subjectPublicKeyInfo

證書鏈中所有證書的subjectPublicKeyInfo中的OID都是一樣的

?

CRL Distribution Point

證書吊銷列表分發(fā)點(diǎn) (CRL Distribution Point ，簡(jiǎn)稱 CDP) 是含在數(shù)字證書中的一個(gè)可以共各種應(yīng)用軟件自動(dòng)下載的最新的 CRL 的位置信息。一個(gè) CDP 通常出現(xiàn)在數(shù)字證書的 詳細(xì)信息 選項(xiàng)卡的 CRL 分發(fā)點(diǎn) 域，一般會(huì)列出多個(gè)使用不同的訪問(wèn)方法，以確保如 Web 瀏覽器和 Web 服務(wù)器程序始終可以獲取最新的 CRL 。 CDP 一般是一個(gè)可以訪問(wèn) http 網(wǎng)址， 如下圖所示：

講到吊銷列表，就不得不講講 OCSP ， Online Certificate Status Protocol, 證書狀態(tài)在線查詢協(xié)議， 是 IETF 頒布的用于實(shí)時(shí)查詢數(shù)字證書在某一時(shí)間是否有效的標(biāo)準(zhǔn)。

上面已經(jīng)提到，一般 CA 都只是 每隔一定時(shí)間 ( 幾天或幾個(gè)月 ) 才發(fā)布新的吊銷列表，可以看出： CRL 是 不能及時(shí)反映證書的實(shí)際狀態(tài)的。而 OCSP 就能滿足實(shí)時(shí)在線查詢證書狀態(tài)的要求。它為電子商務(wù)網(wǎng)站提供了一種實(shí)時(shí)檢驗(yàn)數(shù)字證書有效性的途徑，比下載和處理 CRL 的傳統(tǒng)方式更快、更方便和更具獨(dú)立性。請(qǐng)求者發(fā)送查詢請(qǐng)求， OCSP 服務(wù)器會(huì)返回證書可能的三個(gè)狀態(tài)：正常、吊銷和未知。

OCSP 服務(wù)由獨(dú)立的 OCSP 服務(wù)器來(lái)提供服務(wù)，目前WoSign[1]新證書頒發(fā)系統(tǒng)支持 OCSP 方式查詢證書狀態(tài)。 OCSP 也是一個(gè)可以訪問(wèn)的 http 網(wǎng)站，如下圖所示：

上面已經(jīng)提到是供有關(guān)軟件查詢證書是否被吊銷，還是讓我們來(lái)看看瀏覽器是如何查詢吊銷列表的。 瀏覽器在使用 https:// 訪問(wèn)已經(jīng)部署了 SSL 證書的網(wǎng)站時(shí)，一定會(huì)先檢查此 SSL證書是否已經(jīng)被吊銷，也就是說(shuō)會(huì)查詢吊銷列表或 OCSP 服務(wù)， 如果此證書已經(jīng)被證書頒發(fā)機(jī)構(gòu)吊銷，則會(huì)顯示警告信息： “此組織的證書已被吊銷。安全證書問(wèn)題可能顯示試圖欺騙您或截獲您向服務(wù)器發(fā)送的數(shù)據(jù)。建議關(guān)閉此網(wǎng)頁(yè)，并且不要繼續(xù)瀏覽該網(wǎng)站。 ”

值得注意的是：目前有些 CA 頒發(fā)的證書和大部分自簽SSL證書都沒(méi)有提供吊銷列表 (CRL) 服務(wù)或證書 吊銷列表分發(fā)點(diǎn)是不可訪問(wèn)的 ，當(dāng)然更別提 OCSP 服務(wù)，這是非常危險(xiǎn)的，因?yàn)槿绻C書丟失或被盜而無(wú)法吊銷的話，就極有可能被用于非法用途而讓用戶蒙受損失。

?

規(guī)范中的描述

?

