1、域名证书密钥对要求2048位
2、赔付金额进行修改
3、联络方式中的邮编修改
4、年审完成,延长CPS有效期一年
1、证书主题中O项值修改
2、多域名证书主题中CN项值修改
3、证书申请所提交材料调整
4、证书结构中证书项说明调整,与所发 证书一致
1、参考号、授权码发放方式调整
2、CP改为在储存库中公开发布
3、对证书发布情况的说明进行调整
1、修改交叉认证描述,增加CNNIC中级 根证书和Entrust根之间的关系说明
1、增加对根签发的证书废止列表的说 明,相应对其他相关部分文字进行调整
1、延长有效期
1、增加快速域名证书的相关内容
2、修改安全管理委员会工作方式
3、取消对外ldap服务
1,修改“高级证书”名称为“标准服务器证书”;删除“网址卫士”名称,并不再提供纸质版的网址卫士核准说明;
2,修改标准证书审核内容;
3,修改快速域名证书的相关流程;4,crl发布网址增加
5,延长CPS有效期一年;
1、修改标准服务器证书申请提交资料
2、修订CA相关人员背景调查内容
3、增加电磁防护相关内容
4、对国防类域名的申请审核流程做特殊说明
1、本地受地点提交到CNNIC的申请资料由纸质版原件变更为电子扫描件;
2、标准服务器证书审核确认仅需和经办人进行电话确认; 完成时间2007年5月15日2008年4月8日2008年11月5日2009年3月19日 2009年4月14日 2009年6月18日2009年11月09日2010年02月02日2010年04月08日2011年4月07日2012年4月07日 2012年9月20日 2013年6月24日 V3.04V3.05V3.06V3.07 V3.08
3、在灾难恢复计划中加入了CA服务在 灾难情况下系统停机时间,恢复时间内 容。
1.停止提供多域名证书域名修改服务。
2014年4月22日
2.CNNIC将定期检查CABForum的SSL BaselineRequirement要求并承诺 证书管理及签发符合该要求。
3.CNNICCA加入24*7的应急处理机制。
1.证书审核通过后的参考号和授权码2015.1.20 的16位直接发到用户指定的经办人 邮箱,不再采用发送前13位,后3位 由审核员单独发送的方式。
1.添加第五章二级根授权操作规范 2015.4.28
2.在第八章中加入对二级根证书格式 的说明。
1.添加对自然人申请证书时提交地址2015.11.2 证明材料;
2.添加了申请证书主题里包含IP时 的要求和补充资料。
3.加入新SHA256算法的二级根。
4.添加了二级根更新,密钥变更,和作 废的内容.
1.根据RFC3647对本文档进行了重新编2016.9.29 写。
2.加入了EV高级证书的管理流程。
目录
一、概括性描述
.....................................................................................................................
131.1概述131.2文档名称及标识.........................................................................................................
131.3电子认证活动参与者.................................................................................................
131.3.1电子认证服务机构(CA).................................................................................131.3.2注册机构RA.........................................................................................................
141.3.3申请人..................................................................................................................
141.3.4信赖方..................................................................................................................
14 1.3.5其他参与者.........................................................................................................
141.4证书应用.....................................................................................................................
14 1.4.1服务器证书.........................................................................................................
141.5策略管理.....................................................................................................................
15 1.5.1策略文档管理机构..............................................................................................
151.5.2联系人..................................................................................................................
151.5.3决定CPS符合策略的机构..................................................................................151.5.4CPS批准程序......................................................................................................
151.6定义和缩写..................................................................................................................
161.6.1定义......................................................................................................................
161.6.2缩写......................................................................................................................
17二、信息发布和管理.............................................................................................................
172.1信息库.........................................................................................................................
172.2认证信息的发布.........................................................................................................
172.3发布时间和频率.........................................................................................................
182.4信息库访问和控制.....................................................................................................
18三、身份标识与鉴证.............................................................................................................
183.1命名183.1.1名称类型.............................................................................................................
183.1.2对名称有意义的要求.........................................................................................183.1.3理解不同名称形式的规则.................................................................................193.1.4名称唯一性.........................................................................................................
193.1.5商标的识别,鉴证和角色.................................................................................193.2初始身份确认.............................................................................................................
193.2.1证明拥有私钥的方法.........................................................................................193.2.2机构身份的鉴证.................................................................................................
193.2.3个人身份的鉴证.................................................................................................
193.2.4没有验证的申请人信息.....................................................................................203.2.5授权的确认.........................................................................................................
203.3密钥更新请求的标识与鉴证.....................................................................................203.4吊销请求的标识与鉴证.............................................................................................
204.证书生命周期操作要求...................................................................................................
20 4.1证书申请.....................................................................................................................
20 4.1.1证书申请实体.....................................................................................................
20 4.1.2,注册过程及责任...............................................................................................
21 4.2 申请处理..........................................................................................................
21 4.2.1申请资料的提交..................................................................................................
21 4.2.2.证书申请的鉴证与批准拒绝...........................................................................21 4.2.3处理证书申请的时间.........................................................................................21 4.3证书签发.................................................................................................................
21 4.4证书接受.....................................................................................................................
22 4.4.1证书接受.............................................................................................................
22 4.4.2CA对证书的发布................................................................................................
22 4.5密钥对和证书使用.....................................................................................................
22 4.6证书更新.....................................................................................................................
22 4.6.1证书更新的情形.................................................................................................
22 4.6.2请求证书更新的实体.........................................................................................22 4.6.3证书更新请求的处理.........................................................................................22 4.6.4签发新证书和对订户的通知.............................................................................23 4.6.5接受新证书.........................................................................................................
23 4.6.6CA对证书的发布................................................................................................
23 4.7证书变更.....................................................................................................................
23 4.7.1变更申请.............................................................................................................
23 4.7.2变更的鉴别及审核.............................................................................................
23 4.8证书的吊销.................................................................................................................
23 4.8.1证书吊销的情形.................................................................................................
23 4.8.2请求吊销的实体.................................................................................................
24 4.8.3证书吊销流程.....................................................................................................
24 4.8.4CNNIC处理证书吊销的时限..............................................................................24 4.8.5CRL发布频率......................................................................................................
24 4.8.6CRL发布的最大滞后时间..................................................................................25 4.8.7OCSP查询可用性................................................................................................
25 4.8.8OCSP查询要求..................................................................................................
