<4D F736F F D20C9BDB6AB4341B5E7D7D3C8CFD6A4D2B5CEF1B9E6D4F2A3A856332E30A3A D30332D E646F63>

Size: px

Start display at page:

Download "<4D F736F F D20C9BDB6AB4341B5E7D7D3C8CFD6A4D2B5CEF1B9E6D4F2A3A856332E30A3A D30332D E646F63>"

聪应
5 years ago
Views:

2 山东省数字证书认证管理有限公司版权所有版权声明山东省数字证书认证管理有限公司所颁布的山东 CA 受到完全的版权保护本文件中所涉及的山东 CA 及其早期版本山东 CA 白皮书等标识由山东省数字证书认证管理有限公司独立享有版权未经山东数字证书认证管理有限公司的书面同意, 本文件的任何部分不得以任何方式任何途径 ( 电子的机械的影印录制等 ) 进行复制存储调入网络系统检索或传播然而, 在满足下述条件下, 本文件可以被书面授权以在非独占性的免收版权许可使用费的基础上进行复制及传播 : 前文的版权说明和上段主要内容应标于每个副本开始的显著位置副本应按照山东数字证书认证管理有限公司提供的文件准确完整地复制对任何复制及传播本文件的请求, 请寄往 : 山东省数字证书认证管理有限公司地址 : 山东省济南市趵突泉北路 24 号邮编 : 电话: , 传真 : 电子邮件:webmaster@sdca.com.cn 注意 : 服从于中国的法律法规, 包括且不限于 : 中华人民共和国电子签名法电子认证服务管理办法以及其他相关法律行政法规对任何已经或即将涉嫌犯罪而影响山东数字证书认证管理有限公司证书服务的组织单位和个人, 山东数字证书认证管理有限公司将保留依法追诉的权利第 i 页共 72 页

3 目录第一章概括性描述概述公司简介文档名称与标识名称版本发布电子认证活动参与者电子认证服务机构注册机构 (Registration Authority) 注册分支机构 (Registration Authority Branch) 受理点 (Business Terminal) 证书垫付商 (sponsor) 订户 (Certificates Applicant) 依赖方 (Relying Party) 其他参与者 (Other Participants) 证书应用适合的证书应用限制的证书应用策略管理策略文档管理机构联系人决定 CPS 符合策略的机构 CPS 批准程序定义与缩写... 6 第二章信息发布与信息管理认证信息的发布公众信息的发布 CPS 的发布山东 CA 公众信息的发布发布时间及频率的发布时间及频率山东 CA 公众信息的发布时间及频率证书的发布时间及频率信息库访问控制信息的发布与处理信息访问控制和安全审计... 9 第三章身份标识与鉴别命名规则名称类型第 i 页共 72 页

4 3.1.2 对名称意义化的要求订户的匿名或假名理解不同名称形式的规则名称的唯一性商标的识别鉴别和角色初始身份确认证明拥有私钥的方法组织机构身份的鉴别个人身份的鉴别没有验证的订户信息授权确认互操作准则密钥更新请求的标识与鉴别常规密钥更新的标识与鉴别撤销后密钥更新的标识与鉴别撤销请求的标识与鉴别第四章证书生命周期操作要求证书申请证书申请实体申请过程与责任证书申请处理执行识别与鉴别功能证书申请批准和拒绝处理证书申请的时间证书签发证书签发中注册机构和电子认证服务机构的行为订户证书签发的通知证书接受构成接受证书的行为电子认证服务机构对证书的发布电子认证服务机构对其他实体的通告密钥对和证书的使用订户私钥和证书的使用依赖方公钥和证书的使用证书更新证书更新的情形请求证书更新的实体证书更新请求的处理通知订户新证书签发构成接受更新证书的行为电子认证服务机构对更新证书的发布电子认证服务机构对其他实体的通告证书密钥更换证书密钥更换的情形请求证书密钥更换的实体第 ii 页共 72 页

5 4.7.3 证书密钥更换请求的处理订户新证书签发的通知构成接受密钥更换证书的行为电子认证服务机构对密钥更换证书的发布电子认证服务机构对其他实体的通告证书变更证书变更的情形请求证书变更的实体证书变更请求的处理颁发新证书时对订户的通告构成接受变更证书的行为电子认证服务机构对变更证书的发布电子认证服务机构对其他实体的通告证书撤销和挂起证书撤销的情形请求证书撤销的实体撤销请求的流程撤销请求宽限期电子认证服务机构处理撤销请求的时限依赖方检查证书撤销的要求 CRL 发布频率 CRL 发布的最大滞后时间在线状态查询的可用性撤销状态查询要求撤销信息的其他发布形式密钥损害的特别要求证书挂起的情形请求证书挂起的实体挂起请求的流程挂起的期限限制证书恢复证书状态服务操作特征服务可用性可选特征订购结束密钥生成备份与恢复密钥备份与恢复的策略与行为会话密钥的封装与恢复的策略与行为第五章认证机构设施管理和操作控制物理控制场地位置与建筑物理访问电力与空调水患防治第 iii 页共 72 页

6 5.1.5 火灾防护介质存储废物处理异地备份程序控制可信角色每项任务需要的人数每个角色的识别与鉴别需要职责分割的角色人员控制资格经历和无过失要求背景审查程序培训要求再培训周期和要求工作岗位轮换周期和顺序未授权行为的处罚独立合约人的要求提供给员工的文档审计日志程序记录事件的类型处理日志的周期审计日志的保存期限审计日志的保护审计日志备份程序审计收集系统对导致事件实体的通告脆弱性评估记录归档归档记录的类型归档记录的保存期限归档文件的保护归档文件的备份程序记录时间戳要求归档收集系统获得和检验归档信息的程序电子认证服务机构密钥更替损害与灾难恢复事故和损害处理程序计算资源软件和 / 或数据的损坏实体私钥损害处理程序灾难后的业务连续性能力电子认证服务机构或注册机构的终止第六章认证系统技术安全控制密钥对的生成和安装密钥对的生成第 iv 页共 72 页

7 6.1.2 加密私钥传送给订户公钥传送给证书签发机构电子认证服务机构公钥传送给依赖方密钥的长度公钥参数的生成和质量检查密钥使用用途私钥保护和密码模块工程控制密码模块的标准和控制私钥多人控制 (m 选 n) 私钥托管私钥备份私钥归档私钥导入导出密码模块私钥在密码模块的存储激活私钥的方法解除私钥激活状态的方法销毁私钥的方法密码模块的评估密钥对管理的其他方面公钥归档证书操作期和密钥对使用期限激活数据激活数据的产生和安装激活数据的保护激活数据的其他方面计算机安全控制特别的计算机安全技术要求计算机安全评估生命周期技术控制系统开发控制安全管理控制生命周期的安全控制网络的安全控制时间戳第七章证书证书撤销列表和在线证书状态协议证书版本号证书标准项及扩展项算法对象标识符名称形式名称限制证书策略对象标识符策略限制扩展项的用法策略限定符的语法和语义关键证书策略扩展项的处理规则第 v 页共 72 页

8 7.2 证书撤销列表版本号 CRL 和 CRL 条目扩展项在线证书状态协议版本号 OCSP 扩展项第八章认证机构审计和其他评估评估的频率或情形评估者的资质评估者与被评估者之间的关系评估内容对问题与不足采取的措施评估结果的传达与发布第九章法律责任和其他业务条款费用证书签发和更新费用证书查询费用证书撤销或状态信息的查询费用其他服务费用退款策略财务责任保险范围其他资产对最终实体的保险或担保业务信息保密保密信息范围不属于保密的信息保护保密信息的责任个人隐私保密隐私保密方案作为隐私处理的信息不被视为隐私的信息保护隐私的责任使用隐私信息的告知与同意依法律或行政程序的信息披露其他信息披露情形知识产权陈述与担保电子认证服务机构的陈述与担保注册机构的陈述与担保订户的陈述与担保依赖方的陈述与担保其他参与者的陈述与担保担保免责第 vi 页共 72 页

9 9.8 有限责任赔偿有效期限与终止有效期限终止效力的终止与保留对参与者的个别通告与沟通修订修订程序通知机制和期限必须修改业务规则的情形争议处理管辖法律与适用法律的符合性一般条款完整协议转让分割性强制执行不可抗力其他条款第 vii 页共 72 页

10 第一章概括性描述 1.1 概述公司简介山东省数字证书认证管理有限公司 (Shandong Certification Authority Co.,Ltd), 是山东省数字证书认证中心的企业化运作实体, 简称山东 CA 山东 CA 于 2001 年 2 月 14 日注册成立, 在 2003 年通过了国家密码管理局的建设论证和安全性审查, 在 2004 年 7 月 14 日通过了国家密码管理局组织的技术鉴定, 成为全国首批通过国家技术鉴定的数字证书认证中心, 在 2005 年 6 月 17 日通过了国家信息产业部的电子认证服务机构现场资质审查, 成为全国第一家获得电子认证服务许可证的电子认证服务机构之一本着志存高远科技为先诚信规范合作发展的运营宗旨, 山东 CA 致力于为电子政务电子商务及社会信息化等应用提供优质的电子认证服务本 ( 简称 CPS) 根据国家相关法律法规的要求, 详细阐述了山东 CA 提供的电子认证服务整个过程电子认证业务所遵循的规范以及电子认证服务各方所承担的责任范围等本规范适用于山东 CA 以及分支机构, 并通过公开发布的渠道告知电子签名订户依赖方等相关参与者, 以确保山东 CA 所提供的电子认证服务是权威安全可靠的规范化第三方服务对于山东 CA 所提供的认证服务过程的责任范围, 本业务规则也给予了明确的规定 1.2 文档名称与标识山东 CA 标识山东 CA 是山东省数字证书认证管理有限公司 (Shandong Certification Authority Co.Ltd) 的简称形式山东 CA 所拥有的品牌的商标为 : 第 1 页共 72 页

11 1.2.1 名称本文档称为山东省数字证书认证管理有限公司 ( 简称山东 CA CPS ), 是山东 CA 对所提供的认证及相关业务的全面描述, 对象标识符 CPS 为 Certificate Practice Statement 的缩写本文档中,CPS 等同于本节中定义的文档名称和适用名称版本本规则为山东 CA 发布的第三个版本, 即山东 CA V3.0, 是在山东 CA V2.1 的基础上根据山东 CA CP 和公司运营现状修改整理形成的发布本文档的发布有以下三种形式 : 1) 以电子的方式, 在山东 CA 网站发布网站地址 : 2) 以电子的方式, 通过电子邮件发布电子邮箱地址 : webmaster@sdca.com.cn 3) 以文件形式, 从以下地址索取 : 邮编 : 地址 : 山东省济南市趵突泉北路 24 号 1.3 电子认证活动参与者电子认证服务机构山东 CA 是根据中华人民共和国电子签名法电子认证服务管理办法规定, 依法设立的第三方电子认证服务机构山东 CA 通过给从事电子交易活动的各方主体颁发数字证书提供证书验证服务等手段而成为电子认证活动的参与主体山东 CA 建设和运营的认证系统是多层次的 CA 结构模式, 山东 CA 及其下第 2 页共 72 页

12 层 CA 统称电子认证服务机构, 这些签发实体均可发放证书山东 CA 的认证系统是所有山东 CA 下层机构和实体的根在十分严密的保密和安全机制控制下, 山东 CA 根据根证书有效的安全策略, 自己生成密钥对, 自己签发根证书山东 CA 根据授权和协议, 签发下一级的证书, 这些下级也必须遵守本证书策略的要求山东 CA 的认证系统所签发的证书, 与每一个证书申领实体的公钥绑定注册机构 (Registration Authority) 注册机构作为电子认证服务机构授权的下属机构, 负责证书订户信息的审核整理汇总统计分析, 与上级 CA 进行数据交换, 管理和服务下层注册分支机构和下层受理点每个注册机构可以按照行业或行政地域分成多个注册分支机构, 或直接连接受理点, 可以直接对最终订户提供服务注册机构有责任妥善保存订户的数据, 不允许将订户的数据透露给与证书申请无关的任何单位或个人, 不允许用作商业利益方面的用途注册机构可以由山东 CA 自建或授权的第三方机构建立当注册机构由第三方机构建立时, 山东 CA 必须与其签订协议, 明确双方的权利和义务注册分支机构 (Registration Authority Branch) 注册分支机构与注册机构功能类似当注册机构服务的群体超过一定程度时, 在注册机构下面设注册分支机构注册分支机构的上级是注册机构, 下级是受理点注册分支机构由山东 CA 授权建立或撤消注册分支机构是可选项, 即根据客户数量决定是否设立受理点 (Business Terminal) 经过山东 CA 审查, 山东 CA 授权特定单位或实体负责办理和审批数字证书申请数字证书申请手续过程和要求, 必须与山东 CA 正在实施的证书策略, 以及受理点授权协议书相一致受理点负责向山东 CA 授权的注册机构或山东 CA 授权的注册分支机构提供证书申请实体的信息, 包括申请实体的名称可以表明身份的证件号码和联系方法 ( 通信地址电子邮件电话等 ) 受理点根据这些信息为申请实体制作证书或根据申请实体的要求, 提供申请实体自行申请的技术支持第 3 页共 72 页

