依据GB/1T19713一2005中第8章的内容进行测评。 开发者应提供文档，对所使用的在线证书状态协议进行脆弱性分析。 测评方法为：查着开发者提供的脆弱性分析报告，检测OCSP系统能否抵御标准中的相关攻击（至 少应该包括拒绝服务攻击和重放攻击）。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

6.1必需的PKI管理功能

安全生产标准规范范本6.1.1根CA初始化

GB/T19714—2005中8.1的内容进行测评。 者应提供文档，针对根CA初始化的过程进行说

依据GB/T19714一2005中8.1的内容进行测评。 开发者应提供文档，针对根CA初始化的过程进行说明 测评方法如下。 a）根据开发者文档，产生一对根CA的密钥对，并将密钥对中的私钥进行保存，检测根密钥的 存方式是否安全（例如：保存在加密机或加密卡中，并受口令保护）

b）选择根CA的密钥对进行根CA初始化，用产生的私钥为公钥签发证书，产生自签名证书，检 测这个证书的结构是否和"newWithNew"证书结构相同。 c）为CA的公钥产生一个指纹，并检测传递指纹的数据结构是否为OOBCertHash。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

6.1.2根CA密钥更新

依据GB/T19714一2005中8.2的内容进行测评， 开发者应提供文档，针对根CA密钥更新的过程进行说明。 测评方法如下。 a）在CA的生命周期到期前，模拟一次根CA密钥更新的过程。 b）产生新的根CA的密钥对。 c 产生一个用新私钥为旧公钥签名的证书（“OldWithNew"证书） d) 产生一个用旧私钥为新公钥签名的证书（“NewWithOld"证书） e 产生一个用新私钥为新公钥签名的证书（“NewWithNew证书） f 发布这些新证书。 g) 导出CA的新公钥。 h) 使用CA的新密钥为一个终端实体签发一个新证书。 i) 利用CA旧公钥的终端实体，获得NewWithOld证书，并验证上述新证书。 1 利用CA新公钥的终端实体，获得OldWithNew证书，并验证CA旧密钥签发的旧证书。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 足。

6.1.3下级CA初始化

开发者应提供文档，针对下级CA初始化的过程进行说明。 测评方法如下。 a）在下级CA初始化之前，检测下级CA能否获得以下PKI信息： 1）当前根CA的公钥，并使用杂值对根CA公钥进行带外验证； 2）撤销列表以及撤销列表的认证路径； 3）所支持的每一种相关应用的算法和算法变量。 b） 模拟一次下级CA初始化的过程：产生下级CA密钥，利用根证书产生下级CA的签名证书 c）产生初始的撤销列表。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

6.1.4 CRL 产生

依据GB/T19714一2005中8.4的内容进行测评， 开发者应提供文档，针对CRL产生的过程进行说明。 测评方法如下。 a）在发布证书之前,在新建立CA中产生空的CRL列表

GB/T 30272—2021

b）检测能否操作成功。 c）撤销一张证书，检测CRL是否可以正常更新。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

6.1.5PKI信息请求

依据GB/T19714一2005中8.5的内容进行测评。 开发者应提供文档，针对PKI信息请求进行说明。 测评方法如下。 a）评价者模拟各种PKI信息请求，检测CA是否能够提供请求者要求的所有请求信息，如果某些 信息不能提供，CA是否给请求者返回错误信息。 b）检测文档是否和标准的规定一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 足。

依据GB/T19714一2005中8.6的内容进行测评。 开发者应提供文档，针对交叉认证过程进行说明。 测评方法如下。 a）评价者模拟一次交叉认证过程。 b） 新建三个独立的CA系统，分别命名为A、B、C。 c 分别使用三个CA系统，签发三个证书，分别命名为：a、b、c。 d）以CA系统A为请求者，CA系统B为响应者，进行交叉认证操作，检测操作过程和消息结构 是否符合标准要求。 e）在拥有证书b的终端实体上，使用交叉认证证书验证证书a，应能验证成功。 f）在拥有证书b的终端实体上，验证证书c，验证应不成功。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果系统提供交叉认证功能，以 结果全部正确，则本项满足；如果系统不提供交叉认证功能，则此项不作为最终结果的判断依据

