from http://www.jonllen.com/jonllen/work/174.aspx

一、數字證書的組成

1）證書數據結構

數字證書使用ASN.1編碼，證書文件以二進制或Base64格式存放，數據格式使用TLV（Tag Length Value）形式，T代表類型標識符，L是長度值標識符，V代表值編碼。數字證書中的每一項都有個對應的類型T。一個數字證書就是一個大的TLV序列，然后V又由多個TLV組合而成。

SM2證書數據和RSA算法證書一樣，包含證書版本、序列號、頒發(fā)者、使用者主體信息、使用者公鑰、有效期、證書擴展項等，只不過SM2證書的公鑰算法是使用ECC算法的Oid標識（1.2.840.10045.2.1），然后公鑰參數使用SM2國密算法的Oid標識（1.2.156.10197.1.301）。

2）簽名算法

SM2證書配套的簽名算法是基于SM3的SM2簽名算法，算法Oid標識為1.2.156.10197.1.501，另外SM2國密算法還定義基于SHA_1、SHA_256的簽名，以及使用SM3算法的RSA的簽名，只不過簽名算法Oid標識不一樣。

3）簽名數據

SM2的簽名數據由2個BigInteger大數組成，再使用Der編碼存放簽名數據。證書的簽名數據由根證書私鑰進行簽名，使用根證書公鑰驗證，頂級根證書使用自己的證書公鑰驗證。

二、數字證書的對象標識符

數字證書的每項都有對象標識Oid，SM2數字證書的主要區(qū)別就是公鑰算法、公鑰參數、簽名算法標識不一樣，其余的都是X509里標準項。數字證書常見得對象標識有如下：

三、數字證書的解析

數字證書的解析主要是根據ASN.1語法和對象標識符來獲取值，然后再是證書的有效期、頒發(fā)機構根證書、CRL吊銷狀態(tài)和使用目的等驗證。RSA證書是標準算法大部分平臺都可以解析，而SM2國密算法證書的解析就不是那么通用的。在Windows的一些較高版本打開SM2證書會顯示“驗證信任關系時，系統(tǒng)層上出現了一個錯誤”，這是因為Windows還不支持SM2算法證書驗證，不能識別SM2簽名的算法標識，因此需要自行驗證SM2證書的簽名數據，可基于BouncyCastle開源加密庫來實現SM2驗證簽名，詳細參見我的國密算法SM2證書制作。