13 根据是否承担证书申请者费用的不同情况, 受理点可分为垫付型的受理点和非垫付型的受理点除非特别声明, 受理点通常指非垫付型的受理点如果受理点满足证书垫付商的条件, 并实行证书垫付商证书受理相应的做法, 则把该受理点称为垫付型证书受理点如果受理点没有承担证书申请者的费用 ( 与垫付型证书受理点不同 ), 则称该受理点为非垫付型受理点证书垫付商 (sponsor) 证书垫付商指的是能够为其所属或所服务的证书申请群体承担所有证书费用的团体组织证书垫付商根据情况, 有权取缔其支付费用申请证书垫付商必须预定证书数量并预先缴纳所有的证书费用, 并享受一定的优惠政策垫付商必须承担其代付证书申请者身份真实性的责任订户 (Certificates Applicant) 指接受并持有山东 CA 颁发的证书终端实体, 包括个人企业和组织机构依赖方 (Relying Party) 指需要验证证书和签名的实体依赖方可以是也可以不是订户其他参与者 (Other Participants) 指为山东 CA 的电子认证活动提供相关服务的其他实体, 如第三方权威机构目录服务提供者等与 PKI 服务相关的参与者 1.4 证书应用适合的证书应用数字证书可确保互联网上信息传递双方身份的真实性信息的保密性和完整性以及网上交易的不可否认性山东 CA 数字证书已经广泛的在电子政务社会管理和公共服务电子交易电子办公电子公证公共服务等领域应用, 为建设互联网络的信任环境开展了基础性的服务根据证书的功能以及使用证书的实际应用, 目前山东 CA 签发的主要证书类型包括 : 1) 个人证书 : 个人包括自然人或特定身份的人员, 如公务员企业员工等第 4 页共 72 页

14 此类证书通常用于数字签名加密解密安全电子邮件以及网上身份认证等, 在不违背相关法律法规本 CPS 以及订户协议的情况下, 此类证书也可以用于其他用途 ; 2) 机构证书 : 机构包括企事业单位政府机关社会团体等此类证书通常用于数字签名加密解密以及网上身份认证等, 在不违背相关法律法规本 CPS 以及订户协议的情况下, 此类证书也可以用于其他用途 ; 3) 设备证书 : 设备包括服务器防火墙路由器等, 此类证书通常用于网上设备的身份认证, 在不违背相关法律法规本 CPS 以及订户协议的情况下, 此类证书也可以用于其他用途限制的证书应用证书禁止在任何违反国家法律法规或破环国家安全的情形下使用否则, 由此造成的法律后果由订户自己承担山东 CA 签发的数字证书禁止的应用范围包括 : 1) 国家法律法规所规定的不允许使用的范围 ; 2) 破坏国家安全环境安全和人身安全的危险环境 ; 3) 山东 CA 与订户约定的证书禁止应用的范围 1.5 策略管理策略文档管理机构管理本文档的机构是 : 山东 CA 安全中心联系人山东 CA 将对进行严格的版本控制, 并由山东 CA 指定专人负责联系人 : 安全中心电话 : , 传真 : 地址 : 山东省济南市趵突泉北路 24 号 (250011) 电子邮件 :webmaster@sdca.com.cn 决定 CPS 符合策略的机构决定 CPS 符合策略的机构为 : 山东 CA 安全管理委员会第 5 页共 72 页

15 1.5.4 CPS 批准程序按照信息产业部公布的规范的要求, 在山东 CA 做出任何变动之前, 山东 CA 安全中心将对提供的变动建议进行研究, 在征询山东 CA 法律顾问有关方面的意见后, 提交山东 CA 安全管理委员会审批山东 CA 根据电子认证服务管理办法中规定, 在本机构网站予以公布, 并在公布之日前三十日内向工业和信息化部备案 1.6 定义与缩写公钥基础设施 (PKI) 公钥基础设施 (Public Key Infrastructure, 简称 PKI) 是利用公钥加密技术为电子认证的开展提供一套安全基础平台的技术和规范它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系, 提供互联网环境的身份鉴别信息加解密数据完整性和不可否认性服务电子认证服务机构 (CA) 电子认证服务机构 (Certification Authority, 简称 CA) 是受订户信任的, 负责签发数字证书的权威机构, 又称为数字证书认证中心作为电子交易中受信任的第三方, 负责为电子认证业务中各个实体颁发数字证书, 以证明各实体身份的真实性, 并负责在交易中检验和管理证书注册机构 (RA) 注册机构 (Registration Authority, 简称 RA) 是负责订户证书的申请审批和证书管理部分工作, 面向证书订户数字证书 (Digital Certificate) 数字证书是指经 CA 数字签名的包含数字证书使用者身份公开信息和公开密钥的电子文件数字证书提供了一种在 Internet 上验证身份的方式, 其作用类似于日常生活中的身份证证书撤销列表 (CRL) 证书撤销列表 (Certificate Revocation List, 简称 CRL), 是一种包含撤销的证书列表的签名数据结构 CRL 是证书撤销状态的公布形式, 就像信用卡的黑名单, 它通知其他证书订户某些电子证书不再有效在线证书状态协议 (OCSP) 第 6 页共 72 页

16 在线证书状态协议是用于检查数字证书在某一交易时间是否有效的标准证书策略 (CP,Certificate Policy) 证书策略 (Certificate Policy, 简称 CP) 是一套命名的规则集, 用以指明证书对一个特定团体和 ( 或者 ) 具有相同安全需求的应用类型的适用性 (Certificate practice Statement, 简称 CPS) (Certificate Practice Statement, 简称 CPS) 是关于 CA 的颁发和管理证书的运做规范的描述, 包括 CA 整体运行规范和证书的颁发管理撤销和密钥以及证书更新的操作规范等事务私钥 (Private key) 私钥 (Private key) 是在公钥基础设施 PKI 中为一个密码串, 由特定算法与公钥一起生成, 用于解密信息或进行数字签名在数字签名中又称为电子签名制作数据, 是在电子签名过程中使用的, 将电子签名与电子签名人可靠地联系起来的字符编码等数据公钥 (Public key) 公钥 (Public key) 是在公钥基础设施 (PKI) 中为一个密码串, 由特定算法与私钥一起生成, 用于加密信息或验证数字签名在数字签名中又称为电子签名验证数据, 是用于验证电子签名的数据, 包括代码口令等甄别名 (DN, Distinguished Name) 甄别名 (DN, Distinguished Name) 是在数字证书的主体名称域中, 用来唯一标识订户的 X.500 名称此域需要填写反映订户真实身份的具有实际意义的与法律不冲突的内容第 7 页共 72 页

17 第二章信息发布与信息管理 2.1 认证信息的发布山东 CA 电子认证系统信息库包括以下内容 :CPS 证书 CRL 山东 CA 的职责是确保发布的认证信息及时可靠根据我国法律法规的要求以及 X.509 标准, 山东 CA 在对外的目录服务器 (Directory Server) 公布证书相关信息, 并以定期和实时的方式公布证书撤销列表 CRL 2.2 公众信息的发布 CPS 的发布山东 CA 通过公司网站 ( 发布本机构制定的 CPS, 并负责本规范的解释, 一经山东 CA 在网站或以书面声明形式发布更改, 即时生效, 并对一切仍有效的数字证书的使用者新的数字证书及相关业务的申请者均具备约束力本规则的发布及更改一律须经山东 CA 核准和发布如有需要可访问山东 CA 网站查看本, 对具体个人不另行通知山东 CA 公众信息的发布山东 CA 在公司网站上发布与其相关的公众信息, 并对旧信息进行处理已有旧信息与山东 CA 新发布的信息不一致的, 以山东 CA 新发布的信息为准 2.3 发布时间及频率的发布时间及频率山东 CA 根据认证业务需要进行 CPS 的不定期变更, 山东 CA 将通过文档版本升级的形式, 以原有公布方式予以及时发布, 一经发布, 即时生效, 并对一切仍有效的数字证书的使用者新的数字证书及相关业务的申请者均具备约束力的变更, 必须在被认定后三十日内发布第 8 页共 72 页

18 2.3.2 山东 CA 公众信息的发布时间及频率山东 CA 在公司网站 ( 上发布与其相关的公众信息, 处理旧信息山东 CA 的网站实时更新, 并在第一时间发布信息证书的发布时间及频率山东 CA 的目录服务器实施更新目录, 通常在 24 小时内发布最新 CRL 证书订户可在山东 CA 网站 ( 上查询或下载数字证书和 CRL 2.4 信息库访问控制信息的发布与处理对于以网站方式公布的信息, 山东 CA 允许任何公众进行查询和访问证书和 CRL 除公司网站外, 还可通过 LDAP 方式发布, 同时提供 OCSP 在线验证方式但只有山东 CA 有权对公布的各类旧信息进行处理信息访问控制和安全审计山东 CA 设置了信息访问控制和安全审计措施, 保证了 CPS 证书 CRL 等电子认证信息库只有经过授权的山东 CA 工作人员才能登陆访问和控制第 9 页共 72 页

19 第三章身份标识与鉴别 3.1 命名规则名称类型山东 CA 颁发的数字证书, 根据证书对应实体的类型不同, 其实体名字可以是人员姓名组织机构名称部门名域名等, 证书包含订户和颁发机构主题甄别名, 对证书申请者的身份和其他属性进行鉴别, 并以不同的标识记录其信息证书持有者的标识命名, 以甄别名 (Distinguished Name) 形式包含在证书主体内, 是证书持有者的唯一识别名山东 CA 的证书符合 X.509 标准, 分配给证书持有者实体的甄别名, 采用 X.500 标准命名方式, 格式如下 : 属性值举例 Country(C) = 国家 CN Organization(O) = 组织山东 CA Organizational Unit (OU) = 组织机构运行部 State or Province (S) = 省山东省 Locality (L) = 市济南市 Common Name (CN) = 通用名张三 = 邮件地址 san.zhang@sdca.com.cn 山东 CA 的证书包含颁发者的甄别名称, 格式如下 : 属性值举例 Country(C) = 国家 CN Common Name (CN) = 通用名 SDCA Root Authority 对名称意义化的要求山东 CA 签发的个人实体证书组织机构通用数字证书服务器证书等包含的命名应具有通常理解的语义, 用它可以确定证书主题中的个人机构或设备的身份对于具有特殊要求的应用中, 山东 CA 可以按照一定的规则为订户指定特殊的名称, 并且能够把该类特殊的名称与一个确定的实体 ( 个人单位或设备 ) 唯一联系起来第 10 页共 72 页

20 3.1.3 订户的匿名或假名订户在证书中的名称可以是假名, 但不能使用匿名, 并在山东 CA 的数据库中记录订户的相关信息理解不同名称形式的规则山东 CA 签发的数字证书符合 X.509 标准, 甄别名格式遵守 X.500 标准, 甄别名的命名规则由山东 CA 定义与解释名称的唯一性在山东 CA 信任域内, 不同订户证书的主题甄别名不能相同, 必须是唯一的但对于同一订户, 可以用其主体名为其签发多张证书, 但证书的密钥用法扩展项不同当证书申请中出现不同订户存在相同名称时, 遵循先申请者优先使用, 后申请者增加附加识别信息予以区别的原则商标的识别鉴别和角色证书申请者不应使用任何可能侵犯知识产权的名称山东 CA 不对证书申请者是否拥有命名的知识产权进行判断和决定, 也不负责解决证书中任何关于域名商标等知识产权的纠纷山东 CA 没有权利, 也没有义务拒绝或者质疑任何可能导致产生知识产权纠纷的证书申请 3.2 初始身份确认证明拥有私钥的方法山东 CA 证明拥有私钥的方法是根据证书申请信息进行验证首先利用数据摘要算法进行计算, 再用申请信息中的公钥对申请信息中的签名解密, 然后进行比较, 如果相等则证明数字证书的申请者拥有与签名验证公钥对应的签名私钥组织机构身份的鉴别组织机构申请者填写书面申请表 ( 一式二份 ), 经过单位授权代表的签署及单位盖章, 表示接受书申请的有关条款, 并承担相应的责任山东 CA 授权的发证机构必须对订户进行以下资料的鉴别 : 1) 申请机构的组织机构代码证的复印件 ; 2) 申请机构的营业执照副本及复印件, 如果没有营业执照, 则提供书面申请第 11 页共 72 页

