SM-DP+ 和 SM-DS 应该验证 EUM 和 eUICC 证书中限制的 IIN 和 EID 的一致性（参见第 4.5.2.1.0.2 和 4.5.2.1.0.3 节），并考虑 SGP.29 [ 89]。

根据 SGP.29 [89] 颁发的 EID 没有 SGP.02 [2] 中定义的 8 位 IIN。 相反，它们具有可变长度的 EUM 标识号 (EIN)。 所以： 

o 如果 EIN 的长度为 8 位，则名称约束与 EIN 完全匹配。
o 如果 EIN 超过 8 位数字，则名称约束未完全指定 EIN。 在这种情况下，SM-DP+ 和 SM-DS 应该考虑名称约束不能完全确保 EUM 仅在其范围内分配值。
o 如果 EIN 少于 8 位数字，则名称约束还包括 EUM 特定标识号 (ESIN) 的前几位数字。 这有效地减少了 ESIN 中可用的位数。 EUM 应该注意这些数字在所有 EID 中被分配相同的值。

如果这些验证中的任何一个失败，证书将被视为无效，并且使用它的操作将被拒绝。

证书必须满足

Every certificate SHALL:
 Have a valid signature
 由 GSMA CI 签名，或由 GSMA CI 的可信链签名，但可能改为链接到公共 CA 的 TLS 证书除外（请参阅注意）。 证书路径验证应遵循 RFC 5280 [17] 中定义的过程，使用主题密钥标识符和授权密钥标识符字段。 因此，证书应具有“主题密钥标识符”和“权威密钥标识符”扩展集，但 GSMA CI 证书应仅具有“主题密钥标识符”扩展集。 注意：在此版本的规范中，SM-XX TLS 证书始终链接到 GSMA CI。 当 LPA 验证符合未来版本规范的 SM-XX 的 TLS 证书时，此异常提供更好的前向兼容性。

 未被撤销，并且信任链中的证书均未被撤销（需要注意的是，eUICC 可能不支持证书撤销，或者可能未提供最新的 CRL 来执行此验证）。
 未过期（需要注意的是，eUICC 和设备可能无法可靠地访问当前时间来执行此验证）。
 为其配置文件定义所有“关键”扩展。

当 LPA 验证 SM-XX TLS 证书时，可以选择验证本节其余部分给出的限制。 对于任何其他情况，除了上述验证之外，特别是那些证书，证书验证者应验证以下内容：

对于CERT.EUICC.ECDSA

 扩展“Key usage”应设置为值“digitalSignature”。
 应使用 OID“id-rspRole-euicc”设置扩展“证书策略”以指示 eUICC 证书。
 验证“主题”字段是否符合 CERT.EUM.ECDSA 中包含的“名称约束”扩展：

    “组织”属性值应是“名称约束”中包含的可能组织名称之一
    “serialNumber”属性值（包含 EID）应以对应于“名称约束”中包含的相应组织名称的 IIN（第 1 至第 8 位数字）开头

  (总结一句就是 CERT.EUICC.ECDSA 和CERT.EUM.ECDSA是强关联的)

对于CERT.EUM.ECDSA

 扩展“密钥使用”应设置为值“keyCertSign”。
 应使用 OID“id-rspRole-eum”设置扩展“证书策略”以指示 EUM 证书。
 扩展“基本约束”应设置为 cA=true。 路径长度限制应设置为 0。

对于CERT.DPauth.ECDSA / CERT.DPpb.ECDSA
 

 扩展“Key usage”应设置为值“digitalSignature”。
 扩展“证书策略”应设置为以下 OID 之一：

   o 'id-rspRole-dp-auth' to indicate an SM-DP+ Certificate for authentication
with the eUICC.
  o 'id-rspRole-dp-pb' to indicate an SM-DP+ Certificate for profile binding.

 The extension 'subjectAltName' SHALL be set with the SM-DP+ OID.
（每个eum厂商对应的oid  [  很重要 ]）

CERT.DP.TLS

 扩展名“Key usage”应设置为“digitalSignature (0)”。
 扩展“扩展密钥用法”应设置为“id-kp-serverAuth”和“id-kp-clientAuth”，并且没有其他扩展密钥用法。
 扩展“证书策略”（如果存在）应使用 OID“id-rspRoledp-tls”设置以指示用于 TLS 的 SM-DP+ 证书。