ASN.1显示编码规则（DER）[x.690] 。
除非指定了其他，否则默认使用ASN.1外在标记 。从别处引用的的术语有：扩展
(Extensions)，证书序列号（CertificateSerialNumber）,主体公钥信息(SubjectPublicKeyInfo),
名称(Name),算法识别(AlgorithmIdentifier),证书撤消列表原因（CRLReason）
4.1请求
这一节描述了请求信息的ASN.1规范 。实际的信息格式根据所使用的传输机制
(HTTP,SMTP,LDAP等等)而不同 。
4.1.1 请求（信息）语法
OCSPRequest ::=SEQUENCE{
tbsRequestTBSRequest,
optionalSignature[0]EXPLICITSignatureOPTIONAL}
TBSRequest::=SEQUENCE{
version[0]EXPLICITVersionDEFAULTv1,
requestorName[1]EXPLICITGeneralNameOPTIONAL,
requestListSEQUENCEOFRequest,
requestExtensions[2]EXPLICITExtensionsOPTIONAL}
Signature::=SEQUENCE{
signatureAlgorithmAlgorithmIdentifier,
signatureBITSTRING,
certs[0]EXPLICITSEQUENCEOFCertificate
OPTIONAL}
Version::=INTEGER{v1(0)}
Request::=SEQUENCE{
reqCertCertID,
singleRequestExtensions[0]EXPLICITExtensionsOPTIONAL}
CertID::=SEQUENCE{
hashAlgorithmAlgorithmIdentifier,
issuerNameHashOCTETSTRING,--HashofIssuer"sDN
issuerKeyHashOCTETSTRING,--HashofIssuerspublickey
serialNumberCertificateSerialNumber}
发布者名称散列(issuerNameHash)是发布者显式名称的散列 。应该检测证书发布者名称
域的DER编码的散列 。发布者密钥散列（issuerKeyHash）是发布者公钥的散列 。对发布者
证书的主体公钥域的值（不包括标签和长度）进行散列 。所有这些使用的散列算法都由散列
算法域(hashAlgorithm)确定 。序列号域（serialNumber）是被查询状态证书的序列号 。
4.1.2 请求（信息）语法的注重点
除了对CA名称进行散列外还对CA的公钥进行散列，这样做的主要原因是为了识别发
布者，因为两个CA有可能选择同一名称(虽然建议使用独一无二的名称，但这并不是强制
要求的) 。然而，除非两个CA明确表示他们共享私钥或者其中一个CA的密钥是不安全的，
否则两个CA是不可能有相同的密钥 。
支持任何的扩展是可选的 。每一个可选扩展的重要性标志都不应该被设置 。章节4.4中
提到了一些有用的扩展 。其他的一些扩展也许会在其他的一些RFC中有所定义 。未被承认
的扩展必须被忽略 。（除非他们的重要性标志被设置而且未被理解）
响应器可以选择签名OCSP的请求 。在那种情况下，签名是根据TBS请求(tbsRequest)结构
计算得到的 。假如请求被签名，那么响应器可以在请求者名称域中识别处它的名称 。同样的，
为了签名请求，请求内容可以包括用来帮助OCSP响应器识别请求者签名内容的证书 。
4.2回复语法
本节描述了回复信息的ASN.1规范 。实际格式根据所使用的传输机制
(HTTP,SMTP,LDAP等等)而不同 。
4.2.1 OCSP回复的ASN.1规范
一个OCSP回复至少包括用来指示对先前请求所处理状态的回复状态域
（responseStatus） 。假如回复状态域的值达到某一种出错情况，那么回复字节(responseStatus)
将不被设置 。
OCSPResponse::=SEQUENCE{
responseStatusOCSPResponseStatus,
responseBytes[0]EXPLICITResponseBytesOPTIONAL}
OCSPResponseStatus::=ENUMERATED{
successful(0),--Responsehasvalidconfirmations
malformedRequest(1),--Illegalconfirmationrequest
internalError(2),--Internalerrorinissuer
tryLater(3),--Tryagainlater
--(4)isnotused
sigRequired(5),--Mustsigntherequest
unauthorized(6)--Requestunauthorized
}
回复字节（responseBytes）的值由对象标识和一个编码成OCTET字符串的回复标记（此

推荐阅读

• 

  成都中医药大学几本
• 

  win7显示文件后缀名
• 

  薏仁水护肤有哪些用法 薏仁水护肤怎么用
• 

  DOTA2发条技师技能介绍 DOTA2发条怎么玩
• 

  科三忘了点刹扣多少分
• 

  冲出亚马逊一个生肖
• 

  灵山大佛上午票有规定时间吗
• 

  删除的微信聊天记录怎么找回
• 

  为什么狼不会摇尾巴
• 

  租房签完合同一天没住可以退吗 租房签一年的合同中途退租怎么办
• 

  陶者的意思
• 

  葛根粉和藕粉的区别
• 

  粽子能放微波炉加热吗
• 

  请介绍下香浓烤布丁的美味做法？
• 

  狗为什么要舔JJ,为什么很少生病
• 

  陈冠希在秦舒培孕期出轨 陈冠希的绯闻

• X.509证书请求消息格式
• 因特网延迟交谈：体系结构
• Ipv6 针对因特网协议第六版的
• 因特网交换密钥
• 因特网子网
• IMAP & IMAP4：因特网信息访问协议
• IP电话综述
• Linux使用ssh公钥实现免密码登录实例 linux配置公钥登陆ssh
• 因特网域名长度不能超过多长 因特网域名长度不能超过
• 把公钥基础设施称为( A三角信任模型 把公钥基础设施称为