GB-T 19713-2005 信息技术安全技术公钥基础设施在线证书状态协议.pdf

资源描述

《GB-T 19713-2005 信息技术安全技术公钥基础设施在线证书状态协议.pdf》由会员分享，可在线阅读，更多相关《GB-T 19713-2005 信息技术安全技术公钥基础设施在线证书状态协议.pdf（15页珍藏版）》请在三一文库上搜索。

1、I C S 3 5 . 1 0 0 . 7 0一一 L 79药日中华人民共和国国家标准 G B / T 1 9 7 1 3 -2 0 0 5 信息技术安全技术公钥基础设施在线证书状态协议 I n f o r ma t i o n t e c h n o l o g y -S e c u r i t y t e c h n i q u e s -P u b l i c k e y i n f r a s t r u c t u r e - O n l i n e c e r t i f i c a t e s t a t u s p r o t o c o l 2 0 0

2、 5 - 0 4 - 1 9 发布2 0 0 5 - 1 0 - 0 1 实施李馨窗瞥臀瓣譬鉴臀臀暴发 “ GB / T 1 9 7 1 3 -2 0 0 5 曰日月 U青本标准主要参考 I E T F ( 互联网工程特别工作组） R F C 2 5 6 0文件制定，其中对某些功能项的实施方法，结合实际经验提出了一些特别的建议。本标准中凡涉及密码算法相关内容，按国家有关法规执行。本标准的附录 B为规范性附录，附录 A为资料性附录。本标准由中华人民共和国信息产业部提出。本标准由全国信息安全标准化技术委员会（ T C 2 6 0 ) 归口。本标准

3、主要起草单位：国家信息安全基础设施研究中心、国家信息安全工程技术研究中心、中国电子技术标准化研究所、国瑞数码安全系统有限公司。本标准主要起草人：顾青、昊志刚、邓琳、陈刚、王于、苏恒、李跃、黄峰、郭晓雷、袁文恭、李丹、上官晓丽、王利。标准下载网() G B / T 1 9 7 1 3 -2 0 0 5 信息技术安全技术公钥基础设施在线证书状态协议 1 范围本标准规定了一种无需请求证书撤销列表（ C R L ) 即可查询数字证书状态的机制（即在线证书状态协议O C S P ) 。该机制可代替 C R L或作为周期性检查

4、 C R L的一种补充方式，以便及时获得证书撤销状态的有关信息。本标准主要描述了以下内容： a ）具体描述了在线证书状态协议的请求形式； b ) 具体描述了在线证书状态协议的响应形式； c ）分析了处理在线证书状态协议响应时可能出现的各种异常情况； d ) 说明了在线证书状态协议基于超文本传输协议（ HT T P ）的应用方式； e ）提供了采用抽象语法记法 1 ( A S N . 1 ) 描述的在线证书状态协议。本标准适用于各类基于公开密钥基础设施的应用程序和计算环境。 2 规范性引用文件下列文件中的条款通过本标准的应用而成为本标准的条款。凡是注日期的引用文件，

5、其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 I S O / I E C 8 8 2 4 - 1 : 2 0 0 2 抽象语法记法一（ A S N . 1 ) 第 1 部分：基本记忆规范 R F C 2 4 5 9 因特网X . 5 0 9 公开密钥基础设施证书和证书撤销列表框架 R F C 2 6 1 6 超文本传输协议（ HT T P 1 . 1 ) 3 术语和定义下列术语和定义适用于本标准。 3 . 1 证书扩展项e x t e n

6、 s i o n s 在证书的结构中，该域定义了证书的一些扩展信息。 3 . 2 证书序列号c e r t i f i c a t e s e r i a l n u m b e r 为每个证书分配的唯一整数值，在 C A颁发的证书范围内，此整数值与该 C A所颁发的证书相关联一一对应。 3 . 3 请求者 r e q u e s t e r 申请在线证书状态查询服务的主体。 3 . 4 P 向应者r e s p o n d e r 提供在线证书状态查询服务的主体。 4 缩略语下列缩略语适用于本标准。标准下载网() c s T 1 9 7 1 3 -2 0 0 5 C A证书

