SM-DP+ 和 SM-DS 应该验证 EUM 和 eUICC 证书中限制的 IIN 和 EID 的一致性（参见第 4.5.2.1.0.2 和 4.5.2.1.0.3 节），并考虑 SGP.29 [ 89]。

根据 SGP.29 [89] 颁发的 EID 没有 SGP.02 [2] 中定义的 8 位 IIN。相反，它们具有可变长度的 EUM 标识号 (EIN)。所以：

o 如果 EIN 的长度为 8 位，则名称约束与 EIN 完全匹配。
o 如果 EIN 超过 8 位数字，则名称约束未完全指定 EIN。在这种情况下，SM-DP+ 和 SM-DS 应该考虑名称约束不能完全确保 EUM 仅在其范围内分配值。
o 如果 EIN 少于 8 位数字，则名称约束还包括 EUM 特定标识号 (ESIN) 的前几位数字。这有效地减少了 ESIN 中可用的位数。 EUM 应该注意这些数字在所有 EID 中被分配相同的值。

如果这些验证中的任何一个失败，证书将被视为无效，并且使用它的操作将被拒绝。

证书必须满足

Every certificate SHALL:
 Have a valid signature
 由 GSMA CI 签名，或由 GSMA CI 的可信链签名，但可能改为链接到公共 CA 的 TLS 证书除外（请参阅注意）。证书路径验证应遵循 RFC 5280 [17] 中定义的过程，使用主题密钥标识符和授权密钥标识符字段。因此，证书应具有“主题密钥标识符”和“权威密钥标识符”扩展集，但 GSMA CI 证书应仅具有“主题密钥标识符”扩展集。注意：在此版本的规范中，SM-XX TLS 证书始终链接到 GSMA CI。当 LPA 验证符合未来版本规范的 SM-XX 的 TLS 证书时，此异常提供更好的前向兼容性。

 未被撤销，并且信任链中的证书均未被撤销（需要注意的是，eUICC 可能不支持证书撤销，或者可能未提供最新的 CRL 来执行此验证）。
 未过期（需要注意的是，eUICC 和设备可能无法可靠地访问当前时间来执行此验证）。
 为其配置文件定义所有“关键”扩展。

当 LPA 验证 SM-XX TLS 证书时，可以选择验证本节其余部分给出的限制。对于任何其他情况，除了上述验证之外，特别是那些证书，证书验证者应验证以下内容：

对于CERT.EUICC.ECDSA

 扩展“Key usage”应设置为值“digitalSignature”。
 应使用 OID“id-rspRole-euicc”设置扩展“证书策略”以指示 eUICC 证书。
 验证“主题”字段是否符合 CERT.EUM.ECDSA 中包含的“名称约束”扩展：

 “组织”属性值应是“名称约束”中包含的可能组织名称之一
 “serialNumber”属性值（包含 EID）应以对应于“名称约束”中包含的相应组织名称的 IIN（第 1 至第 8 位数字）开头

(总结一句就是 CERT.EUICC.ECDSA 和CERT.EUM.ECDSA是强关联的)

对于CERT.EUM.ECDSA

 扩展“密钥使用”应设置为值“keyCertSign”。
 应使用 OID“id-rspRole-eum”设置扩展“证书策略”以指示 EUM 证书。
 扩展“基本约束”应设置为 cA=true。路径长度限制应设置为 0。

对于CERT.DPauth.ECDSA / CERT.DPpb.ECDSA

 扩展“Key usage”应设置为值“digitalSignature”。
 扩展“证书策略”应设置为以下 OID 之一：

o 'id-rspRole-dp-auth' to indicate an SM-DP+ Certificate for authentication
with the eUICC.
o 'id-rspRole-dp-pb' to indicate an SM-DP+ Certificate for profile binding.

 The extension 'subjectAltName' SHALL be set with the SM-DP+ OID.
（每个eum厂商对应的oid [ 很重要 ]）

CERT.DP.TLS

 扩展名“Key usage”应设置为“digitalSignature (0)”。
 扩展“扩展密钥用法”应设置为“id-kp-serverAuth”和“id-kp-clientAuth”，并且没有其他扩展密钥用法。
 扩展“证书策略”（如果存在）应使用 OID“id-rspRoledp-tls”设置以指示用于 TLS 的 SM-DP+ 证书。

eSIM证书要求-证书验证-EID相关推荐

TLS/HTTPS 证书生成与验证
https://www.cnblogs.com/kyrios/p/tls-and-certificates.html 最近在研究基于ssl的传输加密,涉及到了key和证书相关的话题,走了不少弯路,现在 ...
https原理：证书传递、验证和数据加密、解密过程解析（转）
http://www.cnblogs.com/zhuqil/archive/2012/07/23/2604572.html 我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取.所以很多银行网站 ...
如何为WCF应用添加X509证书和安全验证
一.首先用Visual Studio 命令提示创建证书 makecert -sr LocalMachine -ss My -a sha1 -n CN=Webabcd -sky exchange -pe ...
AFNetworking框架下的SSL服务器证书的自定义验证
2019独角兽企业重金招聘Python工程师标准>>> # AFNetworking框架下的SSL服务器证书的自定义验证 ## 如何使用本地证书进行SSL验证 #### 开启SSL验 ...
iOS https 自制证书单向双向验证，以及服务器(Nginx)配置
一.http和https的区别与原理介绍原理的博文太多了,这里列出一篇详细的: IOS 使用自签名证书开发HTTPS文件传输二.证书的类型和自制证书生成 1.什么是数字证书(Certificate ...
java 生成证书 pkcs12_PKCS12 证书的生成及验证
本文首先感谢 Apple 开发者论坛的eskimo1,他是我见过的最热心肠的人,对任何人他都不吝于给予无私帮助. 服务器生成PKCS12证书库,并通过servlet导出为DER客户端证书(含一个密钥和 ...
GmSSL证书生成及验证C/S通信双向认证
1.https://github.com/guanzhi/GmSSL下载源码,解压后到源码目录下执行以下命令: ./config make make install //必须安装,否则 ...
Https的CA证书是如何验证其有效性的？
一.证书作用证书验证的过程是使用非对称加密的,客户端对服务器端发起请求,服务器返回一个证书,客户端验证这个证书的合法性,如果这个证书是合法的,那么就生成一个随机值,利用这个随机值作为对称加密的钥匙 ...
CRM IFD部署更换证书 - adfs证书更换
更换证书导入证书更换IIS证书更换ADFS证书设置服务通信证书添加令牌签名证书和令牌解密证书更新证书指纹更新配置更新CRM配置更新ADFS信赖方元数据好家伙证书又到期了前面写了 ...

eSIM证书要求-证书验证-EID