25 4.8.9吊销信息的其他发布形式.................................................................................25 4.8.10密钥损害的特别要求.......................................................................................254.9证书补发.....................................................................................................................
25 4.9.1补发申请提交.....................................................................................................
254.9.2补发的鉴定审核.................................................................................................
264.9.3补发证书的接受.................................................................................................
264.10证书状态服务...........................................................................................................
264.11订购结束....................................................................................................................
264.12密钥托管与恢复........................................................................................................
26五、认证机构设施,管理和操作控制.................................................................................265.1物理控制.....................................................................................................................
265.1.1场地位置与建筑.................................................................................................
265.1.2物理访问控制.....................................................................................................
275.1.3电力与空调.........................................................................................................
275.1.4水患防治.............................................................................................................
275.1.5火灾防护.............................................................................................................
275.1.6介质存储.............................................................................................................
285.1.7废物处理.............................................................................................................
285.1.8异地备份.............................................................................................................
285.1.9注册机构物理控制..............................................................................................
285.2程序控制.....................................................................................................................
285.2.1可信角色.............................................................................................................
285.2.2每项任务需要的人数.........................................................................................295.2.3每个角色的识别与鉴别.....................................................................................295.2.4需要职责分割的角色.........................................................................................295.3人员控制.....................................................................................................................
305.3.1资格、经历和无过失要求.................................................................................305.3.2背景审查程序.....................................................................................................
305.3.3培训要求.............................................................................................................
305.3.4再培训周期和要求.............................................................................................
315.3.5工作岗位轮换周期和顺序.................................................................................315.3.6未授权行为的处罚.............................................................................................
315.3.7独立合约人的要求.............................................................................................
31 5.3.8提供给员工的文档.............................................................................................
315.4审计日志程序.............................................................................................................
31 5.4.1记录事件的类型.................................................................................................
315.4.2处理日志的周期.................................................................................................
325.4.3审计日志保存期限.............................................................................................
325.4.4审计日志的保护.................................................................................................
325.4.5审计日志备份程序.............................................................................................
335.4.6审计收集系统.....................................................................................................
335.4.7对导致事件主体的通知.....................................................................................335.4.8脆弱性评估.........................................................................................................
335.5记录归档.....................................................................................................................
335.5.1归档记录的类型.................................................................................................
335.5.2归档记录的保存期限.........................................................................................335.5.3归档文件的保护.................................................................................................
335.5.4归档文件的备份程序.........................................................................................345.5.5记录时间戳要求.................................................................................................
345.5.6归档收集系统.....................................................................................................
345.5.7获得和检验归档信息的程序.............................................................................345.6CA密钥变更............................................................................................................
345.7损害与灾害恢复.........................................................................................................
345.7.1事故和损害处理程序.........................................................................................345.7.2计算机资源、软件和/或数据的损坏...............................................................355.7.3私钥损耗处理程序.............................................................................................
355.7.4灾难后的业务存续能力.....................................................................................355.8CA或RA的终止..........................................................................................................
36六、技术安全控制.................................................................................................................
366.1密钥对的产生和安装.................................................................................................
366.1.1密钥对的产生.....................................................................................................
366.1.2私钥传送给订户.................................................................................................
366.1.3公钥传送给证书签发机关.................................................................................376.1.4CA公钥传送给依赖方........................................................................................376.1.5密钥的长度.........................................................................................................
37 6.1.6公钥参数的生成和质量检查.............................................................................376.1.7密钥使用目的.....................................................................................................
376.1.8密钥销毁.............................................................................................................
376.2私钥保护和密码模块工程控制.................................................................................376.2.1密码模块的标准和控制.....................................................................................376.2.2私钥多人控制.....................................................................................................
386.2.3私钥托管.............................................................................................................
386.2.4私钥备份.............................................................................................................
386.2.5私钥归档.............................................................................................................
386.2.6私钥导入、导出密码模块.................................................................................386.2.7私钥在密码模块的存储.....................................................................................396.2.8激活私钥的方法.................................................................................................
396.2.9解除私钥激活状态的方法.................................................................................396.2.10销毁私钥的方法...............................................................................................
406.2.11密码模块的评估...............................................................................................
406.2.12离职、换岗人员私钥处置...............................................................................406.3密钥对管理的其他方面.............................................................................................
406.3.1公钥归档.............................................................................................................
406.3.2证书操作期和密钥对使用期限.........................................................................416.4激活数据.....................................................................................................................
416.4.1激活数据的产生和安装.....................................................................................416.4.2激活数据的保护.................................................................................................
416.4.3激活数据的其他方面.........................................................................................416.5计算机安全控制.........................................................................................................
426.5.1特别的计算机安全技术要求.............................................................................426.5.2计算机安全评估.................................................................................................
426.6生命周期技术安全控制.............................................................................................
426.6.1系统开发控制.....................................................................................................
426.6.2安全管理控制.....................................................................................................
436.6.3生命期的安全控制.............................................................................................
436.7网络的安全控制.........................................................................................................
436.8时间戳..........................................................................................................................
43七、证书、CRL和OCSP
.........................................................................................................
437.1证书437.1.1版本号.................................................................................................................
477.1.2证书扩展项.........................................................................................................
477.1.3密钥算法对象标识符.........................................................................................477.1.4名称形式.............................................................................................................
477.1.5名称限制.............................................................................................................
477.1.6证书策略对象标识符.........................................................................................477.1.7策略限制扩展项的用法.....................................................................................487.1.8策略限定符的语法和语义.................................................................................487.1.9关键证书策略扩展项的处理规则.....................................................................487.2证书废止列表(CRL)结构.......................................................................................487.2.1版本号.................................................................................................................
487.2.2CRL和CRL条目扩展项...................................................................................487.3OCSP497.3.1版本号.................................................................................................................
497.3.2OCSP扩展项.......................................................................................................
497.3.3OCSP请求...........................................................................................................
497.3.4OCSP响应...........................................................................................................
50八、认证机构审计和其他评估
.............................................................................................
508.1评估的频率和情形.....................................................................................................
508.2评估者的资质.............................................................................................................
508.3评估者与被评估者之间的关系.................................................................................508.4评估的内容..................................................................................................................
508.5对问题与不足采取的措施.........................................................................................508.6评估结果的传达与发布.............................................................................................
518.7其他评估.....................................................................................................................