7、认证机构 C A s 证书认证机构群体 C R L 证书撤销列表 H T T P 超文本传输协议 O C S P 在线证书状态协议 O I D对象标识符 P K I 公钥基础设施 5总则 5 . 1 概述 O C S P作为检查定期C R L的替代方法或补充方法，在必须及时获得证书撤销状态的相关信息的情况下，是必不可少的。 O C S P能够使应用程序确定某个标识证书的（撤销）状态。O C S P可以用来满足那些需要提供比检查C R L更及时的撤销信息的操作要求，还可以用来获得附加的状态信息。O C S P请求者向O C S P响应器发出一个状态请求，并延缓接受待查询的证

8、书，直到响应器提供响应为止。本标准规定了检查证书状态的应用程序和提供证书状态查询的服务器之间需要交换的数据。 5 2 请求 O C S P请求包含以下数据： a ) 协议版本； b ) 服务请求； c ) 目标证书标识符； d ) O C S P响应器可处理的可选扩展，比如： O C S P请求者的签名、随机数。对某个请求的回应， O C S P响应器应确定： a ) 报文格式是否正确； b ）响应器是否配置了所要求的服务；。）请求是否包含响应器需要的信息。如果上述任何一个条件未满足，则 O C S P响应器将发出一个错误信息；否则，将返回一个明确的响应。

9、 5 . 3 响应 O C S P响应可以有不同类型，且响应由响应类型和响应实体两部分组成。本标准只规定了一种所有O C S P 请求者和响应器都必须支持的O C S P基本响应类型。对所有明确的响应报文都应进行数字签名。用于响应签名的密钥必须满足下列条件之一： a ) 签发待查询证书的 C A; b ) 可信赖的响应器，即请求者信任该响应器的公钥； c ) C A指定的响应器（即授权的响应器），该响应器拥有一个 C A直接发布的带有特殊标记扩展项的证书，该特殊标记扩展项指明该响应器可以为C A发布O C S P响应。明确的响应消息由如下内容组成： a ) 响应语法

10、的版本； b ）响应器的名称； c ) 对请求中每个证书的响应； d ) 可选择的扩展； e ）签名算法的 O I D; f ) 响应的哈希签名。标准下载网() c B / T 1 9 7 1 3 -2 0 0 5 对请求中每个证书的响应由如下内容组成： a ) 目标证书标识符； b ) 证书状态值； c ) 响应有效期限； d ）可选的扩展。本标准对证书状态值规定了如下明确的响应标识符： a ) g o o d ( 好）：表示对状态查询的肯定响应。如果客户端没有使用时间戳服务器和有限期验证的安全策略，肯定的响应只能说明证书未被撤销，但并不能说明证书已被发

11、布或产生响应的时间是在证书有效性时间范围内。响应扩展可用于传输响应器作出的关于证书状态信息的附加声明，例如发布的肯定声明、有效性等。 b ) r e v o k e d ( 已撤销）：表示证书已被（永久地或临时地）撤销。 c ) u n k n o w n ( 未知）：表明响应器不能鉴别待验证状态的证书（包括 O C S P响应器证书与待验证状态的证书不是同一 C A签发的情况）。 5 . 4 异常情况当出现错误时， O C S P响应器返回某个错误消息。这些消息不能被签名。错误可以是下列几类： a ) m a l f o r m e d R e q u e s

12、 t （不完整的申请）： O C S P响应器（服务器）接收到的请求没有遵循 O C S P 语法； b ) i n t e r n a l E r r o r （内部错误） : O C S P响应器处于非协调的工作状态，应当向另一个响应器再次进行询问； c ) t r y L a t e r （以后再试）： O C S P响应器正处于运行状态，不能返回所请求证书的状态，即表明存在所需的服务，但是暂时不能响应； d ) s i g R e q u i r e d ( 需要签名）：响应器要求请求者对请求签名； e ) u n a u t h o r i z e

