LD∕T 02.3-2022 （代替 LD∕T 30.3-2009）人力资源社会保障电子认证体系规范 第3部分：数字证书格式规范.pdf

1、LD2022-06-22 发布2022-07-01 实施LD/T 02.32022代替 LD/T 30.32009中华人民共和国劳动和劳动安全行业标准人力资源社会保障电子认证体系规范第 3 部分：数字证书格式规范Specifications forhuman resources and social securityelectronicauthenticationsystemPart 3: Format specifications for digital certificate中华人民共和国人力资源和社会保障部发布ICS 35.040CCS L 80学兔兔 标准下载LD/T 02.3-202

2、2I目次前言.III引言.IV1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.25 证书分类.26 数字证书通用格式.36.1 基本结构. 36.2 基本证书域. 36.3 签名算法域. 86.4 签名值域. 86.5 命名规范. 87 数字证书格式模板.87.1 CA 证书格式模板.87.2 机构证书格式模板.97.3 人员证书格式模板. 117.4 设备证书格式模板.127.5 持卡人证书格式模板.148 CRL 格式.168.1 CRL 基本结构.168.2 CRL 格式模板.17附录 A (资料性) 主体命名示例. 19附录 B (资料性) 数字证书编码示例.20附录

3、C (资料性) 算法说明. 23参考文献.24学兔兔 标准下载LD/T 02.3-2022III前言本文件按照 GB/T 1.1-2020标准化工作导则 第 1 部分：标准化文件的结构和起草规则的规定起草。LD/T 02人力资源社会保障电子认证体系系列规范，已经发布了以下五个部分：-第1部分：框架规范-第2部分：电子认证系统技术规范-第3部分：数字证书格式规范-第4部分：数字证书应用接口规范-第5部分：数字证书载体规范本文件为LD/T 02的第3部分。本文件代替LD/T 30.32009人力资源社会保障电子认证体系 第3部分：证书及证书撤消列表格式规范，与LD/T 30.32009相比，除结构

4、调整和编辑性改动外，主要技术变化如下：a)更改了本部分规范名称为人力资源社会保障电子认证体系 第3部分：数字证书格式规范；b)删除了部分不再被引用的文件（见第2章，2009版第2章）；c)删除了部分不必要的术语定义，同时增加了的术语和定义的来源（见第3章，2009版第3章）；d)更改了证书分类，根据人力资源社会保障数字证书业务需求，重新划分证书类别，增加持卡人证书（见第5章，2009版第5章）；e)更改了数字证书通用格式，对数字证书基本结构进行细化（见第6章，2009版第6章）；f)更改了数字证书格式模板，增加持卡人证书格式模板（见第7章，2009版第7章）；g)更改了签名算法（见8.1.5，

5、2009版8.1.5）；h)更改主体命名规范，将名称修改为主体命名示例，根据证书分类，修订各类证书的主体DN描述（见附录A，2009版附录A）；i)更改了数字证书编码示例， 所有涉及密码算法的描述均采用国家密码管理批准的密码算法 （见附录B，2009版附录B）；j)更改了密码算法的描述，将章节名称修改为“算法说明”，涉及密码算法的描述均采用国家密码管理批准的密码算法（见附录C，2009版附录C）；k)增加了参考文献，为本文件提供标准文本的参考。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中华人民共和国人力资源社会保障部信息中心提出并归口。本文件起草单位

6、：中华人民共和国人力资源和社会保障部信息中心、普华诚信信息技术有限公司、北京数字认证股份有限公司。本文件主要起草人：马丹蕾、张嵩、王岩、耿建军、唐淑静、韩晓颖、成勇、王祥宇、李娜、王智飞、郭丽芳、高五星、李述胜。本文件所代替的历次版本发布情况为：-LD/T 30.32009人力资源社会保障电子认证体系 第 3 部分：证书及证书撤消列表格式规范；-本次为第一次修订。学兔兔 标准下载LD/T 02.3-2022IV引言为适应人力资源社会保障信息化发展要求，满足人力资源社会保障网络信任体系建设和管理的需要， 人力资源社会保障部组织并制定了人力资源社会保障电子认证体系系列规范。 随着我国商用密码技术的