51九、其他业务和法律事务
.....................................................................................................
519.1费用519.1.1证书签发和更新费用。.....................................................................................519.1.2证书查询的费用。
.............................................................................................
519.1.3证书吊销或状态信息的查询费用.....................................................................51 9.1.4其他服务费用。.................................................................................................
519.1.5退款策略.............................................................................................................
519.2财务责任.....................................................................................................................
519.3业务信息保密.............................................................................................................
529.4机密性.........................................................................................................................
529.5知识产权.....................................................................................................................
529.5.1证书和吊销信息中的知识产权.........................................................................529.5.2CPS中的知识产权..............................................................................................
529.5.3密钥和密钥材料的知识产权.............................................................................539.6责任与义务.................................................................................................................
539.6.1CA的责任与义务................................................................................................
539.6.2RA的义务............................................................................................................
539.6.3订户的义务.........................................................................................................
539.6.4证书持有人义务.................................................................................................
549.6.5信赖方的担保与陈述.........................................................................................549.7担保免责.....................................................................................................................
559.8有限责任......................................................................................................................
559.8.1限制的合理性.....................................................................................................
559.8.2可追讨损失种类的限制.....................................................................................559.8.3限额.....................................................................................................................
559.8.4提出赔偿的时限.................................................................................................
569.8.5故意不当行为的责任.........................................................................................569.8.6证书责任限制通知.............................................................................................
569.8.7CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任..579.8.8证书持有者的转让..............................................................................................
579.8.9陈述权限.............................................................................................................
579.8.10更改.....................................................................................................................
579.8.11保留所有权.......................................................................................................
579.8.12条款冲突...........................................................................................................
