DB11/T 254.1-2018 政务数字证书规范 第1部分：格式

北京市地方标准公告

2023年标字第22号（总第340号）

根据《中华人民共和国标准化法》《北京市标准化办法》和《北

京市地方标准管理办法》的规定，结合2023年北京市地方标准复

审结果，现公布现行有效北京市地方标准目录。

附件：现行有效北京市地方标准目录2023年标字第22号

（总第340号）

北京市市场监督管理局

2023年12月29日

序号标准号标准名称行业主管部门备注

96.DB11/T248-2021水质数据库表结构北京市水务局

97.DB11/T252-2021平菇生产技术规程北京市农业农村局

98.DB11/T253-2021香菇生产技术规程北京市农业农村局

将规范性引用文件及正文中的“GB/T25069-2010”更新

99.DB11/T254.1-2018政务数字证书规范第1部分：格式北京市经济和信息化局

为“GB/T25069”。

政务数字证书规范第2部分：应用接将规范性引用文件及正文中的“GB/T25069-2010”更新

100.DB11/T254.2-2018北京市经济和信息化局

口为“GB/T25069”。

101.DB11/T257-2021籽粒玉米生产技术规程北京市农业农村局

102.DB11/T258-2021夏播青贮玉米生产技术规程北京市农业农村局

103.DB11/T259-2020黄芩种植技术规程北京市农业农村局

104.DB11/T260-2022花生生产技术规程北京市农业农村局

105.DB11/T261-2022大豆生产技术规程北京市农业农村局

106.DB11/T267-2023芹菜生产技术规程北京市农业农村局

107.DB11/T268-2005黄瓜嫁接苗生产技术规程北京市农业农村局

108.DB11/T269-2014粪便处理设施运行管理规范北京市城市管理委员会

10

ICS35.240.30

L70

备案号：58906-2018DB11

北京市地方标准

DB11/T254.1—2018

代替DB11/T254.1-2004

政务数字证书规范

第1部分:格式

Specificationfordigitalcertificateforgovernmentaffairs

Part1:Format

2018-04-04发布2018-07-01实施

北京市质量技术监督局发布

DB11/T254.1—2018

目次

前言..............................................................................II

引言.............................................................................III

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义、缩略语...................................................................1