13、d （未授权）：该查询是由未授权请求者向响应器提出的。 5 . 5 t h i s U p d a t e , n e x t U p d a t e 和 p r o d u c e d A t 的语义各响应中可包含三个时间字段，即t h is U p d a t e , n e x t U p d a t e和p r o d u c e d A t 。这些字段的语义分别是： a ) t h i s U p d a t e ：此次更新时间，所要求指明的状态是正确的时间； b ) n e x t Up d a t e ：下次更新时间，表示证书在此时间之前，状态是正确的，

14、并且在此时间可以再次获得证书状态更新的信息； c ) p r o d u c e d A t ：签发时间， O C S P响应器签署该响应的时间。如果未设置n e x t U p d a t e ，响应器要指明随时可以获得更新的撤销信息。鉴于O C S P是实时更新有关证书的状态，本标准建议可不设置 n e x t Up d a t e 字段； t h i s Up d a t e 定义为C A签发证书状态的时间； p r o d u c e d A t 为O C S P签发响应的时间。 5 . 6 预产生响应为说明某一特定时刻内某些证书的状态， O C S P响应器可以预先生

15、成某些签名响应。证书状态被认为合法的特定时刻应该就是响应的t h i s Up d a t e 字段；关于状态再次更新的时间应反映在响应中的 n e x t U p d a t e 字段；而产生响应的时间应反映在响应中的 P r o d u c e A t 字段。本标准建议：鉴于 O C S P在线服务，强调其实时性，并防重放攻击，建议可不采用预产生响应。预响应也不能对客户请求时产生的随机数作出反应。 5 . 7 O C S P签名机构的委托签署证书状态信息的密钥不必与签署证书的密钥相同。证书的发布者通过发布一个含有 e x t e n d - e d K e y U

16、 s a g e 唯一值的证书，并作为 O C S P响应器的签名证书，来明确指派 O C S P响应器签名机构。此证书必须由认可的 C A直接签发给响应器。标准下载网() G B / T 1 9 7 1 3 -2 0 0 5 5 . 8 C A密钥泄漏如果O C S P响应器知道一个特定C A的私钥已被泄漏，则它可以使所有由该C A发布的证书都返回撤销状态。 6 功能要求 6 . 1 证书内容为向O C S P客户端请求者提供O C S P响应器的访问位置， C A应该在证书扩展项中提供用于O C S P 访问的A u t h o r i t y I n f o A c

17、c e s s 值（访问授权信息）（详见R F C 2 4 5 9中的4 . 2 . 2 . 1 ) ；或者， O C S P响应器的 a c c e s s L o c a t i o n （访问地址）可在 O C S P客户端进行本地配置。提供 O C S P服务的 C A，不管是在本地实现还是由指定的 O C S P响应器实现，都必须在 A c c e s s D e - s c r i p t i o n S E Q U E N C E中包含u n i f o r m R e s o u r c e l n d i c a t o r ( U R I ) a c

18、c e s s L o c a t io n 值和对象标识符i d - a d - o c s pa 主体证书中的a c c e s s L o c a t i o n ( 访问地址）字段的值详细说明了访问O C S P响应器的信息传输路径（如 H T T P ) ，也可以包含其他的信息（如一个 U R L ) o 6 . 2 签名响应的接收要求 a ) 在把 O C S P响应视作有效之前， O C S P客户端应确认； b ) 收到的响应中所鉴别的证书应和请求中的证书一致； c ) 响应方的签名是有效的； d ) 响应方的签名者身份应和请求的预定接收者保持一致； e ) 签名者

