RC (Root Certificate) 根证书在线生成工具

根CA(Root CA)是车联网安全体系中某个PKI系统中最高级别的CA。根CA首先需要向自身签发一个自签名证书,该自签名证书又称为根证书(Root Certificate)。根证书是一个PKI系统中所有证书链的终结点,即该PKI系统的信任锚点(trust anchor)。根CA可以根据需要向下级CA签发子CA证书,例如注册CA证书、假名CA证书、应用CA证书等。

  • PKI 公钥基础设施 Public Key Infrastructure
  • TRCL 可信根证书列表 Trusted Root Certificate List
  • TRCLA 可信根证书列表管理机构 Trusted Root Certificate List Authority
  • V2X 车联万物 Vehicle to Everything
  • CRL 证书撤销列表 Certificate Revocation List
  • MA 异常行为管理机构 Misbehavior Authority
  • PkiCertInfo 该数据结构包含:
  • certificate:特定PKI系统中的可信证书;
  • crlUrl:下载与此可信证书相关的CRL列表的地址。
  • maUrl:上载与此可信证书相关的异常行为报告的地址。

    • 示例RC文件内容

    根证书TRCLA.rca--[9E 3E 29 39 25 99 44 16]-- 11C03A34C3DD4D5C.rootca--[root.cicv.com] rootca.datangmobile.cn == rootca.v2x.caict.ac.cn == rootca.china-icv.cn == rca.v2x.dtgh.com rca.v2xca.catarc.info rca.jit.com.cn == rca.v2xcmv.com == root.ctv2x.com ==

    Root CA 内容说明

    字段含义1级字段2级字段3级字段4级字段5级字段备注
    版本号versionUint8取3   
    证书类型typeCertificateType选择explicit   
    签发者标识issuerIssuerIdentifier选择selfHashAlgorithm选择sm3  
    证书标识toBeSignedidCertificateId选择name

    Hostname的内容应能够标识"root"或"rootca",以及组织名称,例如:root.const.net.cn、CONST-ROOTCA等

    		 
    CRACA证书IdcracaIdHashedId3:填写'000000'H  
    CRL序列号crlSeriesCrlSeries:填写0  
    证书有效期validityPeriodstartTime32中填写本RootCA证书生效的起始时间点(自UTC时间2004年1月1日00:00:00以来经过的TAI秒数) 
    Duration选择yearsUint16取值建议为17年或17年以上 
    证书的有效区域regionGeographicRegion选择identifiedRegionIdentifiedRegion选择countryOnlyCountryOnly取值为156
    证书持有者保证级别assuranceLevelABSENT  
    证书的应用权限appPermissionsSequenceOfAidSsp的SEQUENSE SIZE为2第一组AidSsp:
    >Aid取值3627,
    >ServiceSpecificPermissions选择opaque,赋值为ScmsSsp的COER编码    		ScmsSsp选择root,其COER编码的值为'800001'H
    第二组AidSsp:【可选】
    >Aid取3628,
    >ServiceSpecificPermissions为选择opaque,赋值为CrlSsp的COER编码    		CrlSsp中associatedCraca选择isCraca用于撤销RootCA下的顶级机构,如全局MA/CRA/PG等
    CrlSsp中crls表示:本RootCA签发的CrlContents结构中的crlSeries序列号(十进制范围:1-65535)
    证书的签发权限certIssuePermissionsSequenceOfAidGroupPermissions的SEQUENSE SIZE为3第一组AidGroupPermissions:
    >subjectPermissions选择all;
    >minChainLength取3;
    >chainLengthRange取-1;
    >eeType取app+enroll。    		 
    • 用于控制V2X终端的EC、PC、AC证书中appPermissions的应用权限;
    • minChainLength取值为3,表示本SCMS系统的证书链/架构中,必须有ICA
    第二组AidGroupPermissions:
    >subjectPermissions选择all;
    >minChainLength取2;
    >chainLengthRange取-1;
    >eeType取enroll。
    • 用于控制PRA、ARA中certRequestPermissions的应用权限;
    • minChainLength取值为2,表示本SCMS系统的证书链/架构中,必须有ICA
    第三组AidGroupPermissions:
    >subjectPermissions选择explicit,其中SequenceOfPsidSspRange的SIZE为3;
    >minChainLength取1;
    >chainLengthRange取-1;
    >eeType取app。    		第一组AidSspRange:
    >Aid取值3627;
    >SspRange为ABSENT。
    第一组AidSspRange:
    >Aid取值3628;
    >SspRange为ABSENT。
    第一组AidSspRange:
    >Aid取值3629;
    >SspRange为ABSENT。
    证书的申请请求certRequestPermissions为ABSENT
    		  
    请求同权限证书的标识canRequestRollover为ABSENT
    		  
    加密用公钥encryptionKey为OPTIONAL

    		 
    证书公钥verifyKeyIndicator

    VerificationKeyIndicator选择verificationKey

    		PublicVerificationKey选择ecsigSm2EccP256CurvePoint为RootCA的公钥,为降低证书大小宜采用LSB方式压缩编码,即选择compressed-y-0或compressed-y-1
    签名signatureSignature选择sm2SignatureEcsigP256Signature为RootCA自签名的签名值