4.3　PKI組件最小互操作規范測試評價指南

4.3.1　PKI組件規范

4.3.1.1　證書認證機構（CA）

4.3.1.1.1　頒發數字簽名證書

評價內容：
見GB/T 19771-2005中5.2.2 a)的內容。
對開發者的要求：
開發者應提供文檔，針對數字簽名證書的頒發進行說明。
測試評價指南：
a)對每一種證書模板，通過授權RA產生多個簽名數字證書請求，并發送給CA，檢測CA能否生成新證書并將其放在資料庫中；
b)通過非授權RA產生一個簽名數字證書請求，并發送給CA，檢測CA能否拒絕該證書申請，能否向RA報告失敗并說明原因；
c)通過授權RA產生一個包含不匹配信息的簽名數字證書請求，并發送給CA，檢測CA能否拒絕該證書申請，能否向RA報告失敗并說明原因；
d)對每一種證書模板，產生多個自我注冊的證書請求，并發送給CA，檢測CA是否驗證請求者的身份并驗證申請者的相應私鑰，如果驗證成功，檢測CA能否生成新證書并將其放在資料庫中；如果驗證失敗，檢測CA能否拒絕該證書申請，能否向申請者報告失敗并說明原因；
e)對每一種證書模板，產生多個更新的證書請求，并發送給CA，檢測CA是否驗證請求者的身份，如果驗證成功，檢測CA能否生成新證書并將其放在資料庫中；如果簽名無效或者CA策略不允許更新，檢測CA能否拒絕該證書更新請求，并向申請者報告失敗并說明原因；
f)以非法的請求者產生一個更新的證書請求，檢測CA能否拒絕該證書更新請求，能否向申請者報告失敗并說明原因。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.1.1.2　頒發加密證書

評價內容：
見GB/T 19771-2005中5.2.2 b)的內容。
對開發者的要求：
開發者應提供文檔，針對加密證書的頒發進行說明。
測試評價指南：
a)由第三方集中產生加密密鑰對，并通過帶外方式提供給CA；
b)由證書持有者生成多個加密證書請求，說明自己想要的加密算法，并對該請求進行數字簽名，將該請求發送給CA；
c)檢測CA能否驗證請求者身份，并頒發加密證書和加密密鑰給請求者。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.1.1.3　交叉認證

評價內容：
見GB/T 19771-2005中5.2.2 c)的內容。
對開發者的要求：
開發者應提供文檔，針對CA間的交叉認證進行說明。
測試評價指南：
a)在兩個交叉認證的CA之間交換CA的公鑰，分別為對方的公鑰生成證書，并將其存放到資料庫中；
b)檢測雙方之間的證書能否交叉認證。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.1.1.4　撤銷證書

評價內容：
見GB/T 19771-2005中5.2.2 d)的內容。
對開發者的要求：
開發者應提供文檔，針對證書的撤銷進行說明。
測試評價指南：
a)以多個證書持有者身份請求撤銷證書，并將請求發送給CA，檢測CA是否驗證請求者身份，驗證成功后能否將證書放入CRL中；
b)檢測新的CRL產生時，老CRL中的全部信息是否放到新CRL中；
c)通過RA向CA發送多個證書撤銷請求，檢測CA是否驗證請求者身份，驗證成功后能否將證書放入CRL中。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.1.1.5　請求CA證書

評價內容：
見GB/T 19771-2005中5.2.2 f)的內容。
對開發者的要求：
開發者應提供文檔，針對向更高層次CA申請證書進行說明。
測試評價指南：
通過CA向層次更高的CA申請證書，檢測能否申請成功。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.1.2　注冊機構（RA）

評價內容：
見GB/T 19771-2005中5.3的內容。
對開發者的要求：
開發者應提供文檔，針對RA的操作規范進行說明。
測試評價指南：
a)針對每一種證書模板，向RA提交多個CertReq格式的證書請求；
b)檢測RA是否審查請求者的身份；
c)檢測RA是否確認請求者是否擁有相應的完整的密鑰對；
d)驗證通過后，檢測RA能否抽取公鑰信息并用RA的名字和簽名建立一個新的CertReq消息；
e)檢測RA能否將新的CertReq消息發送給CA；
f)如果證書請求被接受，檢測RA能否接收CA頒發的新證書，并將新證書發送給請求者；
g)如果證書請求被拒絕，檢測RA能否審查從CA發來的錯誤代碼；
h)向RA提交多個證書撤銷請求，檢測RA是否驗證請求者身份，并產生新的RevReq消息；
i)檢測RA能否將新的RevReq消息發送給CA；
j)如果證書撤銷請求被接受，檢測RA能否接收CA回應的RevReq消息，能否將此信息提交給請求者；
k)如果證書撤銷請求被拒絕，檢測RA能否審查錯誤代碼，并再次產生撤銷請求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.1.3　證書持有者規范

