GB/T 30272-2021 信息安全技术 公钥基础设施 标准符合性测评.pdf
- 文档部分内容预览:
依据GB/1T19713一2005中第8章的内容进行测评。 开发者应提供文档,对所使用的在线证书状态协议进行脆弱性分析。 测评方法为:查着开发者提供的脆弱性分析报告,检测OCSP系统能否抵御标准中的相关攻击(至 少应该包括拒绝服务攻击和重放攻击)。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
6.1必需的PKI管理功能
安全生产标准规范范本6.1.1根CA初始化
GB/T19714—2005中8.1的内容进行测评。 者应提供文档,针对根CA初始化的过程进行说
依据GB/T19714一2005中8.1的内容进行测评。 开发者应提供文档,针对根CA初始化的过程进行说明 测评方法如下。 a)根据开发者文档,产生一对根CA的密钥对,并将密钥对中的私钥进行保存,检测根密钥的 存方式是否安全(例如:保存在加密机或加密卡中,并受口令保护)
b)选择根CA的密钥对进行根CA初始化,用产生的私钥为公钥签发证书,产生自签名证书,检 测这个证书的结构是否和"newWithNew"证书结构相同。 c)为CA的公钥产生一个指纹,并检测传递指纹的数据结构是否为OOBCertHash。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
6.1.2根CA密钥更新
依据GB/T19714一2005中8.2的内容进行测评, 开发者应提供文档,针对根CA密钥更新的过程进行说明。 测评方法如下。 a)在CA的生命周期到期前,模拟一次根CA密钥更新的过程。 b)产生新的根CA的密钥对。 c 产生一个用新私钥为旧公钥签名的证书(“OldWithNew"证书) d) 产生一个用旧私钥为新公钥签名的证书(“NewWithOld"证书) e 产生一个用新私钥为新公钥签名的证书(“NewWithNew证书) f 发布这些新证书。 g) 导出CA的新公钥。 h) 使用CA的新密钥为一个终端实体签发一个新证书。 i) 利用CA旧公钥的终端实体,获得NewWithOld证书,并验证上述新证书。 1 利用CA新公钥的终端实体,获得OldWithNew证书,并验证CA旧密钥签发的旧证书。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 足。
6.1.3下级CA初始化
开发者应提供文档,针对下级CA初始化的过程进行说明。 测评方法如下。 a)在下级CA初始化之前,检测下级CA能否获得以下PKI信息: 1)当前根CA的公钥,并使用杂值对根CA公钥进行带外验证; 2)撤销列表以及撤销列表的认证路径; 3)所支持的每一种相关应用的算法和算法变量。 b) 模拟一次下级CA初始化的过程:产生下级CA密钥,利用根证书产生下级CA的签名证书 c)产生初始的撤销列表。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
6.1.4 CRL 产生
依据GB/T19714一2005中8.4的内容进行测评, 开发者应提供文档,针对CRL产生的过程进行说明。 测评方法如下。 a)在发布证书之前,在新建立CA中产生空的CRL列表
GB/T 30272—2021
b)检测能否操作成功。 c)撤销一张证书,检测CRL是否可以正常更新。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
6.1.5PKI信息请求
依据GB/T19714一2005中8.5的内容进行测评。 开发者应提供文档,针对PKI信息请求进行说明。 测评方法如下。 a)评价者模拟各种PKI信息请求,检测CA是否能够提供请求者要求的所有请求信息,如果某些 信息不能提供,CA是否给请求者返回错误信息。 b)检测文档是否和标准的规定一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 足。
依据GB/T19714一2005中8.6的内容进行测评。 开发者应提供文档,针对交叉认证过程进行说明。 测评方法如下。 a)评价者模拟一次交叉认证过程。 b) 新建三个独立的CA系统,分别命名为A、B、C。 c 分别使用三个CA系统,签发三个证书,分别命名为:a、b、c。 d)以CA系统A为请求者,CA系统B为响应者,进行交叉认证操作,检测操作过程和消息结构 是否符合标准要求。 e)在拥有证书b的终端实体上,使用交叉认证证书验证证书a,应能验证成功。 f)在拥有证书b的终端实体上,验证证书c,验证应不成功。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果系统提供交叉认证功能,以 结果全部正确,则本项满足;如果系统不提供交叉认证功能,则此项不作为最终结果的判断依据
6.1.7终端实体初始化
依据GB/T19714—2005中8.7.1的内容进行测评。 开发者应提供文档,针对终端实体初始化过程中的“获得PKI信息”这一步骤进行说明, 测评方法为:在终端实体初始化之前,检测能否获得以下PKI信息: a)当前根CA的公钥; b)撤销列表以及撤销列表的认证路径; c)所支持的每一种相关应用的算法和算法参数。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
衣据GB/T19714一2005中8.8的内容进行测评
GB/T 302722021