19、已被授权对响应进行签名； f ) 指明证书状态的时间（ t h i s U p d a t e ）应为当前最近的时间； 9 ）如果设置了n e x t U p d a t e 字段，此时间应该晚于客户端当前时间。 7 具体协议 7 . 1 约定本标准采用抽象语法记法l ( A S N. 1 ) 来描述具体协议内容， A S N . 1 语法引用一些 R F C 2 4 5 9 定义的术语，完整的 O C S P协议描述见附录 B 。支持 H T T P的 O C S P请求格式和响应格式见 R F C 2 6 1 6 和参见附录 A 。对于签名计算来说，要签名的数据是用

20、A S N. 1 的可辨别编码规则（ D E R ）来编码的。如果无特殊说明，默认使用A S N . 1 显式标记。引用的其他术语还有： E x t e n s i o n s , C e r t i f i c a t e S e r ia l N u m b e r , S u b j e c t P u b l ic K e y I n f o , N a m e , A l g o - r i t h mI d e n t i f i e r , C R L R e a s o n , 7 . 2 请求本条规定了确定请求的A S N . 1 规范。根据所使用的传输机制（

21、H T T P , S MT P , L D A P等），实际的消息格式可能会发生相应的变化。 7 . 2 . 1 请求语法 O C S P R e q u e s t：： = S E Q U E N C E t b s R e q u e s t T B S R e q u e s t ， o p t i o n a l S ig n a t u r e 0 E X P L I C I T S i g n a t u r e O P T I O N A L T B S R e q u e s t：： S E Q U E N C E v e r s i o n 0 E X P L I

22、 C I T V e r s i o n D E F A U L T v 1 ， r e q u e s t o r N a m e 1 E X P L I C I T G e n e r a lN a m e O P T I O N A L , r e q u e s t L i s t S E Q U E N C E O F R e q u e s t , G B / T 1 9 7 1 3 -2 0 0 5 r e q u e s t E x t e n s i o n s仁 2 E X P L I C I T E x t e n s i o n s O P T I O N A L S

23、i g n a t u r e：： S E Q U E N C E s i g n a t u r e A l g o r it h m A l g o r i t h m I d e n t i f ie r , s i g n a t u r e B I T S T R I NG, c e r t s 0 E X P L I C I T S E Q U E N C E O F C e r t i f i c a t e O P T I O N A L V e r s i o n：： I N T E G E R v 1 ( 0 ) R e q u e s t：： S E Q U E N

24、 C E r e g C e r t C e r t I D, s i n g l e R e q u e s t E x t e n s io n s 0 1 E X P L I C I T E x t e n s i o n s O P T I O N A L C e r t I D：： S E Q U E N C E h a s h A l g o r i t h m A lg o r i t h mI d e n t if i e r ， i s s u e r N a m e H a s h O C T E T S T R I N G , 发布者名称的哈希 i s s u e r

25、K e y H a s h O C T E T S T R I N G, 发布者公开密钥的哈希 s e r i a l N u m b e r C e r t l f l c a t e S e r i a N u m b e r i s s u e r N a m e Ha s h 是发布者唯一名称的哈希值。该值对所检查证书的发布者名称字段的 D E R编码进行计算。i s s u e r K e y H a s h 是发布者公钥的哈希值。该值将通过对发布者证书中的主体公钥字段（不含标记和长度）进行计算。h a s h A l g o r i t h m字段用来指明这些哈希计算所使用

26、的哈希算法。s e r i a l N u m - b e r 是请求其状态的证书的序列号。 7 . 2 . 2 请求语法的注解既使用C A公开密钥的哈希值又使用C A名称的哈希值来标识某个发布者的主要原因，是两个C A 可能使用相同的名称（虽然推荐名称的唯一性，但并不强制）。但是，两个C A的公开密钥是不可能相同的，除非两者都决定共享私钥，或一方的密钥发生泄漏。对任何特殊扩展域的支持是个可选项。不应将这些扩展域设置为关键性的。7 . 5 提出了许多有用的扩展域。在其他标准中会定义其他的附加扩展域。必须忽略那些不能识别的扩展域（除非它们有关键性的标志并且不被理解）