7、发展、 国产密码算法的标准发布， 以及人力资源社会保障行业的业务发展， 需要对行业标准 LD/T 302009人力资源社会保障电子认证体系规范进行修改和完善。本次修订， 是在充分借鉴原标准的框架和结构的基础上， 根据人力资源社会保障行业特点和电子认证业务发展需求， 对电子认证体系总体结构和电子认证系统整体建设规划进行扩充完善， 以符合国家及国家密码主管部门相关标准规范要求，满足人力资源社会保障业务和管理需求，推进 SM2 算法在人社信息系统中的应用，另一方面，也可有效配合中华人民共和国密码法、中华人民共和国网络安全法、密码管理及密码应用安全测评工作、等级保护工作的落实与实施。LD/T 02描述

8、了人力资源社会保障电子认证体系总体结构和电子认证系统整体建设规划，规定了各级人力资源社会保障部门电子认证系统建设和应用要求，由以下五个部分构成。-第1部分：框架规范-第2部分：电子认证系统技术规范-第3部分：数字证书格式规范-第4部分：数字证书应用接口规范-第5部分：数字证书载体规范LD/T 02的第1部分，是人力资源社会保障电子认证体系系列规范的总纲，规定了电子认证体系规范的总体框架。LD/T 02的第2部分第5部分分别从电子认证系统技术、数字证书格式、数字证书应用接口、数字证书载体四个方面提出具体规范要求。本部分重点引用了GB/T 20518-2018，并在此基础上，扩展了证书分类、各类证

9、书模板、证书DN命名规范、CRL格式规范等相关内容，给出了数字证书编码格式示例，从满足人力资源社会保障业务需求的角度，对本行业内所发放的数字证书和证书撤销列表的类型和格式提出规范和要求。学兔兔 标准下载LD/T 02.3-20221人力资源社会保障电子认证体系规范第 3 部分： 数字证书格式规范1范围本文件给出了人力资源社会保障数字证书分类， 规定了数字证书通用格式和格式模板， 以及 CRL 格式的基本结构和格式模板。本文件适用于人力资源社会保障电子认证系统数字证书格式的定制和签发。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件仅该日

10、期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 19714-2005信息技术 安全技术 公钥基础设施 证书管理协议GB/T 20518-2018信息安全技术 公钥基础设施 数字证书格式GB/T 25056-2018信息安全技术 证书认证系统密码及其相关安全技术规范GB/T 32905信息安全技术 SM3密码杂凑算法GB/T 32918（所有部分）信息安全技术 SM2椭圆曲线公钥密码算法3术语和定义GB/T 25056、GB/T 20518、GB/T 19714 界定的和下列术语和定义适用于本文件。3.1证书序列号certificate ser

11、ial number在CA颁发的证书范围内为每个证书分配的一个整数值。 此整数值对于该CA所颁发的每一张证书必须是唯一的。来源：GB/T 20518-2018，3.43.2CRL 分发点CRL distribution point一个 CRL 的目录项或其他 CRL 分发源，通过 CRL 分发点分发的 CRL 可以只含有某个 CA 所颁发的证书全集中的某个子集的撤销项，也可以包括有多个 CA 的撤销项。来源：GB/T 20518-2018，3.63.3终端实体end entity不以签署证书为目的而使用其私钥的证书主体或者是依赖（证书）方。学兔兔 标准下载LD/T 02.3-20222来源：G

12、B/T 19714-2005，3.153.4抽象记法 1abstract syntax notation 1 1;ASN.1.1用来组织复杂数据对象的表示法。来源：GB/T 19714-2005，3.13.5可辨别编码规则distinguished encoding rules;DER对ASN.1对象进行编码的规则。注：本文件中使用DER对ASN.1对象进行编码。来源：GB/T 19714-2005，3.123.6可辨别名distinguished name数字证书实体特征名用来识别公钥的实体名称，通常包括实体的通用名、单位、组织和国家信息。4缩略语下列缩略语适用于本文件：ASN：抽象语法表示