6.1.7终端实体初始化

依据GB/T19714—2005中8.7.1的内容进行测评。 开发者应提供文档，针对终端实体初始化过程中的“获得PKI信息”这一步骤进行说明， 测评方法为：在终端实体初始化之前，检测能否获得以下PKI信息： a）当前根CA的公钥； b）撤销列表以及撤销列表的认证路径； c）所支持的每一种相关应用的算法和算法参数。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

衣据GB/T19714一2005中8.8的内容进行测评

GB/T 302722021

开发者应提供文档，针对证书模板和证书请求进行说明。 测评方法如下。 a） 对每一种证书模板，选择一个经过初始化的终端实体，提出证书请求。 b） 检测这个请求是否使用证书请求消息。 C） 检测能否返回所申请的新证书。 d 选择一个已经拥有一对签名密钥（带有相应的验证证书）的终端实体，提出证书请求。 e） 检测证书请求消息是否使用此实体的数字签名来保护。 检测能否返回所申请的新证书。 g） 检查文档是否和标准的规定一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

6. 1.9 密钥更新

依据GB/T19714一2005中8.9的内容进行测评。 开发者应提供文档，针对密钥更新进行说明， 测评方法如下。 a）在终端实体的证书将要过期前，评价者模拟密钥更新的过程， b）检查文档是否和标准的规定一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 足。

6.3必选的PKI管理消息结构

6.3.1初始的注册/认证（基本认证方案）

依据GB/T19714一2005中B.4的内容进行测评。 开发者应提供文档，说明初始的注册/认证的消息格式。 测评方法为：通过未初始化的终端实体向CA请求第一个证书，根据开发者所提供的文档，检测终 端实体和PKI之间的通信消息是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

GB/T 30272—2021

依据GB/T19714一2005中B.5的内容进行测评。 开发者应提供文档，说明证书请求的消息格式。 测评方法为：通过已经初始化的终端实体向CA请求证书，根据开发者所提供的文档，检测终端实 体和PKI之间的通信消息是否符合标准要求， 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

6.3.3密钥更新请求

依据GB/T19714一2005中B.6的内容进行测评。 开发者应提供文档，说明密钥更新请求的消息格式， 测评方法为：在密钥即将过期前，通过已经初始化的终端实体向CA请求证书（用于更新密钥对和， 或已经拥有的相应证书），根据开发者所提供的文档，检测终端实体和PKI之间的通信消息是否符合标 推要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

乙组件最小互操作规范测评

7.1.1证书认证机构（CA)

7.1.1.1颁发数字签名证书

依据GB/T19771一2005中5.2.2a）的内容进行测评 开发者应提供文档，针对数字签名证书的颁发进行说明。 测评方法如下。 a）对每一种证书模板，通过授权RA产生多个签名数字证书请求，并发送给CA，检测CA能否生 成新证书并将其放在资料库中。 b）通过非授权RA产生一个签名数字证书请求，并发送给CA，检测CA能否拒绝该证书申请，能 否向RA报告失败并说明原因。 c）通过授权RA产生一个包含不匹配信息的签名数字证书请求，并发送给CA，检测CA能否拒 绝该证书申请，能否向RA报告失败并说明原因 d）对每一种证书模板，产生多个自我注册的证书请求，并发送给CA，检测CA是否验证请求者的 身份并验证申请者的相应私钥，如果验证成功，检测CA能否生成新证书并将其放在资料库 中；如果验证失败，检测CA能否拒绝该证书申请，能否向申请者报告失败并说明原因。 e） 对每一种证书模板，产生多个更新的证书请求，并发送给CA，检测CA是否验证请求者的身 份，如果验证成功，检测CA能否生成新证书并将其放在资料库中；如果签名无效或者CA策 略不充许更新，检测CA能否拒绝该证书更新请求，并向申请者报告失败并说明原因 f 以非法的请求者产生一个更新的证书请求，检测CA能否拒绝该证书更新请求，能否向申请者 报告失败并说明原因

