GB/T 19714-2025 网络安全技术 公钥基础设施 证书管理协议

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T19714—2025

代替GB/T19714—2005

网络安全技术公钥基础设施

证书管理协议

Cybersecuritytechnology—Publickeyinfrastructure—

Certificatemanagementprotocol

2025-08-01发布2026-02-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T19714—2025

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

通则

5………………………2

流程与消息结构

6…………………………3

终端与系统间协议

6.1RA……………3

系统与系统间协议

6.2RACA…………4

系统与系统间协议

6.3CAKM………………………6

系统与资料库间协议

6.4CA…………12

终端与资料库间协议

6.5………………14

附录规范性必选的证书管理消息结构

A()……………22

概述

A.1………………22

消息结构解释的通用规则

A.2………………………22

算法使用参数

A.3……………………22

所有权证明消息结构

A.4……………23

初始的注册认证基本认证方案

A.5/()………………23

证书请求

A.6…………………………28

密钥更新请求

A.7……………………28

附录资料性可选的证书管理消息结构

B()……………29

概述

B.1…………………29

结构解释的通用规则

B.2………………29

算法使用参数

B.3………………………29

信息请求响应

B.4PKI/………………29

使用外部身份证书进行初始化

B.5……………………30

附录规范性消息数据结构

C()PKI……………………32

消息综述

C.1PKI………………………32

公共数据结构

C.2………………………36

特定操作数据结构

C.3…………………41

附录资料性版本协商

D()………………47

通则

D.1…………………47

与版本服务端对话的客户端

D.2GB/T19714—2005………………47

接收版本消息的服务端

D.3GB/T19714—2005……………………47

附录资料性使用口令短语

E()“”………………………48

附录资料性证书管理协议描述

F()ASN.1…………49

参考文献

……………………57

Ⅰ

GB/T19714—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息技术安全技术公钥基础设施证书管理协议与

GB/T19714—2005《》。

相比除结构调整和编辑性改动外主要技术变化如下

GB/T19714—2005,,:

更改了标准的范围见第章年版的第章

a)(1,20051);

删除了管理概述内容见年版的第章

b)PKI(20055);

删除了加密密钥私钥拥有证明见年版的和协商密钥私钥拥有证明相关内

c)(20056.3.2、7.2.8)

容见年版的

(20056.3.3);

删除了根的更新的相关内容见年版的

d)CA(20056.4、8.2);

删除了终端实体初始化和初始注册认证相关的前提与限制见年版的第章

e)/(20056);

增加了流程与消息结构描述各组件间证书管理的流程与消息结构见第章

f)“”,PKI(6);

增加了协议支持的国家标准算法以及算法见附录的表

g)OID(AA.1);

增加了的相关描述见附录的

h)“transactionID”(CC.1.2.1);

增加了协议版本字段取值的设置见

i)(C.1.2.1);

增加了隐式确认数据结构见和确认等待时间数据结构见

j)“”(C.1.2.2)“”(C.1.2.3);

在的扩展项增加了对证书模板标识字段的支持见

k)PKIHeadgeneralInfo“certTemplateID”(

C.1.2.4);

增加了多重保护相关描述见

l)“”(C.1.4);

更改了加密值数据结构修改为见年版的协议中加

m),“SM2EnvelopedKey”(C.2.2,20057.2.2),

密数据统一更改使用见年版的附录

“SM2EnvelopedKey”(C.3.2、6.2.2,20057.3.2、E);

增加了证书确认相关内容见

n)(C.1.3、C.3.15);

增加了轮询请求和响应数据结构见

o)“”(C.3.19);

增加了证书冻结和证书解冻请求与响应相关内容见

p)(C.1.3、C.3.20、C.3.21);

增加了有关失败状况的更多信息见

q)(C.2.3);

增加了利用进行多个证书的申请与利用进行多个证书的

r)CertReqMessagesCertRepMessage

响应时有多种实现方式的说明明确了实现上可有多种选择见和明确了一种

,,(C.3.1C.3.2),

常见的实现方式见

(A.5);