13、法（AbstractSyntaxNotation）C：国家（Country）CA：证书认证机构（Certification Authority）CN：通用名（CommonName）CRL：证书撤销列表（Certificate Revocation List）DER：可区分编码规则（DistinguishedEncodingRules）DN：可辨别名（DistinguishedName）O：机构（Organization）OID：对象标识符（Object Identifier）OU：机构单位（OrganizationUnit）RA：证书注册机构（Registration Authority）5证

14、书分类人力资源社会保障电子认证系统主要签发和管理以下四类用户证书：a)机构证书面向人力资源社会保障系统内部机构 （包括各级人力资源社会保障部门、 各类经办机构、公共服务机构、街道社区人力资源社会保障服务站、所等）、服务于人力资源社会保障业务的系统外机构（包括人力资源社会保障事务代理机构等），以及人力资源社会保障业务所管理服务的企事业单位发放；b)人员证书面向人力资源社会保障业务专网计算机终端用户 （包括各级人力资源社会保障部门工作人员、经办人员等）发放；c)设备证书面向人力资源社会保障信息系统的服务器、终端设备等发放；d)持卡人证书面向第三代社会保障卡持卡人发放。学兔兔 标准下载LD/T 02

15、.3-202236数字证书通用格式6.1基本结构数字证书由三部分组成：基本证书域 TBSCertificate 、签名算法域 SignatureAlgorithm、签名值域SignatureValue。其中，基本证书域由基本域和扩展域组成，如图 1 所示。图 1 数字证书基本结构示意图6.2基本证书域基本证书域（TBSCertificate）包括基本域和扩展域。6.2.1基本域基本域由以下部分组成：a)版本Versionb)序列号SerialNumberc)签名算法SignatureAlgorithmd)颁发者Issuere)有效期Validityf)主体Subjectg)主体公钥信息Subj

16、ectPublicKeyInfo6.2.1.1版本本项描述了数字证书的版本号。数字证书应使用版本 3（对应的数值是整数“2”）。学兔兔 标准下载LD/T 02.3-202246.2.1.2序列号本项是证书签发管理系统分配给每个证书的一个正整数， 一个证书签发管理系统签发的每张证书的序列号必须是唯一的（通过颁发者的名字和序列号就可以唯一地确定一张证书），证书签发管理系统必须保证序列号是非负整数。证书更新时序列号须改变。a)机构证书、人员证书、设备证书的序列号规则一致，证书序列号的长度为 16 个 16 进制数字，序列号编码规则如下：证书序列号（16 位）= CA 编号（2）+RA 编号（6）+

17、顺序号（8）其中，CA 编号编码规则为 “CA+行政区划前 4 位”，RA 编号编码规则为 “RA+行政区划（6 位）”，顺序号可从 1 开始依次累加。例如：某一证书序列号是: 1034000000316098。前 2 位“10”代表部 CA 系统，第 3 位到 8 位“340000”代表安徽省 RA，最后 8 位“00316098”代表证书的顺序号。b)持卡人证书序列号的长度为 32 个 16 进制数字，序列号编码规则如下：持卡人证书序列号（32 位）= 证书类型编号（2）+发卡地行政区划代码（6）+CA 编号（2）+ 随机数（22）其中，发卡地行政区划代码遵循社会保障卡发行地区行政区划代码

18、，CA 编号 CA 编号编码规则为 “CA+行政区划前 4 位”。例如：某一证书序列号是: 10341000347517737135237362193813。前 2 位“10”代表签名证书，第 3 位到 8 位“341000”代表安徽省黄山市，第 9 位到 10 位“34”代表安徽省，最后 22 位“7517737135237362193813”代表证书的随机号。6.2.1.3签名算法本项包含 CA 签发该证书所使用的密码算法的标识符，这个算法标识符必须与证书中SignatureAlgorithm 项的算法标识符相同，签名算法采用 SM3withSM2。签名算法应符合国家密码主管部门对密码算法

