GM∕T 0089-2020 简单证书注册协议规范.pdf
《GM∕T 0089-2020 简单证书注册协议规范.pdf》由会员分享,可在线阅读,更多相关《GM∕T 0089-2020 简单证书注册协议规范.pdf(23页珍藏版)》请在咨信网上搜索。
1、ICS 35.040 CCS L 80 中华人民共和国密码行业标准G/T 0089-2020 简单证书注册协议规范Simple certificate enrollment protocol specification 2020-12-28发布2021-07-01实施国家密码管理局发布G/T 0089-2020 目次前言皿引言凹1 范围.12 规范性引用文件13 术语和定义14 缩略语25 SCEP功能25.1 SCEP实体2 5.2 客户端认证35.3 注册认证35.4 CA/RA证书分发35.5 证书注册45.6 证书查询65.7 CRL查询65.8 证书撤销66 SCEP安全消息对象66
2、.1 概述66.2 SCEP 消息7 6.3 SCEP消息类型9 6.4 简化的SignedData数据类型11 7 SCEP事务117.1 获取CA证书117.2 证书注册117.3 证书轮询127.4 证书查询127.5 CRL查询12 7.6 获取下一个CA证书138 SCEP传输协议u8.1 HTTP消息格式138.2 SCEP 消息14附录A(规范性GetCACaps消息M 参考文献.17 I G/T 0089-2020 目。吕本文件按照GB/T1. 1-2020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识
3、别专利的责任。本文件由密码行业标准化技术委员会提出并归口。本文件起草单位:长春吉大正元信息技术股份有限公司、北京信安世纪科技股份有限公司、格尔软件股份有限公司、成都卫士通信息产业股份有限公司、飞天诚信科技股份有限公司、北京数字认证股份有限公司、兴唐通信科技有限公司、上海市数字证书认证中心有限公司、北京握奇智能科技有限公司、北京华大智宝电子系统有限公司、北京创原天地科技有限公司、山东得安信息技术有限公司。本文件主要起草人:赵丽丽、张庆勇、郑强、张立廷、罗俊、朱鹏飞、傅大鹏、王妮娜、韩琦、汪雪林、张渊、陈保儒、王晓晨、马洪富。囚G/T 0089-2020 引简单证书注册协议是一种证书管理的简单协议
4、,主要用于客户端(用户)与服务端CCA/RA)之间的证书自动注册。它结合了PKCS#7和PKCS#10,保证了证书注册的安全可靠。而且在大规模的设备证书自动注册中简化了对请求者身份鉴别的工作,令设备证书的注册变得更为简单。本文件的内容参考了IETF的SimpleCertificate Enrollment Protocol) Internet-Draft稿,按照我国相关密码政策和规范,结合我国实际应用需求及产品生产厂商的实践经验,制定了适应我国证书体系和密码算法的简单证书注册协议。N G/T 0089-2020 简单证书注册协议规范1 范围本文件定义了使用SM2算法进行证书注册的简单协议。本文
5、件适用于指导研制提供证书自动注册的数字证书认证系统,以及使用SM2算法进行设备证书的自动注册。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 20518-2018信息安全技术公钥基础设施数字证书格式GB/T 32918C所有部分)信息安全技术SM2椭圆曲线公钥密码算法GB/T 35275-2017 信息安全技术SM2密码算法加密签名消息语法规范GM/ T 0092 基于SM2算法的证书申请语法规范GM/ Z 4001 密码术语3 术
6、语和定义3.1 3.2 3.3 3.4 GM/ Z 4001界定的以及下列术语和定义适用于本文件。客户端client 申请证书服务的设备。注:客户端也称请求端。服务端server 提供证书服务的实体,包含CA和RA。数字信封digital envelope 一种数据结构,包含用对称密钥加密的密文和用公钥加密的该对称密钥。设备证书device certificate 数字证书的一种,由CA签名的包含设备的基本信息、设备公钥信息及其他补充信息等的一种数据结构。3.5 S2算法S2 algorithm 由GB/T32918C所有部分)定义的一种算法。G/T 0089-2020 4 缩略语下列缩略语适