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项

7.1.1.2颁发加密证书

依据GB/T19771—2005中5.2.2b）的内容进行测评。 开发者应提供文档，针对加密证书的颁发进行说明。 测评方法如下。 a）由第三方集中产生加密密钥对，并通过带外方式提供给CA。 b）由证书持有者生成一个加密证书请求，说明自已想要的加密算法，并对该请求进行数字签名 将该请求发送给CA。 c）检测CA能否验证请求者身份，并颁发加密证书和加密私钥给请求者。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

7.1.1.3交叉认证

依据GB/T19771一2005中5.2.2c）的内容进行测评。 开发者应提供文档，针对CA间的交叉认证进行说明。 测评方法如下。 a）在两个交叉认证的CA之间交换CA的公钥，分别根据对方的公钥生成证书，并将其存放到资 料库中。 b）检测双方之间的证书能否交叉认证。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果系统提供交叉认证功能，以 果全部正确，则本项满足；如果系统不提供交叉认证功能，则此项不作为最终结果的判断依据

7.1.1.4撤销证书

依据GB/T19771—2005中5.2.2d)的内容进行测评。 开发者应提供文档，针对证书的撤销进行说明。 测评方法如下。 a）以多个证书持有者身份请求撤销证书，并将请求发送给CA，检测CA是否验证请求者身份，验 证成功后能否将证书放人CRL中。 b）产生新的全量CRL，检测老CRL中的全部信息是否放到新CRL中。 产生新的增量CRL，检测新增的撤销证书信息是否放到新CRL中。 d）通过RA向CA发送多个证书撤销请求，检测CA是否验证请求者身份，验证成功后能否将证 书放人CRL中。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项

依据GB/T19771—2005中5.2.2d)的内容进行测评。 开发者应提供文档，针对证书的撤销进行说明。

开发者应提供文档，针对证书的撤销进行说明。 测评方法如下。 a 以多个证书持有者身份请求撤销证书，并将请求发送给CA，检测CA是否验证请求者身份，验 证成功后能否将证书放人CRL中。 b） 产生新的全量CRL，检测老CRL中的全部信息是否放到新CRL中。 产生新的增量CRL，检测新增的撤销证书信息是否放到新CRL中 d） 通过RA向CA发送多个证书撤销请求，检测CA是否验证请求者身份，验证成功后能否将证 书放人CRL中。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

Z.1.1.5 请求 CA证书

依据GB/T19771—2005中5.2.2f)的内容进行测评。 开发者应提供文档，针对向上一级CA申请证书进行说明。 测评方法为：通过CA向上一级的CA申请证书，检测能否申请成功

GB/T 302722021

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

7.1.2注册机构（RA

依据GB/T19771一2005中5.3的内容进行测评。 开发者应提供文档，针对RA的操作规范进行说明。 测评方法如下。 a）针对每一种证书模板，向RA提交多个CertReq格式的证书请求。 b 检测RA是否审查请求者的身份。 C） 检测RA是否确认请求者拥有相应的完整的密钥对。 d） 验证通过后，检测RA能否抽取公钥信息并用RA的名字和签名建立一个新的CertReq消息 e） 检测RA能否将新的CertReq消息发送给CA。 f 如果证书请求被接受，检测RA能否接收CA颁发的新证书，并将新证书发送给请求者 g 如果证书请求被拒绝，检测RA能否审查从CA发来的错误代码并向证书请求者返回证书拒 绝的响应消息。 h） 向RA提交多个证书撤销请求，检测RA是否验证请求者身份，并产生新的RevReq消息。 1 检测RA能否将新的RevReq消息发送给CA。 j 如果证书撤销请求被接受，检测RA能否接收CA回应的RevReq消息，能否将此信息提交给 请求者。 K 如果证书撤销请求被拒绝，检测RA能否审查错误代码，并再次产生撤销请求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项

7.1.3证书持有者规范

依据GB/T19771一2005中5.4的内容进行测评。 开发者应提供文档，针对证书持有者规范进行说明。 测评方法如下。 a）以多个用户身份申请签名证书，检测能否成功申请并且获取证书。 b）以多个用户身份申请加密证书，检测能否成功申请并且获取证书。 c）以多个证书持有者身份，申请撤销签名证书，检测能否成功撤销证书。 d）以多个证书持有者身份，申请更新签名证书，检测能否成功更新证书。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 足