19、的规定， 并根据国家密码主管部门批准的最新算法及时调整。6.2.1.4颁发者本项标识了证书签名和证书颁发的实体。它必须包含一个非空的可辨别名（DN）。该项被定义为Name 类型，其 ASN.1 的结构如下：Name := CHOICE RDNSequence RDNSequence := SEQUENCE OF RelativeDistinguishedNameRelativeDistinguishedName := SET OF AttributeTypeAndValueAttributeTypeAndValue := SEQUENCE typeAttributeType,valueAttr

20、ibuteValue AttributeType := OBJECT IDENTIFIERAttributeValue := ANY DEFINED BY AttributeTypeDirectoryString := CHOICE teletexStringTeletexString (SIZE (1.MAX),printableStringPrintableString (SIZE (1.MAX),universalStringUniversalString (SIZE (1.MAX),utf8StringUTF8String (SIZE (1.MAX),bmpStringBMPStrin

21、g (SIZE (1.MAX) 学兔兔 标准下载LD/T 02.3-20225Name 描述了一些属性组成的层次结构的名称，如国家名、相应的值，如“C=CN”。颁发者可辨别名的 C（Country）属性的编码使用 PrintableString。其它属性的编码一律使用 UTF8String。各项编码规范如表 1 所示。表 1 颁发者 DN 编码规范Name 类型类型说明说明示例示例编码格式编码格式C国家CNPrintableStringS省份证书签发管理系统所在省份，例北京UTF8StringL城市证书签发管理系统所在城市，例北京UTF8StringO颁发机构名称人力资源社会保障部信息中心UT

22、F8StringCN颁发机构别名人力资源社会保障部信息中心UTF8String6.2.1.5有效期本项是指一个时间段，在这个时间段内，证书签发管理系统担保它将维护关于证书状态的信息。该项被表示成一个具有两个时间值的 SEQUENCE 类型数据：证书有效期的起始时间（notBefore）和证书有效期的终止时间（notAfter）。NotBefore 和 NotAfter 这两个时间都可以作为 UTCTime 类型或者GeneralizedTime 类型进行编码。在本项中，UTCTime 值必须用格林威治标准时间表示，并且必须包含秒，即使秒的数值为零（即时间格式为 YYMMDDHHMMSSZ）。系

23、统对年字段（YY）应解释为 20YY。GeneralizedTime 字段能包含一个本地和格林威治标准时间之间的时间差。GeneralizedTime 值必须用 格 林 威 治 标 准 时 间 表 示 ， 且 必 须 包 含 秒 ， 即 使 秒 的 数 值 为 零 （ 即 时 间 格 式 为YYYYMMDDHHMMSSZ）。GeneralizedTime 值绝不能包含小数秒（fractional seconds）。CA 证书的有效期最长为 20 年。6.2.1.6主体本项描述了与主体公钥项中的公钥相对应的实体。主体名称可以出现在主体项和/或主体替换名称扩展项中（SubjectAltName）。

24、如果主体是一个 CA，那么主体项必须是一个非空的与颁发者项的内容相匹配的甄别名称（Distinguished Name），一个 CA 认证的每个主体实体的甄别名称必须是唯一的。一个 CA 可以为同一个主体实体以相同的甄别名称签发多个证书。该项不能为空。6.2.1.7主体公钥信息本项用来标识公钥和相应的公钥算法。公钥算法使用算法标识符 AlgorithmIdentifier 结构来表示，公钥算法采用 SM2 椭圆曲线公钥密码算法。6.2.2扩展域本文件定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及证书结构的管理方法。 数字证书允许定义标准扩展项和专用扩展项。 每个证书中的扩展可

25、以定义成关键性的和非关键性的。一个扩展含有三部分，它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度（extensioncriticality）告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果不能识别关键的扩展时，必须拒绝接受该证书，如果不能识别非关键的扩展，则可以忽略该扩展项的信息。证书扩展域结构如图 2 所示。学兔兔 标准下载LD/T 02.3-20226图 2 扩展域构成本条定义了如下一些标准扩展项和专用扩展项：a)密钥用法KeyUsageb)主体密钥标识符SubjectKeyIdentifierc)颁发机构密钥标识符AuthorityKeyIdentifierd)证书