27、。请求者可以选择对O C S P请求进行签名。这种情况下，将针对t b s R e q u e s t 结构来验证签名。如果请求被签名，请求者应在r e q u e s t o r N a m e 中指定其名称。同时，对于已签名的请求，请求者可在S i g n a - t u r e 的 c e r t s 字段中包含有助于 O C S P响应器验证请求者签名的那些证书。 7 . 3 响应本条规定了确定响应的 A S N . 1 规范。根据所使用的传输机制（ H T T P , S MT P , L D A P等），实际的消息格式可能会发生相应的变化。 7 . 3 . 1

28、响应语法一个 O C S P响应至少由一个指明先前请求的处理状态的 r e s p o n s e S t a t u s 字段构成。如果 r e s p o n s - e S t a t u s 的值是某个错误条件，则不设置r e s p o n s e B y t e s o O C S P R e s p o n s e：： S E Q U E N C E r e s p o n s e S t a t u s O C S P R e s p o n s e S t a t u s ， r e s p o n s e B y t e s 0 E X P L I C I T R

29、 e s p o n s e B y t e s O P T I O N A L G B / T 1 9 7 1 3 -2 0 0 5 O C S P R e s p o n s e S t a t u s：： E N U ME R A T E D s u c c e s s f u l ( 0 ) , 响应被有效确认 m a lf o r m e d R e q u e s t ( 1 ) , 非法确认请求 in t e r n a l E r r o r ( 2 ) , 发布者内部错误 t r y L a t e r ( 3 ) , 稍候重试 s ig R e q u i

30、r e d ( 4 ) , 必须对请求签名 u n a u t h o r i z e d ( 5 ) , 请求未被授权 r e s p o n s e B y t e s 的值由一个对象标识符和响应语法组成，该响应语法由按照O C T E C T S T R I N G编码的 O I D来标识。 R e s p o n s e B y t e s ：： S E Q U E N C E r e s p o n s e T y p e O B J E C T I D E N T I F I E R , r e s p o n s e O C T E T S T R I N G 对

31、于基本的O C S P响应器， r e s p o n s e T y p e 应为i d - p k i x - o c s p - b a s i c . i d - p k i x - o c s p O B J E C T I D E N T I F I E R ：： i d - a d - o c s p i d - p k i x - o c s p - b a s i c O B J E C T I D E N T I F I E R：： i d - p k i x - o c s p 1 O C S P响应器应能产生id - p k i x - o c s p - b a

32、s i 。类型的响应。相应地， O C S P客户端应有能力接受和处理此类响应。 r e s p o n s e 的值应为B a s i c O C S P R e s p o n s e 的D E R编码。 B a s i c O C S P R e s p o n s e：： S E Q U E N C E t b s R e s p o n s e D a t a R e s p o n s e D a t a , s i g n a t u r e A l g o r i t h m A l g o r i t h m I d e n t i f ie r , s i g n

33、a t u r e B I T S T R I N G, c e r t s 0 E X P L I C I T S E Q U E N C E O F C e r t i f i c a t e O P T I O N A L s i g n a t u r e 的值应该基于D E R编码的R e s p o n s e D a t a 哈希值计算得到。 R e s p o n s e D a t a：： S E Q U E N C E v e r s i o n 0 E X P L I C I T V e r s io n D E F A UL T v 1 ， r e s p o n d

34、 e r I D R e s p o n d e r I D , p r o d u c e d A t G e n e r a l i z e d T i m e , r e s p o n s e s S E Q U E N C E O F S i n g l e R e s p o n s e , r e s p o n s e E x t e n s io n s 1 E X P L I C I T E x t e n s i o n s O P T I O N A L R e s p o n d e r I D：： C H O I C E b y N a m e仁 1 N a m

