数字认证公司

Size: px

Start display at page:

Download "数字认证公司"

己鞍禄
4 years ago
Views:

1 北京数字认证股份有限公司通用证书策略 (CP1) 版发布日期 :2017 年 11 月 9 日生效日期 :2017 年 11 月 9 日北京数字认证股份有限公司 Copyright Beijing Certificate Authority Co.,Ltd

2 版本控制表版本状态修订说明审核 / 批准人生效时间版本发布新版本发布公司 CPS 策略管理委员会 2011 年 11 月 9 日声明本 CP 全部或者部分支持下列标准 : RFC3647: 互联网 X.509 公钥基础设施 - 证书策略和证书业务声明框架 RFC5280: 互联网 X.509 公钥基础设施证书和 CRL 属性 RFC2560: 互联网 X.509 公钥基础设施 - 在线证书状态协议 -OCSP GB/T : 信息安全技术公钥基础设施证书策略与认证业务声明框架本文件所有版权归北京数字认证股份有限公司所有未经书面授权, 本文件中所有的文字图表不得以任何形式进行抄袭和出版 - 2 -

3 目录 1. 引言概述文档名称与标识 PKI 参与者电子认证服务机构注册机构订户依赖方其他参与者证书应用适合的证书应用限制的证书应用策略管理策略文档管理机构联系人决定 CP 符合策略的机构 CP 批准程序定义和缩写信息发布与信息管理信息库认证信息的发布发布时间或频率信息库访问控制标识与鉴别命名名称类型对名称意义化的要求订户的匿名或伪名理解不同名称形式的规则名称的唯一性商标的承认鉴别和角色初始身份确认证明持有私钥的方法个人身份的鉴别组织身份的鉴别没有验证的订户信息授权确认互操作准则密钥更新请求的身份标识与鉴别常规密钥更新的标识与鉴别吊销后密钥更新的标识与鉴别证书变更的标识与鉴别

4 3.4. 吊销请求的标识与鉴别证书生命周期操作要求证书申请证书申请实体申请过程与责任证书申请处理执行识别与鉴别功能证书申请批准和拒绝处理证书申请的时间证书签发证书签发过程中电子认证服务机构的行为电子认证服务机构对订户的通告证书接受构成接受证书的行为电子认证服务机构对证书的发布电子认证服务机构在颁发证书时对其他实体的通告密钥对和证书的使用订户私钥和证书的使用依赖方对公钥和证书的使用证书更新证书更新的情形请求证书更新的实体证书更新请求的处理颁发新证书时对订户的通告构成接受更新证书的行为电子认证服务机构对更新证书的发布电子认证服务机构在颁发证书时对其他实体的通告证书密钥更新证书密钥更新的情形请求证书密钥更新的实体证书密钥更新请求的处理颁发新证书对订户的通告构成接受密钥更新证书的行为电子认证服务机构对密钥更新证书的发布电子认证服务机构在颁发证书时对其他实体的通告证书变更证书变更的情形请求证书变更的实体证书变更请求的处理颁发新证书对订户的通告构成接受变更证书的行为电子认证服务机构对变更证书的发布电子认证服务机构在颁发证书时对其他实体的通告证书吊销和挂起

5 证书吊销的情形请求证书吊销的实体吊销请求的流程吊销请求宽限期电子认证服务机构处理吊销请求的时限依赖方检查证书吊销的要求 CRL 的颁发频率 CRL 发布的最长滞后时间证书状态服务操作特点服务可用性可选特征订购结束密钥生成备份与恢复密钥生成备份与恢复的策略和行为会话密钥的封装与恢复的策略和行为电子认证服务机构设施管理和操作控制认证系统技术安全控制密钥对的生成和安装密钥对的生成私钥传送给订户公钥传送给证书签发机构电子认证服务机构公钥传送给依赖方密钥的长度公钥参数的生成和质量检查密钥使用目的私钥保护和密码模块工程控制密码模块标准和控制私钥的多人控制私钥托管私钥备份私钥归档私钥导入或导出密码模块私钥在密码模块中的存储激活私钥的方法解除私钥激活状态的方法销毁密钥的方法密码模块的评估密钥对管理的其他方面公钥归档证书操作期和密钥对使用期限激活数据激活数据的产生和安装激活数据的保护

6 激活数据的其他方面计算机安全控制特别的计算机安全技术要求计算机安全要求生命周期技术控制系统开发控制安全管理控制生命周期的安全控制网络的安全控制时间戳证书证书吊销列表和在线证书状态协议证书版本号算法对象标识符名称形式证书扩展项证书吊销列表版本号 CRL 和 CRL 条目扩展项在线证书状态协议版本号 OCSP 扩展项电子认证服务机构审计和其他评估评估的频率或情形评估者的资质评估者与被评估者之间的关系评估内容对问题与不足采取的措施评估结果的传达与发布法律责任和其他业务条款