依据GB/T19771一2005中5.5的内容进行测评。 开发者应提供文档，针对客户规范进行说明。 测评方法如下。 a）验证客户能否验证签名。 b）验证客户能否从查询服务器检索证书和CRLs c）验证客户能否验证证书认证路径

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

7.2.1证书撤销列表

依据GB/T19771一2005中6.3的内容进行测评。 开发者应提供文档，针对证书撤销列表的格式进行说明。 测评方法如下。 a）由CA颁发证书撤销列表。 b）下载证书撤销列表，检测证书撤销列表的格式是否符合标准要求， 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

7.2.2事务消息格式

1.2.2.1全体PKI消息组

依据GB/T19771一2005中6.5.2的内容进行测评 开发者应提供文档，针对PKI消息的格式进行说明。 测评方法为：根据开发者提供的文档，检测PKI消息（包括：header、body、protection、extraCerts字 没）的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

7.2.2.2通用数据结构

依据GB/T197712005中6.5.3的内容进行测评 开发者应提供文档，针对证书模板、签名私钥的拥有证明、证书请求消息、协议加密密钥控制、PKI 消息状态码、失败信息、确认协议、证书识别、CentrallyGeneratedKeys和带外信息的格式进行说明。 测评方法如下。 a 根据发者提供的文档，检测证书模板的消息格式是否符合标准要求 b） 根据开发者提供的文档，检测签名私钥的拥有证明消息格式是否符合标准要求。 ） 根据开发者提供的文档，检测证书请求的消息格式是否符合标准要求。 d） 根据开发者提供的文档，检测协议加密密钥控制的消息格式是否符合标准要求。 e） 根据开发者提供的文档，检测PKI消息状态码的消息格式是否符合标准要求。 f 根据开发者提供的文档，检测失败信息的消息格式是否符合标准要求 8 根据开发者提供的文档，检测确认协议的消息格式是否符合标准要求。 根据开发者提供的文档，检测证书识别的消息格式是否符合标准要求。 i） 根据开发者提供的文档，检测CentrallyGeneratedKeys的消息格式是否符合标准要求。 J 根据开发者提供的文档，检测带外信息的消息格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 浦品

GB/T 30272—2021

7.2.2.3特殊操作的数据结构

依据GB/T19771一2005中6.5.4的内容进行测评。 开发者应提供文档，针对注册/证书请求、注册/证书响应、撤销请求的内容、撤销响应内容、PKCS #10证书请求的消息格式进行说明。 测评方法如下。 a）根据开发者提供的文档，检测注册/证书请求的消息格式是否符合标准要求。 b）根据开发者提供的文档，检测注册/证书响应的拥有证明消息格式是否符合标准要求。 C 根据开发者提供的文档，检测撤销请求的内容的消息格式是否符合标准要求。 d） 根据开发者提供的文档，检测撤销响应内容的消息格式是否符合标准要求。 e） 根据开发者提供的文档，检测PKCS#10证书请求的消息格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

7.2.3.1RA发起的注册请求

依据GB/T19771一2005中6.6.2的内容进行测评。 如果产品支持远端RA，则开发者应提供文档，针对RA发起的注册请求进行说明。 测评方法如下。 a）根据开发者提供的文档，对每一种证书模板，在RA上向CA请求多个终端实体的证书。 b）检测从RA到CA的证书请求消息的格式是否符合标准要求。 c）检测从CA到RA的证书回应消息的格式是否符合标准要求。 d）检测确认消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

7.2.3.2新实体的自我注册请求

依据GB/T19771—2005中6.6.3的内容进行测评。 如果CA接受自我注册请求，则开发者应提供文档，针对新实体的自我注册请求进行说明， 测评方法如下。 a）根据开发者提供的文档，对每一种证书模板，以多个新实体身份直接向CA申请新的证书。 b）检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求。 c）检测从CA到证书请求者的自我注册请求回应消息的格式是否符合标准要求。 d）检测确认消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 足。

