ICS35.030 CCSL80 中华人民共和国国家标准 GB/T19714—2025 代替GB/T19714—2005 网络安全技术 公钥基础设施 证书管理协议 Cybersecuritytechnology—Publickeyinfrastructure— Certificatemanagementprotocol 2025-08-01发布 2026-02-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 通则 2 ……………………………………………………………………………………………………… 6 流程与消息结构 3 ………………………………………………………………………………………… 6.1 终端与RA系统间协议 3 …………………………………………………………………………… 6.2 RA系统与CA系统间协议 4 ………………………………………………………………………… 6.3 CA系统与KM系统间协议 6 ……………………………………………………………………… 6.4 CA系统与资料库间协议 12 ………………………………………………………………………… 6.5 终端与资料库间协议 14 ……………………………………………………………………………… 附录A(规范性) 必选的证书管理消息结构 22 …………………………………………………………… A.1 概述 22 ……………………………………………………………………………………………… A.2 消息结构解释的通用规则 22 ……………………………………………………………………… A.3 算法使用参数 22 …………………………………………………………………………………… A.4 所有权证明消息结构 23 …………………………………………………………………………… A.5 初始的注册/认证(基本认证方案) 23 ……………………………………………………………… A.6 证书请求 28 ………………………………………………………………………………………… A.7 密钥更新请求 28 …………………………………………………………………………………… 附录B(资料性) 可选的证书管理消息结构 29 …………………………………………………………… B.1 概述 29 ………………………………………………………………………………………………… B.2 结构解释的通用规则 29 ……………………………………………………………………………… B.3 算法使用参数 29 ……………………………………………………………………………………… B.4 PKI信息请求/响应 29 ……………………………………………………………………………… B.5 使用外部身份证书进行初始化 30 …………………………………………………………………… 附录C(规范性) PKI消息数据结构 32 …………………………………………………………………… C.1 PKI消息综述 32 ……………………………………………………………………………………… C.2 公共数据结构 36 ……………………………………………………………………………………… C.3 特定操作数据结构 41 ………………………………………………………………………………… 附录D(资料性) 版本协商 47 ……………………………………………………………………………… D.1 通则 47 ………………………………………………………………………………………………… D.2 与GB/T19714—2005版本服务端对话的客户端 47 ……………………………………………… D.3 接收GB/T19714—2005版本消息的服务端 47 …………………………………………………… 附录E(资料性) 使用“口令短语” 48 ……………………………………………………………………… 附录F(资料性) 证书管理协议ASN.1描述 49 ………………………………………………………… 参考文献 57 …………………………………………………………………………………………………… ⅠGB/T19714—2025 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T19714—2005《信息技术 安全技术 公钥基础设施 证书管理协议》。与 GB/T19714—2005相比,除结构调整和编辑性改动外,主要技术变化如下: a) 更改了标准的范围(见第1章,2005年版的第1章); b) 删除了PKI管理概述内容(见2005年版的第5章); c) 删除了加密密钥私钥拥有证明(见2005年版的6.3.2、7.2.8)和协商密钥私钥拥有证明相关内 容(见2005年版的6.3.3); d) 删除了根CA的更新的相关内容(见2005年版的6.4、8.2); e) 删除了终端实体初始化和初始注册/认证相关的前提与限制(见2005年版的第6章); f) 增加了“流程与消息结构”,描述各PKI组件间证书管理的流程与消息结构(见第6章); g) 增加了协议支持的国家标准算法以及算法OID(见附录A的表A.1); h) 增加了“transactionID”的相关描述(见附录C的C.1.2.1); i) 增加了协议版本字段取值的设置(见C.1.2.1); j) 增加了“隐式确认”数据结构(见C.1.2.2)和“确认等待时间”数据结构(见C.1.2.3); k) 在PKIHead的generalInfo扩展项增加了对证书模板标识“certTemplateID”字段的支持(见 C.1.2.4); l) 增加了“多重保护”相关描述(见C.1.4); m) 更改了加密值数据结构,修改为“SM2EnvelopedKey”(见C.2.2,2005年版的7.2.2),协议中加 密数据统一更改使用“SM2EnvelopedKey”(见C.3.2、6.2.2,2005年版的7.3.2、附录E); n) 增加了证书确认相关内容(见C.1.3、C.3.15); o) 增加了“轮询请求和响应”数据结构(见C.3.19); p) 增加了证书冻结和证书解冻请求与响应相关内容(见C.1.3、C.3.20、C.3.21); q) 增加了有关失败状况的更多信息(见C.2.3); r) 增加了利用CertReqMessages进行多个证书的申请与利用CertRepMessage进行多个证书的 响应时,有多种实现方式的说明,明确了实现上可有多种选择(见C.3.1和C.3.2),明确了一种 常见的实现方式(见A.5); s) 删除了交叉认证相关内容(见2005年版的7.3.11、7.3.12、8.6); t) 删除了CA初始化、终端实体初始化相关的PKI管理功能内容(见2005年版的第8章); u) 删除了CMP协议的传输相关内容(见2005年版的第9章和附录G); v) 删除了“请求消息行为说明”(见2005年版的附录D),将其主要内容纳入附录C中(见C.2.8、 C.3.1); w) 更改了证书管理协议OID(见附录F,2005年版的附录F)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:北京数字认证股份有限公司、中国电子技术标准化研究院、西安西电捷通无线网 络通信股份有限公司、博雅中科(北京)信息技术有限公司、长春吉大正元信息技术股份有限公司、上海 市数字证书认证中心有限公司、华为技术有限公司、武汉大学、公安部第一研究所、亚数信息科技(上海) ⅢGB/T19714—2025 有限公司、长扬科技(北京)股份有限公司、深圳市电子商务安全证书管理有限公司、陕西省信息化工程 研究院、江南信安(北京)科技有限公司、郑州信大捷安信息技术股份有限公司、清华大学、格尔软件股份 有限公司、广东省电子商务认证有限公司、同智伟业软件股份有限公司、北京时代新威信息技术有限公 司、北京中关村实验室、浙江大华技术股份有限公司、工业和信息化部网络安全产业发展中心(工业和信 息化部信息中心)、工信通(北京)信息技术有限公司、中国电子信息产业集团有限公司第六研究所、国网 区块链科技(北京)有限公司、中科信息安全共性技术国家工程研究中心有限公司、数安时代科技股份有 限公司、奇安信网神信息技术(北京)股份有限公司、中电科网络安全科技股份有限公司。 本文件主要起草人:高文华、高文举、李彦峰、李琴、王秉新、丁肇伟、王玉林、曾光、何德彪、胡光俊、 林雪焰、夏鲁宁、夏冰冰、李向锋、傅大鹏、刘中、王月辉、张国强、李志勇、田玉存、李亮、郭燕飞、丁蓓菁、 邓晨、刘斌、赵婧、张紫薇、魏一才、赵华、沈志淳、张鑫、苏金岩、王志辉、郑会涛、赵晓荣、徐剑南、王彤、 汪海洋、刘为华、贾珂婷、郑强、陈