开发者应提供文档,针对证书模板和证书请求进行说明。 测评方法如下。 a) 对每一种证书模板,选择一个经过初始化的终端实体,提出证书请求。 b) 检测这个请求是否使用证书请求消息。 C) 检测能否返回所申请的新证书。 d 选择一个已经拥有一对签名密钥(带有相应的验证证书)的终端实体,提出证书请求。 e) 检测证书请求消息是否使用此实体的数字签名来保护。 检测能否返回所申请的新证书。 g) 检查文档是否和标准的规定一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
6. 1.9 密钥更新
依据GB/T19714一2005中8.9的内容进行测评。 开发者应提供文档,针对密钥更新进行说明, 测评方法如下。 a)在终端实体的证书将要过期前,评价者模拟密钥更新的过程, b)检查文档是否和标准的规定一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 足。
6.3必选的PKI管理消息结构
6.3.1初始的注册/认证(基本认证方案)
依据GB/T19714一2005中B.4的内容进行测评。 开发者应提供文档,说明初始的注册/认证的消息格式。 测评方法为:通过未初始化的终端实体向CA请求第一个证书,根据开发者所提供的文档,检测终 端实体和PKI之间的通信消息是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
GB/T 30272—2021
依据GB/T19714一2005中B.5的内容进行测评。 开发者应提供文档,说明证书请求的消息格式。 测评方法为:通过已经初始化的终端实体向CA请求证书,根据开发者所提供的文档,检测终端实 体和PKI之间的通信消息是否符合标准要求, 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
6.3.3密钥更新请求
依据GB/T19714一2005中B.6的内容进行测评。 开发者应提供文档,说明密钥更新请求的消息格式, 测评方法为:在密钥即将过期前,通过已经初始化的终端实体向CA请求证书(用于更新密钥对和, 或已经拥有的相应证书),根据开发者所提供的文档,检测终端实体和PKI之间的通信消息是否符合标 推要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
乙组件最小互操作规范测评
7.1.1证书认证机构(CA)
7.1.1.1颁发数字签名证书
依据GB/T19771一2005中5.2.2a)的内容进行测评 开发者应提供文档,针对数字签名证书的颁发进行说明。 测评方法如下。 a)对每一种证书模板,通过授权RA产生多个签名数字证书请求,并发送给CA,检测CA能否生 成新证书并将其放在资料库中。 b)通过非授权RA产生一个签名数字证书请求,并发送给CA,检测CA能否拒绝该证书申请,能 否向RA报告失败并说明原因。 c)通过授权RA产生一个包含不匹配信息的签名数字证书请求,并发送给CA,检测CA能否拒 绝该证书申请,能否向RA报告失败并说明原因 d)对每一种证书模板,产生多个自我注册的证书请求,并发送给CA,检测CA是否验证请求者的 身份并验证申请者的相应私钥,如果验证成功,检测CA能否生成新证书并将其放在资料库 中;如果验证失败,检测CA能否拒绝该证书申请,能否向申请者报告失败并说明原因。 e) 对每一种证书模板,产生多个更新的证书请求,并发送给CA,检测CA是否验证请求者的身 份,如果验证成功,检测CA能否生成新证书并将其放在资料库中;如果签名无效或者CA策 略不充许更新,检测CA能否拒绝该证书更新请求,并向申请者报告失败并说明原因 f 以非法的请求者产生一个更新的证书请求,检测CA能否拒绝该证书更新请求,能否向申请者 报告失败并说明原因
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项
7.1.1.2颁发加密证书
依据GB/T19771—2005中5.2.2b)的内容进行测评。 开发者应提供文档,针对加密证书的颁发进行说明。 测评方法如下。 a)由第三方集中产生加密密钥对,并通过带外方式提供给CA。 b)由证书持有者生成一个加密证书请求,说明自已想要的加密算法,并对该请求进行数字签名 将该请求发送给CA。 c)检测CA能否验证请求者身份,并颁发加密证书和加密私钥给请求者。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
7.1.1.3交叉认证
依据GB/T19771一2005中5.2.2c)的内容进行测评。 开发者应提供文档,针对CA间的交叉认证进行说明。 测评方法如下。 a)在两个交叉认证的CA之间交换CA的公钥,分别根据对方的公钥生成证书,并将其存放到资 料库中。 b)检测双方之间的证书能否交叉认证。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果系统提供交叉认证功能,以 果全部正确,则本项满足;如果系统不提供交叉认证功能,则此项不作为最终结果的判断依据
7.1.1.4撤销证书
依据GB/T19771—2005中5.2.2d)的内容进行测评。 开发者应提供文档,针对证书的撤销进行说明。 测评方法如下。 a)以多个证书持有者身份请求撤销证书,并将请求发送给CA,检测CA是否验证请求者身份,验 证成功后能否将证书放人CRL中。 b)产生新的全量CRL,检测老CRL中的全部信息是否放到新CRL中。 产生新的增量CRL,检测新增的撤销证书信息是否放到新CRL中。 d)通过RA向CA发送多个证书撤销请求,检测CA是否验证请求者身份,验证成功后能否将证 书放人CRL中。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项