評價內容：
見GB/T 19771-2005中5.4的內容。
對開發者的要求：
開發者應提供文檔，針對證書持有者規范進行說明。
測試評價指南：
a)以多個用戶身份申請簽名證書，檢測能否成功申請并且獲取證書；
b)以多個用戶身份申請加密證書，檢測能否成功申請并且獲取證書；
c)以多個證書持有者身份，申請撤銷簽名證書，檢測能否成功撤銷證書；
d)以多個證書持有者身份，申請更新簽名證書，檢測能否成功更新證書。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.1.4　客戶規范

評價內容：
見GB/T 19771-2005中5.5的內容。
對開發者的要求：
開發者應提供文檔，針對客戶規范進行說明。
測試評價指南：
a)驗證客戶能否驗證簽名；
b)驗證客戶能否從查詢服務器檢索證書和CRLs；
c)驗證客戶能否驗證證書認證路徑。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2　數據格式

4.3.2.1　證書撤銷列表

評價內容：
見GB/T 19771-2005中6.3的內容。
對開發者的要求：
開發者應提供文檔，針對證書撤銷列表的格式進行說明。
測試評價指南：
a)由CA頒發證書撤銷列表；
b)下載證書撤銷列表，檢測證書撤銷列表的格式是否符合標準要求；
c)多次進行上述操作。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2.2　事務消息格式

4.3.2.2.1　全體PKI消息組件

評價內容：
見GB/T 19771-2005中6.5.2的內容。
對開發者的要求：
開發者應提供文檔，針對PKI消息的格式進行說明。
測試評價指南：
根據開發者提供的文檔，檢測PKI消息（包括：header、body、protection、extraCerts字段）的格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2.2.2　通用數據結構

評價內容：
見GB/T 19771-2005中6.5.3的內容。
對開發者的要求：
開發者應提供文檔，針對證書模板、簽名私鑰的擁有證明、證書請求消息、協議加密密鑰控制、PKI消息狀態碼、失敗信息、確認協議、證書識別、Centrally Generated Keys和帶外信息的格式進行說明。
測試評價指南：
a)根據開發者提供的文檔，檢測證書模板的消息格式是否符合標準要求；
b)根據開發者提供的文檔，檢測簽名私鑰的擁有證明消息格式是否符合標準要求；
c)根據開發者提供的文檔，檢測證書請求的消息格式是否符合標準要求；
d)根據開發者提供的文檔，檢測協議加密密鑰控制的消息格式是否符合標準要求；
e)根據開發者提供的文檔，檢測PKI消息狀態碼的消息格式是否符合標準要求；
f)根據開發者提供的文檔，檢測失敗信息的消息格式是否符合標準要求；
g)根據開發者提供的文檔，檢測確認協議的消息格式是否符合標準要求；
h)根據開發者提供的文檔，檢測證書識別的消息格式是否符合標準要求；
i)根據開發者提供的文檔，檢測Centrally Generated Keys的消息格式是否符合標準要求；
j)根據開發者提供的文檔，檢測帶外信息的消息格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2.2.3　特殊操作的數據結構

評價內容：
見GB/T 19771-2005中6.5.4的內容。
對開發者的要求：
開發者應提供文檔，針對注冊/證書請求、注冊/證書響應、撤銷請求的內容、撤銷響應內容、PKCS#10證書請求的消息格式進行說明。
測試評價指南：
a)根據開發者提供的文檔，檢測注冊/證書請求的消息格式是否符合標準要求；
b)根據開發者提供的文檔，檢測注冊/證書響應的擁有證明消息格式是否符合標準要求；
c)根據開發者提供的文檔，檢測撤銷請求的內容的消息格式是否符合標準要求；
d)根據開發者提供的文檔，檢測撤銷響應內容的消息格式是否符合標準要求；
e)根據開發者提供的文檔，檢測PKCS#10證書請求的消息格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2.3　PKI事務