579.9有效期限和终止..........................................................................................................
589.9.1有效期限.............................................................................................................
589.9.2终止.....................................................................................................................
58 9.10对参与者个别通告与沟通.......................................................................................589.11即使及执行...............................................................................................................
58 9.11.1管辖法律...........................................................................................................
589.11.2条款可中止性、修改........................................................................................589.11.3争议解决程序....................................................................................................
589.12修订599.12.1修订程序............................................................................................................
599.12.3必须修改业务规则的情形................................................................................5910附件A.CNNICCA二级根生命周期管理.......................................................................5910.1二级根授权基本管理流程........................................................................................5910.2二级根申请人资质评审
............................................................................................
6010.2.1申请资料...........................................................................................................
6010.2.2二级根密钥生成及管理核验............................................................................6010.2.3审计报告核验....................................................................................................
6010.2.4风险评估............................................................................................................
6010.3二级根证书签发及记录............................................................................................
6110.4二级根证书吊销处理...............................................................................................
6110.5二级根更新...............................................................................................................
6110.5.1二级根更新申请...............................................................................................
6110.5.2二级根更新提交资料.......................................................................................6110.5.3验证...................................................................................................................
6210.5.4操作并记录.......................................................................................................
6210.6二级根密钥变更.......................................................................................................
6210.6.1二级根密钥变更适用范围...............................................................................6210.6.2二级根密钥变更申请及核验...........................................................................6210.6.3二级根密钥变更处理.......................................................................................6211.附件B:EV型证书生命周期管理................................................................................6311.1证书的申请...............................................................................................................
6311.1.1申请人...............................................................................................................
6311.1.2申请提供资料....................................................................................................