依据GB/T19771—2005中5.2.2d)的内容进行测评。 开发者应提供文档,针对证书的撤销进行说明。
开发者应提供文档,针对证书的撤销进行说明。 测评方法如下。 a 以多个证书持有者身份请求撤销证书,并将请求发送给CA,检测CA是否验证请求者身份,验 证成功后能否将证书放人CRL中。 b) 产生新的全量CRL,检测老CRL中的全部信息是否放到新CRL中。 产生新的增量CRL,检测新增的撤销证书信息是否放到新CRL中 d) 通过RA向CA发送多个证书撤销请求,检测CA是否验证请求者身份,验证成功后能否将证 书放人CRL中。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
Z.1.1.5 请求 CA证书
依据GB/T19771—2005中5.2.2f)的内容进行测评。 开发者应提供文档,针对向上一级CA申请证书进行说明。 测评方法为:通过CA向上一级的CA申请证书,检测能否申请成功
GB/T 302722021
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
7.1.2注册机构(RA
依据GB/T19771一2005中5.3的内容进行测评。 开发者应提供文档,针对RA的操作规范进行说明。 测评方法如下。 a)针对每一种证书模板,向RA提交多个CertReq格式的证书请求。 b 检测RA是否审查请求者的身份。 C) 检测RA是否确认请求者拥有相应的完整的密钥对。 d) 验证通过后,检测RA能否抽取公钥信息并用RA的名字和签名建立一个新的CertReq消息 e) 检测RA能否将新的CertReq消息发送给CA。 f 如果证书请求被接受,检测RA能否接收CA颁发的新证书,并将新证书发送给请求者 g 如果证书请求被拒绝,检测RA能否审查从CA发来的错误代码并向证书请求者返回证书拒 绝的响应消息。 h) 向RA提交多个证书撤销请求,检测RA是否验证请求者身份,并产生新的RevReq消息。 1 检测RA能否将新的RevReq消息发送给CA。 j 如果证书撤销请求被接受,检测RA能否接收CA回应的RevReq消息,能否将此信息提交给 请求者。 K 如果证书撤销请求被拒绝,检测RA能否审查错误代码,并再次产生撤销请求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项
7.1.3证书持有者规范
依据GB/T19771一2005中5.4的内容进行测评。 开发者应提供文档,针对证书持有者规范进行说明。 测评方法如下。 a)以多个用户身份申请签名证书,检测能否成功申请并且获取证书。 b)以多个用户身份申请加密证书,检测能否成功申请并且获取证书。 c)以多个证书持有者身份,申请撤销签名证书,检测能否成功撤销证书。 d)以多个证书持有者身份,申请更新签名证书,检测能否成功更新证书。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 足
依据GB/T19771一2005中5.5的内容进行测评。 开发者应提供文档,针对客户规范进行说明。 测评方法如下。 a)验证客户能否验证签名。 b)验证客户能否从查询服务器检索证书和CRLs c)验证客户能否验证证书认证路径
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
7.2.1证书撤销列表
依据GB/T19771一2005中6.3的内容进行测评。 开发者应提供文档,针对证书撤销列表的格式进行说明。 测评方法如下。 a)由CA颁发证书撤销列表。 b)下载证书撤销列表,检测证书撤销列表的格式是否符合标准要求, 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
7.2.2事务消息格式
1.2.2.1全体PKI消息组
依据GB/T19771一2005中6.5.2的内容进行测评 开发者应提供文档,针对PKI消息的格式进行说明。 测评方法为:根据开发者提供的文档,检测PKI消息(包括:header、body、protection、extraCerts字 没)的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
7.2.2.2通用数据结构
依据GB/T197712005中6.5.3的内容进行测评 开发者应提供文档,针对证书模板、签名私钥的拥有证明、证书请求消息、协议加密密钥控制、PKI 消息状态码、失败信息、确认协议、证书识别、CentrallyGeneratedKeys和带外信息的格式进行说明。 测评方法如下。 a 根据发者提供的文档,检测证书模板的消息格式是否符合标准要求 b) 根据开发者提供的文档,检测签名私钥的拥有证明消息格式是否符合标准要求。 ) 根据开发者提供的文档,检测证书请求的消息格式是否符合标准要求。 d) 根据开发者提供的文档,检测协议加密密钥控制的消息格式是否符合标准要求。 e) 根据开发者提供的文档,检测PKI消息状态码的消息格式是否符合标准要求。 f 根据开发者提供的文档,检测失败信息的消息格式是否符合标准要求 8 根据开发者提供的文档,检测确认协议的消息格式是否符合标准要求。 根据开发者提供的文档,检测证书识别的消息格式是否符合标准要求。 i) 根据开发者提供的文档,检测CentrallyGeneratedKeys的消息格式是否符合标准要求。 J 根据开发者提供的文档,检测带外信息的消息格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 浦品