26、策略CertificatePoliciese)实体唯一标识SubjectUniqueID注：对于 CA 证书，可以不签发实体唯一标识；对于终端实体证书，则必须签发实体唯一标识，以用于区分用户。6.2.2.1密钥用法本项说明已认证的公开密钥用于何种用途。所有证书应具有密钥用法扩展项。该项定义如下：id-ce-keyUsage OBJECT IDENTIFIER := id-ce 15KeyUsage:=BIT STRINGdigitalSignature(0)，-数字签名nonRepudiation(1)，-防抵赖keyEncipherment(2)，-密钥加密dataEncipherment(

27、3)，-数据加密keyAgreement(4)，-密钥协议keyCertSign(5)，-证书签发cRLSign(6)，-证书撤销列表签发encipherOnly(7)，-仅加密decipherOnly(8) -仅签名所有的 CA 证书必须包括本扩展，而且必须包含 keyCertSign 这一用法。用户证书则根据证书用途，分为签名证书和加密证书，选择对应的密钥用途进行签发。此扩展可以定义为关键的或非关键的，由证书颁发者选择。6.2.2.2主体密钥标识符本项提供一种识别包含有一个特定公钥的证书的方法。 此扩展标识了被认证的公开密钥。 它能够区分同一主体使用的不同密钥（例如，当密钥更新发生时）。学

28、兔兔 标准下载LD/T 02.3-20227对于使用密钥标识符的主体的各个密钥标识符而言，每一个密钥标识符均应是唯一的。CA签发证书时必须把CA证书中本扩展的值赋给终端实体证书的AuthorityKeyIdentifier扩展中的KeyIdentifier项。CA证书的主体密钥标识符应从公钥中或者生成唯一值的方法中导出。终端实体证书的主体密钥标识符应从公钥中导出。所有的CA证书必须包括本扩展，此扩展项总是非关键的。6.2.2.3颁发机构密钥标识符本项提供了一种方式， 以识别与证书签名私钥相应的公钥。 当颁发者由于有多个密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。 识别可基于颁发者证书

29、中的主体密钥标识符或基于颁发者的名称和序列号。相应CA产生的所有证书应包括AuthorityKeyIdentifier扩展的KeyIdentifier项，以便于链的建立。本项既可用作证书扩展亦可用作CRL扩展。本项标识用来验证在证书或CRL上签名的公开密钥。它能辨别同一CA使用的不同密钥（例如，在密钥更新发生时）。6.2.2.4证书策略本项包含了一系列策略信息条目，每个条目都有一个 OID 和一个可选的限定条件。这个可选的限定条件不能改变策略的定义。在用户证书中，这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的；在CA证书中， 这些策略条目指定了包含这个证书的验证路径的策略集合。

30、具有特定策略需求的应用系统应该拥有它们将接受的策略的列表，并把证书中的策略OID与该列表进行比较。如果该扩展是关键的，则路径有效性软件必须能够解释该扩展（包括选择性限定语），否则必须拒绝该证书。数字证书是否包括本扩展为可选的，是否为关键项也是可选的。6.2.2.5实体唯一标识本项是代表证书持有者身份的唯一编码，在业务系统中，本标识可与系统内用户名一一关联，从而实现证书用户与系统用户的绑定。 实体唯一标识可以用来处理主体名称的重用问题， 例如一个用户申请多张证书，业务系统可通过解析实体唯一标识来区分用户。“实体唯一标识”编码规则为：用户编号（变长）+证书类型代码（1 位）+证件类型代码（2 位）

31、+证件号码（变长）“实体唯一标识”的数据总长度不限制，可根据证件号码长度灵活调整。其中，用户编号是同一用户所持证书的顺序号，一个证件号码允许申请多张证书，例如一个用户申请2张证书，则其用户编号为1和2。证件号码是指用户申请证书时使用的证件号码。证书类型代码和证件类型代码如表2所示。表 2 证书类型与证件类型代码对应表证书类型证书类型证书类型代码证书类型代码证件名称证件名称证件类型代码证件类型代码机构证书1统一社会信用代码ZZ人员证书2身份证SF设备证书3MAC 地址SB6.2.2.6社会保障号码标识本项是代表持卡人证书持有者身份的编码，采用社会保障号码经 SM3 算法运算后的哈希值作为社会保障

