ISO15118-20证书结构关系解读（7.3.2.1）

1、概述

本文主要讲述ISO15118-20：2022标准所有证书结构的关联关系，目的是为后续基于ISO15118-20车桩通讯及PNC充电等提供基础支撑。
本文所有的证书关系图全部来源于ISO15118-20:2022标准规范，在后续的讲解过程会将图的摘取出处给提供出来，便于后期文章和标准对应起来解读。

2、证书结构Certificate structure关系

2.1 源自 V2G 根 CA 证书的强制性证书结构Mandatory certificate structure originating from V2G root CA certificate

注：下图来源ISO15118-20:2022的章节7.3.2.1的图5

说明：下图为SECC 证书的签发过程

这段描述似乎来自于某个关于证书颁发体系的文档，特别是与车辆到电网（Vehicle-to-Grid，简称V2G）相关的安全架构。这里提到的是证书结构的不同配置选项，以及它们如何从V2G根CA（V2G root CA）证书派生。下面是对这些选项的解释：

a. 可选证书：如果子CA1（sub-CA1）不存在，那么子CA2（sub-CA2）将直接由V2G根CA签发。这意味着在证书链中，子CA2可以直接从根CA获得证书，而不需要通过子CA1。

b. 直接认证：使用子CA1是可选的。这表明在证书颁发体系中，子CA1的角色不是必需的。即使没有子CA1，证书颁发过程仍然可以正常进行。

c. 可选直接认证：如果子CA1存在，那么它将负责签发子CA2的证书。这种情况下，子CA1充当中间CA的角色，为子CA2颁发证书，从而在证书链中形成了一个额外的层级。

图5（Figure 5）可能是文档中的一个图表，展示了从V2G根CA证书派生的强制性证书结构。这个结构可能包含了上述的可选和直接认证的路径。

在实际的V2G安全架构中，这样的证书结构设计允许灵活地管理和扩展证书颁发体系。例如，如果需要增加额外的安全层级或管理更多的子CA，可以通过引入子CA1来实现。如果不需要这样的层级，或者在某些情况下为了简化流程，可以直接由根CA签发子CA2的证书。这种设计提供了灵活性，同时确保了整个系统的安全性。

CPS Leaf Certificate:
CPS（Certificate Provisioning System）是一个系统，用于管理SSL/TLS证书的整个生命周期，包括请求新证书、修改现有证书、自动续订证书以及删除证书。
叶证书（leaf certificate）是证书链中的最低层证书，通常直接安装在服务器或客户端上。它由上级CA（证书颁发机构）签发，并且通常包含证书持有者的信息和公钥。在SSL/TLS握手过程中，叶证书用于建立安全连接。

Provisioning Service:
配置服务（provisioning service）是一个用于自动配置和管理设备的过程或系统。在物联网（IoT）领域，这通常涉及到在设备首次连接到网络时自动注册和配置设备。
在数字证书的上下文中，配置服务可能涉及到自动生成、分发和安装叶证书到设备上，确保设备能够安全地与服务器或其他设备通信。

---

在在线证书状态协议（OCSP）中，签名OCSP响应（signing OCSP response）是一个关键的安全步骤，它确保了响应的真实性和完整性。当证书颁发机构（CA）的OCSP响应服务器生成一个OCSP响应时，这个响应通常会包含证书的状态信息，比如证书是否被吊销。为了验证这个响应确实来自可信的CA，并且没有在传输过程中被篡改，响应会被CA的私钥签名。

签名OCSP响应的过程通常涉及以下几个步骤：

1. 生成OCSP请求：客户端（如Web浏览器）生成一个OCSP请求，该请求包含要检查状态的证书的相关信息，如证书序列号和颁发者名称。

2. 发送请求：客户端将OCSP请求发送到CA的OCSP响应服务器。

3. 生成响应：CA的OCSP响应服务器检查请求中的证书状态，并生成一个包含证书状态的OCSP响应。这个响应可能包含一个“此响应”（thisUpdate）时间戳，指示响应的生成时间。

4. 签名响应：CA使用其私钥对OCSP响应进行签名。这个签名通常包括要被签名的数据（toBeSigned）和签名信息（SignatureInfo），后者包含了签名算法和签名本身。

5. 发送签名响应：签名后的OCSP响应被发送回客户端。

6. 验证响应：客户端使用CA的公钥（通常在CA的根证书中）来验证OCSP响应的签名。如果签名验证成功，这表明响应确实来自CA，并且自生成以来未被篡改。

   <