35、e , b y K e y 2 K e y H a s h K e y H a s h：： O C T E T S T R I N G 响应器公开密钥的 S HA - 1 哈希（不包括 t a g 和 le n g t h 字段） S i n g l e R e s p o n s e：： S E Q U E N C E c e r t I D C e r t I D, c e r t S t a t u s Ce r t S t a t u s ， GB / T 1 9 7 1 3 - 2 0 0 5 t h i s U p d a t e G e n e r a l iz e d

36、T i m e , n e x t U p d a t e 0 E X P L I C I T G e n e r a l i z e d T i m e O P T I O N A L , s i n g l e E x t e n s i o n s 1 E X P L I C I T E x t e n s io n s O P T I O N A L C e r t S t a t u s：： C HOI C E g o o d 0 I MP L I C I T N U L L , r e v o k e d 1 I MP L I C I T R e v o k e d I n f

37、o ， u n k n o w n 2 I MP L I C I T U n k n o w n I n f o R e v o k e d I n f o：： S E QUE NC E r e v o c a t i o n T i me Ge n e r a l i z e d Ti me , r e v o c a t io n R e a s o n 0 E X P L I C I T C R L R e a s o n O P T I O N A L U n k n o w n I n f o：： N UL L 此处可用枚举替代 7 . 3 . 2 响应语法的注解 7 . 3 .

38、 2 . 1 时间 t h i s U p d a t e 和n e x t U p d a t e 两个字段定义T有效时间间隔。这个时间间隔是和 C R L s中的 t h i s U p d a t e , n e x t U p d a t e 间隔相对应。N e x t U p d a t e 值比本地系统时间早的响应应被认为无效。 T h i s U p d a t e 值比本地系统时间晚的响应也应被认为无效。未提供 n e x t U p d a t e 值的响应和未提供 n e x - t U p d a t e 值的C R L意义相同。 p r o d u c e d A t

39、时间是响应被签名的时间。 7 . 3 . 2 . 2 授权的响应器对证书状态信息签名的密钥和签发证书的密钥不必相同。但必须确保对该信息进行签名的实体是经过授权的。因此，证书的签发者直接对 O C S P响应签名，或明确地指派授权给另一个实体对 O C S P响应签名。C A通过在 O C S P响应器证书的 e x t e n d e d K e y U s a g e 扩展中包含 i d - k p - O C S P S i g n i n g来指派 O C S P响应器对响应进行签名。O C S P响应器证书必须直接由 C A发布，该 C A还发布了需要验证状态的

40、证书。 i d - k p - O C S P S ig n i n g O B J E C T I D E N T I F I E R：： id - k p 9 依赖于O C S P响应的系统或应用必须能够检测并使用上述的i d - a d - o c s p S i g n i n g 值，它们可以提供一种方法在本地配置一个或多个 O C S P签名权威实体以及信任这些权威实体的 C A。如果用来验证响应上的签名所需的证书不能满足以下任何标准，响应必须被拒绝： a ) 本地配置的 O C S P签名权威实体中包含了与待验证状态的证书相匹配的证书； b ) 或是签发待验证状态证

41、书的 C A证书； c ）在e x t e n d e d K e y U s a g e 扩展中含有i d - a d - o c s p S i g n in g 值，并且由签发待验证状态证书的C A 发布。附加的接受或拒绝标准可以应用于响应自身，或应用于验证响应签名的证书。 7 . 3 . 2 . 2 . 1 授权响应器的撤销检查既然一个授权权威 O C S P响应器可以为一个或多个 C A提供状态信息， O C S P客户端就需要知道如何去检查授权权威响应器的证书是否已被撤销。C A可任选以下三种方法之一来解决这个问题： a ) C A可指定O C S P客户端在响应