4.3.2.3.1　RA發起的注冊請求

評價內容：
見GB/T 19771-2005中6.6.2的內容。
對開發者的要求：
如果產品支持遠端RA，則開發者應提供文檔，針對RA發起的注冊請求進行說明。
測試評價指南：
a)根據開發者提供的文檔，對每一種證書模板，在遠端RA上向CA請求多個終端實體的證書；
b)檢測從RA到CA的證書請求消息的格式是否符合標準要求；
c)檢測從CA到RA的證書回應消息的格式是否符合標準要求；
d)檢測確認消息的格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2.3.2　新實體的自我注冊請求

評價內容：
見GB/T 19771-2005中6.6.3的內容。
對開發者的要求：
如果CA接受自我注冊請求，則開發者應提供文檔，針對新實體的自我注冊請求進行說明。
測試評價指南：
a)根據開發者提供的文檔，對每一種證書模板，以多個新實體身份直接向CA申請新的證書；
b)檢測從證書持有者到CA的自我注冊請求消息的格式是否符合標準要求；
c)檢測從CA到證書請求者的自我注冊請求回應消息的格式是否符合標準要求；
d)檢測確認消息的格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2.3.3　已知實體的自我注冊請求

評價內容：
見GB/T 19771-2005中6.6.4的內容。
對開發者的要求：
如果CA接受自我注冊請求，則開發者應提供文檔，針對已知實體的自我注冊請求進行說明。
測試評價指南：
a)根據開發者提供的文檔，對每一種證書模板，以多個已知實體身份直接向CA申請新的證書；
b)檢測從證書持有者到CA的自我注冊請求消息的格式是否符合標準要求；
c)檢測從CA到證書請求者的自我注冊請求回應消息的格式是否符合標準要求；
d)檢測確認消息的格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2.3.4　證書更新

評價內容：
見GB/T 19771-2005中6.6.5的內容。
對開發者的要求：
如果CA的CPS支持證書更新，則開發者應提供文檔，針對證書的更新進行說明。
測試評價指南：
a)根據開發者提供的文檔，對每一種證書模板，以多個擁有當前有效證書的實體身份直接向CA申請新的證書；
b)檢測從證書持有者到CA的證書更新申請消息的格式是否符合標準要求；
c)檢測從CA到證書持有者的自證書更新響應消息的格式是否符合標準要求；
d)檢測確認消息的格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2.3.5　PKCS#10自我注冊請求

評價內容：
見GB/T 19771-2005中6.6.6的內容。
對開發者的要求：
如果CA接受自我注冊請求，則開發者應提供文檔，針對PKCS#10自我注冊請求進行說明。
測試評價指南：
a)根據開發者提供的文檔，對每一種證書模板，以多個新實體身份直接向CA申請新的PKCS＃10證書；
b)檢測從證書持有者到CA的自我注冊請求消息的格式是否符合標準要求；
c)檢測從CA到證書請求者的PKCS證書請求響應消息的格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2.3.6　撤銷請求

評價內容：
見GB/T 19771-2005中6.6.7的內容。
對開發者的要求：
開發者應提供文檔，針對撤銷請求進行說明。
測試評價指南：
a)根據開發者提供的文檔，以多個擁有當前有效證書的實體身份直接申請撤銷自己的證書；
b)檢測從證書持有者到RA的撤銷請求消息的格式是否符合標準要求；
c)檢測從RA到CA的撤銷請求消息的格式是否符合標準要求；
d)檢測從CA到RA的撤銷響應消息的格式是否符合標準要求；
e)檢測從RA到證書持有者的撤銷響應消息的格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2.3.7　集中產生密鑰對和密鑰管理證書申請

評價內容：
見GB/T 19771-2005中6.6.8的內容。
對開發者的要求：
開發者應提供文檔，針對集中產生密鑰對和密鑰管理證書申請進行說明。
測試評價指南：
a)根據開發者提供的文檔，以多個擁有當前有效證書的實體身份向CA申請產生加密密鑰并簽發證書；
b)檢測集中產生密鑰對申請消息的格式是否符合標準要求；
c)檢測集中產生密鑰對回應消息的格式是否符合標準要求；
d)檢測確認消息的格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。

4.3.2.3.8　組合證書申請

評價內容：
見GB/T 19771-2005中6.6.9的內容。
對開發者的要求：
如果CA支持組合證書，則開發者應提供文檔，針對組合證書申請進行說明。
測試評價指南：
a)根據開發者提供的文檔，以多個新實體身份向CA申請組合證書：一個簽名密鑰證書和加密證書；
b)檢測組合證書申請消息的格式是否符合標準要求；
c)檢測組合證書回應消息的格式是否符合標準要求；
d)檢測確認消息的格式是否符合標準要求。
記錄測試結果并對該結果是否完全符合上述測試評價指南要求作出判斷。