21 表上可选的其他有效证件的副本及复印件部分有效证件如下 : 营业执照企业法人营业执照事业单位法人登记证税务登记证社会团体法人登记证政府批文其他有效证件 3) 经办人身份证原件与复印件山东 CA 授权的发证机构的审核人员合理审慎地核对申请资料的原件与复印件, 并通过电话邮政信函等方式确认该机构资料信息的真实性, 以及代表机构进行证书申请的个人是否得到足够的授权个人身份的鉴别山东 CA 的个人证书签发给合法的个人申请者, 山东 CA 需要严格审核个人申请者的身份至少需要进行如下的一种鉴别 : 1) 利用权威第三方提供的身份证明或数据库服务 ; 2) 政府机构发放的合法性文件, 如 : 居民身份证军官证护照等证明订户的身份若委托他人进行证书申请的, 应同时提供被委托人的身份证明个人申请者填写书面申请表 ( 一式二份 ), 签字确认, 表示接受证书申请的有关条款, 并承担相应的责任没有验证的订户信息在初始身份认证中, 不作验证的订户信息列表如下 : 个人订户信息机构订户信息设备信息电话 / 移动电话地址 / 邮政编码传真单位英文或拼音地址 / 邮政编码电话 / 移动电话联系人传真不作验证的个人或机构订户信息设备类型 MAC 地址第 12 页共 72 页

22 3.2.5 授权确认山东 CA 签发证书前, 将确认证书申请必须获得授权山东 CA 通过可信第三方获得申请者所在组织机构电话号码, 然后联系组织机构的有关人员, 确认申请者获得了所在组织机构的授权互操作准则对于山东 CA 外的其他证书服务机构颁发的证书, 可以与山东 CA 进行互操作, 但是必须符合山东 CA 的证书策略的要求, 并且与山东 CA 签署了相应的协议 3.3 密钥更新请求的标识与鉴别在订户证书到期前, 订户需要获得新的证书以保持证书使用的连续性山东 CA 一般要求订户产生一个新的密钥对代替过期的密钥对, 称作密钥更新然而, 在某些情况下, 也允许订户为一个现存的密钥对申请一个新证书, 称作证书更新对于密钥更新而言, 订户证书除公钥有效期和序列号改变外, 其他信息都没改变 ; 对于证书更新而言, 和密钥更新相比, 订户证书公钥也不改变对于山东 CA 的证书认证业务, 在证书有效期到期前只能通过密钥更新或证书更新签发有相同签发者主体名和证书用途的证书通常, 我们在表述证书更新时包含了密钥更新和证书更新常规密钥更新的标识与鉴别对于常规密钥更新, 订户可以用原有的私钥对更新请求进行签名山东 CA 认证系统会对订户的签名和更新请求进行鉴别订户也可以选择一般的初始证书申请流程, 按照初始身份验证步骤 ( 详细内容请见第 3.2 节 ) 进行常规密钥更新, 按照要求提交相应的证书申请和身份证明资料山东 CA 授权的发证机构的审核人员合理审慎地核对申请资料的原件与复印件, 根据审核人员的管理规定对申请者的资料的真实性进行审查, 并进行批准或拒绝的操作密钥更新会造成使用原密钥对加密的文件或数据无法解密, 因此, 订户在申请密钥更新前, 必须确认使用原密钥对加密的文件或数据已经解密, 由此造成的第 13 页共 72 页

23 损失, 山东 CA 将不承担责任撤销后密钥更新的标识与鉴别山东 CA 不提供证书被撤销后的密钥更新订户必须重新进行身份鉴别, 按照初始身份验证步骤向山东 CA 申请重新签发证书 3.4 撤销请求的标识与鉴别在山东 CA 的证书业务中, 证书撤销请求可以来自订户, 也可以来自山东 CA 当山东 CA 授权的发证机构有充分的理由撤销订户时, 有权依法撤销证书, 这种情况无须进行鉴证如果订户主动要求撤销证书, 则需要递交初始身份验证时的申请材料如果由于条件的限制无法进行现场审核时, 山东 CA 可以通过电话传真邮政信函或其他第三方证明等合理方式对申请者的身份予以鉴别验证如果是司法机关依法提出撤销, 山东 CA 将直接以司法机关提供的书面撤销请求文件作为鉴别依据, 不再进行其他方式的鉴别第 14 页共 72 页

24 第四章证书生命周期操作要求山东 CA 授权的发证机构提供完整的数字证书周期, 包括证书申请申请处理签发接受密钥对和证书的使用证书更新证书密钥更换证书变更证书撤销和挂起证书状态服务密钥生成备份和恢复等服务, 提供身份认证电子签名数据加密密钥管理等与数字证书密切相关的配套服务自 CA 认证系统签发之日算起, 山东 CA 签发的个人类型证书机构类型证书的默认有效期为 1 年 ; 设备类型证书的默认有效期为 1 年 ; 山东 CA 保留根据业务需要重新设置订户证书有限期的权利 4.1 证书申请证书申请实体证书申请实体包含个人企业单位事业单位社会团体人民团体等各类组织机构以及 CA RA 受理点和 CA 机构或 RA 机构的系统及相应的管理员申请过程与责任山东 CA 目前只接受离线申请方式, 申请程序根据山东 CA 证书的种类不同而不同, 但都应遵守证书操作所规定的步骤证书申请流程如下 : 对于个人证书 ( 包括个人身份证书, 个人安全电子邮件证书, 个人代码签名证书 ), 申请者到山东 CA 授权的发证机构领取证书申请表 ( 一式二份 ) 或到山东 CA 网站下载相应的申请表 ( 一式二份 ), 并提供个人身份证明文件及其复印件一份, 例如 : 身份证军官证学生证护照等详细内容请见第 3.2 节对于单位证书 ( 包括单位身份证书, 单位安全电子邮件证书, 单位代码签名证书 ), 申请者到山东 CA 授权的发证机构领取单位证书申请表 ( 一式二份 ) 或到山东 CA 网站下载相应的申请表 ( 一式二份 ), 申请者应提供单位对经办人的授权委托书, 单位的营业执照税务登记证组织机构代码证经办人的身份证和山东 CA 可能需要的其他文件详细内容第 15 页共 72 页

25 请见第 3.2 节对于服务器证书, 与单位的申请相同, 还需要提供服务器域名的所有权的证明, 详细内容请见第 3.2 节对于软件代码, 提供合法拥有该软件的证明或授权文件, 软件拥有者的身份证明对于支付网关证书, 与单位的申请相同, 还需要提供与支付网关相关的证明详细内容请见第 3.2 节对于其他类型证书, 山东 CA 网站上发布申请要求, 并且山东 CA 拥有解释权对于山东 CA 测试证书内部通讯证书管理员证书操作员证书或注册机构注册分支机构的通讯证书管理员证书, 要填写山东 CA 内部证书申请表 ; 对于注册机构注册分支机构下的所有证书申请表, 需一式二份订户的申请表和相关证明文件的复印件存档 7 年山东 CA 作为电子认证服务的发证机构有责任对申请人的身份进行充分的验证出于安全性和审查的需要, 申请表应由验证人签名并注明日期详细内容请见第 3.2 节申请者必须真实填写证书申请信息, 并遵守山东 CA 数字证书用户责任书否则, 山东 CA 有权拒绝签发证书停止证书的使用废止证书, 且由此造成的后果, 山东 CA 不承担任何责任 4.2 证书申请处理执行识别与鉴别功能山东 CA 授权的发证机构遵循第 3 章对证书申请者提交的信息进行识别, 并由双人复合鉴别验证证书申请批准和拒绝依据识别与鉴别的信息, 山东 CA 授权的发证机构有权决定接受或拒绝订户的申请如果符合下述条件, 山东 CA 授权的发证机构接受订户的证书申请 : 第 16 页共 72 页

26 1) 成功标识和鉴别了订户的身份信息 ; 2) 订户接受订户协议的内容和要求 ; 3) 订户按照规定支付了相应的费用, 另有协议规定的情况除外如果发生下列情形之一, 山东 CA 授权的发证机构有权拒绝订户的证书申请 : 1) 该申请未完成标识和鉴别的过程 ; 2) 订户不能提供所需要的补充文件 ; 3) 订户不接受或者反对订户协议的内容和要求 ; 4) 没有或者不能够按照规定支付相应的费用 ; 5) 山东 CA 授权的发证机构认为批准该申请将会对山东 CA 带来争议法律纠纷或者损失处理证书申请的时间山东 CA 授权的发证机构必须在 1 个工作日内对证书申请者提交的证书信息进行识别, 并完成证书申请处理 4.3 证书签发证书签发中注册机构和电子认证服务机构的行为订户一旦提交了证书申请, 尽管事实上还没有接受证书, 但该订户仍被视为已同意发证机构签发其证书山东 CA 授权的发证机构批准证书申请后 ( 参见第 4.2 节 ), 接收参考码授权码, 为证书申请者制作证书, 并提供给订户证书的发行意味着山东 CA 最终完全正式地批准了证书申请证书从订户接受证书 ( 参见第 4.4 节 ) 之日起将被视为有效证书订户证书签发的通知山东 CA 直接通知订户或发证机构证书已签发, 并将证书提供给申请者 4.4 证书接受构成接受证书的行为在山东 CA 数字证书签发完成后, 山东 CA 将把数字证书当面或寄送给订户, 订户从获得证书起就被视为已同意接受证书订户接受数字证书后, 应妥善保存第 17 页共 72 页

27 其证书对应的私钥电子认证服务机构对证书的发布一旦证书订户接受证书, 发证机构将在目录服务器及由山东 CA 和其授权发证机构决定的其它合理的方式来发布证书电子认证服务机构对其他实体的通告山东 CA 不具有向其他实体进行单独通告的义务, 但使用证书的各类实体可以通过山东 CA 查询服务获得所需证书信息 4.5 密钥对和证书的使用山东 CA 要求订户密钥对和证书的使用不能超过其规定使用范围, 否则山东 CA 不承担由订户违规使用而造成的任何责任订户私钥和证书的使用订户接受到数字证书后, 应妥善保存其证书对应的私钥订户可以从山东 CA 证书目录服务器中下载个人或其他数字证书对于签名证书, 其私钥仅用于对信息的签名在可能的情况下, 签名证书应同被签名信息一起提交给依赖方订户使用私钥对信息签名时, 应该确认被签名的内容对于加密证书, 其私钥可用于对采用对应公钥加密的信息解密证书应用范围 : 编号订户证书类型订户私钥与证书的用途 1 个人身份证书个人 2 个人安全邮件证书订户使用此证书来向对方表明个人的身份, 同时应用系统也可以通过证书获得订户的其他身份信息主要用于 : 文档签名个人网上购物网上炒股等个人证书使订户个人可以在重要的邮件通信中对信件内容进行加密和签名操作 3 单位单位身份证书颁发给独立的单位组织, 在互联网上证明该单位组织的身份主要用于 : 文档签名网上工商事务网上招标投标网上签约安全网上公文传送网上缴费网上缴税网上购物和网上报关等第 18 页共 72 页

28 4 单位安全邮件证书单位证书使单位订户可以在重要的邮件通信中对信件内容进行加密和签名操作编号订户证书类型订户私钥与证书的用途 5 个人代码签名证书代码签名 6 单位代码签名证书 7 WEB 服务器证书服务器 8 服务器身份证书 9 网关证书 VPN 10 客户端证书为软件开发者提供对软件代码做电子签名的技术, 可以有效防止软件代码被篡改, 使软件用户免遭病毒与黑客程序的侵扰, 同时可以保护软件开发者的版权利益单位代码签名证书颁发给具有企业行为的软件开发商或提供商, 通过对其提供的软件代码进行电子签名, 可以有效防止该软件代码被篡改, 并且能够保护软件开发商的版权利益当用户在网上下载经过代码签名的软件时, 将会得到提示, 从而确认 : 1. 软件的来源真实可靠 2. 软件从签名到下载前, 未遭到修改或破坏 Web 服务器证书通过在客户端浏览器和 Web 服务器之间建立起一条 SSL 安全通道, 来保证用户在网络通讯中的安全性它可以和网站的 IP 地址域名绑定, 目前支持多种主流的 Web Server, 包括 :IIS Lotus Domino Weblogic Apache iplant NetScape 等主要用于 : 实现安全站点配合个人证书单位证书单位员工证书等客户端的证书实现安全购物站点安全电子业务综合服务平台安全公文报送系统等主要颁发给需要安全鉴别的服务器, 以便于标识证书持有服务器的身份应用服务器证书中包含服务器信息和服务器的公钥, 其和对应的私钥可以存放在服务器硬盘或加密硬件设备上通过配置 VPN( 虚拟专用网 ), 企业的远程雇员分支机构合作伙伴以及客户就可以在互联网上透明安全的连接到公司网络 VPN 网关证书即是作为一种在 VPN 隧道中鉴别设备身份的强有力方式 VPN 客户端证书主要用于认证远程雇员商务合作伙伴和客户身份, 以确保在 VPN 网络中只有指定人员才能有权访问传递的信息依赖方公钥和证书的使用依赖方只能在接受山东 CA 协议要求的前提下, 才能依赖山东 CA 订户证书在信任证书和签名前, 依赖方必须根据环境和条件进行合理地判断并做出决定第 19 页共 72 页