6311.1.3证书申请年限及类型........................................................................................6311.2EV高级证书的验证..................................................................................................
64 11.2.1验证要求...........................................................................................................
6411.2.2验证过程...........................................................................................................
6411.2.3其他的验证要求...............................................................................................
6511.3EV高级证书的废止..................................................................................................
6511.3.1CNNIC主动吊销................................................................................................
6511.3.2订户申请吊销...................................................................................................
65一、概括性描述 1.1概述 中国互联网络信息中心(CNNIC)可信网络服务中心(以下简称“CNNIC可信网络服务中心”)为域名提供域名证书安全服务,因此根据IETF组织关于证书业务规则(CPS)的编写规范RFC3647编写了CNNIC可信网络服务中心的CPS,作为CNNIC可信网络服务中心的证书相关业务和系统的运行规范。
1.2文档名称及标识 该子项提供关于文档的任何适用名称或标识符,包括ASN.1对象标识符。
文档的名称可能是政府用于安全电子邮件的策略。
1.3电子认证活动参与者 1.3.1电子认证服务机构(CA) 电子认证服务机构(CertificationAuthority,简称CA)是指得到授权能够签发数字证书的实体。
CNNIC运营维护CNNICCA体系,并向用户颁发SSL服务器证书。
如CNNICCA在未来颁发邮件证书,代码签名证书等其他类型的证书,将在本CPS中予以声明。
CNNIC目前运营两个根证书,如下为CNNICCA的继承结构 CNNICROOT CNNICSHA256SSL CNNICSSL DQSSL ChinaNetworkInformationCenterEVCertificateRoot CNNICEVSSL目前CNNICROOT下有3个CNNIC运营的二级根,CNNICSHA256SSL签发SHA256算法 的OV证书,CNNICSSL签发SHA1的OV证书,DQSSL签发SHA1的DV验证SSL证书。
2015年1月28日之后,CNNIC开始使用CNNICSHA256SSL签发OV证书,不再签发SHA1类型的OV证书,CNNICSSL仅用于签发CRL和OCSP的更新。
ChinaNetworkInformationCenterEVCertificateRoot下有一个运营的二级根CNNICEVSSL,签发SHA1算法的EV型用户证书。
CNNIC的根证书及运营的二级根都在CNNIC官方网站进行了披露并提供下载。
1.3.2注册机构RA 注册机构(RA)是CA授权委托的实体,负责对证书申请人进行身份识别和鉴别,处理证书的申请,更新,作废,重发等请求。
CNNIC同时承担CA及RA的角色,CNNIC暂不授权建立外部的RA。
1.3.3申请人 证书的申请人可以是一个实体,也可以是自然人,通过签订协议提供认证资料从CNNIC获得证书,并承担作为证书用户的责任。
1.3.4信赖方 信赖方信任CNNIC可信网络服务中心发出的任何类别或种类证书(包括但不限于域名证书)。
特此澄清,信赖方信任的不是RA或本地受理点(LRA)等证书注册机构,而是CNNIC可信网络服务中心。
信赖方可以是CNNIC的证书订户,也可以不是订户。
1.3.5其他参与者 CNNIC可信网络服务中心可把履行本CPS及证书持有者协议的部分或全部工作的职责授权给本地受理点(LRA)执行。
无论有关职责是否由本地受理点(LRA)执行,CNNIC可信网络服务中心仍会负责履行本CPS及证书持有者协议。
本业务规则中的本地受理点(LRA)是指CNNIC认证的服务器证书注册服务机构。
1.4证书应用 1.4.1服务器证书 CNNIC目前签发SSL证书,证书签发给域名或者IP地址,可以用于区分,标示,鉴别服务器主体身份。
1.5策略管理 1.5.1策略文档管理机构 本CPS的管理机构是CNNIC可信网络服务中心安全管理委员会,其联系地址如下:中国互联网络信息中心北京市海淀区中关村南四街4号中国科学院软件园区1号楼总机:86-10-58813000传真:86-10-58812666电子邮件地址: 1.5.2联系人 如果需要CNNIC策略文档请发邮件到邮箱,或来信请寄:北京349信箱6分箱CNNIC邮政编码:100190电话:86-10-58813000传真:86-10-58812666 1.5.3决定CPS符合策略的机构 CNNIC可信网络服务中心安全管理委员会 1.5.4CPS批准程序 CNNIC可信网络服务中心安全管理委员会负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构。
安全管理委员会的职责包括:收集与协调安全管理方面的问题和建议,达成一致意见;制定并维护CNNIC可信网络服务中心的证书策略文件(CP);对本CPS进行审核,以确保CPS与CP文件一致。
安全管理委员会应保证每年至少召开1次会议或进行1次文件会签,以对CNNIC可信网络服务中心相关制度规定进行检查修改和批准续期,并对中心运行状况进行通报。
此外,在有其他重要变更时,安全管理委员会应根据实际情况及时通过会议或文件会签的方式对重要事项进行讨论和审批。
安全管理委员会成员由来自于CNNIC领导、人力资源、财务、法律事务、安全管理等方面的代表组成。
1.6定义和缩写1.6.1定义 术语证书证书申请证书申请者证书策略(CP)证书吊销列表(CRL)认证机构(CA)电子认证业务规则(CPS)一致性审计 安全损害 服务器证书 公钥基础设施(PKI) 注册机构(RA)本地受理点(LRA)依赖方依赖方协议 安全套接层协议(SSL) 主体 订户 定义 是指一段信息,它至少包含了一个名字,标识特定的CA或标识特定的订户,它包含了订户的公钥、证书有效期、证书序列号及CA数字签名来自证书申请者的、要求CA签发证书的请求要求一个发证机构签发的个人、组织机构或其授权代理者有关证书业务策略的主要说明定期发行的、并由发证机关数字签名的信息列表,用来识别在有效期内提前被吊销的证书。
这个列表通常标明CRL发布者的名字、发布日期、下一次CRL发布的时间、吊销证书的实践、序列号和原因。
授权签发、管理、吊销和更新证书的实体认证机构批准或拒绝证书申请、签发、管理和吊销证书时必须遵守的业务规则。
认证机构或注册机构要定期经历的审计,通过该审计确定它是否满足有关的行业标准。
对安全策略的违反或(怀疑违反),包括出现敏感信息未经授权的泄露或失去对其的控制。
对于私钥,安全损害是指丢失、公开、修改、未经授权的使用或私钥收到的其他安全危害威胁。
用于支持浏览器和服务器之间的SSL会话。
该证书用于标识组织机构的Web服务器身份,将一个域名与一个服务器绑定,该服务器证书确保服务器的拥有机构有权使用证书上的域名,确保当一个用户访问一个以该域名命名的Web服务器时,用户访问的Web服务器就是其所要访问的服务器,另外它也可实现信息从客户端到服务器端的保密传送。
所有支持基于证书的公开密钥系统实施和操作体系的组织机构、技术、业务和过程的总称。
可帮助申请者申请证书,拒绝或批准证书申请、可吊销和更新证书的实体。
RA授权的可帮助订户提交证书业务办理资料的实体。
信赖一个证书/一个签名的个体或组织机构。
规定一个证书/一个签名的依赖方所应遵循的协议SSL为一个TCP/IP链接提供数据加密、服务器验证、信息完整性和可选的客户端验证等。
