附錄C（規范性附錄）證書撤銷列表內容表

本節包含一系列證書內容表。每一個表列出了一個特別類型證書或證書撤銷列表的證書內容。在PKI體系中將被廣泛支持的可選特征也被識別，這些屬性將包含在簽發者屬性中。在實際應用中，證書和證書撤銷列表中可能還會包括局部應用中非嚴格擴展等其它信息，但是通用的PKI客戶端將不會去處理這些額外信息。另外，對于未列在工作表中的關鍵擴展，不允許在中國的PKI證書或證書撤銷列表內容中使用。

以下證書內容表是：

a) 自簽名CA證書內容表，即根證書內容工作表，它定義自我簽名證書強制和可選的內容。當確認一個信任根時，PKI體系中的CA發布自簽名證書。

b) 二級CA證書內容表，它定義了二級CA證書的強制和可選內容。

c) 終端實體簽名證書內容表，它定義了由PKI體系中CA頒發的實體簽名證書的強制和可選內容，其對象是一個終端實體，其私鑰用于簽名，其公鑰將用來驗證簽名，該證書的密鑰對簽發時在客戶端生成，為用戶所私有，其私鑰在終端介質中應該不可導出。

d) 終端實體加密證書內容表，它定義了由PKI體系中CA頒發的實體加密證書的強制和可選內容。其公鑰用于加密數據，私鑰用于解密數據。密鑰由密鑰管理中心(KM)分發，其生命周期受密鑰管理中心控制，在證書有效期間，在介質損壞的情況下，可以通過正常的流程通過CA中心進行恢復。

e) 證書撤銷列表內容表，它定義了由證書撤銷列表簽發者發布的證書撤銷列表的強制和可選內容。

對于終端實體簽名證書和加密證書，它們應該總是成對出現，其生命周期由CA中心進行管理。對于雙用途終端實體證書（即既用作簽名，又用于加密的單張終端實體證書），由于其安全和可管理性存在問題，因此不建議使用。