7.2.3.3已知实体的自我注册请求

依据GB/T19771一2005中6.6.4的内容进行测评。 如果CA接受自我注册请求，则开发者应提供文档，针对已知实体的自我注册请求进行说 测评方法如下

a）根据开发者提供的文档，对每一种证书模板，以多个已知实体身份直接向CA申请新的证书。 b）检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求。 c）检测从CA到证书请求者的自我注册请求回应消息的格式是否符合标准要求 d）检测确认消息的格式是否符合标准要求 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

7.2.3.4 证书更新

依据GB/T19771一2005中6.6.5的内容进行测评。 如果CA的CPS支持证书更新，则开发者应提供文档，针对证书的更新进行说明。 测评方法如下。 a）根据开发者提供的文档，对每一种证书模板，以多个拥有当前有效证书的实体身份直接向CA 申请新的证书 b） 检测从证书持有者到CA的证书更新申请消息的格式是否符合标准要求。 c） 检测从CA到证书持有者的证书更新响应消息的格式是否符合标准要求。 d）检测确认消息的格式是否符合标准要求 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

7.2.3.5PKCS#10自我注册请求

依据GB/T197712005中6.6.6的内容进行测评。 如果CA接受自我注册请求，则开发者应提供文档，针对PKCS#10自我注册请求进行说明。 测评方法如下。 a）根据开发者提供的文档，对每一种证书模板，以多个新实体身份直接向CA申请新的PKCS# 10证书。 b）检测从证书持有者到CA的自我注册请求消息的格式是否符合标准要求。 c）检测从CA到证书请求者的PKCS证书请求响应消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 足

7.2.3.6撤销请求

依据GB/T19771一2005中6.6.7的内容进行测评 开发者应提供文档，针对撤销请求进行说明。 测评方法如下。 a）根据开发者提供的文档，以多个拥有当前有效证书的实体身份直接申请撤销自已的证书。 b）检测从证书持有者到RA的撤销请求消息的格式是否符合标准要求。 检测从RA到CA的撤销请求消息的格式是否符合标准要求。 d 检测从CA到RA的撤销响应消息的格式是否符合标准要求。 e）检测从RA到证书持有者的撤销响应消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足，

GB/T 30272—2021

7.2.3.7集中产生密钥对和密钥管理证书申请

依据GB/T19771一2005中6.6.8的内容进行测评。 开发者应提供文档，针对集中产生密钥对和密钥管理证书申请进行说明。 测评方法如下。 a）根据开发者提供的文档，以多个拥有当前有效证书的实体身份向CA申请产生加密密钥并签 发证书。 b）检测集中产生密钥对申请消息的格式是否符合标准要求。 c）检测集中产生密钥对回应消息的格式是否符合标准要求。 d）检测确认消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 足

7.2.3.8组合证书申请

依据GB/T19771一2005中6.6.9的内容进行测评 如果CA支持组合证书，则开发者应提供文档，针对组合证书申请进行说明。 测评方法如下。 a）根据开发者提供的文档，以多个新实体身份向CA申请组合证书：一个签名密钥证书和加密 证书。 b）检测组合证书申请消息的格式是否符合标准要求。 C 检测组合证书回应消息的格式是否符合标准要求。 d）检测确认消息的格式是否符合标准要求。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

依据GB/T20518一2018中5.2.2的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）对每一种证书模板，使用公钥基础设施颁发多个数字证书。 b）检测所颁发数字证书的基本数据结构是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

8.2TBSCertificate及其数据结构

8.2.1版本Version

依据GB/T20518一2018中5.2.3.1的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。

GB/T 302722021

a）检测所颁发数字证书中是否包含版本项。 b）检测证书中版本项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

满足。 3.2.2序列号Serialnumber 依据GB/T20518一2018中5.2.3.2的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含序列号项。 b）检测证书中序列号项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。 3.2.3签名算法Signaturealgorithm 依据GB/T20518一2018中5.2.3.3的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含签名算法项。 b）检测证书中签名算法项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。 3.2.4颁发者Issuer

8.2.2序列号 Serial number

开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含序列号项。 b）检测证书中序列号项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