7 1. 引言 1.1. 概述北京数字认证股份有限公司 (Beijing Certificate Authority Co.,Ltd., 以下简称数字认证公司 ) 于 2001 年 2 月开始运营, 是权威公正的电子认证服务机构数字认证公司严格按照中华人民共和国电子签名法和电子认证服务管理办法的要求, 以及相关管理规定, 提供数字证书申请颁发存档查询废止等服务, 并通过以 PKI 技术数字证书应用技术为核心的产品和服务, 为电子活动提供可信身份可信时间和可信行为的网络信任环境证书策略 (Certification Policy, 以下简称 CP) 是关于电子认证服务机构制订的一组规则, 表明证书对特定群体的适用范围, 或对不同安全需求类型的适用规则本北京数字认证股份有限公司通用证书策略 ( 以下简称通用证书策略 ) 满足互联网标准组织制定的 RFC3647 互联网 X.509 公钥基础设施 - 证书策略和证书业务声明框架, 以及国内标准 GB/T 信息安全技术公钥基础设施证书策略与认证业务声明框架的框架和内容要求本通用证书策略适用范围为数字认证公司发放的通用证书, 包括个人证书机构证书和设备证书具体设定了证书策略生命周期使用依赖和管理的角色责任与要求, 以及各相关主体的职责为批准签发管理和使用证书和相关的可信服务制定业务, 提供技术策略和法律上的要求和规范 1.2. 文档名称与标识本文档的名称为北京数字认证股份有限公司通用证书策略 (CP1), 简称通用证书策略, 本证书策略 CP 的对象标识符为 : PKI 参与者电子认证服务机构数字认证公司是根据中华人民共和国电子签名法电子认证服务管理办法规定, 依法设立的第三方电子认证服务机构 ( 简称 :CA 机构 ) CA 机构是受用户信任, 负责创建和分配公钥证书的权威机构, 是颁发数字证书的实体 - 7 -

8 注册机构注册机构作为电子认证服务机构授权委托的下属机构, 包括注册系统 ( 简称 : RA 系统 ) 和证书本地受理点, 负责受理证书申请订户订户是从 CA 机构接收数字证书的实体在电子签名应用中, 订户即为电子签名人依赖方依赖方是依赖于证书真实性的实体在电子签名应用中, 即为电子签名依赖方依赖方可以是也可以不是一个订户在 CA 证书服务体系中, 是信任 CA 机构证书, 可以对使用 CA 机构证书机制进行的数字签名进行验证, 使用 CA 机构证书的公钥的实体其他参与者其他参与者指为 CA 证书服务体系提供相关服务的其他实体 1.4. 证书应用适合的证书应用本 CA 机构签发的通用证书适合应用在企业信息化电子政务和电子商务等领域, 用于证明订户在电子化环境中所进行的身份认证和电子签名, 以及数据加密等服务证书类型包括 : a. 个人证书个人证书, 包括个人用户证书和机构雇员证书, 用于区分标识鉴别个人身份的场景, 适用于个人身份认证和电子签名, 以及数据加密等服务 b. 机构证书机构证书, 包括机构单位证书和机构法人证书, 用于需要区分标识鉴别机构身份的场景, 适用于机构身份认证和电子签名, 以及数据加密等服务 c. 设备证书设备证书, 包括各种设备证书和域名证书, 用于标识各种设备身份, 实现设 - 8 -

9 备身份认证以及交互数据的加解密, 保证传输数据的完整性和安全性等限制的证书应用本 CA 机构发放的数字证书禁止在违反国家法律法规或破坏国家安全的情况下使用, 由此造成的法律后果由订户负责 1.5. 策略管理策略文档管理机构本通用证书策略的管理机构是数字认证公司 CPS 策略管理委员会由数字认证公司 CPS 策略管理委员会负责本通用证书策略的制订发布更新等事宜本通用证书策略由北京数字认证股份有限公司拥有完全版权联系人本通用证书策略在数字认证公司网站发布, 对具体个人不另行通知网站地址 : 电子邮箱地址联系地址 : 北京市海淀区北四环西路 68 号双桥大厦 15 层 ( 左岸工社 )(100080) 电话号码 : 传真号码 : 决定 CP 符合策略的机构本通用证书策略由数字认证公司 CPS 策略管理委员会组织制定, 报数字认证公司 CPS 策略管理委员会批准实行 CP 批准程序本通用证书策略由数字认证公司 CPS 策略管理委员会审批通过后, 在数字认证公司的网站上对外公布本通用证书策略经数字认证公司 CPS 策略管理委员会审批通过后, 从对外公布之日起三十日之内向工业和信息化部备案 - 9 -