GB/T 30272—2021
7.2.2.3特殊操作的数据结构
依据GB/T19771一2005中6.5.4的内容进行测评。 开发者应提供文档,针对注册/证书请求、注册/证书响应、撤销请求的内容、撤销响应内容、PKCS #10证书请求的消息格式进行说明。 测评方法如下。 a)根据开发者提供的文档,检测注册/证书请求的消息格式是否符合标准要求。 b)根据开发者提供的文档,检测注册/证书响应的拥有证明消息格式是否符合标准要求。 C 根据开发者提供的文档,检测撤销请求的内容的消息格式是否符合标准要求。 d) 根据开发者提供的文档,检测撤销响应内容的消息格式是否符合标准要求。 e) 根据开发者提供的文档,检测PKCS#10证书请求的消息格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
7.2.3.1RA发起的注册请求
依据GB/T19771一2005中6.6.2的内容进行测评。 如果产品支持远端RA,则开发者应提供文档,针对RA发起的注册请求进行说明。 测评方法如下。 a)根据开发者提供的文档,对每一种证书模板,在RA上向CA请求多个终端实体的证书。 b)检测从RA到CA的证书请求消息的格式是否符合标准要求。 c)检测从CA到RA的证书回应消息的格式是否符合标准要求。 d)检测确认消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
7.2.3.2新实体的自我注册请求
依据GB/T19771—2005中6.6.3的内容进行测评。 如果CA接受自我注册请求,则开发者应提供文档,针对新实体的自我注册请求进行说明, 测评方法如下。 a)根据开发者提供的文档,对每一种证书模板,以多个新实体身份直接向CA申请新的证书。 b)检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求。 c)检测从CA到证书请求者的自我注册请求回应消息的格式是否符合标准要求。 d)检测确认消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 足。
7.2.3.3已知实体的自我注册请求
依据GB/T19771一2005中6.6.4的内容进行测评。 如果CA接受自我注册请求,则开发者应提供文档,针对已知实体的自我注册请求进行说 测评方法如下
a)根据开发者提供的文档,对每一种证书模板,以多个已知实体身份直接向CA申请新的证书。 b)检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求。 c)检测从CA到证书请求者的自我注册请求回应消息的格式是否符合标准要求 d)检测确认消息的格式是否符合标准要求 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
7.2.3.4 证书更新
依据GB/T19771一2005中6.6.5的内容进行测评。 如果CA的CPS支持证书更新,则开发者应提供文档,针对证书的更新进行说明。 测评方法如下。 a)根据开发者提供的文档,对每一种证书模板,以多个拥有当前有效证书的实体身份直接向CA 申请新的证书 b) 检测从证书持有者到CA的证书更新申请消息的格式是否符合标准要求。 c) 检测从CA到证书持有者的证书更新响应消息的格式是否符合标准要求。 d)检测确认消息的格式是否符合标准要求 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
7.2.3.5PKCS#10自我注册请求
依据GB/T197712005中6.6.6的内容进行测评。 如果CA接受自我注册请求,则开发者应提供文档,针对PKCS#10自我注册请求进行说明。 测评方法如下。 a)根据开发者提供的文档,对每一种证书模板,以多个新实体身份直接向CA申请新的PKCS# 10证书。 b)检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求。 c)检测从CA到证书请求者的PKCS证书请求响应消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 足
7.2.3.6撤销请求
依据GB/T19771一2005中6.6.7的内容进行测评 开发者应提供文档,针对撤销请求进行说明。 测评方法如下。 a)根据开发者提供的文档,以多个拥有当前有效证书的实体身份直接申请撤销自已的证书。 b)检测从证书持有者到RA的撤销请求消息的格式是否符合标准要求。 检测从RA到CA的撤销请求消息的格式是否符合标准要求。 d 检测从CA到RA的撤销响应消息的格式是否符合标准要求。 e)检测从RA到证书持有者的撤销响应消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足,
GB/T 30272—2021
7.2.3.7集中产生密钥对和密钥管理证书申请
依据GB/T19771一2005中6.6.8的内容进行测评。 开发者应提供文档,针对集中产生密钥对和密钥管理证书申请进行说明。 测评方法如下。 a)根据开发者提供的文档,以多个拥有当前有效证书的实体身份向CA申请产生加密密钥并签 发证书。 b)检测集中产生密钥对申请消息的格式是否符合标准要求。 c)检测集中产生密钥对回应消息的格式是否符合标准要求。 d)检测确认消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 足
7.2.3.8组合证书申请