29 在依赖证书前, 依赖方必须独立的进行如下评估和判断 : 1) 证书是否由可信任的 CA 所签发 ; 2) 证书被适当的使用, 判断该证书没有被用于或者法律法规禁止或限制的使用范围 ; 3) 证书的使用与证书密钥用途包含内容是否一致 ; 4) 查询证书及其证书信任链中的证书状态, 如果订户证书或其信任链内的任何证书已经被撤销, 依赖方必须独立去了解该订户证书对应的私钥所做的签名是否是在撤销之前做的, 是否可以依赖, 并独立承担相应的风险当依赖方需要发送加密信息给接受方时, 须先通过适当的途径获得接受方的加密证书, 然后使用证书上的公钥对信息加密并发送给接受方获得对方的证书和公钥, 可以通过查看证书以了解对方的身份, 通过公钥验证对方电子签名的真实性, 实现通信的不可抵赖性, 并实现通信双方数据传输的保密性和完整性 4.6 证书更新证书更新指在不改变证书注册信息的情况下, 为订户签发一张新证书证书更新的情形为保证证书及其密钥对的安全有效和订户的权利, 山东 CA 会为签发的证书设置有效期订户必须在证书有效期到期前一个月内, 到山东 CA 授权的发证机构申请更新证书请求证书更新的实体订户本人或其授权代表证书更新请求的处理订户或其授权人通过已有私钥, 在山东 CA 授权的发证机构通过 PIN 码验证和身份信息核查, 进行更新请求 ; 或在山东 CA 授权的发证机构书面填写山东 CA 数字证书申请表山东 CA 授权的发证机构按照第 3 章识别与鉴定的规定对订户提交的证书更新申请进行审核发证机构审核通过后, 为订户制作证书 ; 证书签发后, 发证机构将证书当面发给订户订户接受证书 ( 参见第 4.4 节 ); 新证书签发后原有证书将被撤销 ( 参见第 4.9 节 ) 山东 CA 将实时在 LDAP 上发第 20 页共 72 页

30 布订户的新证书订户被撤销的原有证书将在 24 小时内通过 CRL 发布提出更新申请的订户在进行证书更新之前应将加密邮件等加密过的文件进行解密, 同时备份 ( 例如将邮件内容复制以明文方式存储或将邮件附件保存 ), 然后将证书删除以上操作完成后才能进行证书的更新如订户未解密文件而进行证书更新, 由此造成的可能损失, 山东 CA 不承担任何责任通知订户新证书签发同第节订户证书签发的通知构成接受更新证书的行为同第节构成接受证书的行为电子认证服务机构对更新证书的发布同第节电子认证服务机构对证书的发布电子认证服务机构对其他实体的通告同第节电子认证服务机构对其他实体的通告 4.7 证书密钥更换证书密钥更换是指不改变证书中包含的信息的情况下, 产生新的密钥对, 并由山东 CA 签发新证书证书密钥更换的情形证书订户申请更换密钥的情形主要有 : 证书的密钥泄露对此, 订户负有立即告知山东 CA 的责任 ; 证书到期时, 要求更换证书密钥 ; 证书丢失 ; 其他例如, 由于信息技术的不断更新, 为了保证证书的安全性, 山东 CA 有权要求订户更换证书的密钥请求证书密钥更换的实体订户本人或其授权代表第 21 页共 72 页

31 4.7.3 证书密钥更换请求的处理同第节证书更新请求的处理订户新证书签发的通知同第节通知订户新证书签发构成接受密钥更换证书的行为同第节构成接受证书的行为电子认证服务机构对密钥更换证书的发布同第节电子认证服务机构对证书的发布电子认证服务机构对其他实体的通告同第节电子认证服务机构对其他实体的通告 4.8 证书变更证书变更的情形证书变更指改变证书中除订户公钥之外的信息而签发新证书的情形订户证书只有在有效期内, 才可能发生证书变更的情况证书变更的原因有 : 证书订户甄别名更改 ; 证书订户更改 ; 其他 : 如通用名组织角色改变等原因请求证书变更的实体订户本人或其授权代表证书变更请求的处理对于要求证书变更的, 需确认证书变更请求是被订户或订户授权的代表提出的, 并对其身份进行鉴别证书处理过程同第节证书更新请求的处理证书变更后, 证书的有效期并没有改变, 仍然为原证书有效期颁发新证书时对订户的通告同第节订户新证书签发的通知第 22 页共 72 页

32 4.8.5 构成接受变更证书的行为同第节构成接受证书的行为电子认证服务机构对变更证书的发布同第节电子认证服务机构对证书的发布电子认证服务机构对其他实体的通告同第节电子认证服务机构对其他实体的通告 4.9 证书撤销和挂起证书撤销的情形证书撤销是指由于各种原因导致证书不能再继续使用, 必须废除的情况证书撤销的原因主要有 : 新的密钥对替代旧的密钥对 ; 密钥失密 : 与证书中的公钥相对应的私钥被泄密或订户怀疑自己的密钥失密 ; 从属关系改变 : 与密钥相关的订户的主题信息改变, 证书中的相关信息有所变更 ; 操作中止 : 由于证书不再需要用于原来的用途, 但密钥并未失密, 而要求中止 ( 例如订户离开了某个组织 ); 证书到期 : 到期后订户未续约 ; 订户不能履行或其他协议法律及法规所规定的责任和义务 ; 订户申请初始注册时, 提供不真实材料 ; 证书已被盗用未经授权的泄漏和其它安全威胁 ; CA 失密 : 电子认证服务机构因运营问题, 导致 CA 内部重要数据或 CA 根密钥失密等原因 ; 订户自动提出撤销请求 ; 其他情况这些情况可以是因法律或政策的要求山东 CA 采取的临时撤销措施, 也可以是订户申请撤销证书时填写的其他原因第 23 页共 72 页

33 4.9.2 请求证书撤销的实体请求证书撤销的实体包括 : 1) 订户本人或其授权代表 ; 2) 山东 CA 或其授权机构的授权代表 ; 3) 司法机关等公共权力部门的授权代表撤销请求的流程订户到山东 CA 授权的发证机构书面填写山东 CA 数字证书申请表, 并注明撤销的原因山东 CA 授权的发证机构按照第 3 章识别与鉴定的规定对订户提交的证书撤销申请进行审核山东 CA 撤销订户证书后, 发证机构将当面通知订户证书被撤销如是强制撤销, 山东 CA 授权的发证机关管理员可以对订户证书进行强制撤销, 撤销后必须立即通知该证书订户强制撤销的命令来自于 : 山东 CA 山东 CA 授权的发证机构或司法机关等公共权力部门订户证书在 24 小时内进入 CRL 或被直接签发 CRL, 向外界公布撤销请求宽限期当最终订户发现出现第章节中的情况时, 应该尽快提出证书撤销请求, 撤销请求必须在密钥泄密或有泄密嫌疑 8 小时以内发现提出, 其它撤销原因从发现需要撤销证书到向山东 CA 或注册机构提出撤销请求的时间间隔必须在 24 小时以内提出电子认证服务机构处理撤销请求的时限山东 CA 从收到证书撤销请求起 24 小时内完成请求的处理依赖方检查证书撤销的要求依赖方在信任证书前, 必须对证书的状态进行检查, 包括 : 1) 在使用证书前根据山东 CA 最新公布的 CRL 检查证书的状态 ; 2) 验证 CRL 的可靠性和完整性, 确保它是经山东 CA 发行并电子签名的依赖方应根据山东 CA 公布的最新 CRL 或提供的 OCSP 服务确认使用的证书是否被撤销如果公布证书已经撤销, 而依赖方没有检查, 由此造成的损失由依赖方本身承担第 24 页共 72 页

34 4.9.7 CRL 发布频率山东 CA 将通过证书撤销列表在 24 小时内公布被撤销的证书, 特殊紧急情况下可以立即签发公布 CRL 发布的最大滞后时间山东 CA 撤销的证书从被撤销到被发布到 CRL 上的滞后时间最大为 24 小时在线状态查询的可用性山东 CA 向证书订户提供 7 24 在线证书状态查询服务 (OCSP) 撤销状态查询要求依赖方在信赖一个证书前必须通过证书状态查询检查该证书的状态如果依赖方不希望通过最新的相关证书撤销列表来检查证书状态, 则应通过可用的 OCSP 服务对证书状态进行在线检查撤销信息的其他发布形式山东 CA 网站 ( 提供 CRL 文件下载密钥损害的特别要求山东 CA 所有订户在发现证书密钥受到损害时, 应立即通知山东 CA 撤销证书证书挂起的情形证书挂起是证书撤销的一种特殊情形, 由于某种原因暂停使用证书例如 : 订户由于某种原因如长期出差, 短期内无法使用证书, 可以申请证书挂起请求证书挂起的实体请求证书挂起的人包括 : 1) 订户本人或其授权代表 ; 2) 山东 CA 或其授权机构的授权代表 ; 3) 司法机关等公共权力部门的授权代表挂起请求的流程申请者到山东 CA 授权的发证机构书面填写山东 CA 数字证书申请表, 并注明挂起的原因山东 CA 授权的发证机构按照第 3 章识别与鉴定对订户提交的证书挂起申请进行审核第 25 页共 72 页

35 如是强制挂起, 山东 CA 授权的发证机关管理员可以依法对订户证书进行强制挂起, 挂起后必须立即通知该证书订户强制挂起的命令来源于 : 司法机关山东 CA 或山东 CA 授权的发证机构山东 CA 挂起订户证书后, 发证机构将当面通知或通过发送邮件或邮寄等方式通知订户证书被挂起挂起的期限限制订户证书被挂起后, 订户必须在证书有效期到期前恢复证书, 否则山东 CA 或山东 CA 授权的发证机构有权自行撤销证书对此造成的任何后果, 山东 CA 不负责任证书恢复证书挂起订户或其授权者, 在需要恢复时到山东 CA 授权的发证机构书面填写山东 CA 数字证书申请表, 并注明恢复的原因山东 CA 授权的发证机构按照第 3 章识别与鉴定对订户提交的证书恢复申请进行审核审核通过之后, 为用户恢复证书, 并通知用户证书已恢复 4.10 证书状态服务山东 CA 通过 CRL OCSP LDAP 提供证书状态服务操作特征山东 CA 提供以下三种方式为证书订户提供证书状态查询 1) 通过发布服务器采用 http 方式发布 CRL, 其可信度及安全性由根证书的签名来保证订户需要将 CRL 下载到本地后进行验证, 包括 CRL 的合法性验证和检查 CRL 中是否包含待检验证书的序列号 2) 提供 OCSP( 在线证书状态查询 ) 服务, 以网络服务的方式提供证书状态信息, 符合 RFC2560 标准 3) 提供 LDAP 目录查询证书状态服务, 符合 LDAPv3 标准服务可用性山东 CA 至少 24 小时发布一次 CRL 第 26 页共 72 页

36 山东 CA 的 OCSP( 在线证书状态查询 ) 服务, 对依赖方提供 7 24 小时服务可选特征无 4.11 订购结束订购结束即服务终止, 是指证书订户终止与山东 CA 的服务, 它包含以下两种情况 : 证书到期时终止与山东 CA 的服务 ; 当证书到期时, 证书订户不再延长证书使用期或者不再重新申请证书时, 证书订户可以提出服务终止证书未到期时中止与山东 CA 的服务 ; 在证书的有效期内, 由于证书订户的原因而单方面要求终止证书服务山东 CA 将根据证书订户的要求撤销证书, 证书订户与山东 CA 的服务终止 4.12 密钥生成备份与恢复密钥备份与恢复的策略与行为证书订户的加密密钥由山东省密钥管理中心 (KMC) 托管备份, 当证书订户本人国家执法机关司法机关或其他管理部门因管理需要提出恢复加密密钥时, 由山东 CA 通过相应程序从 KMC 为其取得相应的加密密钥加密密钥被加密存放在 KMC 管理中心为保证订户签名私钥的安全性, 山东 CA 不保管签名私钥因此, 要求订户妥善保管签名私钥由于签名私钥遗失所造成的损失由证书订户自己承担, 山东 CA 不负责会话密钥的封装与恢复的策略与行为用非对称算法封装会话密钥, 可以用解密密钥来解开并恢复会话密钥第 27 页共 72 页

37 第五章认证机构设施管理和操作控制 5.1 物理控制山东 CA 电子认证服务机构的物理环境满足以下安全要求 : 防止物理非法进入山东 CA 通过入侵报警视频监控等安防设施对定义的七层管理区域进行实时监测, 并建立完善的安全管理制度, 保护山东 CA 的电子认证服务设施防止未授权访问山东 CA 通过门禁系统和权限分割的管理模式, 确保不发生未经过授权或越权的区域访问场地位置与建筑山东 CA 电子认证服务业务的运行场地位于山东省济南市趵突泉北路 24 号核心机房 : 包括 CA 安全区 CA 操作区 CA DMZ 区,CA 安全区屏蔽机房与外界区域利用通顶隔墙进行保护, 防止通过天花板下面的假平顶进入采用了六面钢板及专用屏蔽门进行屏蔽处理, 以防止电磁泄漏, 增加系统的安全性 CA 其他区域采用通顶隔墙进行隔离, 便于维护管理 CA 出入门由门禁出入卡系统进行控制, 并在安全区采用指纹识别与智能卡结合的方式实施每个区域都安装视频监控系统防侵入报警系统机械组合锁等装置其他功能区域 : 包括消防间 UPS 配电间监控室机房中心通道办公区域制证中心等消防间按照当地消防部门的要求采用通顶实体砖墙与其他区域分割, 并能直通室外机房中心通道与办公区域连接部位采用玻璃门, 并且由门禁出入系统进行管理 UPS 配电间监控室采用实墙隔断, 监控室在办公区一侧开窗口需要通过第 28 页共 72 页