8.2.3签名算法Signature algorithm

依据GB/T20518一2018中5.2.3.3的内容进行测评 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含签名算法项。 b）检测证书中签名算法项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。 8.2.4颁发者Issuer 依据GB/T20518—2018中5.2.3.4的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含颁发者项。 b）检测证书中颁发者项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。 8.2.5有效期Validity 依据GB/T20518一2018中5.2.3.5的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含有效期项。 b）检测证书中有效期项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项

V10中，2，.3时内1测开 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含签名算法项。 b）检测证书中签名算法项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

8.2.4颁发者 Issuer

依据GB/T20518一2018中5.2.3.4的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含颁发者项。 b）检测证书中颁发者项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

8.2.5有效期Validity

依据GB/T20518一2018中5.2.3.5的内容进行测评 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含有效期项。 b）检测证书中有效期项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

GB/T 302722021

8.2.6主体Subject

开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含主体项。 b）检测证书中主体项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

8.2.7主体公钥信息SubjectPublicKeyInfo

依据GB/T20518一2018中5.2.3.7的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含主体公钥信息项。 b）检测证书中主体公钥信息项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

发者唯一标识符 issuerU

依据GB/T20518一2018中5.2.3.8的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法为：检测所颁发数字证书中是否包含颁发者唯一标识符项。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

8.2.9主体唯一标识符subiectUniqueID

依据GB/T20518一2018中5.2.3.9的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法为：检测所颁发数字证书中是否包含主体唯一标识符项。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足，

依据GB/T20518—2018中5.2.4.2.2的内容进行测评 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含颁发机构密钥标识符项。 b）检测证书中颁发机构密钥标识符项的格式、内容是否和标准一致。

记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

8.3.1.2主体密钥标识符subjectKeyldentifier

依据GB/T20518一2018中5.2.4.2.3的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含主体密钥标识符项。 b）检测证书中主体密钥标识符项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

8.3.1.3密钥用法keyUsage

依据GB/T20518—2018中5.2.4.2.4的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含密钥用法项。 b）检测证书中密钥用法项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

8.3.1.4扩展密钥用途extKeyUsag

依据GB/T205182018中5.2.4.2.5的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）如果公钥基础设施支持扩展密钥用途扩展项，则此项为检测项，否则为非检测项。 b）检测所颁发数字证书中是否包含扩展密钥用途项。 c）检测证书中扩展密钥用途项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

8.3.1.5私有密钥使用期privateKeyUsagePeriod

依据GB/T20518一2018中5.2.4.2.6的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）如果公钥基础设施支持私有密钥使用期扩展项，则此项为检测项，否则为非检测项。 b）检测所颁发数字证书中是否包含私有密钥使用期项。 c）检测证书中私有密钥使用期项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足，

GB/T 30272—2021

8.3.1.6证书策路certificatePolicies

依据GB/T205182018中5.2.4.2.7的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）检测所颁发数字证书中是否包含证书策略项。 b）检测证书中证书策略项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

信息安全技术标准规范范本8.3.1.7策略映射policyMappings

依据GB/T20518一2018中5.2.4.2.8的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）如果公钥基础设施支持策略映射扩展项，则此项为检测项，否则为非检测项。 b）检测所颁发数字证书中是否包含策略映射项。 c）检测证书中策略映射项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足

8.3.1.8主体替换名称subjectAltName

依据GB/T20518—2018中5.2.4.2.9的内容进行测评。 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）如果证书中的唯一主体身份是一个选择名称格式（如一个电子邮件地址），主体的甄别名为空 序列，则本项为检测项目，否则为非检测项。 b）检测证书中主体替换名称项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 满足。

建筑节能8.3.1.9颁发者替换名称issuerAltName

依据GB/T20518一2018中5.2.4.2.10的内容进行测评， 开发者应提供文档，针对所颁发的数字证书格式进行说明。 测评方法如下。 a）如果公钥基础设施支持颁发者替换名称扩展项，则此项为检测项，否则为非检测项。 b）检测所颁发数字证书中是否包含颁发者替换名称项。 c）检测证书中颁发者替换名称项的格式、内容是否和标准一致。 记录测评结果并对该结果是否完全符合标准相关要求作出判断。如果以上结果全部符合，则本项 足

GB/T20518—2018中5.2.4.2.11的内容进行测