32、号码标识。学兔兔 标准下载LD/T 02.3-202286.2.2.7卡号本项是持卡人证书持有者所持有的社会保障卡卡号。6.3签名算法域签名算法域（SignatureAlgorithm）包含数字证书的密码算法，如杂凑算法 SM3、签名算法SM3WithSM2 等，详细内容参见附录 C。在人力资源社会保障系统应用时，应使用国家密码管理主管部门审核批准的 SM2、SM3 等密码算法。6.4签名值域签名值域（SignatureValue）包含对基本证书域进行数字签名的结果。经ASN.1 DER编码的基本证书域作为数字签名算法的输入，签名的结果按照ASN.1编码成BIT STRING类型并保存在签名值

33、域。6.5命名规范数字证书中的主体DN的编码规范是：DN_C（Country）属性的编码使用PrintableString，其它属性的编码一律使用UTF8String。最后一项必须是C=CN；CN项需要放在DN的最前面；其它项按照从小到大的顺序排列：OU在O前面，L在S前面。数字证书中的主体DN命名规范为：a)C，表示国家，例：CN；b)S，表示省份，所在省份，例：北京；c)L，表示城市，所在城市，例：北京；d)O，表示单位或机构名称，例：人力资源社会保障部；e)OU，表示部门名称，例：人力资源社会保障部信息中心；f)CN，表示单位或机构别名，例：人力资源社会保障部。主体命名示例见附录A。另外

34、，数字证书编码示例见附录B。7数字证书格式模板7.1CA 证书格式模板CA 证书模板如表 3 所示。表 3CA 证书模板证书域名证书域名含义含义说明说明字段内容（示例）字段内容（示例）Version版本号证书版本号V3Serial Number序列号由颁发机构指定10 00 00 00 00 00 00 02 00 03Signature签 名 算法符合国家标准SM3WithSM2Encryption(1.2.156.10197.1.501)Issuer颁发者C国家CNS省份北京L城市北京O颁发机构名称人力资源社会保障部CN颁发机构别名人力资源社会保障部学兔兔 标准下载LD/T 02.3-20

35、229Validity有 效 期限最长 20 年，根据应用需求定义， 但必须在根证书有效期范围内。20 年notBefore有 效 期起 始 日期签发日期2020 年 9 月 17 日 16:19:35notAfter有 效 期终 止 日期起始日期有效期2040 年 9 月 17 日 16:19:35Subject主体C国家CNS省份xx 省L城市xx 市O用户单位/机构xx 人力资源社会保障厅（局）信息中心CN用户别名xx 人力资源社会保障厅（局）信息中心Subject Public KeyInformation公钥包括加密算法及公钥值采用 SM2 椭圆曲线密码算法Extensions扩展域

36、KeyUsage密 钥 用法关键扩展项CertificateSigning,Off-lineCRLSigning, CRL SigningSubjectKeyIdentifier主 体 密钥 标 识符非关键扩展项CA 证书公钥的哈希值AuthorityKeyIdentifier颁 发 机构 密 钥标识符非关键扩展项根证书公钥的哈希值BasicConstraints基 本 限制关键扩展项CATrueSignatureAlgorithm签 名 算法对证书基本信息的数字签名的签名算法SM3WithSM2Encryption(1.2.156.10197.1.501)Issuers Signature签

37、名值颁发机构对证书基本信息的数字签名数字签名值7.2机构证书格式模板机构证书模板如表 4 所示。表 4机构证书模板证书域名证书域名含义含义说明说明字段内容（示例）字段内容（示例）Version版本号证书版本号V3Serial Number序列号按照本文件 6.2.1.2按照序列号规范定义学兔兔 标准下载LD/T 02.3-202210Signature签名算法符合国家标准SM3WithSM2Encryption(1.2.156.10197.1.501)Issuer颁发者C国家CNS省份xx 省L城市xx 市O颁发机构名称xx 人力资源社会保障厅（局）信息中心CN颁发机构别名xx 人力资源社会保