38 门禁出入卡系统才能进入房间物理访问山东 CA 的核心机房和各功能区域的访问控制系统是与控制各区域进出的门禁系统相结合的, 并实现了以下安全功能 : 进出每一区域的门都有记录作为审计依据 ; 核心机房的安全区域采用身份鉴别卡和指纹验证的结合方式控制, 其他区域采用双人同时身份鉴别卡控制每道门的进出 ; 其他功能区域只采用身份鉴别卡控制门的进出 ; 授权人员进出每一道门都会有时间记录 ; 只有相关授权人员使用授权口令才可以登录访问物理设备 ; 根据操作性质及安全性的不同, 物理设备设置多种权限级别账户 ( 组 ) 对人员进行访问控制, 确保物理设备系统安全性 ; 涉及物理设备密码及重大系统操作的, 必须两人以上同时在场才可操作 ; 高安全级别的重要系统设备的操作与维修, 必须在机房内多人现场监控下现场完成且有相关记录电力与空调山东 CA 系统采用市电供电 UPS 不间断和电力发电车三种电源方式供电, 在市电供电中断时,UPS 不间断电源系统和电力发电车可以持续维持电子认证服务系统设备与服务正常运转山东 CA 系统使用中央空调冷却设备和新风系统控制机房内重要设备的温度和湿度水患防治山东 CA 在机房设计建设时已充分考虑水患进行防水设计和建设, 并采取相应措施, 防止水侵蚀, 充分保障系统安全火灾防护山东 CA 在设备机房内按照国家标准建设安装有火灾报警系统和消防应急联动处理系统, 并通过与专业消防部门协调, 实施消防灭火等应急响应措施, 避免第 29 页共 72 页

39 火灾的威胁, 防止明火或者烟雾对系统造成损害或不利影响, 充分保障系统安全介质存储山东 CA 对存储有系统程序订户数据维护记录审计记录日志文件备份数据等信息的介质保存到相应的安全区域中, 介质得到安全可靠的保护, 避免诸如温度湿度和磁力等环境变化可能产生的危害和破坏, 并且只有授权人员才能访问废物处理山东 CA 对作废的相关业务文件和材料按照数据和记录销毁流程经安全中心审批通过后, 通过粉碎焚烧或其它不可恢复的方法处理, 废弃的密码设备在销毁处置前根据产品提供商的操作指南将其物理销毁或初始化, 其他废物处理按照山东 CA 的相关处理要求进行, 所有处理行为将记录在案异地备份山东 CA 对业务系统中的程序数据等关键信息按照数据备份策略和流程进行安全备份备份介质按照备份策略和流程保存在本地机房和异地备份在异地备份时按照策略和流程由专人送交到山东省机要局安全保管以上所有操作流程将记录在案 5.2 程序控制可信角色在山东 CA 提供的电子认证服务过程中, 能从本质上影响证书的颁发使用管理和撤销等涉及密钥操作的职位都被山东 CA 视为可信角色这些角色包括但不限于 : 密钥和密码设备的管理员系统管理员安全审计人员业务管理人员及业务操作人员等, 具体岗位名称和要求以山东 CA 的岗位说明书为准山东 CA 明确执行 CA 系统的关键职能职位, 他们包括 : 山东 CA 安全中心享有以下权限 : 1) 提出山东 CA 安全管理策略方面的建议 ; 2) 负责安全措施的制定和定期进行安全审计 ; 3) 定期对 CA 中心安全问题进行讨论, 并对安全问题提供相应的解决方第 30 页共 72 页

40 案 ; 4) 及时对系统的安全问题做出响应, 减少因处理不及时所造成的损失 ; 5) 发布并维护山东 CA 中心 ; 6) 保障山东 CA 的政策能够通过技术解决方式得到实施 ; 7) 保障山东 CA 认证系统的运营同保持一致 ; 8) 任命山东 CA 认证系统的超级管理员 ; 山东 CA 超级管理员享有以下权限 : 1) 负责输入启动各个服务 (CA RA-SERVER) 的超级管理员口令 ; 2) 监督系统管理员维护各个模块的服务 ; 3) 签发系统管理员 ; 4) 如果系统管理员忘记口令, 可重新签发一个系统管理员 ; 5) 授权数据库管理员备份数据重新加密以及在必要的时候对山东 CA 的数据库进行恢复山东 CA 系统管理员享有以下权限 : 1) 建立和变更山东 CA 系统的安全策略 ; 2) 增加和减免其他管理员, 及山东 CA 订户 ; 3) 对于敏感操作的授权, 诸如增加和减免业务管理员等 ; 4) 管理交叉认证, 发布山东 CA 交叉认证协议, 更新及撤销交叉认证 ; 5) 处理系统审计日志 ; 6) 享有山东 CA 所有管理员的权限 ; 7) 管理 CRL 证书模板的制定山东 CA 录入员 (SOO:System Operation Operator) 1) 负责订户证书申请信息的录入 ; 2) 协助客户办理数字证书申请作废更新等手续山东 CA 审核员 (RAO:Registry Approval Operator) 1) 负责数字证书的审批受理 ; 第 31 页共 72 页

41 2) 如实向上级机构传送证书申请者的信息 ; 3) 协助客户办理数字证书申请作废更新等手续山东 CA 审计员 (auditor) 1) 负责 CA RA 数字证书的统计审计 ; 2) 负责 CA RA 日志的备份恢复山东 CA 制证员 (CertMaker) 1) 证书的制作发放 ; 2) 协助客户办理数字证书申请作废更新等手续其他管理员包含 : 网络管理员 ; 数据库管理员 ; 加密机管理员 ; 目录服务管理员 ; 证书发布系统管理员安排上述职位是为了确保责任明确, 建立有效的安全机制, 保证内部管理和操作的安全山东 CA 根据受理点的章程, 规范受理点操作人员的操作在受理点的软件设计中, 充分考虑安全因素山东 CA 对受理点的责任进行合理划分, 并在系统技术实现以及管理上允予体现每项任务需要的人数山东 CA 确保单个角色不能接触导出恢复更新废止山东 CA 的 CA 系统存储的根证书对应的私钥对于关键的操作进行物理与逻辑上的分割控制, 使掌握设备物理权限的人不能再拥有逻辑权限至少两个可信角色才能使用一项对参加操作人员保密的密钥分割和合成技术来进行任何钥匙恢复的操作山东 CA 对与运行和操作相关的职能有明确的分工, 贯彻互相牵制的安全机制, 保证至少一人操作, 一人监督记录第 32 页共 72 页

42 5.2.3 每个角色的识别与鉴别所有山东 CA 的在职人员, 必须通过认证后, 根据作业性质和职位权限的需要, 发放系统操作卡门禁卡登录密码操作证书作业帐号等安全令牌对于使用安全令牌的员工, 山东 CA 系统将独立完整地记录其所有的操作行为所有山东 CA 职位人员必须确保 : 根据岗位安全等级的不同, 进行不同程度层次的身份识别和鉴别措施 ; 基本的身份审查措施, 确保符合岗位可信资格 ; 赋予可信员工相应的权限区分, 为其发放安全令牌 ; 发放的安全令牌只直接属于个人或组织所有 ; 发放的安全令牌不允许共享山东 CA 的系统和程序通过识别不同的令牌, 对操作者进行权限控制需要职责分割的角色所谓职责分割, 是指如果一个人担任了完成某一职能的角色, 就不能再担任完成另一特定职能的角色山东 CA 对如下人员进行了职责分割 : 安全管理员 ; 密钥管理员 ; 证书申请录入员 ; 证书申请审核员 ; 证书制证员 ; 根 CA 证书管理员 ; 系统维护人员 ; 秘密分割持有者 5.3 人员控制资格经历和无过失要求山东 CA 员工的录取经过严格的审查, 根据岗位需要增加相应可信任的员工一般员工需要有 3 个月的考察期, 核心和关键部位的员工考察期为半年, 根据考察的结果安排相应的工作或者辞退山东 CA 根据需要对员工进行职责岗位技能政策法律安全等方面的培训第 33 页共 72 页

43 山东 CA 会对其关键的 CA 职员进行严格的背景调查背景调查主要通过 ( 但不限于 ) 以下方式 : 1) 身份验证, 包括个人身份证件户籍证件等 2) 学历学位等其他资格资历证书 3) 个人履历, 包括家庭状况教育经历工作经历及相关证明人等 4) 无犯罪记录证明材料注册机构注册分支机构和受理点操作员的审查, 可以参照山东 CA 对可信任员工的考察方式受理点责任机构可以在此基础上增加考察和培训条款, 但不得违背山东 CA 山东 CA 确立流程管理规则, 所有的员工与山东 CA 签定保密协议, 据此 CA 员工受到合同和章程的约束, 不得泄露山东 CA 证书服务体系的敏感信息背景审查程序山东 CA 制定了严格的员工背景审查程序, 与有关的政府部门和调查机构合作, 完成对山东 CA 可信任员工的背景调查身份背景调查过程中, 存在 ( 但不限于 ) 下列情形之一, 不得通过可信审查 : 1) 伪造相关证件材料的 2) 伪造工作经历及工作证明人虚假的 3) 虚假声称具有某种技能能力的证件 4) 以往工作中存在重大不诚实行为的 5) 有犯罪记录的培训要求山东 CA 对山东 CA 员工进行以下内容的综合性培训 : 山东 CA 安全原则和机制 ; 山东 CA 使用的软件介绍 ; 山东 CA 操作的系统和网络 ; 岗位职责 ; 山东 CA 政策标准和程序 ; 相关法律仲裁规则管理办法等针对关键岗位员工进行相关职责安全机制工作操作说明等方面内容第 34 页共 72 页

44 的培训再培训周期和要求根据山东 CA 策略调整系统更新等情况, 山东 CA 将对员工进行继续培训, 以适应新的变化对于公司安全管理策略, 每年对员工进行一次以上的培训, 对于相关业务技能培训应每年进行一次以上的业务技能培训工作岗位轮换周期和顺序根据岗位人员和业务上的实际情况内部自行安排未授权行为的处罚当山东 CA 员工进行了未授权或越权操作, 山东 CA 在确认后将立即中止该员工进入山东 CA 证书服务体系, 根据情节严重程度实施包括提交司法机关处理等措施一旦发现上述情况, 山东 CA 立即作废或终止该人员的安全令牌独立合约人的要求山东 CA 的独立合约人及顾问执行与普通员工一致的可信资格确认, 此外独立合约人及顾问进入关键区域必须有专人的陪同与监督提供给员工的文档在培训或再培训期间, 山东 CA 提供给员工的培训文档包括 ( 但不限于 ) 以下几类 : 1) 员工手册 ; 2) ; 3) 岗位说明书 ; 4) 安全管理制度等 5.4 审计日志程序记录事件的类型山东 CA 的 CA 和 RA 运行系统, 记录所有与系统相关的事件, 以备审查这些记录, 无论是纸质或电子文档形式, 都包含事件日期事件的内容事件的发生时间段事件相关的实体等第 35 页共 72 页

45 山东 CA 应记录的内容包括 ( 但不限于 ): 1) 系统安全事件, 包括 : CA 系统 RA 系统和其他服务系统的活动, 系统崩溃, 硬件故障和其他异常 2) 电子认证服务系统操作事件, 包括系统的启动和关闭 3) 认证机构设施的访问, 包括授权人员进出认证机构设施非授权人员进入认证机构设施及陪同人和安全存储设施的访问 4) 证书生命周期相关事件处理日志的周期对于 CA 和订户证书生命周期内的管理事件日志, 山东 CA 将一个季度进行一次内部检查审计对系统安全事件和系统操作事件日志, 山东 CA 将每月进行一次检查处理对物理设施的访问日志, 山东 CA 将每月进行一次检查处理审计日志的保存期限山东 CA 会妥善保存认证服务的审计日志, 本地保存期限至少两个月, 离线存档为七年审计日志的保护山东 CA 执行严格的保护和管理, 确保只有山东 CA 授权的人员才能访问这些审查记录并且实现异地备份, 并禁止访问阅读修改和删除等操作审计日志备份程序山东 CA 保证所有的审查记录和审查总结都按照山东 CA 备份标准和程序进行根据记录的性质和要求, 采用在线和离线的各种备份工具, 有实时每天每周每月和每年等各种形式的备份审计收集系统山东 CA 审查采集系统涉及 : 证书签发系统 ; 证书注册系统 ; 证书目录系统 ; 证书审批受理系统 ; 第 36 页共 72 页

