GB/T 19713-2025 网络安全技术 公钥基础设施 在线证书状态协议

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T19713—2025

代替GB/T19713—2005

网络安全技术公钥基础设施

在线证书状态协议

Cybersecuritytechnology—Publickeyinfrastructure—

Onlinecertificatestatusprotocol

2025-02-28发布2025-09-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T19713—2025

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

总则

5………………………2

概述

5.1…………………2

请求

5.2…………………2

响应

5.3…………………2

异常情况

5.4……………3

时间语义

5.5……………4

预产生响应

5.6…………………………4

签名机构的委托

5.7OCSP……………4

密钥泄漏

5.8CA…………………………4

功能要求

6…………………4

证书内容要求

6.1………………………4

签名响应的接收要求

6.2………………4

具体语法

7…………………5

约定

7.1…………………5

请求

7.2…………………5

响应

7.3…………………7

扩展

7.4…………………11

附录规范性请求和响应的语法规范

A()OCSPASN.1……………15

附录规范性基于的请求和响应

B()HTTPOCSP…………………24

附录资料性请求和响应语法消息示例

C()OCSPASN.1……………26

附录资料性安全考虑

D()………………34

参考文献

……………………36

Ⅰ

GB/T19713—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技术安全技术公钥基础设施在线证书状态协议与

GB/T19713—2005《》,

相比除结构调整和编辑性改动外主要技术变化如下

GB/T19713—2005,,:

更改本标准适用于各类基于公开密钥基础设施的应用程序和计算环境为本文件适用于公

a)“”“

钥基础设施的建设以及基于在线证书状态协议的安全应用等见第章年版的第章

”(1,20051);

在通则中增加了协议中各方之间的关系图见年版的

b)“”OCSP(5.1,20055.1);

更改了响应的哈希签名为响应的数字签名见年版的

c)“”“”[5.3b),20055.3f)];

更改了已撤销状态的使用范围允许对从未签发过的证书使用此响应状态见

d)revoked(),[5.3

年版的

d),20055.3];

增加了对未签发证书状态请求的响应要求见

e)[5.3e)];

更改了未授权错误响应的使用范围见年版的

f)unauthorized()(5.4,20055.4);

增加了撤销时间语义的定义见

g)revocationTime()(5.5);

增加了算法的支持见和

h)SM2、SM3(7.17.2);

增加了语法中

i)OCSPASN.1Signature、Extensions、CertificateSerialNumber、SubjectPublicK-

和结构的定义见

eyInfo、Name、AlgorithmIdentifierCRLReason(7.1);

增加了轻量级请求语法的注解见

j)OCSP(7.2.2);

增加了轻量级协议对时间的要求见

k)OCSP();

更改了本地配置的签名权威实体中包含了与待验证状态的证书相匹配的证书为本

l)“OCSP”“

地配置的响应者证书与响应者证书相匹配见年版的

OCSPOCSP”(.2,2005);

增加了轻量级环境下授权响应者的撤销状态检查方法见

m)OCSP[.3d)];

增加了基础响应并阐明了字段对应于响应者签名证书见

n)“”,ResponderIDOCSP(

);

增加了轻量级响应中对结构的要求见

o)OCSPOCSPResponse[e)];

增加了证书状态发布对响应者获取证书状态应遵循的标准进行了描述见

p)“.4”,OCSP(

.4);

删除了强制的密码算法和可选的密码算法见年版的

q)(20057.4);

更改了的语法并规定了的长度范围见年版的

r)NonceASN.1,Nonce(7.4.2,20057.5.1);

更改了条目扩展应遵循的标准见年版的

s)CRL(7.4.6,20057.5.5);

增加了优先使用的签名算法扩展该扩展可包含在请求消息中以指定请求者希望响应者使

t)“”,,

用的签名算法建议优先算法使用见

,SM3WithSM2(7.4.8);

增加了扩展撤销定义扩展该扩展表明响应者支持对中定义的未签发证书的

u)“”,5.3“revoked

已撤销响应的扩展使用见

()”(7.4.9);

更改了使用的语法的模块增加支持使用算法见附录

v)ASN.12008ASN.1,SM2、SM3(A,

年版的附录增加了轻量级的语法规范并增加支持使用算

2005B);OCSPASN.1,SM2、SM3

法见附录

(A);

增加了轻量级请求及响应构造见附录

w)OCSP(B.2);

更改正文的安全考虑为附录并补充完善了内容见附录年版的第章

x)“”D,(D,20058)。

Ⅲ

GB/T19713—2025

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位普华诚信信息技术有限公司上海信息安全基础设施研究中心有限责任公司

:、、

上海市数字证书认证中心有限公司北京数字认证股份有限公司郑州信大捷安信息技术股份有限公

、、

司深圳市电子商务安全证书管理有限公司中电科网络安全科技股份有限公司河南金盾信安检测评

、、、

估中心有限公司国家密码管理局商用密码检测中心格尔软件股份有限公司三六零数字安全科技集

、、、

团有限公司数安时代科技股份有限公司华为技术有限公司

、、。

本文件主要起草人梁佐泉顾青田文晋王亚红冯四风高五星张子鸣付丽丽王志威黄成杭

:、、、、、、、、、、

赵艳红石韶博陈荦祺赵鹰侠张永强刘为华郑会涛岳小阳梁宏张绍博郑强张志磊杜志强

、、、、、、、、、、、、、

曾光

。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2005GB/T19713—2005;

本次为第一次修订

———。

Ⅳ

GB/T19713—2025

网络安全技术公钥基础设施

在线证书状态协议

1范围

本文件给出了一种无需请求证书撤销列表即能查询数字证书状态的机制即在线证书状态

(CRL),

协议包括在线证书状态协议的协议内容语法规范

,、。

本文件适用于公钥基础设施的建设以及基于在线证书状态协议的安全应用等

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术编码规则第部分基本编码规则正则编码规则

GB/T16263.1ASN.11:(BER)、

和非典型编码规则规范

(CER)(DER)

信息技术安全技术公钥基础设施证书管理协议

GB/T19714—2005

信息安全技术公钥基础设施数字证书格式

GB/T20518—2018

信息安全技术术语

GB/T25069

信息安全技术二元序列随机性检测方法

GB/T32915

信息安全技术密码应用标识规范

GB/T33560—2017

信息安全技术密码算法使用规范

GB/T35276—2017SM2

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069。

31

.

请求者requester

申请在线证书状态查询服务的实体或设备

。

32

.

响应者responder

提供在线证书状态查询服务的实体或设备

。

33

.

在线证书状态协议onlinecertificatestatusprotocolOCSP

;

一种无需请求证书撤销列表即能查询数字证书状态的协议

(CRL)。

4缩略语

下列缩略语适用于本文件

。

证书认证机构

CA:(CertificationAuthority)

1