7、用于本文件。CA:证书认证机构CCertificationAuthority) CDP:证书撤销列表分发点CCRL Distri bution Point) CGI:公共网关接口CCommonGateway Interface) CRL:证书撤销列表CCertificateRevocation List) LDAP:轻量级目录访问协议CLightweight Directory Access ProtocoD PKI:公钥基础设施CPublicKey Infrastructure) RA:证书注册机构CRegistrationAuthority) SCEP:简单证书注册协议CSimpleCer
8、tificate Enrollment ProtocoD 5 SCEP功能5.1 SCEP实体5.1.1 概述SCEP实体包含客户端和服务端。服务端由CA和RA组成。SCEP描述客户端向服务端注册认证的协议流程及格式。SCEP实体关系见图1。服务端l 阶UVRA 客户端CA 图1SCEP实体关系图客户端在注册认证的过程中,如果以前没有获取CA/RA证书,则应在任何PKI操作启动之前申请获取CA/RA证书,得到CA/RA证书后进行证书注册流程,在进行注册认证后,客户端可以向CA进行证书查询和CRL查询,在CA证书更新时及时获取下一个CA证书。5.1.2 客户端客户端开始一个PKI事务之前,应至少
9、有一张能够对SCEP消息进行签名的证书。客户端应配置如下的信息。a) CA或RA的IP地址或域名。b) CA或RA的HTTP脚本路径。c) CA的相关辨识信息,可以是CA证书的杂凑值。辨识信息或来自用户,或在协议交互时通过人工授权传递给终端用户。客户端应采取可靠措施,对这些信息的完整性进行保护。客户端可维护适用于多个CA的多个独立配置,这些配置并不影响协议操作。2 G/T 0089-2020 5.1.3 CA CA是签发客户端证书的实体,CA的名字应出现在生成证书的签发者宇段中。在任何PKI操作发生之前,CA应获得一个符合GB/T20518-2018配置的CA证书,这可以是上级CA签发的CA证
10、书。客户端应通过7. 1. 1的获取CA证书请求消息得到CA证书,并将获取CA证书响应消息所得到的CA证书通过证书杂凑值进行认证。CA应在线回应证书查询请求或通过LDAP提供证书查询结果。CA可实施任何策略并应用这些策略认证或拒绝客户端的请求。如果服务端已经为客户端签发过证书,且该证书在当前仍然有效,服务端可返回之前为客户端创建的证书。如果客户端在轮询一个挂起事务后进入超时状态,它应通过向服务端发送与证书注册事务名称、密钥和事务ID相同的请求,来进行重新同步。CA应返回证书注册事务的状态,包括已发放的证书。CA不应创建新事务,除非巳注册的证书被撤销或超过有效期。5.1.4 RA RA是一种SC
11、EP服务端,它对SCEP客户端进行认证和授权检查,同时将认证请求转发给CA。在生成证书的签发者宇段中应不出现RA的名称。RA在通过7.1.2的获取CA证书响应消息返回证书时应同时返回RA证书和CA证书,此响应中包括一个RA证书,说明该客户端正在通过一个RA向CA提出证书相关的请求,客户端在后续的安全通信中应将指定该RA作为服务端通信。为了进行认证服务,RA应将请求传递给CA服务端进行处理,CA与RA之间的通信协议在本文件中不做规定。5.2 客户端认证为了按照GB/T35275语法格式对数据进行加密和签名,客户端应有一个可用的本地证书。a) 如果客户端已经有一个SCEP服务端签发的证书,且服务端
12、支持更新,应使用该证书。b) 如果客户端没有SCEP服务端CA签发的证书,但具有来自其他CA的证书,则应使用其他CA签发的证书。在新CA上的策略设置将决定是否认可其他CA认证结果、是否为客户端服务。c) 如果客户端没有服务端CA签发的证书及来自备用CA的证书,应使用本地生成的基于SM2算法的自签名证书替代。自签名证书应使用与GM/T0092要求相同的主体名称。在证书注册期间,客户端在遵循GB/T35275进行签名时,应使用选定的证书。客户端发送请求后,服务器端生成响应,在服务器端对响应进行加密时,需使用此签名证书的公钥。5.3 注册认证服务端可设置策略,对客户端的请求进行自动注册认证或于动注册
13、认证。在自动注册认证模式下,服务端应实现适当的逻辑,对客户端进行签名的证书进行自动认证,并使用由认可的其他PKI层次体系中CA颁发的现有客户端凭证进行自动注册。在于动注册认证模式下,客户端消息一直处于挂起状态,直到CA操作员对该消息进行确认或者拒绝。客户端生成GM/T0092的申请消息的杂凑值,并使用其他可靠的带外传输方式发送给CA操作员。CA操作员应将此杂凑值与在SCEP交互时收到消息后在本地生成的杂凑值进行比较,验证其完整性。5.4 CA/RA证书分发客户端如果以前没有获取CA/RA证书,则应在任何PKI操作启动之前申请获取CA/RA证书。3 G/T 0089-2020 在客户端获取CA证