46 访问控制系统 ( 包括防火墙 ); 专网办公系统 ; 客户服务系统 ; 网站数据库安全保障系统 ; 其他山东 CA 认为有必要审查的系统对导致事件实体的通告山东 CA 将依据法律法规的监管要求, 对一些恶意行为, 如网络攻击等, 通知相关的主管部门, 并且山东 CA 保留进一步追究责任的权利脆弱性评估根据审计记录, 山东 CA 定期进行系统物理场地运营管理人事管理等方面的安全脆弱性评估, 并根据评估报告采取措施 5.5 记录归档归档记录的类型山东 CA 按照制度和流程定期对电子生成和 ( 或者 ) 手工生成的重要数据定期存档存档的内容包括订户资料电子认证系统签发的系统证书和订户证书证书撤销列表 CRL 电子认证系统维护操作记录可信人员进出机房操作记录外来人员进出记录数据备份记录涉及电子认证安全的事件记录及审计数据等归档记录的保存期限山东 CA 归档存档期限一般规定为七年订户资料保存期限为订户证书过期后七年归档文件的保护存档内容既有物理安全措施的保证, 也有密码技术的保证只有经过授权的工作人员按照特定的安全方式才能获取山东 CA 保护相关的档案免遭恶劣环境的威胁, 例如温度湿度和磁力等的破坏归档文件的备份程序所有纸质归档记录按照备份策略和流程由专人定期执行, 备份介质在山东 CA 公司本地备份管理按照备份策略和流程, 电子存档文件除了在山东 CA 内本地备第 37 页共 72 页

47 份外, 还将在异地保存其备份记录时间戳要求所有条款所述的存档内容都按照归档策略和流程分别由专人收集归档审核和保管所有归档记录上均有参与归档操作的人员与时间记录归档收集系统山东 CA 的档案收集系统由人工操作和自动操作两部分组成获得和检验归档信息的程序只有被授权的可信人员能够访问归档记录所有记录被访问后, 需验证其完整性此外, 山东 CA 每年验证存档信息的完整性 5.6 电子认证服务机构密钥更替在 CA 的密钥对遭受攻击或因为密钥生命期而需要更新密钥对的情况下, 由安全中心授权, 所有密钥管理员在场, 共同启动密钥管理程序, 执行密钥更新指令, 硬件加密设备重新生成根密钥密钥更换及自签名证书按照规定报告上级管理机构 5.7 损害与灾难恢复事故和损害处理程序山东 CA 已制定各种应急处理方案, 规定了相应的事故和损害处理程序, 应急处理方案包括 : 认证系统应急方案 ; 电力系统应急方案 ; 消防应急方案 ; 网络与信息系统应急方案 ; 安全事故应急处理方案等涉及电子认证机构的重大事故应按照规定及时上报管理机构计算资源软件和 / 或数据的损坏山东 CA 对业务系统及其他重要系统的资源软件和 / 或数据进行了备份, 并第 38 页共 72 页

48 制定了相应的应急处理流程当出现计算机资源软件或数据的损坏时, 能在最短的时间内恢复被损害的资源软件和 / 或数据实体私钥损害处理程序对于实体私钥的损害, 山东 CA 有如下处理要求和程序 : 1) 当证书订户发现实体证书私钥损害时, 订户必须立即停止使用其私钥, 并立即通知山东 CA 或注册机构撤销其证书山东 CA 按 CPS 4.9 发布证书撤销信息 2) 当山东 CA 或注册机构发现证书订户的实体私钥受到损害时, 山东 CA 或注册机构将立即撤销证书, 并通知证书订户, 订户必须立即停止使用其私钥山东 CA 按 CPS 4.9 发布证书撤销信息 3) 当山东 CA 的证书出现私钥损害时, 山东 CA 将立即撤销 CA 证书并及时通过广达的途径通知依赖方, 然后生成新的 CA 密钥对签发新的 CA 证书灾难后的业务连续性能力除非物理场地出现了毁灭性的无法恢复的灾难, 山东 CA 能够在出现灾难后最短时间内恢复其业务能力山东 CA 目前正计划建立省际异地灾难恢复中心, 灾难恢复中心的建立, 将进一步增强山东 CA 的灾后业务存续能力 5.8 电子认证服务机构或注册机构的终止当山东 CA 打算终止经营时, 会在终止经营前三个月给山东 CA 授权的发证机构垫付商和证书持有者书面通知, 并在终止服务六十日前向国务院信息产业主管部门报告, 按照相关法律规定的步骤进行操作山东 CA 会按照相关法律的规定来安排好档案和证书的存档工作在 CA 终止期间, 采用以下措施终止业务 : 起草 CA 终止声明 ; 通知与 CA 停止相关的实体 ; 关闭从目录服务器 ; 证书撤销 ; 处理存档文件记录 ; 停止认证中心的服务 ; 第 39 页共 72 页

49 存档主目录服务器 ; 关闭主目录服务器 ; 处理山东 CA 系统管理员和业务管理员 ; 处理加密密钥 ; 处理和存储敏感文档 ; 清除 CA 主机硬件根据山东 CA 与 RA 签订的协议终止 RA 的业务由于密钥受损和非密钥受损原因而终止山东 CA, 要完成相似的操作, 唯一不同在发送山东 CA 终止通知的时间限制上 : 由于密钥受损原因终止山东 CA, 要求山东 CA 通知订户的过程尽快完成 ; 由于非密钥受损的原因终止山东 CA, 在通知所有订户后, 采取适当的步骤减轻山东 CA 终止对订户的影响第 40 页共 72 页

50 第六章认证系统技术安全控制 6.1 密钥对的生成和安装由于密钥对是安全机制的关键, 所以在中制定了相应的规定, 通过物理安全控制和密钥安全存储控制来确保密钥对的产生传送安装等过程中符合保密性完整性和不可否认性的需求密钥对的生成加密密钥对是由中华人民共和国国家密码管理局许可的山东 CA 数字证书签发系统支持的加密机设备生成的, 由山东省密码管理局所属的 KMC 控制管理签名密钥对是由客户端产生, 证书申请者可使用山东省密码管理局认可的山东 CA 数字证书签发系统支持的介质生成签名密钥对签名密钥存储在介质中不可导出, 保证山东 CA 无法复制签名密钥对山东 CA 支持多种介质, 如智能密码钥匙智能 IC 卡等山东 CA 可根据证书申请者要求或自身选择签名密钥对生成介质服务器证书的密钥对由订户自己产生, 订户应妥善保管山东 CA 通过物理安全控制和密钥安全存储控制, 在技术流程和管理上保证密钥对产生的安全性加密私钥传送给订户订户自己生成的密钥对的情况下, 不需要将私钥传给订户证书订户的加密私钥是在 KMC 产生的, 该私钥只保存在 KMC 在加密私钥从 KMC 到订户的传递时, 采用国家密码管理局许可的对称密钥算法加密, 山东 CA 无法获得, 这样就保证了证书订户加密私钥的安全公钥传送给证书签发机构山东 CA 从 KMC 取得订户加密公钥后为其签发证书, 在此过程中采用国家密码管理局许可的对称密钥算法加密, 保证了传输中密钥的安全自生成密钥对证书订户向山东 CA 提交证书申请时, 该请求信息内的公钥, 使第 41 页共 72 页

51 用安全通道保证信息的机密性和完整性电子认证服务机构公钥传送给依赖方山东 CA 的根公钥包含在山东 CA 自签发的根证书中证书订户可以从山东 CA 的网站 ( 上下载山东 CA 根证书, 也可以由山东 CA 通过目录系统业务系统的安装电子邮件和软件绑定等方式提供给依赖方密钥的长度为了保证加密 / 解密的安全性, 山东 CA 所使用的密钥对长度为 1024 位如果国家法律法规政府主管机构等对密钥长度有明确的规范和要求, 山东 CA 将会完全遵从公钥参数的生成和质量检查公钥参数由国家密码管理局许可山东 CA 数字证书签发系统支持的硬件产生 ; 质量检查由国家密码管理局具体实施密钥使用用途在山东 CA 证书服务体系中的密钥用途和证书类型紧密相关, 被分为签名和加密两大类山东 CA 的签名密钥用于签发 RA 证书和证书撤销列表 (CRL); RA 的签名密钥用于确认 RA 所做的审批证书等操作 ; 订户的签名密钥用于提供网络安全服务, 如信息在传输过程中不被篡改接收方能够通过数字证书来确认发送方的身份发送方对于自己发送的信息不能抵赖等 ; 订户加密密钥用于对需在网络上传送的信息进行加密, 保证信息除发送方和接受方外不被其他人窃取篡改更多与协议和应用相关的密钥使用限制请参阅 X.509 标准中的密钥用途扩展域 6.2 私钥保护和密码模块工程控制密码模块的标准和控制山东 CA 使用国家密码管理局许可的产品, 密码模块的标准符合国家规定的要第 42 页共 72 页

52 求私钥多人控制 (m 选 n) 山东 CA 采用多人控制策略激活使用备份停止和恢复山东 CA 的签名密钥, 采取 5 个管理人员中至少 3 个在场才可进行操作的原则私钥托管 KMC 可以根据客户和法律的需要, 对加密密钥进行托管签名私钥由订户自己保管, 以保证其不可否认性私钥备份山东 CA 对其签名私钥通过专门的备份加密卡进行备份, 私钥的备份采用多人控制策略 KMC 备份托管的订户加密私钥, 确保加密私钥的安全私钥归档 KMC 提供过期的托管私钥的存档服务 ; 保存期为七年当私钥过了保存期, 将依据相关规定对其进行销毁私钥导入导出密码模块在山东 CA 业务系统中, 可以把订户的私钥导入指定的密码模块中私钥无法从硬件密码模块中导出, 必须通过密码验证之后, 才可能使用存储在密码模块中的私钥进行加解密操作山东 CA 的根 CA 私钥在硬件密码模块上生成, 保存和使用山东 CA 对根 CA 私钥进行严格的密钥管理和备份恢复控制, 有效防止了根 CA 私钥的丢失被窃修改非授权的泄露非授权的使用私钥在密码模块的存储山东 CA 私钥以加密的形式存放在硬件密码设备中, 并在该设备中使用激活私钥的方法山东 CA 将订户证书的私钥保存在 USB Key 或智能卡等硬件密码模块中, 只有输入 PIN 码, 私钥才能被激活使用山东 CA 所签发的服务器类证书, 证书的私钥由专有的密码模块提供和保存, 第 43 页共 72 页

53 当服务程序要加载私钥时需求通过保护口令的验证才能访问密码模块中的私钥解除私钥激活状态的方法对于存放在软件密码模块中的证书的私钥, 当软件密码模块被下载订户退出登录状态操作关闭或计算机断电时, 私钥被解除激活状态对于存放在硬件密码模块中的订户证书私钥, 通过 PIN 码激活私钥后仅活动一次后即解除其激活状态销毁私钥的方法对于山东 CA 签发的订户加密证书私钥, 在其生命周期结束后,KMC 对该密钥进行归档妥善保存一定期限, 以便于解开加密信息对于山东 CA 签发的订户签名私钥, 在其生命周期结束后, 无需再保存, 可以通过私钥的删除系统或密码模块的初始化来销毁密码模块的评估山东 CA 使用国家密码主管部门批准和许可的密码产品 6.3 密钥对管理的其他方面公钥归档对于生命周期外的 CA 和订户证书, 山东 CA 将进行归档归档的证书存放在归档数据库中证书操作期和密钥对使用期限证书操作期终止于证书过期或者被撤销山东 CA 为订户颁发的证书操作周期通常与密钥对的使用周期是相同的对于签名用途的证书, 其私钥只能在证书有效期内才可以用于数字签名, 私钥的使用期限不超过证书的有效期限为了保证能够验证在证书有效期内的签名的信息, 公钥的使用期限可以在证书的有效期限之外对于加密用途的证书, 其公钥只能在证书有效期内才可以用于加密信息, 公钥的使用期限不超过证书的有效期限为了保证在证书有效期内加密的信息可以解开, 私钥的使用期限可以在证书的有效期限以外对于身份鉴别用途的证书, 其私钥和公钥只能在证书有效期内才可以使用第 44 页共 72 页

54 6.4 激活数据激活数据的产生和安装存放有山东 CA 根密钥的加密卡的激活信息 ( 秘密分割 ), 其产生按山东 CA 密钥生成规程参考指南中的规定进行所有秘密分割的创建和分发有相应的记录, 包括产生时间持有人等信息山东 CA 根私钥的激活数据由硬件加密卡内部产生, 并分割保存在 5 个智能卡中, 需通过专门的读卡设备和软件读取如果订户证书私钥的激活数据是口令, 这些口令必须 : 由订户产生 ; 至少 6 位字符或数字 ; 不能包含很多相同的字符 ; 不能和操作员的名字相同 ; 不能使用生日电话等数字 ; 不能包含订户名信息中的较长的子字符串激活数据的保护保存有山东 CA 根私钥的激活数据的 5 个智能卡, 由山东 CA 5 个不同的超级管理员掌管, 而且超级管理人员必须符合山东 CA 职责分割的要求, 签署协议确认他们知悉秘密分割掌管者责任如果证书订户使用口令或 PIN 码保护私钥, 订户应妥善保管好其口令或 PIN 码, 防止泄露或窃取激活数据的其他方面激活数据的传送存有山东 CA 根私钥的激活数据的智能卡, 通常保存在山东 CA 的安全设施中, 不能携带外出或传送如因某种特殊情况确实需要传送时, 其传送过程需在山东 CA 安全管理人员的监督下进行当订户证书私钥的激活数据需要进行传送时, 订户应保护它们在传送过程中免于丢失偷窃修改非授权泄露或非授权使用第 45 页共 72 页