10 1.6. 定义和缩写下列定义适用于本通用证书策略 : a) 公开密钥基础设施 (PKI)Public Key Infrastructure 支持公开密钥体制的安全基础设施, 提供身份鉴别加密完整性和不可否认性服务 b) 证书策略 (CP)Certification Policy 是关于电子认证服务机构制订的一组规则, 表明证书对特定群体的适用范围, 或对不同安全需求类型的适用规则 c) 电子认证业务规则 (CPS) Certification Practice Statement 关于证书电子认证服务机构在签发管理吊销或更新证书 ( 或更新证书中的密钥 ) 过程中所采纳的业务实践的声明 d) 电子认证服务机构 (CA)Certification Authority 受用户信任, 负责创建和分配公钥证书的权威机构 e) 注册机构 (RA)Registration Authority 具有下列一项或多项功能的实体 : 识别和鉴别证书申请人, 同意或拒绝证书申请, 在某些环境下主动撤销或挂起证书, 处理订户撤销或挂起其证书的请求, 同意或拒绝订户更新其证书或密钥的请求但是,RA 并不签发证书 ( 即 RA 代表 CA 承担某些任务 ) f) 电子签名认证证书 ( 证书 )Digital Certificate 是电子认证服务提供者签发的用以证明证书持有人的电子签名身份资格及其他有关信息的电子文件证书包含有公开密钥拥有者的信息公开密钥签名算法和 CA 的数字签名 g) 证书撤销列表 (CRL):Certificate Revocation List 一个经电子认证服务机构数字签名的列表, 它指定了一系列证书颁发者认为无效的证书, 也称黑名单服务 h) CA 注销列表 (ARL):Certificate Authority Revocation List 一个经电子认证服务机构数字签名的列表, 标记已经被注销的 CA 的公钥证书的列表, 表示这些证书已经无效 i) 私钥 ( 电子签名制作数据 ) Private Key 指在电子签名过程中使用的, 将电子签名与电子签名人可靠地联系起来的字符编码等数据私钥是经由数字运算产生的密钥, 用于制作电子签名数据, 亦可依据其运算方式, 就相对应的公开密钥加密的文件或信息予以解密 j) 公钥 ( 电子签名验证数据 ) Public Key

11 公钥是经由数字运算产生的密钥, 用于解密电子签名, 确认电子签名人的身份及电子签名的真实性公钥可以公开, 一般标示于在线数据库存储库或其他公共目录中, 使任何希望得到公钥的人都能得到电子签名验证数据是指用于验证电子签名的数据, 包括代码口令算法或者公钥等如果电子签名制作数据表现为私钥, 则电子签名验证数据就是公钥 2. 信息发布与信息管理 2.1. 信息库本 CA 机构的信息库是一个对外公开的信息库, 面向订户及依赖方提供信息服务提供信息服务包括但不限于以下内容 : 证书 CPS CP 和 CRL 以及数字认证公司不定期发布的信息 2.2. 认证信息的发布证书状态可以通过 CA 机构的 OCSP 和 CRL 获得本通用证书策略发布在数字认证公司的网站上, 供相关方下载查阅 2.3. 发布时间或频率 a) 通用证书策略一经网站发布, 即时生效对数字证书的订户及证书申请人均具备约束力对具体个人不另行通知 b) 证书的发布 : 在证书签发时,CA 机构通过目录服务器自动将该证书公布 c)ca 机构的 CRL 每 24 小时发布一次 2.4. 信息库访问控制对于公开发布的 CP CPS 和 CA 证书等公开信息,CA 机构允许公众自行通过网站进行查询和访问只有经授权的 RA/CA 管理员可以查询 CA 机构和注册机构数据库中的其他数据

12 3. 标识与鉴别 3.1. 命名名称类型每个订户对应一个甄别名 (Distinguished Name, 简称 DN) 数字证书中的主体的 X.500 DN 是 C=CN 命名空间下的 X.500 目录唯一名字对名称意义化的要求订户的甄别名 (DN) 必须具有一定的代表意义证书主体名称标识本证书所提到的最终实体的特定名称, 描述了与主体公钥中的公钥绑定的实体信息订户的匿名或伪名在 CA 证书服务体系中, 订户 ( 证书申请人 ) 不宜使用匿名或伪名理解不同名称形式的规则 DN 的具体内容依次由 CN OU O C 四部分组成其中 CN 用来表示用户名,OU O 用来表示组织单位名称 C 用来表示国家名称的唯一性在 CA 的证书服务体系中, 证书主体名称必须是唯一的商标的承认鉴别和角色 CA 机构签发的证书不包含任何商标或者可能对其他机构构成侵权的信息

13 3.2. 初始身份确认证明持有私钥的方法通过证书请求中所包含的数字签名来证明证书申请人持有与注册公钥对应的私钥在 CA 证书服务体系中, 私钥在用户端生成, 证书请求信息中包含用私钥进行的数字签名,CA 用其对应的公钥来验证这个签名 CA 机构要求证书申请人妥善保管自己的私钥, 因此, 证书申请人视作其私钥的唯一持有者个人身份的鉴别个人订户在申领证书前应持个人有效身份证件, 包括 : 港澳台居民身份证户口簿护照军官证警官证外国人永久居留证士兵证身份证士官证和文职干部证提出证书申请, 并接受证书申请的有关条款, 承担相应的责任 CA 机构或授权的注册机构将复核并验证申请文件的真实性, 并进行批准申请或拒绝申请的操作组织身份的鉴别对于组织身份的鉴别,CA 机构需要验证组织的合法证件证书申请人需持工商营业执照或全国组织机构代码证书等证件, 以及组织给经办人的授权和经办人身份证件, 向 CA 机构提出申请如该企业需申请服务器类型的证书, 还需向 CA 机构或授权的注册机构提交域名证明文件 CA 机构或授权的注册机构按照 CA 审核流程对申请资料的原件和复印件真实性进行审核, 并进行批准申请或拒绝申请的操作没有验证的订户信息订户提交鉴证文件以外的信息为没有验证的订户信息授权确认当申请者代表个人或组织机构申请证书时, 需要出示足够的证明信息以证明个人或组织机构是否真实存在, 申请者是否已获得个人或组织机构的授权 CA 机构或授权的注册机构有责任确认该授权信息, 并将授权信息妥善保存