本規(guī)范定義了用于檢索兩種形式的 CRL 的單個(gè) DistributionPoint： ?

RFC 5280 [17] 中定義的標(biāo)準(zhǔn) CRL 形式 ?

4.6.1 節(jié)中定義的分段 CRL 形式，以適應(yīng) eUICC 的有限功能。 當(dāng)標(biāo)準(zhǔn)表格編碼大小超過(guò)第 4.6.1 節(jié)中定義的大小時(shí)，此表格應(yīng)可用。 在這種形式下，CRL 被分成幾個(gè)段，每個(gè)段獨(dú)立簽名

DistributionPoint 應(yīng)僅設(shè)置“distributionPoint”字段。 未使用可選的“原因”字段； 每個(gè)被撤銷的證書都應(yīng)有其自己的原因集。 并且“cRLIssuer”字段未用作 CRL 應(yīng)由證書頒發(fā)者頒發(fā)

“distributionPoint”字段可以包含幾個(gè)通用名稱，每個(gè)名稱都描述了獲取相同 CRL 的不同機(jī)制（本規(guī)范中未使用字段“nameRelativeToCRLIssuer”）。 但“distributionPoint”應(yīng)至少包含一個(gè)具有 HTTP 方案的 URI 類型的通用名稱，表明 CRL 可以作為 HTTP 資源檢索。

CRL 應(yīng)在 HTTP 響應(yīng)主體中作為 DER 編碼的 CertificateList 數(shù)據(jù)對(duì)象返回，而 DER 編碼又是 Base64 編碼。?

在 HTTP 方案中，可以在單個(gè) HTTP 請(qǐng)求中檢索分段 CRL 表單的各個(gè)部分，方法是在 URL 字段后附加字段值對(duì)“?segmentedForm=true”（或“&segmentedForm=true”，當(dāng)字段值 已存在于 URL 中）?

當(dāng)存在分段形式時(shí)（即當(dāng)標(biāo)準(zhǔn)形式的編碼大小超過(guò) 4.6.1 節(jié)中定義的大小限制時(shí)），HTTP 響應(yīng)主體應(yīng)包含數(shù)據(jù)對(duì)象 SegmentedCrlList（作為 DER 編碼的 Base64 編碼），每個(gè)條目 序列的一部分是完整 CRL 的一部分。 序列應(yīng)排序，從段 1 開(kāi)始。?

當(dāng)分段形式不存在時(shí)，HTTP 響應(yīng)應(yīng)包含數(shù)據(jù)對(duì)象 SegmentedCrlList（作為 DER 編碼的 Base64 編碼），其中單個(gè)條目是標(biāo)準(zhǔn) CRL。?

規(guī)范中的描述

?

?cessationOfOperation （）

CRL 分發(fā)點(diǎn)擴(kuò)展標(biāo)識(shí)了如何獲取 CRL 信息。 擴(kuò)展應(yīng)該是非關(guān)鍵的，但是這個(gè)配置文件建議 CA 和應(yīng)用程序支持這個(gè)擴(kuò)展。 CRL 管理的進(jìn)一步討論包含在第 5 節(jié)中。

cRLDistributionPoints 擴(kuò)展是 DistributionPoint 的序列。 DistributionPoint 由三個(gè)字段組成，每個(gè)字段都是可選的：distributionPoint、reasons 和 cRLIssuer。 雖然這些字段中的每一個(gè)都是可選的，但 DistributionPoint 絕不能僅包含原因字段； distributionPoint 或 cRLIssuer 必須存在。 如果證書頒發(fā)者不是 CRL 頒發(fā)者，則 cRLIssuer 字段必須存在并且包含 CRL 頒發(fā)者的名稱。 如果證書頒發(fā)者也是 CRL 頒發(fā)者，那么符合要求的 CA 必須省略 cRLIssuer 字段并且必須包括 distributionPoint 字段。