55 激活数据的销毁存有山东 CA 根私钥的激活数据的智能卡, 其销毁所采取的方法包括将智能卡初始化, 或者彻底销毁智能卡, 保证不会残留有任何秘密信息 CA 根私钥激活数据的销毁是在山东 CA 安全管理人员的监督下进行当订户证书私钥的激活数据不需要时应该销毁, 订户应该确保无法通过残余信息介质直接或间接恢复激活数据的部分或全部, 比如记录有口令的纸页必须粉碎 6.5 计算机安全控制特别的计算机安全技术要求山东 CA 的数字证书签发系统的数据文件和设备由山东 CA 系统管理员维护, 未经山东 CA 管理员授权, 其它人员不能操作和控制山东 CA 系统 ; 其它普通订户无系统账号和密码山东 CA 系统部署在多级不同厂家的防火墙之内, 确保系统网络安全山东 CA 系统密码有最小密码长度要求, 而且必须符合复杂度要求, 山东 CA 系统管理员定期更改系统密码计算机安全评估山东 CA 的 CA 系统及其运营环境通过了中国国家信息安全测评认证中心的运营系统安全测评山东 CA 根据法律法规和主管部门的规定, 按照国家计算机安全等级的要求, 实现安全等级制度 6.6 生命周期技术控制系统开发控制按照山东 CA 内部系统开发流程进行控制安全管理控制山东 CA 的配置以及任何修改和升级都会记录在案并进行控制, 并且山东 CA 采取一种灵活的管理体系来控制和监视系统的配置, 以防止未授权的修改认证系统只开放与业务相关的功能, 只有山东 CA 授权的员工能够进入山东 CA 的系统或设备第 46 页共 72 页

56 6.6.3 生命周期的安全控制山东 CA 的证书认证系统在系统设计过程中充分进行了安全性考虑, 在开发过程中有严格的流程进行代码安全管理, 在开发完成后进行了严格的安全测试, 在正式使用前通过了国家有关部门的系统安全性审查和技术鉴定 6.7 网络的安全控制山东 CA 网络中有防火墙入侵检测漏洞扫描和网络防病毒等安全机制保护, 其配置只允许已授权的机器访问只有经过授权的山东 CA 员工才能够进入山东 CA 签发系统山东 CA 注册系统山东 CA 目录服务器山东 CA 证书发布系统等设备或系统所有授权订户必须有合法的安全令牌, 并且通过密码验证 CA 系统只开放与申请证书查询证书等相关操作功能, 其他端口和服务全部关闭 CA 系统的边界控制设备拒绝一切非电子认证业务的服务 6.8 时间戳山东 CA 认证系统的各种系统日志操作日志有对应的记录时间第 47 页共 72 页

57 第七章证书证书撤销列表和在线证书状态协议 7.1 证书山东 CA 签发的证书均符合 X.509 V3 证书格式, 遵循 RFC3280 标准版本号 X.509 V 证书标准项及扩展项证书标准项 : 证书版本号 (Version) 指明 X.509 证书的根式版本, 值为 V3 证书序列号 (SerialNumber) 指唯一标识该证书的一组 32 位字符证书签名标识符 (Signature) 指定签发证书时所使用的签名算法签发机构名 (Issuer) 用来标识签发证书的 CA 的 DN 名字 CN = SDCA Root Authority C = CN 证书有效期 (Validity) 指证书的起止时间主题 (Subject) 指为证书订户申请证书时所填写的申请信息即订户的甄别名详细请参看第 3.1 节公钥 (subjectpublickeyinfo) 证书持有者公开密钥信息域包含两个重要信息 : 证书持有者的公开密钥的值 ; 公开密钥使用的算法标识符微缩图算法第 48 页共 72 页

58 证书内容的签名算法微缩图证书内容的签名值证书扩展项 : 授权密钥标识符授权密钥标识符与验证签名的公开密钥相联系山东 CA 根证书公钥与此标识符相联系主题密钥标识符通过主体密钥标识符识别相对应证书的公钥密钥用法指定各种密钥的用法 : 电子签名, 不可抵赖, 密钥加密, 数据加密, 密钥协议, 验证证书签名, 验证 CRL 签名, 只加密, 只解密, 只签名密钥扩展使用暂无证书策略暂无基本限制用于鉴别证书持有者身份, 如最终订户等 CRL 发布点由山东 CA 定义的 CRL 发布点如 : Directory Address: CN=crl396,OU=crl,OU=5 OU=1,O=SDCA,L=JINAN,S=SHANDONG,C=cn 算法对象标识符山东 CA 签发的证书按照 RFC 3280 标准, 用 sha1rsa 算法签名名称形式山东 CA 签发证书的甄别名符合 X.500 关于甄别名的规定详情参见第 3.1 节内容第 49 页共 72 页

59 7.1.5 名称限制订户在证书中的名称可以是假名, 但不能使用匿名, 并在山东 CA 的数据库中记录订户的相关信息山东 CA 可以按照一定的规则为订户指定特殊名称, 并且能够把该类特殊的名称与一个确定的实体 ( 个人单位或设备 ) 唯一联系起来证书策略对象标识符没有定义策略限制扩展项的用法没有使用策略限定符的语法和语义没有规定关键证书策略扩展项的处理规则与 X.509 和 PKI 相关规定一致 7.2 证书撤销列表山东 CA 定期签发证书撤销列表 (CRL), 其所签发的 CRL 遵循 RFC3280 标准版本号采用 X.509 V2 格式 CRL 和 CRL 条目扩展项与 X.509 和 PKI 规定一致版本号 : 用来指定 CRL 的版本信息签名算法 : 山东 CA 采用 sha1rsa 签名算法颁发者 : 指定签发机构的 DN 名生效时间 : 指定一个日期 / 时间值, 用以表明本 CRL 发布的时间下次更新时间 : 指定一个日期 / 时间值, 用以表明下一次 CRL 将要发布的时间撤销证书列表 : 指定已经撤销或挂起的证书列表本列表中含有证书的序列号和证书被撤销的日期和时间颁发机构密钥标识符 : 本项标识用来验证在 CRL 上签名的公开密钥第 50 页共 72 页

60 扩展 7.3 在线证书状态协议 RFC2560 中定义了在线证书状态协议 (Online Certificate Status Protocol, OCSP), 它克服了基于 CRL 的撤消方案的局限性, 并且为证书状态查询提供即时的最新响应版本号 OCSP:V OCSP 扩展项与 RFC2560 一致第 51 页共 72 页

61 第八章认证机构审计和其他评估 8.1 评估的频率或情形根据情况而定, 有年度评估运营前评估安全时间发生后的评估和随时进行评估山东 CA 本身也需要对山东 CA 的关联单位 ( 包含山东 CA 授权的注册机构注册分支机构受理点等证书体系成员 ) 所有的流程和操作进行审计, 检验其是否符合本和相应的证书政策的规定, 其频率可由山东 CA 决定或由法律制定的监管机构决定根据中华人民共和国电子签名法电子认证服务管理办法等的要求, 每年一次接受上级主管部门的合规性审计根据审计结果, 需要整改后复审的, 应接受复审 8.2 评估者的资质对山东 CA 实施规范审计的第三方所具有的资质和经验必须符合监管法律和行业准则规定的要求, 包括 : 必须是经许可的有营业执照的具有计算机安全专门技术知识的的审计人员或审计评估机构, 且在业界享有良好的声誉 ; 了解计算机信息安全体系通信网络安全要求 PKI 技术标准和操作 ; 具备检查系统运行性能的专业技术和工具 8.3 评估者与被评估者之间的关系对山东 CA 进行审计的第三方, 必须是一个独立于山东 CA 的合法审计实体山东 CA 内部审计员不能与系统管理员业务管理员业务操作员等岗位重叠 8.4 评估内容审计工作包括 : 第 52 页共 72 页

62 安全策略是否得到充分实施 ; 运营工作流程和制度是否严格遵守 ; 电子认证业务规范是否符合证书策略的要求 ; 是否严格按照本 CPS 业务规范和安全要求开展业务; 各种日志记录是否完整, 是否存在问题 ; 是否其它可能存在的安全风险 ; 山东 CA 支持的证书认证操作规程是否完全与本表达一致, 包括山东 CA 的技术手续和员工的相关管理政策和 ; 山东 CA 是否实施了相关技术管理相关政策和 ; 审计者或山东 CA 认为有必要审计的其他方面 8.5 对问题与不足采取的措施如果在审计过程中发现执行有不足之处, 由安全中心负责监督这些问题的责任职能部门进行业务改进和完善的情况, 完成对评估结果的改进后, 各职能部门必须向安全中心提交业务改进工作总结报告如果在外部评估过程中发现执行有不足之处, 山东 CA 必须根据评估的结果检查缺失和不足, 根据提出的整改要求, 提交修改和预防措施以及整改方案, 并接受对整改方案的审查, 以及对整改情况的再次评估 8.6 评估结果的传达与发布除非法律明确要求, 山东 CA 一般不公开审计结果在必要的情况下, 山东 CA 可依照与关联单位 ( 例如垫付商注册机构注册分支机构受理点 ) 签订的协议中有关规定, 向关联单位通知审计结果第 53 页共 72 页

63 第九章法律责任和其他业务条款 9.1 费用证书相关费用在山东 CA 的网站上公布 ( 价目表按山东 CA 明确指定的时间生效, 若没有指定生效时间的, 自价目表公布之日起生效山东 CA 也可以通过其他方法通知证书持有者或其他各方费用变化证书签发和更新费用根据山东 CA 的价目确定证书查询费用山东 CA 目前不对证书查询收取专门的费用证书撤销或状态信息的查询费用证书撤销列表 (CRL) 的获取不收取任何费用山东 CA 有可能根据需要将 OCSP 服务作为增值服务收取费用其他服务费用根据山东 CA 的价目确定退款策略如果由于山东 CA 违背了本证书策略所规定的责任, 造成订户合同无法履行订户证书无法使用, 山东 CA 对订户证书进行撤销并将订户为申请证书所支付的费用退还给订户 9.2 财务责任山东 CA 保证具有维持运作和履行其责任的经济基础, 有能力承担对订户依赖方因合法使用数字证书时而造成的责任风险, 并依据本规定的方式和范围进行有过错时的赔偿保险范围出现下列情形并经公司确认后, 证书订户依赖方等实体可以申请赔偿 ( 法定或约定免责除外 ) 第 54 页共 72 页

64 1) 山东 CA 在批准证书前没有严格按业务程序确认证书申请, 造成证书的错误签发, 并导致订户或依赖方遭受损失的 ; 2) 山东 CA 将证书错误的签发给订户以外的第三方, 导致订户或者依赖方遭受损失的 ; 3) 由于山东 CA 的原因导致证书私钥被破译窃取, 导致订户或者依赖方遭受损失的 ; 4) 山东 CA 未能及时撤销证书, 导致订户或者依赖方遭受损失的其他资产山东 CA 目前有能力维护运营和应对可能出现的赔付对最终实体的保险或担保山东 CA 承担订户或依赖方在使用证书过程中造成损失时的举证责任, 如无证据证明订户或依赖方使用过程中存在错误操作, 则山东 CA 将按照发布的赔偿办法予以赔偿 9.3 业务信息保密山东 CA 有专门的信息保密制度, 保护自身和订户的敏感信息商业秘密保密信息范围山东 CA 保密的信息包括 ( 但不限于 ): 系统方面 - 认证系统结构配置, 包括系统网络数据库等 ; - 认证系统安全策略和方案 ; - 系统操作维护记录 ; - 各类系统操作口令运营管理方面 - 物理安全策略与实施方案, 包括场地访问控制入侵检测等实施方案 ; - 密钥管理策略与操作记录 ; - CA 或 RA 批准或拒绝的申请纪录 ; - 可信人员名单 ; - 内部安全管理策略与制度第 55 页共 72 页