在组织机构证书中,主体指的是持有私钥的设备或装置或组织机构本身。
一个主体只有唯一的、确切的命名。
它和该主题证书中的公钥绑定在一起。
对于个人证书,订户是指人,是证书的主体;在组织机构身份证书中,订户是指组织机构;对于组织结构代表人身份证书,订户是组织机构授 订户协议可信人员安全可信系统 权的代表人;对于服务器证书,主体是证书主体所对应设备的拥有者。
由CA或RA拟定的协议,规定一个人活组织结构作为证书订户需要遵循的条款和条件。
在认证机构的雇员、合同商或顾问,他们负责保证实体基础设施的可信性,以及管理产品、服务、设施和业务的可信性。
是指能够有效地避免被入侵与滥用的,提供可靠的、可用的、有正确操作保障的、能够完成预定功能的、实施了适当的安全策略的计算机硬件、软件和程序 1.6.2缩写 缩写CACPCPSCRL OCSPLDAPPCAPINPKCSPKI RARFCSSL 全称认证机构证书策略认证业务规范证书吊销列表在线证书状态查询协议轻量目录访问协议主认证机构个人身份识别码公钥密码标准公钥基础设施注册机构请求评注标准加密套接层协议
二、信息发布和管理 2.1信息库 CNNIC的网站、认证系统的证书服务站点、CRL以及OCSP服务器构成了CNNIC认证信息发布的信息库。
2.2认证信息的发布 CNNIC的认证业务可从官网上获取;用户证书可以从CNNIC的证书服务站点获取;已被吊销了的证书的信息可从CRL站点,而证书的有效状态可通过OCSP获得。
2.3发布时间和频率 除每周最多四个小时的定期维修和紧急修补实践外,CNNIC的认证业务规则可通过信息库每天24小时,每周7天及时获得。
CNNIC签发的订户证书一经签发即发布到LDAP服务器供用户下载,同时订户可通过证书服务站点获得已签发的证书。
订户可通过OCSP对证书状态进行实时查询。
CNNNIC对每个证书签发CA发布一个证书吊销列表,发布该CA签发的证书中已吊销了的证书,CNNIC可信网络服务中心中级根每隔12个小时签发一次证书废止列表,如果没有进行中级根的废止,CRL每6个月(182天)更新一次。
CRL发布的最大滞后时间原则上不超过12小时。
2.4信息库访问和控制 对于2.2中所说的认证信息的查询、获取是公开的、没有限制的,这些信息只有授权人员才能有权进行修改。
三、身份标识与鉴证 3.1命名 3.1.1名称类型 根据证书对应实体的类型不同,CNNIC可信网络服务中心签发的证书的实体名字可以是单个域名或多个域名,命名符合X.500甄别名规定。
CNNIC可信网络服务中心所发证书的签发者和主题域中包含X.500甄别名。
CNNIC可信网络服务中心所发证书的主题甄别名由下面的内容组成: 机构(O)=证书持有者名称组织单元(OU)=证书持有者或持有者下属的部门通用名(CN)=一般为网站域名或IP地址(该字段仅包含多域名中的第一个域名,所有的域名将在SubjectAlternativeName即SAN中并列显示)地区(L)=所在城市省(S)=所在身份国家(C)=所在国家 3.1.2对名称有意义的要求 CNNIC可信网络服务中心签发的证书包含的命名应由域名、证书持有者名称与CNNIC可信网络服务中心证书固定的内容构成。
3.1.3理解不同名称形式的规则 依X.500甄别名命名规则解释。
3.1.4名称唯一性 CNNIC可信网络服务中心签发给不同订户的证书,其主题甄别名,在CNNIC可信网络服务中心信任域内是唯一的。
签发给同一个订户的证书,CNNIC可以为同一主题甄别名签发多张证书。
3.1.5商标的识别,鉴证和角色 CNNIC可信网络服务中心签发的证书的主题甄别名只与域名、证书持有者名称相关,而与商标无关。
3.2初始身份确认 3.2.1证明拥有私钥的方法 CNNIC通过使用经数字签名的PKCS#10格式的证书请求CSR,验证证书使用者拥有私钥。
3.2.2机构身份的鉴证 CNNIC将通过以下几方面进行申请机构身份的验证:申请证书的机构需要提供政府签发的有效证明文件,如营业执照,组织机构代码证等, CNNIC将通过权威的第三方数据库进行核验;申请机构提供签订的盖章的申请书及用户协议,CNNIC将通过网络或第三方数据库获取 申请机构的电话,并通过回访的方式确认机构知晓该申请,且提交申请的办理人是获得授权的。
CNNIC将确认申请机构对域名有所有权或得到了使用授权,方式可以是通过Whois查询向域名持有人邮箱进行邮件确认,或由域名注册商提供相应的证明资料如域名证书等。
当申请者提交的申请中包含IP地址时,CNNIC将确认该IP地址不能被IANA标记为ReservedIP地址。
同时CNNIC将要求申请人提交证明资料确认其拥有该IP的使用权,方式可以是提供IP地址分配机构出具的证明资料,或者通过要求申请人在该IP地址的网站添加特定信息的方式进行证明。
3.2.3个人身份的鉴证 申请机构的办理人需要提供其身份证明的复印件,如身份证,护照等,CNNIC将通过权 威第三方数据库进行查询确认;当申请主体为个人时,需要提供其身份证明的复印件,如身份证,护照等,CNNIC将通 过权威第三方进行查询确认。
3.2.4没有验证的申请人信息 通常来说,验证过的申请人信息会包含在CommonName和O中,未经验证的申请人信息,如有必要,将会标记为相关信息包含在OU中。
3.2.5授权的确认 对于用户申请的证书,CNNIC在签发前将确认申请获得授权,确认方式见本CPS3.2.2. 3.3密钥更新请求的标识与鉴证 在订户证书到期前,需要申请新的证书以保持证书的连续性,订户可以使用新的私钥代替即将过期的密钥对进行更新,证书主题等其他信息也不会变化,仅公钥、有效期和序列号发生了变化;订户也可以使用相同的密钥进行证书更新。
3.4吊销请求的标识与鉴证 证书吊销请求可以来自订户,也可以来自CNNIC或者授权的注册服务机构,用户可以提交申请表等证明文件要求吊销证书;CNNIC在认为有必要的时候,有权吊销订户证书; 当吊销申请来自订户或注册服务机构时,CNNIC要求发起人提供证书吊销申请文件(盖章签字),且将通过电话或邮件的方式与订户进行确认。
4.证书生命周期操作要求 本章节描述了通常情况下CNNIC运营的二级根签发OV型订户证书的处理规定;EV型订户证书的处理规定参照附件
B.CNNICRoot签发外部二级根证书的规定参照附件
A. 4.1证书申请 4.1.1证书申请实体 证书申请过程中,参与申请过程的实体包括:证书申请者,包括个人,企业,事业单位,政府机构,社会团体等各类组织机构,任何 合法的组织及个人均可申请证书,以保证网络交易的安全可靠性。
CNNIC授权的二级CA等。
CNNIC授权的注册服务机构,以及CNNICCA,RA系统的管理员,操作员,财务员,审计员等角色。
4.1.2,注册过程及责任 证书申请者需要到CNNIC授权的注册服务机构申请服务器证书,申请者需要准确提供以下信息:域名,IP地址,申请主体的信息;授权办理人的信息,姓名,电话,邮件地址等; 4.2申请处理 4.2.1申请资料的提交 证书申请经办人提交申请资料给LRA录入员:证书申请者主体证明文件:营业执照或者组织机构代码证复印件(盖章);证书注册申请书(盖章)复印件;申请机构办理人的身份证明复印件;证书申请人为自然人时,还需提交证明其所在地址的资料;LRA录入员将信息准确录入RA系统,并将所有申请资料的电子扫描件通过安全的方式递交到CNNIC的RA审核员。
4.2.2.证书申请的鉴证与批准拒绝 CNNIC在收到LRA通过RA系统提交的证书申请和证明资料后,由RA审核员按照本CPS3.2.2和3.2.3中的鉴证方法对申请者的资料进行审核。
如果信息鉴证通过审核,RA审核员登录RA系统,批准该证书申请。
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请。
处于安全和审计的需要,审核员每一次的审核将记录在CNNIC证书审计表中,包含审核员姓名,签名、验证结果和验证日期。
4.2.3处理证书申请的时间 在申请者提交的资料齐全且符合要求的情况下,CNNIC将在5个工作日之内处理证书请求。
4.3证书签发 证书审核通过后,CNNIC将发送参考号和授权码到申请机构办理人的邮箱,并通过CNNIC 官方网站提供证书的下载服务,此时系统对于用户的证书标记为待下载状态。
4.4证书接受 4.4.1证书接受 订户到CNNIC官方网站,输入收到的参考号和授权码(1次使用),并提交CSR;CNNICRA系统将自动检查CSR的完整性,CNNIC可信网络服务中心签发证书,由订户完成下载。
证书签发完成,CNNIC系统中用户证书标记为已下载状态。
4.4.2CA对证书的发布 CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息,查询地址。