38、障厅（局）信息中心Validity有效期限最长 5 年，根据应用需求定义，但必须在 CA 证书有效期范围内。5 年notBefore有 效 期 起始日期签发日期2020 年 9 月 17 日 16:19:35notAfter有 效 期 终止日期起始日期有效期限2025 年 9 月 17 日 16:19:35Subject主体C国家CNS省份持证机构所在省份L城市持证机构所在城市O机构名称OU证书管理者CN机构别名Subject Public KeyInformation公钥包括加密算法及公钥值采用 SM2 椭圆曲线密码算法Extensions扩展域KeyUsage密钥用法关键扩展项签名证书密钥

39、用法包括：数字签名digitalSignature、防抵赖nonRepudiation加密证书密钥用法包括：密钥加密keyEncipherment、数据加密dataEnciphermen、密钥协议keyAgreementSubjectUniqueID实 体 唯 一标识非关键扩展项OID 为：1.2.156.2316；值如：21ZZ123456789SubjectKeyIdentifier主 体 密 钥标识符非关键扩展项证书中公钥的哈希值AuthorityKeyIdentifier颁 发 机 构密 钥 标 识符非关键扩展项颁发机构公钥的哈希值CRLDistributionPointsCRL 分

40、发点非关键扩展项1CRL Distribution PointDistribution Point Name:Full Name:Directory Address:学兔兔 标准下载LD/T 02.3-202211DN2CRL Distribution PointDistribution Point Name:Full Name:URL=http:/ Signature签名值颁发机构对证书基本信息的数字签名数字签名值7.3人员证书格式模板工作人员证书模板如表 5 所示。表 5 工作人员证书模板证书域名证书域名含义含义说明说明字段内容（示例）字段内容（示例）Version版本号证书版本号V3Se

41、rial Number序列号由颁发机构指定按照序列号规范定义Signature签 名 算法符合国家标准SM3WithSM2Encryption(1.2.156.10197.1.501)Issuer颁发者C国家CNS省份如:xx 省L城市如:xx 市O颁发机构名称如: xx 人力资源社会保障厅（局）信息中心CN颁发机构别名如: xx 人力资源社会保障厅（局）信息中心Validity有 效 期限最长 5 年， 根据应用需求定义， 但必须在 CA 证书有效期范围内。5 年notBefore有 效 期起 始 日期签发日期2020 年 9 月 17 日 16:19:35notAfter有 效 期终 止

42、日期起始日期有效期限2025 年 9 月 17 日 16:19:35Subject主体C国家CNS省份持证人所在省份，如：xxL城市持证人所在城市，如：xxO用户单位/机构xx 省 xx 人力资源社会保障厅（局）OU部门名称xx 省 xx 人力资源社会保障厅 （局） 信学兔兔 标准下载LD/T 02.3-202212息中心CN用户别名张三Subject Public KeyInformation公钥包括加密算法及公钥值采用 SM2 椭圆曲线密码算法Extensions扩展域KeyUsage密 钥 用法关键扩展项签名证书密钥用法包括：数字签名digitalSignature、防抵赖nonRepu

43、diation加密证书密钥用法包括：密钥加密keyEncipherment、数据加密dataEnciphermen、密钥协议keyAgreementSubjectUniqueID实 体 唯一标识非关键扩展项OID：1.2.156.2316值如：12SF342222197805053618SubjectKeyIdentifier主 体 密钥 标 识符非关键扩展项用户证书公钥的哈希值AuthorityKeyIdentifier颁 发 机构 密 钥标识符非关键扩展项颁发机构证书公钥的哈希值CRLDistributionPointsCRL 分发点非关键扩展项1CRL Distribution Poin

