ICS 35.030 CCS L 80 GB 中华人民共和国国家标准 GB/T 19714—2025 代替GB/T19714—2005 网络安全技术 公钥基础设施 证书管理协议 Cybersecurity technologyPublic key infrastructure- Certificate management protocol 2025-08-01发布 2026-02-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 19714—2025 目 次 前言 II 范围 2 规范性引用文件 3 术语和定义 缩略语 5 通则 6 流程与消息结构 6.1 终端与RA系统间协议 6.2 RA系统与CA系统间协议 6.3 CA系统与KM系统间协议 6.4 CA系统与资料库间协议 6.5 终端与资料库间协议 附录A（规范性）必选的证书管理消息结构· 22 A.1 概述 22 A.2 消息结构解释的通用规则 22 A.3 算法使用参数 22 A.4 所有权证明消息结构 23 A.5 初始的注册/认证（基本认证方案） 23 A.6 证书请求 28 A.7 密钥更新请求 28 附录B（资料性）可选的证书管理消息结构 29 B.1 概述· 29 B.2 结构解释的通用规则 29 B.3 算法使用参数 29 B.4 PKI信息请求/响应 29 B.5 使用外部身份证书进行初始化 30 附录C（规范性）PKI消息数据结构 . 32 C.1 PKI消息综述 32 C.2 公共数据结构 C.3 特定操作数据结构 41 附录D（资料性）版本协商· 47 D.1 通则· D.2 与GB/T19714—2005版本服务端对话的客户端. 47 D.3接收GB/T19714—2005版本消息的服务端 47 附录E（资料性）使用“口令短语” 48 附录F（资料性）证书管理协议ASN.1描述 49 参考文献 57 1 GB/T 19714—2025 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 GB/T19714一2005相比，除结构调整和编辑性改动外，主要技术变化如下： a）更改了标准的范围（见第1章，2005年版的第1章）； b) 删除了PKI管理概述内容（见2005年版的第5章）； c） 删除了加密密钥私钥拥有证明（见2005年版的6.3.2、7.2.8）和协商密钥私钥拥有证明相关内 容（见2005年版的6.3.3）； d) 删除了根CA的更新的相关内容（见2005年版的6.4、8.2）； e） 删除了终端实体初始化和初始注册/认证相关的前提与限制（见2005年版的第6章）； 增加了“流程与消息结构”，描述各PKI组件间证书管理的流程与消息结构（见第6章）； g) 增加了协议支持的国家标准算法以及算法OID(见附录A的表A.1)； 增加了“transactionID”的相关描述（见附录C的C.1.2.1）； 增加了协议版本字段取值的设置（见C.1.2.1）； 增加了“隐式确认”数据结构（见C.1.2.2)和“确认等待时间”数据结构（见C.1.2.3）； 在PKIHead的generalInfo扩展项增加了对证书模板标识“certTemplateID”字段的支持（见 C.1.2.4) ; 1) 增加了“多重保护”相关描述（见C.1.4）； m) 更改了加密值数据结构，修改为"SM2EnvelopedKey”（见C.2.2，2005年版的7.2.2），协议中加 密数据统一更改使用"SM2EnvelopedKey”（见C.3.2、6.2.2，2005年版的7.3.2、附录E）； n） 增加了证书确认相关内容（见C.1.3、C.3.15）； o） 增加了“轮询请求和响应”数据结构（见C.3.19）； p) 增加了证书冻结和证书解冻请求与响应相关内容（见C.1.3、C.3.20、C.3.21）； (b 增加了有关失败状况的更多信息（见C.2.3）； r) 增加了利用CertReqMessages进行多个证书的申请与利用CertRepMessage进行多个证书的 响应时，有多种实现方式的说明，明确了实现上可有多种选择（见C.3.1和C.3.2），明确了一种 常见的实现方式（见A.5）； s） 删除了交叉认证相关内容（见2005年版的7.3.11、7.3.12、8.6）； t) 删除了CA初始化、终端实体初始化相关的PKI管理功能内容（见2005年版的第8章）； u） 删除了CMP协议的传输相关内容（见2005年版的第9章和附录G）； V） 删除了“请求消息行为说明”（见2005年版的附录D），将其主要内容纳入附录C中（见C.2.8、 C.3.1) ; W） 更改了证书管理协议OID（见附录F，2005年版的附录F）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会（SAC/TC260)提出并归口。 