4政务数字证书基本格式.................................................................2

5政务个人证书格式....................................................................11

6政务机构证书格式....................................................................12

7政务设备证书格式....................................................................13

附录A（资料性附录）政务数字证书编码示例.........................................14

附录B（规范性附录）主体命名示例.................................................18

附录C（规范性附录）主体可选替换名称命名示例.....................................20

附录D（规范性附录）政务个人证书模板.............................................21

附录E（规范性附录）政务机构证书模板.............................................25

附录F（规范性附录）政务设备证书规范.............................................29

参考文献........................................................................32

I

DB11/T254.1—2018

前言

本部分按照GB/T1.1—2009给出的规则起草。

DB11/T254—2018《政务数字证书规范》分为两个部分：

——第1部分：格式；

——第2部分：应用接口。

本部分为DB11/T254—2018的第1部分。

本部分代替DB11/T254.1—2004《政务数字证书规范第1部分：格式》,本部分与DB11/T254.1—

2004相比主要变化如下：

——修订了引言；

——修订了范围；

——第2章增加了新的规范性引用文件；

——第4章，将“政务数字证书通用格式”改为“政务数字证书基本格式”，描述政务数字证书的

语法编码、基本结构、基本证书域、签名算法域、签名值域、命名规范。将政务证书所使用的扩展都在

“证书基本格式”的“扩展域”中统一描述；

——对“4.3.2扩展域”中，加入GM/T0015所规定的证书扩展项，个人身份识别码、个人社会保险

号；加入北京市法人网上统一认证系统所需的证书扩展项包括统一社会信用代码、机构证书区分码；

——在“4.4签名算法域”中，加入“签名算法应使用国家密码管理局审核批准的密码算法。”的

描述；

——第5章，删除“政务认证机构证书规范”，改为“政务个人证书格式”，增加原政务个人证书

中的“个人身份证号”、“个人社会保险号”、“主体银行帐号”、“政务实体唯一标识”扩展项，将

政务个人证书模板移至附录D；

——第6章，改为“政务机构证书格式”，删除原机构证书中的“主体银行基本帐号”和“政务机

构唯一标识”扩展，加入统一社会信用代码、机构证书区分码，并将政务机构证书模板移至附录E；

——第7章，改为“政务设备证书格式”，将政务设备证书模板移至附录F；

——删除原标准第8章，“政务代码签名证书格式”；

——附录A，改为“政务数字证书编码示例”，原附录A改为附录B；

——附录B，改为“主体命名示例”，原附录B改为附录C；

——附录C，改为“主体可选替换名称命名示例”；

——添加附录D政务个人证书模板；

——添加附录E政务机构证书模板；

——添加附录F政务设备证书模板。

本部分由北京市经济和信息化委员会提出并归口。

本部分由北京市经济和信息化委员会组织实施。

本部分主要起草单位：北京市经济和信息化委员会、北京数字认证股份有限公司、中国科学院信息

工程研究所、北京市国家保密局、北京市密码管理局。

本部分主要起草人：潘锋、刘惠刚、刘莎、姚世全、陈淑仪、高能、荆继武、李述胜、李向锋。

II

DB11/T254.1—2018

引言

信息技术和网络技术在极大地促进了社会的经济、科技、文化、教育和管理等各个方面发展的同时，

也带来了巨大的信息安全风险。随着北京市电子政务工程的不断深入和发展，迫切需要在开放的网络环

境下建立一个真实、有效的身份信任体制，确认电子政务参与方的各自身份，建立彼此间的信任关系以

及保证信息的保密性、完整性和可用性。以公开密钥基础设施（PublicKeyInfrastructure，PKI）为

核心的网络身份认证体系和信息加密技术已成为业界广泛认同的一种构造网络身份信任体制的重要方

式，并成为信息安全保障体系中极其重要的组成部分之一。

数字证书是PKI的关键要素之一，是传送和处理实体身份鉴别信息的重要载体。为了确保数字证书

在电子政务活动中能够通用，实现网络互联互通和信息共享，形成统一的网络信任体系，满足首都信息

化和电子政务发展的迫切需求，本部分遵照GM/T0015—2012《基于SM2密码算法的数字证书格式规

范》，对证书基本域和扩展域的取值和编码进行了规范，规定了政务数字证书的基本格式、政务数字证

书的主体命名规范和主体可选替换名称的命名规范，定义了政务数字证书的私有扩展项，规定了政务数

字证书的必备项，并给出了政务证书认证机构数字证书、政务个人数字证书、政务机构数字证书和政务

设备数字证书的模板。

III

DB11/T254.1—2018

政务数字证书规范第1部分：格式

1范围

本部分规定了电子政务外网中政务数字证书的格式，并给出了政务个人证书、政务机构证书、政务

设备证书的模板。

本部分适用于数字证书认证机构、数字证书认证系统的开发商、电子政务应用部门以及基于数字证

书的安全应用开发商，来设计和处理各类政务数字证书。

2规范性引用文件

下列文件对于本部分的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本部分。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本部分。

GB/T8561专业技术职务代码

GB/T12403干部职务名称代码

GB/T16262.1信息技术抽象语法记法一(ASN.1)第1部分:基本记法规范

GB/T16263.1信息技术ASN.1编码规则第1部分：基本编码规则（BER）、正则编码规则（CER）

和非典型编码规则（DER）规范

GB/T25069—2010信息安全技术术语

GB32100法人和其他组织统一社会信用代码编码规则

GM/T0015—2012基于SM2密码算法的数字证书格式规范

3术语和定义、缩略语

3.1术语和定义

GB/T25069—2010界定的以及下列术语和定义适用于本文件。

3.1.1

政务数字证书governmentaffairsdigitalcertificate

用来标识电子政务参与方真实身份的数字证书。根据参与方的不同类别分为政务证书认证机构证

书、政务个人证书、政务机构证书、政务设备证书。

3.1.2

政务证书认证机构证书governmentaffairsCAcertificate

颁发给参与电子政务的证书认证机构的数字证书，简称政务CA证书。

3.1.3

政务个人证书governmentaffairspersonalcertificate

1

DB11/T254.1—2018

颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。

3.1.4

政务机构证书governmentaffairsunitcertificate

颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。

3.1.5

政务设备证书governmentaffairsdevicecertificate

颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。

3.2缩略语

下列缩略语适用于本部分：

CA证书认证机构（CertificationAuthority）

CRL证书撤销列表（CertificateRevocationList）

DER可辨别编码规则（DistinguishedEncodingRules)

