国密(SM2)数字证书的命名规范遵循X.509标准,并无独立的“国密标准”。但其在实际使用中的填写要求(如域名验证、组织信息)与国际基线要求(CA/B  Baseline  Requirements)基本兼容,以确保国密浏览器的正常识别。

下面概括了核心字段的填写规范,供你快速查阅:

  字段      中文含义      填写说明      示例  

C          国家  (Country)      两位字母的标准国家代码,必须大写。      `CN`  

O          组织  (Organization)          企业型(OV)及以上级别证书必须填写,须为与政府数据库一致的单位完整法定名称,禁止缩写。      `腾讯科技(深圳)有限公司`  

OU          组织单位  (Organization  Unit)      可选字段,用于标识证书申请部门或证书用途。      `IT部`  或  `SSL证书`  

CN          通用名称  (Common  Name)          通常是域名。但根据国际标准,浏览器已不再强制校验此字段,信任机制已迁移至SAN扩展。      `www.example.com`  

(SAN)          主题备用名称  (Subject  Alternative  Name)          现代浏览器唯一信任的标识符,用于绑定一个或多个域名或IP地址,是证书的核心字段。      `DNS:example.com,  DNS:www.example.com`  

关键约束

1.    字符限制:通用约束适用于所有字段值的X.520字符串类型定义,部分实现要求字段值(如O)一般不超过64个字符。

2.    特殊字符:建议避免使用  `,`、`/`、`=`、`+`、`<`、`>`、`#`、`;`、`\`、`"`  等特殊字符,以免干扰证书解析。

技术标准与演进

国密证书的“Subject”字段定义在行业标准  GM/T  0015-2023《数字证书格式》中,该标准在2024年6月1日起全面实施。该标准技术内容上参照了国际X.509标准。

从技术演进看,通用名称(CN)字段现在更多被视为一个向后兼容的遗留属性。依照**CA/Browser  Forum的基线要求**,主题备用名称(SAN)是SSL/TLS证书中**唯一强制且受信任**的域名验证字段。

不同场景下的填写示例

不同场景下的证书字段填写差异很大。建议优先且必须填写SAN字段,并根据场景参考下表:

证书类型      CN字段      SAN字段      O字段  |  备注  

个人/客户端证书          `张三`  |  可选(如邮箱)      可选  |  用于客户端身份认证,O字段可选。  

域名SSL证书          `www.example.com`      `DNS:www.example.com`<br>`DNS:example.com`    可选,但OV/EV证书必填      CN值必须包含在SAN中。  

代码签名证书          `张三`      不适用      `深圳市腾讯计算机系统有限公司`      用CN标识签名者身份,O字段与工商登记名称严格一致。  

内部测试/私有CA          `测试服务器01`    可选      可选      命名较灵活,但强烈建议参照公开证书规范。  

其他可选字段

如需求更精确地定位地理或组织信息,可在Subject  DN中添加以下可选字段:

      L  (Locality):  城市。

      ST  (State/Province):  省/自治区/直辖市。

      STREET  (Street  Address):  街道地址。

      postalCode  (Postal  Code):  邮政编码。

      E  (Email)**:  电子邮件地址。

国密证书的命名规范主要基于X.509标准。你可以根据你的具体使用场景(如SSL证书、代码签名证书)在以上通用规范基础上进行调整。

如果需要针对具体的证书类型(如OV  SSL或代码签名)获得更详细的指导,可以随时联系我。