4.5密钥对和证书使用 CNNIC签发的SSL证书被主要用于信息交换时的身份验证,完整性和保密性。
4.6证书更新 4.6.1证书更新的情形 在证书持有者证书到期前,证书持有者需要获得新的证书以保持证书使用的连续性。
CNNICRA系统将在证书到期前90天自动发送邮件给订户通知提醒证书即将到期,如需继续使用需要进行证书更新。
更新之后,新的证书下载后应该立即安装。
更新的有效期顺延:新证书失效期=当前时间+新购证书的时间长度+当前证书剩余的时间长度。
4.6.2请求证书更新的实体 同CPS4.1.1中已经获得CNNIC证书的实体。
4.6.3证书更新请求的处理 同4.2.1,4.2.2 4.6.4签发新证书和对订户的通知 同4.3 4.6.5接受新证书 同4.4.1. 4.6.6CA对证书的发布 同4.4.2. 4.7证书变更 CNNIC提供的证书变更服务仅支持证书申请机构的办理人的联系电话,邮箱信息的变更;不支持证书主体的变更,包括密钥,主题等信息。
4.7.1变更申请 订户确认需要变更的信息,向本地受理点LRA提出申请,并提交变更申请书复印件(盖章);LRA通过RA系统提交订户变更申请,并将申请资料的电子扫描件已安全方式发送到CNNIC审核组。
4.7.2变更的鉴别及审核 CNNIC审核员在收到LRA提交的申请及证明资料后,确认申请变更的信息符合CNNIC证书变更的要求,随后通过电话邮件方式向证书持有机构确认该变更信息的准确性以及是否得到授权。
如上述信息得到确认,CNNIC将过该变更申请。
RA系统将自动发送邮件通知用户变更申请已通过。
4.8证书的吊销 4.8.1证书吊销的情形 以下情况,CNNIC将在24小时之内吊销该证书:订户书面要求吊销该证书;订户通知CNNIC原始的证书请求未得到授权且不会被追朔给予授权;CNNIC得到证据订户的密钥对泄露或者是一个弱的密钥对;CNNIC得到证据订户的证书被错误使用; CNNIC发现证书订户违反了与CNNIC之间的用户协议;CNNIC发现任何指示证书中的域名或IP地址已不允许被合法使用(包括法庭或仲裁吊 销了域名注册人使用域名的权利,或者域名注册人与注册机构之间的协议到期,或者域名注册人没有续注)CNNIC发现通配证书被用来验证一个欺骗性的子域名网站;CNNIC发现证书中信息已经发生了变更的资料;CNNIC发现该证书没有符合CP或CPS中的要求进行签发;CNNIC发现该证书中有任何不准确的或有错误导向的信息;CNNICCA系统停止运营,且没有安排其他的CA机构对该证书提供吊销支持;CNNIC发现签发该证书的二级根的私钥可能发生了泄露;根据CNNIC的CP或CPS要求进行吊销或者证书的格式或者技术参数对于应用软件提供商或其他依赖方呈现出不可接受的风险。
(例如证书中使用的签名算法,或者算法长度已经不安全) 4.8.2请求吊销的实体 证书订户,LRA,CNNIC都可以在4.8.1所述的情形下要求吊销一个最终用户证书 4.8.3证书吊销流程 证书持有者提交证书废止申请资料的电子扫描件给本地受理点(LRA)录入员。
证书废止申请书(盖章)。
申请办理人的身份证明文件。
本地受理点录入员通过RA系统将上述资料录入,提交申请。
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员。
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比。
通过电话与证书申请机构进行确认。
如果审核通过,RA审核员直接吊销此证书。
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和经办人者联系交涉,按照拒绝原因进行相应修改,重新申请吊销。
4.8.4CNNIC处理证书吊销的时限 CNNIC从接到证书吊销请求到完成处理请求的时间不超过24小时。
4.8.5CRL发布频率 CNNIC可信网络服务中心中级根每隔12个小时签发一次证书废止列表(CRL)。
如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新。
4.8.6CRL发布的最大滞后时间 一个域名证书从它被废止到它被发布到CRL上的滞后时间不超过12小时。
如果中级根被废止,根签发的CRL则立即发布。
4.8.7OCSP查询可用性 CNNIC可信网络服务中心提供证书状态的在线查询服务(OCSP),每周除最多四小时的定期维修及紧急维修外,该服务7×24小时可用。
与徐颖确认 4.8.8OCSP查询要求 信赖方是否进行在线状态查询完全取决于信赖方的安全要求。
对于安全保障要求高并且完全依赖证书进行身份鉴别与授权的应用,信赖方在信赖一个证书前可通过证书状态在线查询系统检查该证书的状态。
4.8.9吊销信息的其他发布形式 CNNIC可信网络服务中心目前只提供OCSP查询,以及通过HTTP服务提供CRL查询。
4.8.10密钥损害的特别要求 无论是证书持有者还是CNNIC可信网络服务中心,发现证书密钥受到安全损害时应立即废止证书。
4.9证书补发 CNNIC提供证书补发的服务,应用于当订户已接受并下载证书,由于未能妥善备份保存导致证书丢失的情况,订户可以通过LRA向CNNIC提出补发申请。
4.9.1补发申请提交 订户向LRA提供证书申请者主体证明文件:营业执照或者组织机构代码证复印件(盖章);证书注册申请书(盖章)复印件;申请机构办理人的身份证明复印件;LRA通过RA系统提交补发申请,并将资料的电子扫描件通过安全的方式发送到CNNIC审核员。
4.9.2补发的鉴定审核 RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比。
通过电话与证书申请机构进行确认。
如果信息鉴证通过审核,RA审核员登录RA系统,批准该补发申请。
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请。
4.9.3补发证书的接受 审核通过后,CNNICCA系统将自动吊销原证书,并发送新的参考号和授权码到订户的联系邮箱。
订户按照4.4.1中的步骤进行证书的接受,订户新接收到的证书起始日期从补发日开始,到期时间与原证书的到期时间一致。
证书中的主题等信息都不会发生变化。
4.10证书状态服务 CNNIC通过CRL、OCSP提供证书状态服务。
对于被吊销证书,其状态将同时在CRL、OCSP反映。
4.11订购结束 当订户的证书过期或被吊销,则被认为是一次订购结束。
4.12密钥托管与恢复 CNNIC不向订户提供秘钥托管服务。
五、认证机构设施,管理和操作控制 5.1物理控制 5.1.1场地位置与建筑 CNNIC可信网络服务中心认证的运营场地位于北京市海淀区中关村南四街4号中科院软件园1号楼。
CNNIC可信网络服务中心场地是根据CNNIC物理场地建设规范进行构建的,运行在具备合理安全条件的地点。
在场地建造过程中,CNNIC可信网络服务中心已采取适当预防措施,为CNNIC可信网络服务中心运行做好准备。
场地位置的物理安全是基于物理层级的保护,每一个物理层就是一个屏障,以控制每个 人进出的局域,CNNIC场地物理安全可以达到以下安全和控制风险要求:
(1)防止物理非法进入 多层物理结构及完善的安全管理体系保护CNNIC运营设施安全。
(2)防止未经过授权的物理访问 确保未经过授权的人或仅被授权访问部分区域的管理人员,不得访问受限制区域。
(3)维护CA服务的完整性、可用性 保障提供CA服务的系统、设施不受到破坏,保证认证服务不受中断。
5.1.2物理访问控制 CNNIC可信网络服务中心实施合理的安全控制,限制访问CNNIC可信网络服务中心所使用的硬件及软件(包括服务器、工作站及任何外部加密硬件模块)。
可访问上述硬件及软件的人员只限于本CPS第5.2.1节所述的履行可信职责的人员。
在任何时间都对上述访问进行控制及电子监控,以防发生未经授权入侵。
5.1.3电力与空调 CNNIC可信网络服务中心设施可获得的电力和空调资源包括专用的空调系统,不间断电力供应系统(UPS)以及租用的电力公司的发电车,以备城市电力系统发生故障时供应电力。
5.1.4水患防治 CNNIC可信网络服务中心有专门的技术措施,防止、检测漏水的出现,并能够在出现漏水时最大程度地减小漏水对认证系统的影响,确保设施在合理可能的限度内可免受自然灾害影响。
5.1.5火灾防护 5.1.5.1结构防火 CNNIC认证中心的耐火等级符合法规规定的二级防火等级,防护方法应符合当地管理部门或机构的安全要求。
5.1.5.2火灾报警及消防设施 CNNIC可信网络服务中心已为其设施准备妥当防火计划及灭火系统。
CNNIC认证机构设施内置火灾报警装置。
在机房内、各物理区域内、活动地板下以及易燃物附近部位设置烟、温感探测器。
