

b）以多个用户身份申请加密证书，检测能否成功申请并且获取证书；

c）以多个证书持有者身份，申请撤销签名证书，检测能否成功撤销证书；

d）以多个证书持有者身份，申请更新签名证书，检测能否成功更新证书。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

客户规范

评价内容：

见GB/T19771—2005中5.5的内容。

对开发者的要求：

开发者应提供文档，针对客户规范进行说明。

测试评价指：

a）验证客户能否验证签名；

b）验证客户能否从查询服务器检索证书和CRLs；

c）验证客户能否验证证书认证路径"

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

4.3.2数据格式

证书撤销列表

评价内容：

见GB/T19771—2005中6.3的内容。

对开发者的要求：

开发者应提供文档，针对证书撤销列表的格式进行说明。

测试评价指：

a）由CA颁发证书撤销列表；

b）下载证书撤销列表，检测证书撤销列表的格式是否符合标准要求；

c）多次进行上述操作。

记录测试结果并对该结果是否完全符合上述测试评价指南要求作出判断。

如果以上结果全部正确，则本项满足。

事务消息格式

.1全体PKI消息组件

评价内容：

12

GB/T30272—2013

见GB/T19771—2005中6.5.2的内容。

对开发者的要求：

开发者应提供文档，针对PKI消息的格式进行说明。

测试评价指：

根据开发者提供的文档，检测PKI消息（包括：header、body、protection、extraC