DN可识别名（DistinguishedName）

OID对象标识符（ObjectIdentifier）

PKI公钥基础设施（PublicKeyInfrastructure）

4政务数字证书基本格式

4.1语法和编码

本部分的证书格式的语法描述遵循GB/T16262.1，证书编码采用GB/T16263.1中的非典型规则（DER）

对证书项中的各项信息进行编码，组成特定的证书数据结构。编码示例参见附录A。

4.2基本结构

政务数字证书的基本结构由三部分组成：基本证书域TBSCertificate、签名算法域

SignatureAlgorithm、签名值域SignatureValue。其中，基本证书域由基本域和扩展域组成，见图1。

基本域

基本证书域

扩展域

政务数字

签名算法域

证书

签名值域

图1政务数字证书结构

2

DB11/T254.1—2018

4.3基本证书域

4.3.1基本域

组成及要求

.1基本域由如下部分组成：

·版本Version

·序列号SerialNumber

·签名算法SignatureAlgorithm

·颁发者Issuer

·有效期Validity

·主体Subject

·主体公钥信息SubjectPublicKeyInfo

.2在政务数字证书中，证书颁发者名称和证书主体名称不应重复使用。

版本

本项描述了政务数字证书的版本号。

序列号

是CA分配给每个证书的一个正整数，CA应保证颁发的每张证书的序列号是唯一的。证书用户应处理

长达20个8位字节的序列号值。CA应确保不使用大于20个8位字节的序列号。

签名算法

此项为CA颁发该证书所使用的密码算法的标识符，应与证书中签名算法域中的签名算法相同。可选

参数的内容完全依赖所标识的具体算法。

颁发者

标识了证书签名和证书颁发的实体。它应包含一个非空的甄别名称。该项被定义为Name类型。其中，

颁发者可辨别名的C（Country）属性的编码使用PrintableString、Email属性的编码使用IA5String，

其它属性的编码一律使用UTF8String。

有效期

一个时间段。在这个时间段内，CA担保它将维护关于证书状态的信息。该项被表示成一个具有两个

时间值的SEQUENCE类型数据：证书有效期的起始时间（notBefore）和证书有效期的终止时间（notAfter）。

在证书编码时，2049年之前（含2049年）的时间值应编码为UTCTime类型，2050年之后（含2050年）的

时间值应编码为GeneralizedTime类型。

主体

描述了与主体公钥中的公钥绑定的实体信息。在政务数字证书中，主体项不能为空。主体的内容和

编码方式见4.5。

主体公钥信息

用来标识证书主体公钥和相应的公钥算法。

4.3.2扩展域

3

DB11/T254.1—2018

证书扩展

.1组成及要求

政务数字证书扩展域可包含多项扩展项。每项扩展项由扩展类型、扩展关键度和扩展项值组成，见

图2。其中，关键度告诉一个证书的使用者是否可以忽略某一扩展，取值为“关键”或“非关键”。“关

键”表示使用此证书的应用必须检查此扩展项，如果不能识别应拒绝此证书；“非关键”表示可以应用

可以不检查此扩展项，如果不能识别可以忽略此扩展项。

扩展类型

扩展项1扩展关键度

扩展项2扩展项值

扩展域

扩展项3

……

扩展项n

图2扩展域构成

.2政务数字证书扩展项

政务数字证书可使用如下证书扩展项：

·颁发机构密钥标识符AuthorityKeyIdentifier

·主体密钥标识符SubjectKeyIdentifier

·密钥用法KeyUsage

·扩展密钥用途ExtendedKeyUsage

·私有密钥使用期PrivateKeyUsagePeriod

·证书策略CertificatePolicies

·策略映射PolicyMappings

·主体可选替换名称SubjectAlternativeName

·颁发者可选替换名称IssuerAlternativeName

·主体目录属性SubjectDirectoryAttributes