65 - 审计记录订户信息 - 订户的注册信息 ; - 订户系统应用访问 CRL OCSP 的记录 ( 时间频度 ); - 订户与认证机构注册机构签订的协议不属于保密的信息山东 CA 证书申请流程手续申请操作指南证书撤销列表等保护保密信息的责任山东 CA 有各种严格的管理制度流程和技术手段保护自身的商业秘密, 每个员工都必须接受信息保密方面的培训, 并与公司签订保密协议任何参与方有责任保证不泄露保密信息 9.4 个人隐私保密隐私保密方案山东 CA 制定有隐私保护制度并签定保密协议, 保证证书订户的个人信息不被滥用未授权使用或出售, 同时采取必要措施防止客户资料被遗失盗用与篡改作为隐私处理的信息作为隐私处理的信息包括 : 最终订户注册申请证书中提交的信息, 包括联系电话地址等 ; 订户与山东 CA 注册机构签订的协议不被视为隐私的信息不被认为是隐私信息包括 : 用来构成证书内容的信息, 证书及证书状态保护隐私的责任除非执法司法方面的强制需要, 山东 CA 及其注册机构在没有获得客户授权的情况下, 不会将客户隐私信息透露给第三方使用隐私信息的告知与同意山东 CA 或其注册机构如果需要将客户隐私信息用于双方约定的用途以外的目的, 则需要事先告知订户并获得订户同意和授权, 订户同意和授权信息以下列第 56 页共 72 页

66 方式之一传送给山东 CA 或其注册机构 : 1) 将手写签名的同意和授权文件邮寄快递到山东 CA 或其注册机构 ; 2) 将手写签名的同意和授权文件传真到山东 CA 或其注册机构 ; 3) 以签名电子邮件的形式同意并授权依法律或行政程序的信息披露当山东 CA 在任何法律法规或规章条款的要求下, 或在司法机关的要求下必须披露本中具有保密性质的信息时, 山东 CA 可以按照法律法规或规章条款以及司法机关的要求, 向执法部门公布相关的保密信息这种披露不视为违反了保密的要求和义务其他信息披露情形对其他信息的披露受制于法律订户协议 9.5 知识产权山东 CA 保留对本 CPS 的所有知识产权山东 CA 保留其签发的证书和证书撤销信息的所有知识产权任何人可以免费地复制分发证书和证书撤销列表, 只要他们进行完整复制并且证书和证书撤销列表的使用符合相应的依赖方协议证书申请者保留证书申请中包含的申请者拥有的商标服务标志或商业名称以及签发给该证书申请者的证书中的可辨识名的所有权利证书所有者拥有其证书相关的密钥对的知识产权 9.6 陈述与担保电子认证服务机构的陈述与担保除非山东 CA 作出特别约定, 若本的规定与其他山东 CA 制定的相关规定指导方针相互抵触, 订户必须接受本的约束在山东 CA 与包括订户在内的其他方签订的仅约束签约双方的协议中, 对协议中未约定的内容, 视为双方均同意按本的规定执行 ; 对协议中有不同于本内容的约定, 按双方协议中约定的内容执行山东 CA 承担的责任和义务是 : 第 57 页共 72 页

67 保证电子认证服务机构本身使用和发放的公钥算法在现有通常技术条件下不会被攻破 ; 保证山东 CA 的签名私钥在山东 CA 内部得到安全的存放和保护 ; 山东 CA 建立和执行的安全机制符合国家政策的规定山东 CA 不对由于客观意外或其他不可抗力事件造成的操作失败或延迟承担任何损失损坏或赔偿责任这些事件包括劳动纠纷交易一方故意或无意的行为罢工暴动骚动战争火灾爆炸地震水灾或其他大灾难等针对上述内容补充解释如下 : 第一 : 除上述所规定的职责条款, 山东 CA 山东 CA 的服务机构山东 CA 授权的发证机构山东 CA 的雇员不承担其它任何义务必须指出, 本的内容, 没有任何信息可以暗示或解释成山东 CA 必须承担其它的义务或山东 CA 必须对其行为作出其它的承诺第二 : 在上述内容中所罗列不可抗力的任何情况下, 山东 CA 由于受到影响, 可免除本节所述的责任和相应的证书策略规定的责任和义务第三 : 由于技术的进步与发展, 为保证证书的安全性, 山东 CA 会要求证书持有者及时更换证书以保证山东 CA 能更好地履行本节所述之责任注册机构的陈述与担保注册机构必须遵守所有的登记程序和安全保障措施这些程序和保障由山东 CA 决定, 并在本或相应的注册机构协议中规定, 以后山东 CA 可以根据情况修改有关内容, 并及时公布注册机构必须遵守和符合本的条款具体内容详见本文档订户的陈述与担保所有的订户必须严格遵守关于证书申请以及私钥的所有权和安全保存相关的程序 : 订户在证书申请表上填列的所有声明和信息必须是完整精确真实和正确的, 可供山东 CA 或受理点检查和核实 ; 订户必须严格遵守和服从规定的或者由山东 CA 推荐使用的安全措施 ; 第 58 页共 72 页

68 订户需熟悉本的条例和与证书相关的证书政策, 遵守订户证书使用方面的有关限制 ; 一旦发生任何可能导致安全性危机的情况, 如遗失私钥遗忘或泄密以及其他情况, 订户应立刻通知山东 CA 或山东 CA 授权的发证机构, 申请采取挂失废除等处理措施依赖方的陈述与担保依赖方确认, 在任何信赖行为发生之前, 阅读了依赖方协议, 并评估了在特定应用中信赖证书的适当性, 不在证书适用目的以外的应用中信任证书其他参与者的陈述与担保遵守本 CPS 的所有规定 9.7 担保免责有下列情形之一的, 应当免除山东 CA 之责任 : 1) 订户在申请和使用山东 CA 数字证书时, 有违反如下义务之一的 : 订户应当提供真实完整准确的材料和信息, 不得提供虚假无效的材料和信息 ; 订户应当妥善保管山东 CA 所签发的数字证书载体和保护 PIN 码, 不得泄漏 PIN 码或将数字证书载体随意交付他人 ; 订户在应用自己的密钥或使用数字证书时, 应当使用可依赖的安全的系统 ; 订户知悉电子签名制作数据已经失密或者可能已经失密时, 应当及时告知山东 CA 及相关各方, 并终止使用该电子签名制作数据 ; 订户在使用数字证书时必须遵守国家的法律法规和行政规章制度, 不得将数字证书在山东 CA 规定使用范围之外的其他任何用途使用 ; 订户必须在证书有效安全期内使用该证书, 不得使用已失密或可能失密已过有效期被挂起被撤销的数字证书 ; 订户应当根据规定按时向山东 CA 及当地业务受理点缴纳服务费用 2) 由于不可抗力原因而导致数字证书签发错误延迟中断无法签发, 或暂停终止全部或部分证书服务的 ; 本项所规定之不可抗力, 是指不能预第 59 页共 72 页

69 见不能避免并不能克服的客观情况, 包括 ( 但不限于 ): 自然灾害, 包括地震火山爆发滑坡泥石流雪崩洪水台风等 ; 社会异常或者政府行为, 包括政府颁发新的政策法律和行政法规, 或战争罢工骚乱等社会异常事件 3) 山东 CA 已谨慎地遵循了国家法律法规规定的数字证书认证业务规则, 而仍有损失产生的 9.8 有限责任在与订户和依赖方签定的协议中, 对于因订户或依赖方的原因造成的损害不具有赔偿义务 9.9 赔偿 1) 对于由如下原因造成的订户或依赖方损失, 山东 CA 对订户或依赖方进行赔偿 : (1) 山东 CA 在批准证书前没有严格按业务程序确认证书申请, 造成证书的错误签发 ; (2) 由于山东 CA 的原因, 使得证书中出现了错误信息 ; 2) 在如下情况, 订户对自身原因造成的山东 CA 依赖方损失承担责任: (1) 订户在证书申请中对事实的虚假或错误描述 ; (2) 在证书申请中订户没有披露重要的事实, 如果这种错误表述或遗漏是因为粗心或故意欺骗任何一方 ; (3) 订户没有使用可信系统保护私钥, 或者没有采取必要的注意防止订户私钥的安全损害丢失泄漏修改或非授权的使用 ; (4) 订户使用的名字 ( 包括但不限于通用名域名和地址 ) 破坏了第三方的知识产权法 3) 在如下情况, 依赖方对自身原因造成的山东 CA 损失承担责任 : (1) 依赖方没有执行依赖方职责义务 ; (2) 依赖方在不合理的环境下信赖一个证书 ; (3) 而依赖方没有检查证书状态确定证书是否过期或撤销 4) 山东 CA 承担赔偿责任 ( 法定或约定免责除外 ) 的赔偿限制如下 : 第 60 页共 72 页

70 (1) 山东 CA 对任何证书订户依赖方等实体有关证书赔偿的合计责任限制在不超出下述数量的范围内 : 自然人证书证书类型机构 ( 企业 ) 证书 800 元 RMB 4000 元 RMB 赔偿金额上限设备证书 8000 元 RMB 这种赔偿上限可以由山东 CA 根据情况重新制定, 山东 CA 会将重新制定后的情况立刻通知相关当事人 (2) 对于由订户或依赖方的原因造成的损失, 山东 CA 不承担责任, 由订户或依赖方自行承担 (3) 山东 CA 只有在其证书有效期限内承担损失损害赔偿 9.10 有效期限与终止有效期限本 CPS 自发布之日起生效终止当新版本的 CPS 生效时或山东 CA 终止业务时, 旧版本 CPS 自动终止 ; 当山东 CA 中止业务时, 山东 CA CPS 自动终止效力的终止与保留本 CPS 终止后, 已签发符合本证书策略的证书, 效力作用直到证书到期或撤消当由于某种原因, 如内容修改与适用法律相冲突, 证书策略订户协议依赖方协议和其他协议中的某些条款失效后, 不影响文件中其他条款的法律效力 9.11 对参与者的个别通告与沟通山东 CA 及其注册机构在必要的情况下, 如在主动撤销订户证书发现订户将证书用于规定外用途及订户其他违反订户协议的行为时, 会通过适当方式, 如电话电邮信函传真等, 个别通知订户依赖方第 61 页共 72 页

71 9.12 修订山东 CA 有权在合适的时间修订本中任何术语条件和条款, 而且无须预先通知任何一方山东 CA 有权在山东 CA 的自主数据库中设置和公布修改结果, 或以其他方式 ( 如修改 CPS 版本的形式或在网站上 ) 公布所有的修订在公布后立刻生效修订程序 CPS 中所列条款不能适应运营的实际需求, 或者与现行法律相抵触时, 山东 CA 有权在合适的时间修订本 CPS 中任何术语条件和条款, 而且无须预先通知任何一方本 CPS 的修订, 由安全中心组织讨论, 提出修订报告, 经山东 CA 安全管理委员会批准后, 由安全中心负责组织修订, 修订后的 CPS 经过山东 CA 安全管理委员会审查通过后正式实施通知机制和期限修改后的 CPS 经批准后将立即在山东 CA 信息库更新通告栏发布对于需要通过电子邮件信件媒体等方式通知的修改, 山东 CA 将在合理的时间内通知有关各方, 合理的时间保证有关方面受到的影响最小山东 CA 保留随时对 CPS 进行修订的权利, 进行下列 ( 但不限于 ) 不重要的修订后将不作通知 : 对印刷错误的更正 URL 的改变和联系人信息的变更等必须修改业务规则的情形由山东 CA 安全中心根据公司业务情况提出, 山东 CA 安全管理委员会审批 9.13 争议处理如果各参与方之间无法协商解决出现的问题和争端, 可通过法律途径解决 9.14 管辖法律本规则在各方面服从中华人民共和国电子签名法电子认证服务管理办法等中华人民共和国法律规则规章法令和政令的约束和解释山东 CA 第 62 页共 72 页

72 的任何业务活动受有关法律法规的制约, 任何业务和法律文件合同的解释执行不能同有关法律法规相冲突 9.15 与适用法律的符合性本 CPS 的使用也必须遵从使用地的相关法律和法规 9.16 一般条款完整协议 CP CPS 订户协议及依赖方协议及其补充协议将构成山东 CA 信任域参与者之间的完整协议转让山东 CA 注册机构订户及依赖方之间的责任义务不能通过任何形式转让给其他方分割性法律允许的范围内, 在山东 CA 订户协议依赖方协议和其他订户协议内出现可以同其他条款分割的条款时, 协议中的可分割条款的无效不应该影响协议中其他条款效力强制执行在山东 CA 注册机构订户和依赖方之间出现纠纷诉讼时, 胜讼可以要求对方支付有关诉讼费作为对其补偿的一部分免除一方对某次合同违约的赔偿, 不意味着免除对其他合同违约的赔偿不可抗力当由于不可抗力, 如地震洪灾雷电等自然灾害和战争等, 造成山东 CA 注册机构无法提供正常的服务时, 山东 CA 注册机构不承担由此给客户造成的损失 9.17 其他条款山东 CA 对本 CPS 具有最终解释权第 63 页共 72 页

湖北省数字证书认证管理中心

湖北省数字证书认证管理中心电子认证业务规则版本 2.0 湖北省数字证书认证管理中心有限公司 2007 年 2 月目录 1. 概括性描述...1 1.1 概述... 1 1.2 文档名称与标识... 1 1.3 电子认证活动参与者... 2 1.3.1 电子认证服务机构 (CA)... 2 1.3.2 注册机构 (RA)... 2 1.3.3 受理点... 2 1.3.4 订户... 2 1.3.5