14 互操作准则互操作可能是交叉认证单身交叉认证或其他形式的互操作交叉认证是指两个完全独立的采用各自认证策略的 CA 中心之间建立相互信任关系, 从而使双方的订户可以实现互相认证 CA 机构将根据业务需要, 在遵循本通用证书策略的各项控制要求的基础上, 与 CA 的证书服务体系中未涉及的其他电子认证服务机构建立交叉认证关系但交叉认证并不表示本 CA 机构批准了或赋予了其他 CA 中心或电子认证服务机构的权力 3.3. 密钥更新请求的身份标识与鉴别常规密钥更新的标识与鉴别通用证书的常规密钥更新中, 通过订户使用当前有效私钥对包含新公钥的密钥更新请求进行签名,CA 机构使用订户原有公钥验证确认签名来进行订户身份标识和鉴别吊销后密钥更新的标识与鉴别证书吊销后密钥更新中对身份标识和鉴别的要求, 使用原始身份验证相同的流程, 详见个人身份的鉴别和机构身份的鉴别证书变更的标识与鉴别通用证书的证书变更是指订户的证书信息发生变更, 申请重新签发一张证书, 对原证书进行吊销处理使用原始身份验证相同的流程, 详见个人身份的鉴别和机构身份的鉴别 3.4. 吊销请求的标识与鉴别证书订户本人吊销时的身份标识和鉴别使用原始身份验证相同的流程, 详见个人身份的鉴别和组织身份的鉴别如果是因为订户没有履行本通用证书策略和数字认证公司电子认证业务规则所规定的义务, 由 CA 机构或授权的注册机构申请吊销订户的证书时, 不需要对订户身份进行标识和鉴别

15 4. 证书生命周期操作要求 4.1. 证书申请证书申请实体证书申请实体包括个人和具有独立法人资格的组织机构 ( 包括行政机关事业单位企业单位社会团体和人民团体等 ) 申请过程与责任证书申请人按照通用证书策略和电子认证服务规则所规定的要求, 填写证书申请表, 并准备相关的身份证明材料 CA 机构或注册机构依据身份鉴别规范对证书申请人的身份进行鉴别, 并决定是否受理申请申请过程中各方责任为 : 订户要按照本通用证书策略和电子认证服务规则的要求准备证书申请材料, 并确保申请材料真实准确 CA 机构和注册机构负责接收证书申请人的请求材料, 当面对订户所提供的证书申请信息与身份证明资料的一致性进行查验根据中华人民共和国电子签名法的规定, 证书申请者未向 CA 机构提供真实完整和准确的信息, 或者有其他过错, 给 CA 机构或电子签名依赖方造成损失的, 应承担相应的法律责任和经济赔偿 4.2. 证书申请处理执行识别与鉴别功能证书申请者向注册机构提交初始的证书申请请求, 注册机构须按照以下规定对订户的申领材料进行审查 : 个人订户 : 参照节的规定机构订户 : 参照节的规定注册机构需要审查订户的证书申领表格是否按照要求填写申领材料是否齐全资质证明材料是否符合要求 ( 如机构订户是否在申请表上加盖公章 )

16 证书申请批准和拒绝 CA 机构或授权的注册机构根据本通用协同证书策略所规定的身份鉴别流程对证书申请人身份进行识别与鉴别后, 根据鉴别结果决定批准或拒绝证书申请证书申请人通过身份鉴别流程且鉴证结果为合格,CA 机构或授权的注册机构将批准证书申请,CA 为证书申请人制作并颁发数字证书证书申请人未能通过身份鉴证,CA 机构或授权的注册机构将拒绝申请人的证书申请, 并通知申请人鉴证失败, 同时向申请人提供失败的原因 ( 法律禁止的除外 ) 被拒绝的证书申请人可以在准备正确的材料后, 再次提出申请处理证书申请的时间 CA 机构或授权的注册机构将做出合理努力来尽快确认证书申请信息, 一旦注册机构收到了所有必须的相关信息, 将在 24 小时内处理证书申请 CA 机构或授权的注册机构能否在上述时间期限内处理证书申请取决于证书申请人是否真实完整准确地提交了相关信息和是否及时地响应了 CA 机构的管理要求 4.3. 证书签发证书签发过程中电子认证服务机构的行为 CA 机构在批准证书申请之后, 将签发证书证书的签发意味着电子认证服务机构最终完全正式地批准了证书申请电子认证服务机构对订户的通告 CA 机构通过注册机构对证书订户的通告有以下几种方式 : a) 通过面对面的方式, 通知订户到注册机构领取数字证书 ; 注册机构把密码信封和证书等直接提交给订户, 来通知订户证书信息已经正确生成 ; b) 邮政信函或电子邮件通知订户 ; c) 其他 CA 机构认为安全可行的方式通知订户