·基本限制BasicConstraints

·名称限制NameConstraints

·策略限制PolicyConstraints

·证书撤销列表分发点CRLDistributionPoints

·限制任意策略InhibitAnyPolicy

·最新证书撤销列表FreshestCRL

·机构信息访问AuthorityInformationAccess

4

DB11/T254.1—2018

·主体信息访问SubjectInformationAccess

·个人身份证号码IdentifyCode

·个人社会保险号InsuranceNumber

·证书实体唯一标识EntityUniqueID

·地税计算机代码TaxationComputerNumber

·统一社会信用代码UnifiedSocialCreditCode

·纳税人识别号TaxIdentifictionNumber

·机构证书区分码UnitUniqueID

颁发机构密钥标识符

用于标识与CA颁发该证书的签名私钥相对应的公钥。政务数字证书中，可使用颁发机构密钥标识符

扩展项，使用时应满足如下要求：

·内容应遵循GM/T0015—2012中.2的规定；

·该扩展项应为非关键扩展项。

主体密钥标识符

提供一种识别包含有一个特定公钥的证书的方法。政务数字证书中，可使用主体密钥标识符扩展项，

使用时应满足如下要求：

·内容应遵循GM/T0015—2012中.3的规定；

·该扩展项应为非关键扩展项。

密钥用法

指示证书中的公开密钥用于何种用途。政务数字证书中，应使用密钥用法扩展项，使用时应满足如

下要求：

·内容应遵循GM/T0015—2012中.4的规定；

·该扩展项应为关键扩展项。

注：政务数字证书支持双证书体制，CA应区分用于机密性和其它用途的密钥。

扩展密钥用途

指示证书中的公开密钥可以用于何种用途，它可作为对密钥用法扩展项中指明的基本用途的补充。

政务数字证书中，可使用扩展密钥用途扩展项，使用时应满足如下要求：

·内容应遵循GM/T0015—2012中.5的规定；

·该扩展项应为非关键扩展项。

私有密钥使用期

指明与证书中的公开密钥相对应的私有密钥的使用期限。该项只能用于数字签名密钥。政务数字证

书中，可使用私有密钥使用期扩展项，使用时应满足如下要求：

·内容应遵循GM/T0015—2012中.6的规定；

·该扩展项应为非关键扩展项。

证书策略

列出了由颁发的CA所认可的证书策略。在政务CA证书中，证书策略扩展项表示了通过该政务CA证书

的认证路径中允许的证书策略。在终端实体证书中，证书策略扩展项表示了该终端实体证书颁发过程中

5

DB11/T254.1—2018

所使用的证书策略。政务数字证书中，证书策略扩展项应明确列出一系列策略信息条目，每个条目都有

一个证书策略对应的OID，使用时满足如下要求：

·内容应遵循GM/T0015—2012中.7的规定；

·该扩展项应为非关键扩展项。

策略映射

列出了在认证路径中等价的证书策略对。策略映射扩展项只用于政务CA证书。政务数字证书中，可

使用策略映射扩展项，使用时应满足如下要求：

·内容应遵循GM/T0015—2012中.8的规定；

·该扩展项应为非关键扩展项。

主体可选替换名称

包含一个或多个可选替换名（可使用多种名称形式中的任一个）。该扩展项中包含证书主体的附加

信息。主体可选替换名称扩展项可以包括多种名称形式如：电子邮件地址、DNS名称、IP地址和统一资

源标识符（URI），每种名称形式可以有多个实例。政务数字证书中，可使用主体可替换名称扩展项，

使用时应满足如下要求：

·内容应遵循GM/T0015—2012中.9的规定；

·主体可选替换名称扩展项中的所有信息必须经过CA验证；

·该扩展项应为非关键扩展项。

0颁发者可选替换名称

包含一个或多个可选替换名（可使用多种名称形式中的任一个）。该扩展项中包含证书颁发者的附

加信息。颁发者可选替换名称扩展项可以包括多种名称形式，如：电子邮件地址、DNS名称、IP地址和

