一、任務(wù)來源

國家互聯(lián)網(wǎng)信息辦公室正式下達(dá)了《基于SM2密碼算法的證書格式規(guī)范》的編制任務(wù)，

由上海格爾軟件股份有限公司牽頭，由北京海泰方圓科技有限公司、上海數(shù)字證書認(rèn)證中心、

北京數(shù)字認(rèn)證股份有限公司、衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、興唐通信科技有限公司、山東

得安信息技術(shù)有限公司、無錫江南信息安全工程技術(shù)中心、國家信息安全工程技術(shù)研究中心

等8家單位共同參與，組成了聯(lián)合編制工作組，開展該規(guī)范的編寫工作。

二、編制原則

《基于SM2密碼算法的數(shù)字證書格式規(guī)范》的編制原則是：

a)安全性：

遵循國家現(xiàn)有密碼政策，使用國家規(guī)定的密碼算法（SM1/SM2/SM3/SM4）。

b)實(shí)用性：

滿足應(yīng)用需求，要從應(yīng)用方便性、實(shí)用性考慮使用SM2算法進(jìn)行加密和簽名操作時對

操作結(jié)果的標(biāo)準(zhǔn)化封裝等，能夠?yàn)閼?yīng)用系統(tǒng)實(shí)現(xiàn)SM2證書應(yīng)用和密碼算法提供方便，方便

安全廠商開發(fā)滿足規(guī)范的應(yīng)用接口產(chǎn)品，促進(jìn)數(shù)字證書的廣泛應(yīng)用。

c)統(tǒng)一性：

本規(guī)范要與已有的公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系系列規(guī)范融為一體，形成統(tǒng)一的風(fēng)格

和互為補(bǔ)充、融為一體的內(nèi)容。

d)通用性：

本規(guī)范立足于當(dāng)前國內(nèi)SM2證書應(yīng)用的實(shí)際狀況，關(guān)鍵數(shù)據(jù)結(jié)構(gòu)在保障安全性的前提

下，均采用國內(nèi)通行做法。通過對關(guān)鍵信息的規(guī)范，可實(shí)現(xiàn)不同SM2證書應(yīng)用產(chǎn)品的通用

性。

三、主要工作過程

(一)標(biāo)準(zhǔn)制定的主要工作過程如下：

1)2015年8月，成立了以劉承為負(fù)責(zé)人的標(biāo)準(zhǔn)修訂工作組，召開了第一次會議。

在這次會議上，工作組成員討論了我國目前技術(shù)發(fā)展趨勢、基于國產(chǎn)密碼算法的數(shù)

字證書產(chǎn)品的應(yīng)用和市場現(xiàn)狀，提出了對規(guī)范進(jìn)行修訂的總體思路和基本原則，并

對各參與單位應(yīng)承擔(dān)的任務(wù)進(jìn)行了分工。

2)2015年11月，修訂工作組召開了第二次會議。成員單位就各自的研究情況進(jìn)

行了匯報，討論了修訂后標(biāo)準(zhǔn)的總體框架和要調(diào)整的內(nèi)容，形成了修訂稿的草案（第

一稿）。

3)2016年3月10日至11日，參加信安標(biāo)委召開的2016年第一批推薦性國家標(biāo)

準(zhǔn)立項(xiàng)評估工作專家評審會。會議評議了《基于SM2密碼算法的數(shù)字證書格式規(guī)范》

修訂稿草案初稿，確定了本標(biāo)準(zhǔn)的內(nèi)容要求。

4)2016年4月，修訂工作組召開了第三次會議。對規(guī)范修訂稿的初稿進(jìn)行了討

論，形成了修訂稿草案（第二稿）。

5)2016年6月13日至16日，參加信安標(biāo)委2016年第一次工作組“會議周”。

在“WG3-密碼技術(shù)工作組在研標(biāo)準(zhǔn)推進(jìn)會”上，與會專家評審了《基于SM2密碼算

法的數(shù)字證書格式規(guī)范》修訂稿草案，形成了《基于SM2密碼算法的數(shù)字證書格式

規(guī)范》修訂稿的征求意見稿。

四、標(biāo)準(zhǔn)的主要內(nèi)容及確定內(nèi)容的依據(jù)

(一)本標(biāo)準(zhǔn)的主要內(nèi)容

其中第1至第4章為總述性內(nèi)容，介紹規(guī)范的整體情況、關(guān)鍵術(shù)語、縮略語等。

第5章為規(guī)范的關(guān)鍵章節(jié)，詳細(xì)規(guī)定了數(shù)字證書和CRL格式等。

另外，本規(guī)范有4個附錄：

附錄A為規(guī)范性附錄，定義了證書格式。

附錄B為規(guī)范性附錄，定義了用戶證書、服務(wù)器證書的結(jié)構(gòu)實(shí)例。

附錄C為資料性附錄，定義了證書的編碼舉例

附錄D為資料性附錄，定義了算法技術(shù)支持

自簽名CA證書內(nèi)容表，即根證書內(nèi)容工作表，它定義自我簽名證書強(qiáng)制和可選的

內(nèi)容。當(dāng)確認(rèn)一個信任根時，PKI體系中的CA發(fā)布自簽名證書。

二級CA證書內(nèi)容表，它定義了二級CA證書的強(qiáng)制和可選內(nèi)容。

終端實(shí)體簽名證書內(nèi)容表，它定義了由PKI體系中CA頒發(fā)的實(shí)體簽名證書的強(qiáng)制

和可選內(nèi)容，其對象是一個終端實(shí)體，其私鑰用于簽名，其公鑰將用來驗(yàn)證簽名，該證書的

密鑰對簽發(fā)時在客戶端生成，為用戶所私有，其私鑰在終端介質(zhì)中應(yīng)該不可導(dǎo)出。

終端實(shí)體加密證書內(nèi)容表，它定義了由PKI體系中CA頒發(fā)的實(shí)體加密證書的強(qiáng)制

和可選內(nèi)容。其公鑰用于加密數(shù)據(jù)，私鑰用于解密數(shù)據(jù)。密鑰由密鑰管理中心(KM)分發(fā)，其

生命周期受密鑰管理中心控制，在證書有效期間，在介質(zhì)損壞的情況下，可以通過正常的流

程通過CA中心進(jìn)行恢復(fù)。

證書撤銷列表內(nèi)容表，它定義了由證書撤銷列表簽發(fā)者發(fā)布的證書撤銷列表的強(qiáng)制

和可選內(nèi)容。

1范圍

本規(guī)范共包括5章，分別為：范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語、數(shù)字證書

與CRL。

目錄結(jié)構(gòu)如下：

前言

引言

1范圍

2規(guī)范性引用文件

3術(shù)語和定義

4縮略語

5數(shù)字證書與CRL

5.1概述

5.2數(shù)字證書格式

5.2.1基本證書域的數(shù)據(jù)結(jié)構(gòu)

5.2.2TBSCertificate及其數(shù)據(jù)結(jié)構(gòu)

5.2.3證書擴(kuò)展域及其數(shù)據(jù)結(jié)構(gòu)

5.3CRL格式

6算法技術(shù)的支持

附錄A（規(guī)范性附錄）證書的結(jié)構(gòu)29

附錄B（規(guī)范性附錄）證書的結(jié)構(gòu)實(shí)例31

附錄C（資料性附錄）數(shù)字證書編碼舉例32

附錄D（資料性附錄）算法技術(shù)支持