17 4.4. 证书接受构成接受证书的行为证书签发完成后, 注册机构将数字证书及其密码信封当面寄送或电子方式给证书申请人, 证书申请人从获得数字证书起, 就被视为同意接受证书电子认证服务机构对证书的发布 CA 机构在签发完通用证书后, 就将证书发布到数据库和目录服务器中 CA 机构采用主从目录服务器结构来分布所签发证书签发完成的数据直接写入主目录服务器中, 然后通过主从映射, 将主目录服务器的数据自动发布到从目录服务器中, 供订户和依赖方查询和下载电子认证服务机构在颁发证书时对其他实体的通告 CA 机构不对其他实体进行通告, 其他实体可以在信息库上自行查询 4.5. 密钥对和证书的使用订户私钥和证书的使用订户在提交了证书申请并接受了 CA 机构所签发的证书后, 均视为已经同意遵守与 CA 机构依赖方有关的权利和义务的条款证书订户接受到数字证书, 应妥善保存其证书对应的私钥订户只能在指定的应用范围内使用私钥和证书, 订户只有在接受了相关证书之后才能使用对应的私钥, 并且在证书到期或被吊销之后, 订户必须停止使用该证书对应的私钥依赖方对公钥和证书的使用依赖方只能在恰当的应用范围内依赖于证书, 并且与证书要求相一致 ( 如密钥用途扩展等 ) 依赖方获得对方的证书和公钥后, 可以通过查看对方的证书了解对方的身份, 并通过公钥验证对方电子签名的真实性验证证书的有效性包括 : a) 用 CA 机构的证书验证证书中的签名, 确认该证书是 CA 机构签发的, 并且证书的内容没有被篡改 b) 检验证书的有效期, 确认该证书在有效期之内

18 c) 检验证书有效性, 需要检查该证书没有被注销在验证电子签名时, 依赖方应准确知道什么数据已被签名在公钥密码标准里, 标准的签名信息格式被用来准确表示签名过的数据 4.6. 证书更新证书更新的情形证书更新指在不改变证书中订户的公钥或其他任何信息的情况下, 为订户签发一张新证书, 数字认证公司只为设备证书提供证书更新, 设备证书更新由用户自行决定采用证书更新或证书密钥更新请求证书更新的实体设备证书订户可以请求证书更新证书更新请求的处理证书更新申请者在设备证书到期前, 应按要求向 RA 机构提出更新申请应采取现场面对面或在线方式填写申请表, 提交服务器域名或 IP 证明材料, 机构及申请人身份证明材料, 以及服务器证书申请文件 RA 机构按照初始身份鉴别的要求, 对服务器域名或 IP 证明材料, 以及机构及申请人身份证明材料进行识别和鉴别, 鉴别通过后为订户制作新的证书注册机构对申请设备证书更新订户的进行查验与鉴别, 鉴别要求同本通用证书策略颁发新证书时对订户的通告同构成接受更新证书的行为同电子认证服务机构对更新证书的发布同

19 电子认证服务机构在颁发证书时对其他实体的通告同证书密钥更新证书密钥更新的情形证书密钥更新是指订户生成新密钥并申请为新公钥签发新证书,CA 机构提供证书更新时, 密钥必须同时更新 ( 设备证书除外 ) 证书更新的具体情形如下 : a) 当订户证书即将到期或已经到期时 ; b) 当订户证书密钥遭到损坏时 ; c) 当订户证实或怀疑其证书密钥不安全时 ; d) 其它可能导致密钥更新的情形通用证书的证书变更是指订户的证书信息发生变更, 申请重新签发一张证书, 对原证书进行吊销处理使用原始身份验证相同的流程, 详见个人身份的鉴别和机构身份的鉴别请求证书密钥更新的实体订户可以请求证书密钥更新订户包括持有 CA 机构签发的个人组织及设备等各类证书的证书持有人证书密钥更新请求的处理同颁发新证书对订户的通告同构成接受密钥更新证书的行为同

20 电子认证服务机构对密钥更新证书的发布同电子认证服务机构在颁发证书时对其他实体的通告同证书变更证书变更的情形证书变更是指订户的证书信息发生变更, 申请重新签发一张证书, 对原证书进行吊销处理请求证书变更的实体订户可以请求证书变更订户包括持有 CA 机构签发的个人组织及设备等各类证书的证书持有人证书变更请求的处理同颁发新证书对订户的通告同构成接受变更证书的行为同电子认证服务机构对变更证书的发布同

21 电子认证服务机构在颁发证书时对其他实体的通告同证书吊销和挂起证书吊销的情形 a) 发生下列情形之一的, 订户应当申请吊销数字证书 : 1) 数字证书私钥泄露 ; 2) 数字证书中的信息发生重大变更 ; 3) 认为本人不能实际履行数字证书认证业务规则 b) 发生下列情形之一的,CA 机构可以吊销其签发的数字证书 : 1) 订户申请吊销数字证书 ; 2) 订户提供的信息不真实 ; 3) 订户没有履行双方合同规定的义务 ; 4) 数字证书的安全性得不到保证 ; 5) 法律行政法规规定的其他情形请求证书吊销的实体根据不同的情况, 订户 CA 机构注册机构可以请求吊销最终用户证书吊销请求的流程证书吊销请求的处理采用与原始证书签发相同的过程 a) 证书吊销的申请人到 CA 机构或授权的注册机构书面填写证书吊销申请表, 并注明吊销原因 ; b) CA 机构或授权的注册机构根据 3.2 的要求对订户提交的吊销请求进行审核 ; c) CA 机构吊销订户证书后, 注册机构将当面通知订户证书被吊销, 订户证书在 24 小时内进入 CRL, 向外界公布 ; d) 强制吊销是指当 CA 机构或 CA 机构或授权的注册机构确认用户违反本通用证书策略的情况发生时, 对订户证书进行强制吊销, 吊销后将立即通知该订户