當(dāng)存在 distributionPoint 字段時(shí)，它包含通用名稱的 SEQUENCE 或單個(gè)值 nameRelativeToCRLIssuer。 如果 DistributionPointName 包含多個(gè)值，則每個(gè)名稱都描述了獲取相同 CRL 的不同機(jī)制。 例如，同一個(gè) CRL 可用于通過(guò) LDAP 和 HTTP 進(jìn)行檢索。

如果 distributionPoint 字段包含目錄名稱，則該目錄名稱的條目包含出于相關(guān)原因的當(dāng)前 CRL，并且 CRL 由相關(guān)的 cRLIssuer 發(fā)布。 CRL 可以存儲(chǔ)在 certificateRevocationList 或 authorityRevocationList 屬性中。 CRL 將由應(yīng)用程序從本地配置的任何目錄服務(wù)器獲取。 應(yīng)用程序用于訪問(wèn)目錄的協(xié)議（例如 DAP 或 LDAP）是本地事務(wù)。

如果 DistributionPointName 包含 URI 類型的通用名稱，則必須假定以下語(yǔ)義：URI 是一個(gè)指向當(dāng)前 CRL 的指針，用于相關(guān)原因并將由相關(guān) cRLIssuer 發(fā)布。 當(dāng)使用 HTTP 或 FTP URI 方案時(shí)，URI 必須指向 [RFC2585] 中指定的單個(gè) DER 編碼的 CRL。 通過(guò) URI 訪問(wèn)的 HTTP 服務(wù)器實(shí)現(xiàn)應(yīng)該在響應(yīng)的內(nèi)容類型頭字段中指定媒體類型 application/pkix-crl。 當(dāng)使用 LDAP URI 方案 [RFC4516] 時(shí)，URI 必須包含一個(gè) <dn> 字段，其中包含持有 CRL 的條目的可分辨名稱，必須包含一個(gè) <attrdesc> ，其中包含對(duì)持有 CRL 的屬性的適當(dāng)屬性描述 CRL [RFC4523]，并且應(yīng)該包括一個(gè)<host>（例如，<ldap://ldap.example.com/cn=example%20CA,dc=example,dc=com?certificateRevocationList;binary>）。 省略 <host>（例如，<ldap:///cn=CA,dc=example,dc=com?authorityRevocationList;binary>）具有依賴客戶端可能必須聯(lián)系適當(dāng)服務(wù)器的任何先驗(yàn)知識(shí)的效果 . 如果存在，DistributionPointName 應(yīng)該至少包含一個(gè) LDAP 或 HTTP URI。?

如果 DistributionPointName 包含單個(gè)值 nameRelativeToCRLIssuer，則該值提供一個(gè)專有名稱片段。 該片段附加到 CRL 頒發(fā)者的 X.500 可分辨名稱以獲得分發(fā)點(diǎn)名稱。 如果 DistributionPoint 中的 cRLIssuer 字段存在，則名稱片段將附加到它包含的可分辨名稱； 否則，名稱片段將附加到證書頒發(fā)者的專有名稱。 符合規(guī)范的 CA 不應(yīng)該使用 nameRelativeToCRLIssuer 來(lái)指定分發(fā)點(diǎn)名稱。 當(dāng) cRLIssuer 包含多個(gè)專有名稱時(shí)，DistributionPointName 絕不能使用 nameRelativeToCRLIssuer 選項(xiàng)。

如果 DistributionPoint 省略了原因字段，則 CRL 必須包含所有原因的撤銷信息。 此配置文件建議不要按原因代碼對(duì) CRL 進(jìn)行分段。 當(dāng)符合要求的 CA 在證書中包含 cRLDistributionPoints 擴(kuò)展時(shí)，它必須至少包含一個(gè) DistributionPoint 指向覆蓋證書的 CRL。?

cRLIssuer 標(biāo)識(shí)簽署和發(fā)布 CRL 的實(shí)體。 如果存在，則 cRLIssuer 必須僅包含來(lái)自 DistributionPoint 指向的 CRL 的發(fā)布者字段的可分辨名稱（DN）。 cRLIssuer 字段中名稱的編碼必須與 CRL 的 issuer 字段中的編碼完全相同。 如果包含 cRLIssuer 字段并且該字段中的 DN 不對(duì)應(yīng)于 CRL 所在的 X.500 或 LDAP 目錄條目，則符合要求的 CA 必須包含 distributionPoint 字段。?