依据GB/T19771一2005中6.6.9的内容进行测评 如果CA支持组合证书,则开发者应提供文档,针对组合证书申请进行说明。 测评方法如下。 a)根据开发者提供的文档,以多个新实体身份向CA申请组合证书:一个签名密钥证书和加密 证书。 b)检测组合证书申请消息的格式是否符合标准要求。 C 检测组合证书回应消息的格式是否符合标准要求。 d)检测确认消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
依据GB/T20518一2018中5.2.2的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)对每一种证书模板,使用公钥基础设施颁发多个数字证书。 b)检测所颁发数字证书的基本数据结构是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
8.2TBSCertificate及其数据结构
8.2.1版本Version
依据GB/T20518一2018中5.2.3.1的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。
GB/T 302722021
a)检测所颁发数字证书中是否包含版本项。 b)检测证书中版本项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
满足。 3.2.2序列号Serialnumber 依据GB/T20518一2018中5.2.3.2的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含序列号项。 b)检测证书中序列号项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。 3.2.3签名算法Signaturealgorithm 依据GB/T20518一2018中5.2.3.3的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含签名算法项。 b)检测证书中签名算法项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。 3.2.4颁发者Issuer
8.2.2序列号 Serial number
开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含序列号项。 b)检测证书中序列号项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
8.2.3签名算法Signature algorithm
依据GB/T20518一2018中5.2.3.3的内容进行测评 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含签名算法项。 b)检测证书中签名算法项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。 8.2.4颁发者Issuer 依据GB/T20518—2018中5.2.3.4的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含颁发者项。 b)检测证书中颁发者项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。 8.2.5有效期Validity 依据GB/T20518一2018中5.2.3.5的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含有效期项。 b)检测证书中有效期项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项
V10中,2,.3时内1测开 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含签名算法项。 b)检测证书中签名算法项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
8.2.4颁发者 Issuer
依据GB/T20518一2018中5.2.3.4的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含颁发者项。 b)检测证书中颁发者项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
8.2.5有效期Validity
依据GB/T20518一2018中5.2.3.5的内容进行测评 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含有效期项。 b)检测证书中有效期项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
GB/T 302722021
8.2.6主体Subject
开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含主体项。 b)检测证书中主体项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
8.2.7主体公钥信息SubjectPublicKeyInfo
依据GB/T20518一2018中5.2.3.7的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含主体公钥信息项。 b)检测证书中主体公钥信息项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