22 吊销请求宽限期如果出现私钥泄露等事件, 吊销请求必须在发现泄露或有泄露嫌疑 8 小时内提出其他吊销原因的吊销请求必须在 48 小时内提出电子认证服务机构处理吊销请求的时限发证机构接到吊销请求后立即处理,24 小时生效 CA 机构每日签发一次 CRL, 并将最新的 CRL 发布到目录服务器指定的位置, 供请求者查询下载 CRL 的结构如下 : a) 版本号 (version) b) 签名算法标识符 (signature) c) 颁发者名称 (issure) d) 本次更新 (this update) e) 下次更新 (next update) f) 用户证书序列号 / 吊销日期 (user certificate/revocation date) g) CRL 条目扩展项 (crl entry extensions) h) CRL 扩展域 (crl extensions) i) 签名算法 (signature algorithm) j) 签名 (signature value) 依赖方检查证书吊销的要求在具体应用中, 依赖方必须使用以下两种功能之一进行所依赖证书的状态查询 : a) CRL 查询 : 利用证书中标识的 CRL 地址, 通过目录服务器提供的查询系统, 查询并下载 CRL 到本地, 进行证书状态的检验 b) 在线证书状态查询 (OCSP): 服务系统接受证书状态查询请求, 从目录服务器中查询证书的状态, 查询结果经过签名后, 返回给请求者注意 : 依赖方要验证 CRL 的可靠性和完整性, 确保是经 CA 机构发布并且签名的 CRL 的颁发频率 CA 机构可采用实时或定期的方式发布 CRL 颁发 CRL 的频率根据证书策略确定, 一般为 24 小时定期发布

23 CRL 发布的最长滞后时间 CRL 发布的最长滞后时间为 24 小时证书状态服务操作特点证书状态可以通过 CA 机构提供的 OCSP 服务获得服务可用性提供 7X24 小时的证书状态查询服务即在网络允许的情况下, 订户能够实时获得证书状态查询服务可选特征根据请求者的要求, 在请求者支付相关费用后,CA 机构可以提供以下通知服务 : a) 收到证书主题的电子签名消息的接受者要求, 确认该证书是否已被吊销 ; b) 提供通知服务, 当指定的证书被吊销时,CA 机构将通知请求该项服务的请求者订购结束订购结束是指当证书有效期满或证书吊销后, 该证书的服务时间结束订购结束包含以下两种情况 : a) 证书有效期满, 订户不再延长证书使用期或者不再重新申请证书时, 订户可以终止订购 ; b) 在证书有效期内, 证书被吊销后, 即订购结束密钥生成备份与恢复密钥生成备份与恢复的策略和行为个人和机构订户的签名密钥对由订户的密码设备 ( 如智能 USB KEY 或智能

24 IC 卡 ) 生成, 加密密钥对由密钥管理中心生成个人和机构证书密钥恢复是指加密密钥的恢复, 密钥管理中心不负责签名密钥的恢复密钥恢复分为两类 : 订户密钥恢复和司法取证密钥恢复会话密钥的封装与恢复的策略和行为非对称算法组织数字信封的方式来封装会话密钥数字信封使用信息接受者的公钥对会话密钥加密, 接受者用自己的私钥解开并恢复会话密钥

25 5. 电子认证服务机构设施管理和操作控制本章规定参见 CPS 6. 认证系统技术安全控制 6.1. 密钥对的生成和安装密钥对的生成 CA 系统和 RA 系统的密钥对是在加密机内部产生, 加密机具有国家密码主管部门的相应资质在生成 CA 密钥对时,CA 机构按照加密机密钥管理制度, 执行详细的操作流程控制计划, 选定并授权 3 个密钥管理员, 密钥管理员凭借智能 IC 卡对密钥进行控制个人和机构订户的签名密钥对由订户的密码设备 ( 如智能 USB KEY 或智能 IC 卡等 ) 生成, 加密密钥对由密钥管理中心生成私钥传送给订户订户的签名密钥对由自己的密码设备生成并保管加密密钥对由密钥管理中心产生, 通过安全通道传到订户手中的密码设备中公钥传送给证书签发机构订户的签名证书公钥通过安全通道, 经注册机构传递到 CA 机构从 RA 到 CA 以及从密钥管理中心到 CA 的传递过程中, 采用国家密码主管部门许可的通讯协议及密钥算法, 保证了传输中数据的安全电子认证服务机构公钥传送给依赖方依赖方可以从数字认证公司的网站 ( 下载根证书和 CA 证书, 从而得到 CA 的公钥