42、器证书的整个生存期内信任该响应器。 C A通过在响应器证书中包含i d - p k i x - o c s p - n o c h e c k 扩展来完成该指定。这应该是一个非关键性的扩展。扩展值应为空。至少对于证书的有效期而言，发布这样一个证书的 C A应认识到响应器密钥的泄密同用来签发 C R L的 C A密钥的泄密所带来的后果一样严重。C A可以选择发布一种有效期很 G B / T 1 9 7 1 3 -2 0 0 5 短并且经常更新的证书，也就是短生命周期的证书。 id - p k i x - o c s p - n o c h e c k O B J E C T I D E

43、 N T I F I E R ：： i d - p k i x - o c s p 5 b ) C A 可以指定如何检查响应器证书是否已被撤销。假如是使用 C R L s 或 C R L分布点来检查的话，就能够使用 C R L的分布点来完成，假如是用其他的方法来检查，就要用到权威实体信息访问（ A u t h o r i t y I n f o A c c e s s 扩展）。在R F C 2 4 5 9中有这两种机制的详细说明。 c ) C A可选择不指定检查响应器证书是否已被撤销的方法。在此情况下，将遵循 O C S P客户端的本地安全策略来决定是否做这项检查工作。

44、7 . 4 强制的密码算法和可选的密码算法请求O C S P 服务的客户端应能够处理已签名的响应，响应由D S A s ig - a l g - o i d ( R F C 2 4 5 9 的7 . 2 . 2 中指定）鉴别的D S A密钥签名。O C S P响应器应支持散列算法。在国内应用时，应使用国家密码管理主管部门审核批准的相关算法。 7 . 5 扩展本条定义了一些标准的扩展，这些扩展基于X . 5 0 9 的V 3 版本证书（见 R F C 2 4 5 9 ) 中使用的扩展模式。对客户端和响应器而言，对所有扩展的支持都是可选的。对于每个扩展，定义指出了它被O C

45、 S P响应器处理时的语法，以及任何包含在相应响应中的扩展。 7 . 5 . 1 N o n c e （现时） N o n c e 通过秘密地加密绑定一个请求和一个响应，以防止重放攻击。N o n c e 在请求中作为请求包中的一个r e q u e s t E x t e n s i o n s 而包括在请求中，然而在响应中，它将作为响应包中的一个r e s p o n s e E x - t e n s i o n s 包括在响应中。在请求和响应中， N o n c e 将由对象标识符 id - p k i x - o c s p - n o n c e 标识， e

46、x t n V a l u e 中包含了 N o n c e 的值。 i d - p k i x - o c s p - n o n c e O B J E C T I D E N T I F I E R：： id - p k i x - o c s p 2 7 . 5 . 2 C R L参考对于 O C S P响应器来说，在 C R L上指出一个已撤销的或在用的证书，可能更有价值。这一点在 O C S P作为存储库和审计机制使用时非常有用。C R L可能由一个U R L ( C R L可以从这个 U R L处获得），一个序列号（ C R L序列号）或一个时间点（产生

47、相应的C R L的时间点）指定。这些扩展被确定为 s i n g l e E x t e n s i o n s 。该扩展的标识符为i d - p k i x - o c s p - c r l ，值为C r 1 I D o i d - p k i x - o c s p - c r l O B J E C T I D E N T I F I E R：：二 i d - p k i x - o c s p 3 C r 1 I D ：： S E Q U E N C E c r l Ur l 0 E X P L I C I T I A 5 S t r i n g O P T I O N A L , c r l N u m l E X P L I C I T I N T E G E R O P T I O N A L , c r I T ime 2 E X P L I C I T G e n e r a li z e d T i m e O P T I O N A L 选择项c r I Ur l 指定适用于C R L的U R L ，它的类型是I A 5 S t r in g ；选择项。 r l N u m指定相关C R L的 C R L序列号扩展的值，它的类型是 I N T E G E

展开阅读全文

GB-T 19713-2005 信息技术 安全技术 公钥基础设施 在线证书状态协议.pdf

GB-T 19713-2005 信息技术安全技术公钥基础设施在线证书状态协议.pdf