本文件起草单位：北京数字认证股份有限公司、中国电子技术标准化研究院、西安西电捷通无线网 络通信股份有限公司、博雅中科（北京）信息技术有限公司、长春吉大正元信息技术股份有限公司、上海 市数字证书认证中心有限公司、华为技术有限公司、武汉大学、公安部第一研究所、亚数信息科技（上海） II GB/T 19714—2025 有限公司、长扬科技（北京）股份有限公司、深圳市电子商务安全证书管理有限公司、陕西省信息化工程 研究院、江南信安（北京)科技有限公司、郑州信大捷安信息技术股份有限公司、清华大学、格尔软件股份 有限公司、广东省电子商务认证有限公司、同智伟业软件股份有限公司、北京时代新威信息技术有限公 司、北京中关村实验室、浙江大华技术股份有限公司、工业和信息化部网络安全产业发展中心（工业和信 息化部信息中心）、工信通（北京）信息技术有限公司、中国电子信息产业集团有限公司第六研究所、国网 区块链科技（北京）有限公司、中科信息安全共性技术国家工程研究中心有限公司、数安时代科技股份有 限公司、奇安信网神信息技术（北京）股份有限公司、中电科网络安全科技股份有限公司。 本文件主要起草人：高文华、高文举、李彦峰、李琴、王秉新、丁肇伟、王玉林、曾光、何德彪、胡光俊、 邓晨、刘斌、赵婧、张紫薇、魏一才、赵华、沈志淳、张鑫、苏金岩、王志辉、郑会涛、赵晓荣、徐剑南、王彤、 汪海洋、刘为华、贾珂婷、郑强、陈树乐、焦正坤、俞政臣、朱威儒、赵博鑫、张剑青、陈子雄、王进、王斌、 王龙、杨珂、高振鹏、杜志强、安锦程、蔻建波。 本文件及其所代替文件的历次版本发布情况为： 2005年首次发布为GB/T19714—2005； 一本次为第一次修订。 IV GB/T19714—2025 网络安全技术公钥基础设施 证书管理协议 1范围 本文件给出了公钥基础设施（PKI)中证书管理协议的结构和内容，规定了证书产生和管理所需要 的协议消息格式。 本文件适用于公钥基础设施相关产品的研制，以及用于指导公钥基础设施相关产品的设计、开发和 管理。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T19713网络安全技术公钥基础设施在线证书状态协议 GB/T20518一2018信息安全技术公钥基础设施数字证书格式 GB/T25056信息安全技术证书认证系统密码及其相关安全技术规范 GB/T 25069—2022 信息安全技术术语 GB/T335601 信息安全技术密码应用标识规范 GB/T35276一2017信息安全技术SM2密码算法使用规范 3术语和定义 GB/T25069一2022界定的以及下列术语和定义适用于本文件。 3.1 数字签名 digital signature 被数据单元的接收者用以确认数据单元的来源和完整性，达到保护数据，防止被伪造的目的，附加 在数据单元上的一些数据，或是对数据单元所做的密码变换。 ［来源：GB/T25069—2022,3.576，有修改］ 3.2 杂凑算法 hash-algorithm 基于杂凑函数实现的密码算法。 3.3 个人安全环境 personal security environment;PSE 终端用于安全存储证书及私钥的环境。 3.4 拥有证明 proof of possession;POP 终端用以证明自已拥有（即能使用)与其申请证书的公钥相对应的私钥。 1 GB/T19714—2025 3.5 PKI组件PKIcomponent 用于进行证书相关活动的程序、模块或系统。 注：通常包括终端和用于提供服务的PKI管理组件。 3.6 PKI管理组件PKImanagement component 用于提供证书相关服务的程序、模块或系统。 3.7 PKI消息PKI message 证书管理协议中的一种特定数据结构。 4缩略语 下列缩略语适用于本文件。 CA：证书认证机构（Certificate Authority） CMP：证书管理协议(Certificate Management Protocol) CRL：证书撤销列表(Certificate Revocation List) KM:密钥管理(Key Management) LDAP：轻量级目录访问协议(LightweightDirectoryAccessProtocol) LRA：本地注册机构（LocalRegistrationAuthority） MAC:消息认证码（Message AuthenticationCode) OCSP：在