26 密钥的长度密钥算法和长度符合国家密码主管部门的规定公钥参数的生成和质量检查公钥参数由国家密码主管部门许可的加密设备生成对生成的公钥参数的质量检查标准, 这些设备内置的协议算法等均符合国家密码主管部门要求密钥使用目的订户的签名密钥可以用于提供安全服务, 例如身份认证不可抵赖性和信息的完整性等, 加密密钥对可以用于信息加密和解密签名密钥和加密密钥配合使用, 可实现身份认证授权管理和责任认定等安全机制 6.2. 私钥保护和密码模块工程控制密码模块标准和控制 CA 机构所用的密码设备都是经国家相关部门认可的产品, 其安全性达到以下要求 : 接口安全 : 不执行规定命令以外的任何命令和操作 ; 协议安全 : 所有命令的任意组合, 不能得到私钥的明文 ; 密钥安全 : 密钥的生成和使用必须在硬件密码设备中完成 ; 物理安全 : 密码设备具有物理防护措施, 任何情况下的拆卸均立即销毁在设备内保存的密钥私钥的多人控制 CA 证书的私钥的生成更新吊销备份和恢复等操作采用多人控制机制, 即采取三选二方式, 将私钥的管理权限分散到 3 张管理员卡中, 只有其中两人以上在场并许可的情况下, 才能对私钥进行上述操作订户的私钥由订户自己通过密码设备控制

27 私钥托管订户加密证书对应的私钥由密钥管理中心托管, 订户的签名证书对应的私钥由自己保管, 密钥管理中心不负责托管密钥管理中心严格保证订户密钥对的安全, 密钥以密文形式保存, 密钥库具有最高安全级别, 禁止外界非法访问私钥备份 CA 机构和密钥管理中心不备份订户的签名密钥加密私钥由密钥管理中心备份, 备份数据以密文形式存在私钥归档订户密钥对的归档是将已过生命周期或决定暂不使用的加密密钥以密文形式保存在数据库中, 并通过数据库备份出来进行归档保存, 归档后的密钥形成历史信息链, 供查询或恢复私钥导入或导出密码模块使用 CA 软件可以把私钥安全导入到密码模块中, 私钥无法从硬件密码模块中导出私钥在密码模块中的存储私钥在硬件密码模块中加密保存激活私钥的方法具有激活私钥权限的管理员使用含有自己的身份的加密 IC 卡登录, 启动密钥管理程序, 进行激活私钥的操作, 需要两名管理员以上同时在场解除私钥激活状态的方法具有解除私钥激活状态权限的管理员使用含有自己的身份的加密 IC 卡登录, 启动密钥管理程序, 进行解除私钥的操作, 需要两名管理员以上同时在场

28 销毁密钥的方法具有销毁密钥权限的管理员使用含有自己的身份的加密 IC 卡登录, 启动密钥管理程序, 进行销毁密钥的操作, 需要两名管理员以上同时在场密码模块的评估 CA 机构使用具有国家密码主管部门颁发商用密码型号证书的服务器密码机, 符合国家有关标准密码机采用以分组密码体制为核心的高强度密码算法和非对称密码体制, 密钥采取分层结构, 逐层提供保护主要技术指标如下 : a) 通信接口 : 符合国际 ITU Ethernet RJ45 标准 ; b) 带宽控制 :10M/100M/1000M 自适应, 充分满足突发业务需要 ; c) 并发容量 : 可支持同时并发 100 个的独立安全处理容量 ; d) 密钥管理 : 密钥不以明文形式出现在服务器密码机以外 ; 通信密钥通过身份鉴别后协商得到 ; e) 身份鉴别 : 采用 IC 卡对用户进行身份鉴别管理, 以控制对加密系统的使用 ; f) 处理速度 : 数据加解密处理能力大于 100Mbps; 6.3. 密钥对管理的其他方面公钥归档订户证书中的公钥包括签名证书中的公钥和加密证书中的公钥它们由 CA 机构和密钥管理中心定期归档证书操作期和密钥对使用期限所有订户证书的有效期和其对应的密钥对的有效期都是一致的 6.4. 激活数据激活数据的产生和安装激活数据是私钥保护密码, 通用证书存储介质 ( 如 : 智能 KEY) 出厂时设置了缺省的 PIN 值, 证书制作时将此 PIN 值更改为密码信封中的密码, 从而激

29 活了证书存储介质的 PIN 激活数据的保护通用证书存储介质的 PIN 值用密码信封中的密码进行保护激活数据的其他方面只有在拥有证书介质并知道通用证书介质的 PIN 值时才能激活证书存储介质, 进而使用私钥 6.5. 计算机安全控制特别的计算机安全技术要求为了保证系统的正常运行, 对所需要的计算机设备进行正确的选型验收, 制定操作规范另外, 本系统采用增加冗余资源的方法, 使系统在有故障时仍能正常工作对于设备有一套完整的保管和维护制度 : a) 专人负责设备的领取和保管, 做好设备的领用进出库和报废登记 b) 对设备定期进行检查清洁和保养维护 c) 制定设备维修计划, 建立满足正常运转最低要求的易损坏备件库 d) 对设备进行维修时, 必须记录维修的对象故障原因排除方法主要维修过程及与维修有关的情况等 e) 设备维修时, 必须有派专人在场监督计算机安全要求 CA 系统建设符合 GB 信息系统安全等级保护基本要求的第三级要求 6.6. 生命周期技术控制系统开发控制系统开发采用先进的安全控制理念, 同时应兼顾开发环境的安全开发人员