发者唯一标识符 issuerU
依据GB/T20518一2018中5.2.3.8的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法为:检测所颁发数字证书中是否包含颁发者唯一标识符项。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
8.2.9主体唯一标识符subiectUniqueID
依据GB/T20518一2018中5.2.3.9的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法为:检测所颁发数字证书中是否包含主体唯一标识符项。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足,
依据GB/T20518—2018中5.2.4.2.2的内容进行测评 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含颁发机构密钥标识符项。 b)检测证书中颁发机构密钥标识符项的格式、内容是否和标准一致。
记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
8.3.1.2主体密钥标识符subjectKeyldentifier
依据GB/T20518一2018中5.2.4.2.3的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含主体密钥标识符项。 b)检测证书中主体密钥标识符项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
8.3.1.3密钥用法keyUsage
依据GB/T20518—2018中5.2.4.2.4的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含密钥用法项。 b)检测证书中密钥用法项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
8.3.1.4扩展密钥用途extKeyUsag
依据GB/T205182018中5.2.4.2.5的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)如果公钥基础设施支持扩展密钥用途扩展项,则此项为检测项,否则为非检测项。 b)检测所颁发数字证书中是否包含扩展密钥用途项。 c)检测证书中扩展密钥用途项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
8.3.1.5私有密钥使用期privateKeyUsagePeriod
依据GB/T20518一2018中5.2.4.2.6的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)如果公钥基础设施支持私有密钥使用期扩展项,则此项为检测项,否则为非检测项。 b)检测所颁发数字证书中是否包含私有密钥使用期项。 c)检测证书中私有密钥使用期项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足,
GB/T 30272—2021
8.3.1.6证书策路certificatePolicies
依据GB/T205182018中5.2.4.2.7的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)检测所颁发数字证书中是否包含证书策略项。 b)检测证书中证书策略项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
信息安全技术标准规范范本8.3.1.7策略映射policyMappings
依据GB/T20518一2018中5.2.4.2.8的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)如果公钥基础设施支持策略映射扩展项,则此项为检测项,否则为非检测项。 b)检测所颁发数字证书中是否包含策略映射项。 c)检测证书中策略映射项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足
8.3.1.8主体替换名称subjectAltName
依据GB/T20518—2018中5.2.4.2.9的内容进行测评。 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)如果证书中的唯一主体身份是一个选择名称格式(如一个电子邮件地址),主体的甄别名为空 序列,则本项为检测项目,否则为非检测项。 b)检测证书中主体替换名称项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 满足。
建筑节能8.3.1.9颁发者替换名称issuerAltName
依据GB/T20518一2018中5.2.4.2.10的内容进行测评, 开发者应提供文档,针对所颁发的数字证书格式进行说明。 测评方法如下。 a)如果公钥基础设施支持颁发者替换名称扩展项,则此项为检测项,否则为非检测项。 b)检测所颁发数字证书中是否包含颁发者替换名称项。 c)检测证书中颁发者替换名称项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合,则本项 足
GB/T20518—2018中5.2.4.2.11的内容进行测
....- 相关专题: 信息安全