14、书之后,应使用杂凑算法对接收到的CA证书(及可能含有的RA证书)计算杂凑值,如果客户端没有到信任锚的证书路径,则通过将证书杂凑值与本地配置的、带外方式得到的信息进行比较,来对CA证书进行身份认证。由于客户端和CA/RA之间尚未交换公钥,因此无法按照GB/T35275的语法格式来保护这些消息,而数据将在明文中传输。如果RA正在使用中,则按GB/T35275中的SignedData类型格式返回一个数字信封,信封中或包含RA和CA证书,或只有CA证书本身。传输协议应指明返回的是哪一个。在客户端获取CA证书之后,应使用杂凑算法对接收到的CA证书(及可能含有的RA证书)计算杂凑值,如果客户端没有到信任锚
15、的证书路径,则通过将证书杂凑值与本地配置的、带外方式得到的信息进行比较,来对CA证书进行身份认证。由于从客户端到CA/RA之间传递查询可能耗费很长时间,而RA证书可能随时更改,因此建议客户端不要存储RA证书,而应在每次操作之前检索CA/RA证书。5.5 证书注册客户端按照GM/T0092创建一个证书请求来启动证书注册事务,并将其按照GB/T35275封装后发送到CA/RA。如采用自动注册认证模式,CA/RA根据策略返回请求响应消息CertRep,状态设置为SUCCESS或FAILURE。消息类型定义见6.2.2.3。如采用于动注册认证模式,CA/RA返回的CertRep消息的状态设置为PEND
16、ING,则客户端应通过定期向CA/RA发送获取证书轮询GetCertInitial来进入轮询模式,直到CA/RA操作员完成手动身份验证,批准或拒绝该请求。如果进入轮询模式,客户端应发送单个证书请求PKCSReq消息,后跟O个或多个GetCertInitial消息。CA/RA将发送O个或多个CertRep消息,状态设置为PENDING,CA/RA最后发送一个CertRep消息,状态为SUCCESS或FAILURE。在证书注册期间,客户端状态转换在图2中表示。GetC巳rtTnitialCertRep事务状态为PENDTNGGetCertTnitial发送超时进行轮询CER下NONEXlSTENT
17、CERT-旺Q-PENDlNG CERT-lSSUED PKCSReq CertRep事务状态为SUCCESSCertRep事务状态为FATLUREPKCSR叫发送超时超出最大轮询次数图2状态转换图证书注册从状态CERT发送PKCSRe叫q消息会将状态更改为CERT-REQ-PENDI川NG。如果没有响应,或无法发送,状态恢复到CERT-NONEXISTANT。接收到事务状态pkiStatus为SUCCESS的CertRep消息,将会把状态更改为CERT-ISSUED。4 G/T 0089-2020 接收到事务状态pkiStatus为FAILURE的CertRep消息,将会把状态更改为CERT
18、-NONEXIST ANT 。如果服务端发送的CertRep消息的事务状态pkiStatus为PENDING,JJ!U客户端将通过定期向服务端发送GetCertInitial消息来进行轮询,直到接收到状态设置为SUCCESS或FAILURE的CertRep消息,或者已超过最大轮询次数。如果超过了最大轮询数,或者在CERT-REQ-PENDING状态下收到了pkiStatus设置为FAILURE的CertRep消息,则最终客户端将进入CERT-NONEXISTANT状态,并且SCEP客户端最终可以开启另一个注册请求。应注意的是,只要客户端不更改其主体名称或密钥,就会在新事务中使用相同的事务ID。
19、这一点很重要,因为基于此事务ID,证书认证机构可以将其识别为已有的事务,而不是当作新事务来处理。自动模式下的成功事务流程见图3。客户端PKCSReq:证书注册请求收到证书服务端CertRep: pkiStatus = SUCCESS 签发证书图3自动模式事务于动模式下成功的事务见图4。客户端PKCSReq:证书注册请求GetCertlnitial:轮询消息GetCertTnitial :轮询消息收到证书服务端CertRep:pkiStatus= PENDTNG 要求客户端等待CertRep: pkiStatus = PENDTNG 要求客户端等待CertRep: pkiStatus = SUC