?

Basic Constraints

基本約束

eum證書為例，作用是

表明此證書是一個(gè)子 CA，僅限于為 eUICC 頒發(fā)“葉”證書

?

?

Name Constraints

名稱限制

以eum證書為例：

此限制包含允許擁有此證書的 EUM 在 eUICC 證書中設(shè)置的組織名稱和 IIN（見(jiàn)注釋）。 此限制適用于主題名稱（包含“organization”和“serialNumber”屬性）。 <iin> 值由 EID 的第 1 到第 8 位數(shù)字組成。 擴(kuò)展可以包含幾個(gè)可能的“組織”/“IIN”值對(duì)。 字段“最小值”在本規(guī)范中沒(méi)有意義

?

?標(biāo)準(zhǔn)中對(duì)該擴(kuò)展的描述：

? ? 4.2.1.10. Name Constraints

必須僅在 CA 證書中使用的名稱約束擴(kuò)展表示一個(gè)名稱空間，證書路徑中后續(xù)證書中的所有主題名稱必須位于其中。 限制適用于主題專有名稱并適用于主題備用名稱。 僅當(dāng)存在指定的名稱形式時(shí)才適用限制。 如果證書中沒(méi)有該類型的名稱，則該證書是可接受的。?

名稱限制不適用于自行頒發(fā)的證書（除非該證書是路徑中的最終證書）。 （這可以防止使用名稱約束的 CA 使用自行頒發(fā)的證書來(lái)實(shí)現(xiàn)密鑰滾動(dòng)更新。）?

?限制是根據(jù)允許或排除的名稱子樹(shù)來(lái)定義的。 無(wú)論出現(xiàn)在 permittedSubtrees 中的信息如何，任何與 excludedSubtrees 字段中的限制相匹配的名稱都是無(wú)效的。 符合規(guī)范的 CA 必須將此擴(kuò)展標(biāo)記為關(guān)鍵，并且不應(yīng)對(duì) x400Address、ediPartyName 或 registeredID 名稱形式施加名稱限制。 合格的 CA 不得頒發(fā)名稱約束為空序列的證書。 也就是說(shuō)，必須存在 permittedSubtrees 字段或 excludedSubtrees。

符合本概要的應(yīng)用程序必須能夠處理強(qiáng)加于 directoryName 名稱形式的名稱約束，并且應(yīng)該能夠處理強(qiáng)加于 rfc822Name、uniformResourceIdentifier、dNSName 和 iPAddress 名稱形式的名稱約束。 如果標(biāo)記為關(guān)鍵的名稱約束擴(kuò)展對(duì)特定名稱形式施加約束，并且該名稱形式的實(shí)例出現(xiàn)在主題字段或后續(xù)證書的 subjectAltName 擴(kuò)展中，則應(yīng)用程序必須處理約束或拒絕證書 .

在此配置文件中，最小值和最大值字段不與任何名稱形式一起使用，因此，最小值必須為零，并且最大值必須不存在。 然而，如果一個(gè)應(yīng)用程序遇到一個(gè)關(guān)鍵名稱約束擴(kuò)展，它為出現(xiàn)在后續(xù)證書中的名稱形式指定其他最小值或最大值，應(yīng)用程序必須處理這些字段或拒絕該證書。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-443614.html

到了這里，關(guān)于eSIM證書要求-涉及規(guī)范SGP.22-SGP.26-2的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！