统一资源标识符（URI）。每种名称形式可以有多个实例。政务数字证书中，可使用颁发者可替换名称

扩展项，使用时应满足如下要求：

·内容应遵循GM/T0015—2012中.10的规定；

·该扩展项应为非关键扩展项。

1主体目录属性

包含证书主体期望的任何目录属性值。政务数字证书中不宜使用主体目录属性扩展项。

2基本限制

用于标识证书的主体是否是一个CA、并标识通过该CA可能存在的认证路径的最大长度。政务数字证

书中可使用基本限制扩展项，使用时应满足如下要求：

·在政务个人证书、政务机构证书和政务设备证书中可使用基本限制扩展项，此时该扩展项应

为非关键扩展项；

·政务CA证书应使用基本限制扩展项。此时该扩展项应为关键扩展项；

·内容应遵循GM/T0015—2012中.12的规定。

3名称限制

包含一个名称空间，表明了在通过该CA的认证路径中后续的证书主体的名称空间。政务数字证书中，

可使用名称限制扩展项，使用时应满足如下要求：

·名称限制扩展项只用于政务CA证书；

·政务CA证书中可使用名称限制扩展项，内容应遵循GM/T0015—2012中.13的规定；

6

DB11/T254.1—2018

·该扩展项应为关键扩展项。

4策略限制

提供了CA对于认证路径的附加要求。该扩展项可用于禁止策略映射或要求认证路径中的每个证书包

含一个认可的证书策略OID。政务数字证书中，可使用策略限制扩展项，使用时应满足如下要求：

·策略限制扩展项只用于政务CA证书；

·政务CA证书中可使用策略限制扩展项，内容应遵循GM/T0015—2012中.14的规定；

·该扩展项应为非关键扩展项。

5证书撤销列表分发点

标识如何获得证书相应的CRL信息。政务数字证书中，应使用证书撤销列表发布点扩展项，使用时

应满足如下要求：

·内容应遵循GM/T0015—2012中.15的规定；

·该扩展项应为非关键扩展项。

6限制任意策略

描述使用anyPolicyOID{2.0}时的限制。政务CA证书中，可使用限制任意策略扩展项，

使用时应满足如下要求：

·限制任意策略扩展项只用于政务CA证书；

·内容应遵循GM/T0015—2012中.16的规定；

·该扩展项应为关键扩展项。

7最新证书撤销列表

标识如何获得最新的撤销信息（例如最新的增量CRL）。政务数字证书中，可使用最新证书撤销列

表扩展项，使用时应满足如下要求：

·内容应遵循GM/T0015—2012中.17的规定；

·该扩展项应为非关键扩展项。

8机构信息访问

标识如何访问证书颁发者的信息以及服务。政务数字证书中不宜使用机构信息访问扩展项。

9主体信息访问

包含如何访问证书主体的信息以及服务。政务数字证书中不宜使用主体信息访问扩展项。

0个人身份标识码

用于标识证书主体的个人身份证件的号码。政务个人证书可使用个人身份标识码扩展项，使用时应

应满足如下要求：

·内容应遵循GM/T0015—2012中.18的规定；

·该扩展项应为非关键扩展项。

1个人社会保险号

用于表示证书主体的个人社会保险号码。政务个人证书可使用个人社会保险号扩展项，使用时应满

足如下要求：

·内容应遵循GM/T0015—2012中.19的规定；

7

DB11/T254.1—2018

·该扩展项应为非关键扩展项。

2地税计算机代码

用于表示企业计算机代码。计算机代码指主管地税机关为纳税人办理税务登记后核发的征收管理

码。政务机构证书可使用计算机代码扩展项。该扩展项应为非关键扩展项。企业计算机代码扩展项定义

如下：

id-taxationComputerNumberOBJECTIDENTIFIER::={125.1}

TaxationComputerNumber::=UTF8String

3证书实体唯一标识

3.1定义

用来唯一标识参与电子政务的实体。政务证书应使用政务机构唯一标识扩展项。该扩展项应为非关

键扩展项。证书实体唯一标识扩展项定义如下：

id-EntityUniqueIDOBJECTIDENTIFIER::={125.23}

EntityUniqueID::=UTF8String

3.2内容