44、tDistribution Point Name:Full Name:Directory Address:DN2CRL Distribution PointDistribution Point Name:Full Name:URL=http:/ 名 算法对证书基本信息的数字签名的签名算法SM3WithSM2Encryption(1.2.156.10197.1.501)Issuers Signature签名值颁发机构对证书基本信息的数字签名数字签名值7.4设备证书格式模板设备证书模板如表 6 所示。表 6 设备证书模板证书域名证书域名含义含义说明说明字段内容（示例）字段内容（示例）Version

45、版本号证书版本号V3学兔兔 标准下载LD/T 02.3-202213Serial Number序列号由颁发机构指定按照序列号规范定义Signature签 名 算法符合国家标准SM3WithSM2Encryption(1.2.156.10197.1.501)Issuer颁发者C国家CNS省份如:xx 省L城市如:xx 市O颁发机构名称如:xx 人力资源社会保障厅 （局） 信息中心CN颁发机构别名如:xx 人力资源社会保障厅 （局） 信息中心Validity有 效 期限最长 5 年，根据应用需求定义， 但必须在 CA 证书有效期范围内。5 年notBefore有 效 期起 始 日期签发日期2020

46、 年 9 月 17 日 16:19:35notAfter有 效 期终 止 日期起始日期有效期2025 年 9 月 17 日 16:19:35Subject主体C国家CNS省份设备所在省份，例 xxL城市设备所在城市，例 xxO设备所属单位例：xx 人力资源社会保障厅（局）OU部门名称例：xx 人力资源社会保障厅（局）信息中心CN设备别名可为 IP 地址、设备名称、域名等Subject Public KeyInformation公钥包括加密算法及公钥值采用 SM2 椭圆曲线密码算法Extensions扩展域KeyUsage密 钥 用法关键扩展项签名证书密钥用法包括：数字签名digitalSign

47、ature、防抵赖nonRepudiation加密证书密钥用法包括：密钥加密keyEncipherment、数据加密dataEnciphermen、密钥协议keyAgreementSubjectUniqueID实 体 唯一标识非关键扩展项；标识一个设备的唯一编码的值OID：1.2.156.2316;值如：13SB192.168.2.23SubjectKeyIdentifier主 体 密钥 标 识符非关键扩展项本证书公钥的哈希值学兔兔 标准下载LD/T 02.3-202214AuthorityKeyIdentifier颁 发 机构 密 钥标识符非关键扩展项颁发机构公钥的哈希值CRLDistrib

48、utionPointsCRL分发点非关键扩展项1CRL Distribution PointDistribution Point Name:Full Name:Directory Address:DN2CRL Distribution PointDistribution Point Name:Full Name:URL=http:/ 名 算法对证书基本信息的数字签名的签名算法SM3WithSM2Encryption(1.2.156.10197.1.501)Issuers Signature签名值颁发机构对证书基本信息的数字签名数字签名值7.5持卡人证书格式模板持卡人证书模板如表 7 所示。表

49、7持卡人证书模板证书域名含义说明字段内容（示例）Version版本号证书版本号V3Serial Number序列号由颁发机构指定按照序列号规范定义Signature签名算法符合国家标准SM3WithSM2Encryption(1.2.156.10197.1.501)Issuer颁发者C国家CNS省份如:xx 省L城市如:xx 市O颁发机构名称如: xx 人力资源社会保障厅（局）信息中心CN颁发机构别名如: xx 人力资源社会保障厅（局）信息中心Validity有效期限最长 10 年notBefore有效期起始日期签发日期2020 年 9 月 17 日 16:19:35notAfter有效期终止

50、日期起始日期有效期限2030 年 9 月 17 日 16:19:35学兔兔 标准下载LD/T 02.3-202215Subject主体C国家CNS省份持证人所在省份，例山东L城市持证人所在城市，例淄博CN用户别名张三Subject Public KeyInformation公钥SM2 椭圆曲线密码算法SM2 公钥Extensions扩展域KeyUsage密钥用法关键扩展项签名证书密钥用法包括：数字签名 digitalSignature 、 防 抵 赖nonRepudiation加密证书密钥用法包括：密钥加密 keyEncipherment、数据加密dataEnciphermen 、 密 钥 协