ICS35.040 MH L 71 中 华 人 民 共 和 国 民 用 航 空 行 业 标 准 MH/T 0045.2—2013 民航电子政务数字证书服务及技术规范 第2部分：数字证书模板 Specifications for CAAC e-government digital certificate service and technique Part 2：Digital certificate template 2013 – 11 – 11发布 2014 – 03 –01实施 中国民用航空局发 布  MH/T 0045.2—2013 前言 MH/T 0045《民航电子政务数字证书服务及技术规范》分为四个部分： ——第1部分：服务； ——第2部分：数字证书模板； ——第3部分：USBKey介质； ——第4部分：证书应用集成。 本部分为第2部分。 本部分按照GB/T 1.1-2009给出的规则起草。 本部分由中国民用航空局综合司提出。 本部分由中国民用航空局航空器适航审定司批准立项。 本部分由中国民航科学技术研究院归口。 本部分起草单位：中国民用航空局信息中心、北京数字认证股份有限公司。 本部分主要起草人：胡东宏、张威、宋晨、于飞、于清洋。 I  MH/T 0045.2—2013 民航电子政务数字证书服务及技术规范 第2部分：数字证书模板 MH 1范围 MH/T 0045的本部分规定了民航各级行政机关在开展经济运行、安全监管等政务活动中所使用的数 字证书的基本格式要求，并给出了数字证书的模板。民航电子政务内网数字证书有关要求不在本部分内 涉及。 本部分适用于民航电子政务数字证书的管理方和服务提供方。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20518信息安全技术 公钥基础设施 数字证书格式 GM/Z 0001密码术语 GM/T 0015基于SM2密码算法的数字证书格式规范 MH/T 0045.1民航电子政务数字证书服务及技术规范 第 1部分 服务 3术语和定义 GB/T 20518、GM/Z 0001、GM/T 0015和MH/T 0045.1界定的的术语定义适用于本文件。 4缩略语 下列缩略语适用于MH/T 0045 的本部分。 CA 认证机构(Certification Authority) CRL证书撤销列表(Certificate Revocation List) ASN抽象语法表示法（Abstract Syntax Notation） DN 甄别名（Distinguished Name） OID对象标识符（Object Identifier） 5数字证书基本格式 5.1基本结构 1  MH/T 0045.2—2013 数字证书的基本结构由三部分组成：基本证书域(TBSCertificate)、签名算法域 (SignatureAlgorithm)、签名值域(SignatureValue)。其中，基本证书域由基本域和扩展域组成，如 图1所示： 基本域 基本证书域 扩展域 数字证书 签名算法域 签名值域 图1数字证书基本结构 5.2基本证书域(TBSCertificate) 5.2.1基本域 5.2.1.1组成 基本域由如下部分组成： a)版本（Version）； b)序列号（SerialNumber）； c)签名算法（SignatureAlgorithm）； d)颁发者（Issuer）； e)有效期（Validity)； f)主题（Subject)； g)主题公钥信息（SubjectPublicKeyInfo)； 5.2.1.2版本 描述了数字证书的版本号。MH/T 0045 的本部分本部分中数字证书应使用V3。 5.2.1.3序列号 CA系统分配给每个证书的一个正整数。一个CA系统签发的每张证书的序列号应是唯一的。序列号最 长可为20个8位字节的序列号值。 5.2.1.4签名算法 包含CA签发该证书所使用的密码算法的标识符。算法标识符应与证书中SignatureAlgorithm项的算 法标识符相同。 签名算法应符合国家密码主管部门对密码算法的规定，并根据国家密码主管部门批准的最新算法及 时调整，以适应国家最新技术标准要求。 5.2.1.5颁发者 标识了证书签名和证书颁发的实体。应包含一个非空的可甄别名。应被定义为X.500的Name类型。 颁发者甄别名称（DistinguishedName，简称DN）的C（Country）属性的编码应使用 PrintableString。Email属性的编码应使用IA5String。其他属性的编码应一律使用UTF8String。 2  MH/T 0045.2—2013 证书颁发者DN编码规范如表1所示： 表1证书颁发者DN编码规范表 Name类型 说明 示例 编码格式 MH C 国家 CN PrintableString O 颁发机构名称 xxCA UTF8String 机构名称，可以是信任体系的 OU xxCA-1 xxCA UTF8String 名称 CN 颁发机构通用名 UTF8String 5.2.1.6有效期 一个时间段，在这个时间段内，CA系统担保它将维护关于证书状态的信息。该项被表示成一个具有 两个时间值的SEQUENCE类型数据：证书有效期的起始时间（notBefore）和证书有效期的终止时间 （notAfter）。 数字证书有效期的NotBefore和 NotAfter这两个时间应采用GeneralizedTime类型进行编码。 GeneralizedTime字段包含一个本地和格林威治标准时间之间的时间差。GeneralizedTime值应用格林威 治标准时间表示，且包含秒（即时间格式为YYYYMMDDHHMMSSZ）。 5.2.1.7主题 与主题公钥项中的公钥相对应的实体。主题名称可以出现在主题项或主题替换名称扩展项中 （SubjectAltName）。如果主题是一个CA，那么主题项应与其签发的所有证书的颁发者相同，一个CA 认证的每个证书持有者的甄别名称应是唯一的。一个CA可以为同一个证书持有者以相同的甄别名称签发 多个证书。 该项不应为空。 5.2.1.8主题公钥信息