其中，“证书实体唯一标识”扩展内容的编码应为：

用户编号+“@”+CA编号（4位）+证件类型代码（2位）+安全标识（1位）+证件号码

其中各部分内容取值如下：

·用户编号是一个证书实体的证书序号。

·CA编号应为CA机构的《电子认证服务许可证》上的“许可证编号”的后四位数字。

·证件类型代码是证书用户申请数字证书使用的关键证件的编码，证书类型和号码类型的代码

应遵循表1：

表1证书类型与证件类型代码对应表

证书类型办理证书时可使用的证件名称证件类型代码

个人证书身份证SF

军官证JG

护照HZ

回乡证HX

其他QT

·安全标识使用1位数字代表不同含义，其意义如下：

0：代表其后的“证件号码”为明文格式签发；

1：代表其后的“证件号码”为BASE64编码格式签发；

2：其它编码方式。

各类证书中证件号码的安全标识的定义根据应用需求而定。

用户根据不同的证书类型，应提供不同的证件办理数字证书。

8

DB11/T254.1—2018

示例：

例如某个人证书的办理时提供的证件为身份证，身份证号码为：342222197205053618，CA机构编号为1001，该CA中

心为用户签发的第一张数字证书的实体唯一标识为：

1)安全标识为0时的值应为：1@1001SF0342222197205053618

2)安全标识为1时的值应为：1@1001SF1+Base64(342222197205053618)

实体唯一标识项数据的总长度不应超过128字节。

4统一社会信用代码

统一社会信用代码是一组长度为18位的用于法人和其他组织身份识别的代码。用于企业“一证多用”

业务。政务机构证书可使用企业信用代码，该扩展项应为非关键扩展项，内容应遵循GB32100的要求。

统一社会信用代码扩展项定义如下：

id-UnifiedSocialCreditCodeOBJECTIDENTIFIER::={125.17}

UnifiedSocialCreditCode::=UTF8String

5企业纳税识别号

企业纳税识别号由税务系统按照统一规则产生并分配给企业用户。政务机构证书可使用企业纳税识

别号。该扩展项应为非关键扩展项。企业纳税识别号扩展项定义如下：

id-TaxIdentifictionNumberOBJECTIDENTIFIER::={125.31}

TaxIdentifictionNumber::=UTF8String

6机构证书区别码

6.1定义

用来区分同一机构实体的不同用户。政务机构证书应使用机构证书区别码扩展项。该扩展项应为非

关键扩展项。机构证书区别码扩展项定义如下：

id-UnitUniqueIDOBJECTIDENTIFIER::={125.29}

UnitUniqueID::=UTF8String

6.2内容

其中，“机构证书区别码”扩展内容的编码应为：

用户编号+“@”+证件类型代码（2位）+证件号码。

其中，用户编号是一个证书实体的证书序号。

证件类型代码是证书用户申请数字证书使用的关键证件的编码，应采用统一社会信用代码（JJ）。

示例：

例如某机构证书，统一社会信用代码为:123456789123456789，该CA中心为用户签发的第一张数字证书的证书区别

码为：1B@JJ123456789123456789。

4.4签名算法域

包含CA颁发该证书所使用的密码算法的标识符，应与基本证书域中的签名算法所标识的签名算法相

同。可选参数的内容完全依赖所标识的具体算法。签名算法应使用国家密码管理局审核批准的密码算法。

4.5签名值域

9

DB11/T254.1—2018

包含对基本证书域进行数字签名的结果。经过ASN.1DER编码的基本证书域作为数字签名算法的输

入，签名的结果按照ASN.1编码成BITSTRING类型并保存在签名值域。

4.6命名规范

4.6.1主体

主体命名要求

政务数字证书中的主体应是C=CN命名空间下的唯一名字。

层次

主体DN应为4级或者5级。

4级表示为：

C=CN

O=××

OU=××

CN=××

5级表示为：

C=CN

O=××