30 的安全产品维护期的配置管理安全系统设计和开发运用软件工程的方法, 做到系统的模块化和层次化, 系统的容错设计采用多路并发容错方式, 确保系统在出错的时候尽可能不停止服务安全管理控制 CA 机构对系统的维护保证操作系统网络设置和系统配置安全通过日志检查来检查系统和数据完整性和硬件的正常操作生命周期的安全控制整个系统从设计到实现, 系统的安全性始终是重点保证的完全依据国家有关标准进行严格设计, 使用的算法和密码设备均通过了主管部门鉴定, 使用了基于标准的强化安全通信协议确保了通信数据的安全, 在系统安全运行方面, 充分考虑了人员权限系统备份密钥恢复等安全运行措施, 整个系统安全可靠 6.7. 网络的安全控制系统网络安全的主要目标是保障网络基础设施主机系统应用系统及数据库运行的安全 CA 机构采取防火墙病毒防治入侵检测漏洞扫描数据备份灾难恢复等安全防护措施 6.8. 时间戳时间戳系统提供的时间戳服务在技术实现上严格遵循国际标准时间戳协议 (RFC3161), 采用标准的时间戳请求时间戳应答以及时间戳编码格式, 时间源采用国家授时中心提供的标准时间

31 7. 证书证书吊销列表和在线证书状态协议 7.1. 证书 CA 签发的证书符合 X.509 V3 格式遵循 RFC3280 标准版本号 X.509 V 算法对象标识符符合国家密码主管部门批准的算法对象标识符名称形式 CA 数字证书中的主体 Subject 的 X.500 DN 是 C=CN 命名空间下的 X.500 目录唯一名字, 各属性的编码一律使用 UTF8String 主体 Subject 的 X.500 DN 支持多级 O 和 OU, 其格式如下 : C=CN; O= O= OU= ; OU= ; CN= C(Country) 应为 CN, 表示中国 ; O(Organization) 中的内容分为 2 种 : a) 证书主体或者证书主体所属单位具有明确的上一级单位, 则应为其上一级单位的名称全称 ; b) 不存在 a) 中所述的上一级单位, 则应为证书主体或者证书主体所属单位的所在省自治区直辖市名称全称 ; OU(Organization Unit) 应为证书主体或者证书主体所属单位的名称全称 ; CN(Common Name) 中的内容分为 4 种 : a) 个人证书中应为证书主体的姓名 ;

32 b) 单位机构证书中应为证书主体单位的标准简称 ; c) 服务器证书应为证书主体设备的域名或者 IP 地址或者设备编码 ; d) 代码签名证书应为负责人的姓名, 或者是所属单位的标准简称 ; 仅在邮件证书的 DN 中存在, 应为证书主体的有效电子邮件地址证书扩展项 CA 证书扩展项除使用 IETF RFC 3280 中定义的证书扩展项, 还支持私有扩展项 CA 采用的 IETF RFC 3280 中定义的证书扩展项 : 颁发机构密钥标识符 Authority Key Identifier 主体密钥标识符 Subject Key Identifier 密钥用法 Key Usage 扩展密钥用途 Extended Key Usage 私有密钥使用期 Private Key Usage Period 主体可选替换名称 Subject Alternative Name 基本限制 Basic Constraints 证书撤销列表分发点 CRL Distribution Points 私有扩展项可支持以下类型 : 个人身份证号码 Identify Card Number 营业执照 ( 统一社会信用代码 )IC Registration Number 企业组织机构代码 Organization Code 企业税号 Taxation Number 7.2. 证书吊销列表 CA 签发的证书吊销列表符合 X.509 V2 格式遵循 RFC3280 标准版本号 X.509 V CRL 和 CRL 条目扩展项 CRL 扩展项 : 颁发机构密钥标识符 Authority Key Identifier CRL 条目扩展项 : 不使用 CRL 条目扩展项

33 7.3. 在线证书状态协议版本号使用 OCSP 版本 1(OCSP v1) OCSP 扩展项不使用 OCSP 扩展项

34 8. 电子认证服务机构审计和其他评估 8.1. 评估的频率或情形审计是为了检查确认 CA 是否按照通用证书策略和电子认证业务规则及其理制度和安全策略开展业务, 发现存在的可能风险根据工作需要, 定期组织开展审计评估 8.2. 评估者的资质内部审计人员由 CA 机构内部人员组成, 外部审计的审计人员的资质由第三方确定 8.3. 评估者与被评估者之间的关系评估者与被评估者应无任何业务财务往来或其它利害关系, 足以影响评估的客观性 8.4. 评估内容审计所涵盖的主题包括 : 人事机房物理安全安全运营管理密钥安全和运行服务客户服务等内容 8.5. 对问题与不足采取的措施对审计中发现的问题,CA 机构将根据审计报告的内容准备解决方案, 明确对此采取的行动 CA 机构将根据国际惯例和相关法律法规迅速解决问题 8.6. 评估结果的传达与发布除非法律明确要求,CA 机构一般不公开评估结果对 CA 关联方,CA 机构将依据签署的协议来公布评估结果

35 9. 法律责任和其他业务条款本章规定参见 CPS

数字认证公司

数字认证公司北京数字认证股份有限公司事件型证书策略 (CP2) 1.0.1 版发布日期 :2017 年 11 月 9 日生效日期 :2017 年 11 月 9 日北京数字认证股份有限公司 Copyright Beijing Certificate Authority Co.,Ltd. 版本控制表版本状态修订说明审核 / 批准人生效时间 1.0.1 版本发布新版本发布公司 CPS 策略管理委员会