ICS 35. 100.70 L 79 GB 中华人民共和国国家标准 GB/T 19713—2005 信息技术 安全技术 公钥基础设施 在线证书状态协议 Information technology-Security techniquesPublic key infrastructure- Online certificate status protocol 2005-10-01实施 2005-04-19发布 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T197132005 目 次 前言 范围 规范性引用文件 2 3 术语和定义 缩略语 4 总则 5 5. 1 概述 5.2 请求 5.3 响应 5. 4 异常情况 5. 5 thisUpdate,nextUpdate和 producedAt 的语义 5. 6 预产生响应 5.7 OCSP签名机构的委托 5. 8 CA 密钥泄漏 6功能要求 6.1 证书内容 6. 2 签名响应的接收要求 7. 具体协议 7. 1 约定 7. 2 请求 7.3 响应 7. 4 强制的密码算法和可选的密码算法 7.5扩展 8安全考虑 附录A（资料性附录) HTTP 上的 OCSP 10 附录B(规范性附录) 采用 ASN.1定义的 OCSP 11 GB/T19713—2005 前言 本标准主要参考IETF（互联网工程特别工作组）RFC2560文件制定，其中对某些功能项的实施方 法，结合实际经验提出了一些特别的建议， 本标准中凡涉及密码算法相关内容，按国家有关法规执行。 本标准的附录B为规范性附录，附录A为资料性附录 本标准由中华人民共和国信息产业部提出。 本标准由全国信息安全标准化技术委员会（TC260）归口。 本标准主要起草单位：国家信息安全基础设施研究中心、国家信息安全工程技术研究中心、中国电 子技术标准化研究所、国瑞数码安全系统有限公司。 本标准主要起草人：顾青、吴志刚、邓琳、陈刚、王于、苏恒、李跃、黄峰、郭晓雷、袁文恭、李丹、 上官晓丽、王利。 II GB/T19713—2005 信息技术安全技术公钥基础设施 在线证书状态协议 1范围 本标准规定了一种无需请求证书撤销列表（CRL)即可查询数字证书状态的机制（即在线证书状态 协议一OCSP)。该机制可代替CRL或作为周期性检查CRL的一种补充方式，以便及时获得证书撤 销状态的有关信息。本标准主要描述了以下内容： a）具体描述了在线证书状态协议的请求形式： b）具体描述了在线证书状态协议的响应形式； 分析了处理在线证书状态协议响应时可能出现的各种异常情况； c) (P 说明了在线证书状态协议基于超文本传输协议（HTTP)的应用方式； e） 提供了采用抽象语法记法1（ASN.1)描述的在线证书状态协议。 本标准适用于各类基于公开密钥基础设施的应用程序和计算环境。 2规范性引用文件 下列文件中的条款通过本标准的应用而成为本标准的条款。凡是注日期的引用文件，其随后所有 的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 ISO/IEC8824-1:2002抽象语法记法一（ASN.1）第1部分：基本记忆规范 RFC2459因特网X.509公开密钥基础设施证书和证书撤销列表框架 RFC2616超文本传输协议（HTTP1.1） 3术语和定义 下列术语和定义适用于本标准。 3. 1 证书扩展项 extensions 在证书的结构中，该域定义了证书的一些扩展信息。 3. 2 证书序列号 certificateserialnumber 为每个证书分配的唯一整数值，在CA颁发的证书范围内，此整数值与该CA所颁发的证书相关联 一对应。 3.3 请求者 requester 申请在线证书状态查询服务的主体。 3.4 响应者 responder 提供在线证书状态查询服务的主体。 4缩略语 下列缩略语适用于本标准。 GB/T19713—2005 CA证书认证机构 CAs证书认证机构群体 CRL证书撤销列表 HTTP超文本传输协议 OCSP在线证书状态协议 OID对象标识符 PKI公钥基础设施 5总则 5.1概述 OCSP作为检查定期CRL的替代方法或补充方法，在必须及时获得证书撤销状态的相关信息的情 况下，是必不可少的 OCSP能够使应用程序确定某个标识证书的（撤销）状态。OCSP可以用来满足那些需要提供比检 查CRL更及时的撤销信息的操作要求，还可以用来获得附加的状态信息。OCSP请求者向OCSP响应 器发出一个状态请求，并延缓接受待查询的证书，直到响应器提供响应为止。 本标准规定了检查证书状态的应用程序和提供证书状杰查询的服务器之间需要交换的数据 5.2请求 OCSP请求包含以下数据： 协议版本； a) 服务请求； c) 目标证书标识符； d) OCSP响应器可处理的可选扩展，比如：OCSP请求者的签名、随机数。 对某个请求的回应，OCSP响应器应确定： a）报文格式是否正确； b）响应器是否配置了所要求的服务； c）请求是否包含响应器需要的信息 如果上述任何一个条件未满足，则OCSP响应器将发出一个错误信息；否则，将返回一个明确的 响应。 5.3响应 OCSP响应可以有不同类型，且响应由响应类型和响应实体两部分组成。本标准只规定了一种所 有OCSP请求者和响应器都必须支持的OCSP基本响应类型 对所有明确的响应报文都应进行数字签名。用于响应签名的密钥必须满足下列条件之一： 签发待查询证书的CA； a) b) 可信赖的响应器，即请求者信任该响应器的公钥； c) CA指定的响应器（即授权的响应器），该响应器拥有一个CA直接发布的带有特殊标记扩展项 的证书，该特殊标记扩展项指明该响应器可以为CA发布OCSP响应。 明确的响应消息由如下内容组成： a）响应语法的版本； b) 响应器的名称； c) 对请求中每个证书的响应； d) 可选择的扩展； e) 签名算法的OID； f) 响应的哈希签名。 2