es cert证书可以使用多久 esi证书_服务器

SM-DP+ 和 SM-DS 应该验证 EUM 和 eUICC 证书中限制的 IIN 和 EID 的一致性(参见第 4.5.2.1.0.2 和 4.5.2.1.0.3 节),并考虑 SGP.29 [ 89]。

根据 SGP.29 [89] 颁发的 EID 没有 SGP.02 [2] 中定义的 8 位 IIN。 相反,它们具有可变长度的 EUM 标识号 (EIN)。 所以: 

o 如果 EIN 的长度为 8 位,则名称约束与 EIN 完全匹配。
o 如果 EIN 超过 8 位数字,则名称约束未完全指定 EIN。 在这种情况下,SM-DP+ 和 SM-DS 应该考虑名称约束不能完全确保 EUM 仅在其范围内分配值。
o 如果 EIN 少于 8 位数字,则名称约束还包括 EUM 特定标识号 (ESIN) 的前几位数字。 这有效地减少了 ESIN 中可用的位数。 EUM 应该注意这些数字在所有 EID 中被分配相同的值。

如果这些验证中的任何一个失败,证书将被视为无效,并且使用它的操作将被拒绝。

证书必须满足

Every certificate SHALL:
 Have a valid signature
 由 GSMA CI 签名,或由 GSMA CI 的可信链签名,但可能改为链接到公共 CA 的 TLS 证书除外(请参阅注意)。 证书路径验证应遵循 RFC 5280 [17] 中定义的过程,使用主题密钥标识符和授权密钥标识符字段。 因此,证书应具有“主题密钥标识符”和“权威密钥标识符”扩展集,但 GSMA CI 证书应仅具有“主题密钥标识符”扩展集。 注意:在此版本的规范中,SM-XX TLS 证书始终链接到 GSMA CI。 当 LPA 验证符合未来版本规范的 SM-XX 的 TLS 证书时,此异常提供更好的前向兼容性。

 未被撤销,并且信任链中的证书均未被撤销(需要注意的是,eUICC 可能不支持证书撤销,或者可能未提供最新的 CRL 来执行此验证)。
 未过期(需要注意的是,eUICC 和设备可能无法可靠地访问当前时间来执行此验证)。
 为其配置文件定义所有“关键”扩展。

当 LPA 验证 SM-XX TLS 证书时,可以选择验证本节其余部分给出的限制。 对于任何其他情况,除了上述验证之外,特别是那些证书,证书验证者应验证以下内容:

对于CERT.EUICC.ECDSA

 扩展“Key usage”应设置为值“digitalSignature”。
 应使用 OID“id-rspRole-euicc”设置扩展“证书策略”以指示 eUICC 证书。
验证“主题”字段是否符合 CERT.EUM.ECDSA 中包含的“名称约束”扩展:

    “组织”属性值应是“名称约束”中包含的可能组织名称之一
    “serialNumber”属性值(包含 EID)应以对应于“名称约束”中包含的相应组织名称的 IIN(第 1 至第 8 位数字)开头

CERT.EUM.ECDSA是强关联的)

对于CERT.EUM.ECDSA

 扩展“密钥使用”应设置为值“keyCertSign”。
 应使用 OID“id-rspRole-eum”设置扩展“证书策略”以指示 EUM 证书。
 扩展“基本约束”应设置为 cA=true。 路径长度限制应设置为 0。

对于CERT.DPauth.ECDSA / CERT.DPpb.ECDSA
 

 扩展“Key usage”应设置为值“digitalSignature”。
 扩展“证书策略”应设置为以下 OID 之一:

   o 'id-rspRole-dp-auth' to indicate an SM-DP+ Certificate for authentication
with the eUICC.
  o 'id-rspRole-dp-pb' to indicate an SM-DP+ Certificate for profile binding.

The extension 'subjectAltName' SHALL be set with the SM-DP+ OID.
(每个eum厂商对应的oid  [  很重要 ])

CERT.DP.TLS

 扩展名“Key usage”应设置为“digitalSignature (0)”。
 扩展“扩展密钥用法”应设置为“id-kp-serverAuth”和“id-kp-clientAuth”,并且没有其他扩展密钥用法。
 扩展“证书策略”(如果存在)应使用 OID“id-rspRoledp-tls”设置以指示用于 TLS 的 SM-DP+ 证书。