20、CESS 签发证书图4手动模式事务5 G/T 0089-2020 5.6 证书查询为客户端定义了证书查询消息,以便从CA检索自己的证书副本。它允许不在本地存储证书的客户端在需要时获取副本。此功能不用于提供通用证书目录服务。要从证书认证机构查询证书,客户端将发送由证书签发者名称和序列号组成的请求。假定客户端已在以前的注册事务中将签发证书的签发者名称和序列号保存下来。查询证书的事务由一个GetCert消息和一个CertRep消息组成,见图5。客户端PKCSReq:证书注册请求收到证书服务端CertRep: pkiStatus = SUCCESS 证书图5GetCert事务5.7 CRL查询SCEP
21、客户端可通过以下两种方法之一获得CRL:a) 如果CA支持CDP,则应通过CDP中指定的机制查询CRL;b) 如果CA不支持CDP,则通过创建一个由GetCRL消息构成的CRL查询,该消息由一个待检索CRL范围内的证书的签发者名称和序列号组成。服务端宜使用CDP方法。消息以与其他SCEP请求相同的方式发送到SCEP服务端:要检索CRL的事务由一 个GetCRL消息和一个CertRep消息组成,其中只包含CRL,见图6。在收到此消息后,SCEP服务端可以使用IssuerAndSerial信息返回适当的CRL。客户端服务端GetCRL: CRL查询消息CertRep返回CRL图6GetCRL事务5
22、.8 证书撤销SCEP不指定请求证书撤销的方法。6 SCEP安全消息对象6.1 概述有机密性需求的SCEP消息采用两层结构,见GB/T35275。通过同时应用数字信封和数字签名,6 G/T 0089-2020 对SCEP消息的端到端事务信息完整性和信息部分的机密性进行保护。外层的ContentType宇段应是数字签名SignedData结构,也称为pkiMessage;内层的ContentInfo宇段应为EnvelopedData结构,也称为pkcsPKIE川elopeoSCEP消息携带的数据messageData封装在pkcsPKIEnvelope里,其数据格式由pkiMessage中的me
23、ssageType属性定义。如果没有传输messageData,则整个pkcsPKIEnvelop应忽略。例如,状态为FAILURE和PENDING的CertRep消息没有签名信息。6.2 SCEP 5肖,息6.2.1 SCEP消息结构所有安全SCEP消息对象的基本结构是SCEP消息,该结构由GB/T35275中的SignedData类型组成,如GB/T35275-2017中8.1所定义。存在如下的限制:如果出现了被签名的内容CCertRep消息为SUCCESS状态),该内容应是pkcsPKIEnvelope结构,并应匹配messageType属性。6.2.2 被签名的事务属性6.2.2.1
24、概述按照GB/T35275-2017的8.2,SignedData的Signerlnfo需要承载一系列认证属性CauthenticatedAt-tributes)。所有消息都应包括transactionID、messageType、senderNonce及其他任何GB/T35275-2017中8.2需要的属性。如果是响应消息,则应包括pkiStatus、recipientNo盯e属性,见表1。表1认证属性属性编码注释transactionID PrintableString 杂凑值messageType PrintableString 十进制数pkiStatus PrintableString
25、 十进制数failInfo PrintableString 十进制数senderNonce OCTET STRING recipientNonce OCTET STRING 6.2.2.2 事务标识CtransactionID ) 一个PKI操作就是一次包括客户端和服务端之间消息交换的事务。事务标识是事务开始时客户端产生的字符串。客户端应为事务标识产生唯一的字符串,编码为可打印字符串,在一次给定注册过程的所有PKI消息中使用。事务标识应是注册请求所注册公钥值的杂凑值。这样可以允许SCEP客户端为任意给定密钥对自动产生相同的事务标识,以便于后续的轮询能够匹配之前的事务。当使用本文件定义的证书和证
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GMT 0089-2020 简单证书注册协议规范 GM 0089 2020 简单 证书 注册 协议 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。