删除了交叉认证相关内容见年版的

s)(20057.3.11、7.3.12、8.6);

删除了初始化终端实体初始化相关的管理功能内容见年版的第章

t)CA、PKI(20058);

删除了协议的传输相关内容见年版的第章和附录

u)CMP(20059G);

删除了请求消息行为说明见年版的附录将其主要内容纳入附录中见

v)“”(2005D),C(C.2.8、

C.3.1);

更改了证书管理协议见附录年版的附录

w)OID(F,2005F)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位北京数字认证股份有限公司中国电子技术标准化研究院西安西电捷通无线网

:、、

络通信股份有限公司博雅中科北京信息技术有限公司长春吉大正元信息技术股份有限公司上海

、()、、

市数字证书认证中心有限公司华为技术有限公司武汉大学公安部第一研究所亚数信息科技上海

、、、、()

Ⅲ

GB/T19714—2025

有限公司长扬科技北京股份有限公司深圳市电子商务安全证书管理有限公司陕西省信息化工程

、()、、

研究院江南信安北京科技有限公司郑州信大捷安信息技术股份有限公司清华大学格尔软件股份

、()、、、

有限公司广东省电子商务认证有限公司同智伟业软件股份有限公司北京时代新威信息技术有限公

、、、

司北京中关村实验室浙江大华技术股份有限公司工业和信息化部网络安全产业发展中心工业和信

、、、(

息化部信息中心工信通北京信息技术有限公司中国电子信息产业集团有限公司第六研究所国网

)、()、、

区块链科技北京有限公司中科信息安全共性技术国家工程研究中心有限公司数安时代科技股份有

()、、

限公司奇安信网神信息技术北京股份有限公司中电科网络安全科技股份有限公司

、()、。

本文件主要起草人高文华高文举李彦峰李琴王秉新丁肇伟王玉林曾光何德彪胡光俊

:、、、、、、、、、、

林雪焰夏鲁宁夏冰冰李向锋傅大鹏刘中王月辉张国强李志勇田玉存李亮郭燕飞丁蓓菁

、、、、、、、、、、、、、

邓晨刘斌赵婧张紫薇魏一才赵华沈志淳张鑫苏金岩王志辉郑会涛赵晓荣徐剑南王彤

、、、、、、、、、、、、、、

汪海洋刘为华贾珂婷郑强陈树乐焦正坤俞政臣朱威儒赵博鑫张剑青陈子雄王进王斌

、、、、、、、、、、、、、

王龙杨珂高振鹏杜志强安锦程寇建波

、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2005GB/T19714—2005;

本次为第一次修订

———。

Ⅳ

GB/T19714—2025

网络安全技术公钥基础设施

证书管理协议

1范围

本文件给出了公钥基础设施中证书管理协议的结构和内容规定了证书产生和管理所需要

(PKI),

的协议消息格式

。

本文件适用于公钥基础设施相关产品的研制以及用于指导公钥基础设施相关产品的设计开发和

,、

管理

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

网络安全技术公钥基础设施在线证书状态协议

GB/T19713

信息安全技术公钥基础设施数字证书格式

GB/T20518—2018

信息安全技术证书认证系统密码及其相关安全技术规范

GB/T25056

信息安全技术术语

GB/T25069—2022

信息安全技术密码应用标识规范

GB/T33560

信息安全技术密码算法使用规范

GB/T35276—2017SM2

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2022。

31

.

数字签名digitalsignature

被数据单元的接收者用以确认数据单元的来源和完整性达到保护数据防止被伪造的目的附加

,,,

在数据单元上的一些数据或是对数据单元所做的密码变换

,。

来源有修改

[:GB/T25069—2022,3.576,]

32

.

杂凑算法hash-algorithm

基于杂凑函数实现的密码算法

。

33

.

个人安全环境personalsecurityenvironmentPSE

;

终端用于安全存储证书及私钥的环境

。

34

.

拥有证明proofofpossessionPOP

;

终端用以证明自己拥有即能使用与其申请证书的公钥相对应的私钥

()。

1