敏感区及高敏感区设置了独立的气体灭火装置。
5.1.5.3紧急出口 根据国家有关消防要求、规定和标准,在非敏感区及敏感区的办公区域内,设置了紧急出口,紧急出口设有消防门。
紧急出口有监控设备进行实时监控,并保证紧急出口随时可用。
紧急出口门外部设有门开启的装置,且紧急出口门与门禁报警设备联动。
非紧急避险状态下,紧急出口门不能被内部人员随意打开。
5.1.6介质存储 认证中心对敏感的文件和材料在处理之前将其切成碎片,使信息无法恢复。
媒体介质存储及处置程序已经准备妥当。
5.1.7废物处理 根据正常的废料处理要求处理废料。
加密设备作废前根据设备生产商的指导,对其进行物理上的销毁或清零。
5.1.8异地备份 印刷文件(包括证书持有者的身份确认文件,管理文档等)由CNNIC可信网络服务中心妥为保存,只有授权人员可以取阅。
CNNIC可信网络服务中心系统数据的适当备份会作场外储存,并获足够保护,以免被盗用、损毁及媒体衰变。
5.1.9注册机构物理控制 CNNIC注册机构的物理场地有足够的安全措施,保证只有授权的人员才能进入,只有授权的人员才能接触系统进行证书管理。
5.2程序控制 5.2.1可信角色 CNNIC的可信人员包括:首席安全管理员内审主管业务内审员支撑系统内审员运营内审员CA系统管理员 策略管理员二级根签发门限管理员最终用户证书管理员系统审计员加密机管理员加密机操作员根密钥份额分管者RA系统管理员RA业务管理员RA审核员RA审计员费用录入员费用审核员操作系统管理员目录服务管理员数据库管理员网络管理员安全管理员门禁管理员门禁审计员系统管理员 5.2.2每项任务需要的人数 CNNIC有严格策略和控制程序,以保障基于工作性质的职责分离。
最敏感的操作要求多名可信人员共同参与完成。
鉴证和签发机构证书和管理员证书,要求至少2个可信人员的参与;访问CA密钥离线生成室和CA密钥离线存放室,至少两名有访问权限的人员;掌管CA私钥激活数据分割份额的秘密持有人员,至少3人;操作存放有CA密钥的密码设备,包括密钥生成、分配、备份、销毁等至少需要3个秘密持有人,一个密钥管理员,一个见证人。
5.2.3每个角色的识别与鉴别 对于物理访问控制,CNNIC通过门禁磁卡、指纹识别鉴别不同人员,并确定相应的权限。
对于进行证书生命周期管理的CNNIC注册机构证书管理员,他们使用相应的证书访问认证系统、注册机构系统,完成证书管理工作。
对于系统维护人员,他们使用安全的身份鉴别机制进入认证系统进行维护工作。
5.2.4需要职责分割的角色 所谓职责分割,是指如果一个人担任了完成某一职能的角色,就不能再担任另一特定职 能的角色,CNNIC对如下人员进行了职责分割:首席安全管理员内审主管 业务内审员支撑系统内审员 运营内审员策略管理员二级根签发门限管理员CA系统管理员根密钥份额分管者RA系统管理员RA业务管理员RA审核员RA审计员费用审核员 5.3人员控制 5.3.1资格、经历和无过失要求 CNNIC可信网络服务中心工作人员的背景、资历、经验等情况都进行核实和审查。
具备忠诚、可信赖及工作热情、无影响系统运行的其它兼职工作、无同行业重大错误记录、无违法记录等。
背景:要求政治素质高、业务优秀、有非常强的责任感,原则性强,无犯罪记录和不良记录;资历:精通本岗位工作,其所受教育、培训及工作经历保证足够胜任其工作;CNNIC可信网络服务中心工作人员及管理政策可合理确保CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的LRA人员的可信程度及胜任程度,并确保他们根据本CPS履行职责。
5.3.2背景审查程序 CNNIC可信网络服务中心(包括注册中心)对担任可信职责的人员进行严格调查(其聘用前及其后有需要时定期进行),人员包括CNNIC正式员工以及外包人员,以根据本CPS及CNNIC可信网络服务中心的人员策略要求核实工作人员的可信程度及胜任程度。
未能通过首次及定期调查的人员不得担任或继续担任可信职责。
5.3.3培训要求 CNNIC可信网络服务中心(包括注册中心)工作人员已接受履行其职责所需要的初步培训。
CNNIC可信网络服务中心会提供持续培训,使人员能掌握所需最新工作技能。
5.3.4再培训周期和要求 CNNIC根据业务需要安排。
5.3.5工作岗位轮换周期和顺序 内部安排。
5.3.6未授权行为的处罚 CNNIC对于未授权行为或其他违反公司安全策略和程序的行为制定相应的处罚措施,包括警告、罚款甚至辞退,情节严重的将依法追究刑事责任。
5.3.7独立合约人的要求 在有限制的情况下,独立合约人或顾问可以担任可信职位。
任何合约人或顾问在某一职位的职能和安全标准应与相应职位的内部雇员相一致。
担任可信角色的独立合约人和顾问需要通过5.3.2中所述的背景调查程序,否则,他们不能担任可信角色。
当进入敏感区时,只有在认证机构人员的陪同和直接监督下访问认证机构的安全设施,完成有关的工作。
5.3.8提供给员工的文档 CNNIC可信网络服务中心(包括注册中心)人员会收到指导手册,详细描述证书的注册、续费、补发及废止程序及与其职责有关的其它软件功能。
5.4审计日志程序 5.4.1记录事件的类型 CNNIC对如下几类事件进行记录:CA密钥生命周期内的管理事件,包括: 1)密钥生成、备份、存储、恢复、归档和销毁;2)密钥设备生命周期的管理事件,例如接收、使用、卸用和弃用;这些记录都是密钥管理员完成的纸质记录。
CA和订户证书生命周期内的管理事件,包括:1)证书的申请、批准、更新和吊销等;2)成功或失败的证书操作;这些记录由认证系统自动记录,保存在数据库。
系统安全事件,包括:1)成功或不成功访问CA系统的活动;2)对于CA系统网络的非授权访问或访问企图;3)对于系统文件的非授权访问或访问企图;4)安全、敏感的文件或记录的读、写、删除;5)系统崩溃、硬件故障以及其他异常;6)防火墙和路由器记录的安全事件这些记录由操作系统自动完成,CNNIC的系统人员会定期检查系统日志。
系统操作事件,包括:1)系统启动和关闭。
2)系统权限的创建、删除、设置或修改密码。
这些记录由操作系统自动完成,CNNIC的系统人员会定期检查系统日志。
CNNIC物理设施的访问记录,包括:1)授权人员进出。
2)非授权人员进出及陪同人;3)安全存储设备的访问; 可信人员管理记录,包括且不限于:1)网络权限的账号申请记录;2)系统权限的申请、变更、设置和删除;3)人员变化情况日志记录包括如下信息: 每个日志记录的日期和时间对于自动日志记录、登记的序列号或序号做日志记录的实体的部分日志记录的种类 5.4.2处理日志的周期 对于CA和订户证书生命周期内的管理实践日志,CNNIC每一个季度进行一次内部检查和审计。
系统安全事件和系统操作事件日志CNNIC将每周进行一次检查、处理。
CNNIC物理设施的访问日志CNNIC将每月进行一次检查、处理。
5.4.3审计日志保存期限 与证书相关的审计日志,在证书失效后至少保留5年。
5.4.4审计日志的保护 CNNIC采取了物理和逻辑的访问控制方法,防止未经授权而浏览、修改、删除或其他方式篡改电子或纸质审计日志文件。
5.4.5审计日志备份程序 对于认证系统的日志,CNNIC定期进行备份。
5.4.6审计收集系统 对于电子审计信息,CNNIC设置了专门的审计信息存储系统,自动或人工完成信息的收集。
对于纸质的审计信息,则有专门的文件管理柜来实现审计信息的收集。
每季度对相关记录进行分析、审计、检查。
5.4.7对导致事件主体的通知 当审计记录报告一个事件时,CNNIC会立即通知引起该时事件的个人、组织和机构。
5.4.8脆弱性评估 根据审计记录,CNNIC定期进行系统、物理场地、人事管理等方面的安全脆弱性评估,并根据评估报告采取措施。
每年度对相关系统、物理场地、人事管理进行安全检查。
5.5记录归档 5.5.1归档记录的类型 CNNIC对5.4.1所述记录类型进行归档。
5.5.2归档记录的保存期限 对于不同的归档记录其保留期限是不同的,对于系统操作事件和系统事件安全记录,其归档应保留到完成安全脆弱性评估或一致性审计。
对订户证书生命周期内的管理事件的归档,保留一年以上。
对于CA和密钥生命周期内的管理事件的归档,其保留期限不少于CA和密钥生命周期。
订户证书的归档保留期限不少于证书失效后5年。
CA证书和密钥的归档在CA证书和密钥生命周期之外,额外保留5年。
5.5.3归档文件的保护 CNNIC对各种电子、磁带、纸质形式的归档文件,都有安全的物理和逻辑保护措施和严格的管理程序,确保归档了的文件不会被损坏,防止非授权的访问、修改、删除或其他的篡 改行为。
5.5.4归档文件的备份程序 CNNIC对归档文件进行定期备份,分为增量备份和全备份。
增量备份每天进行,全备份每周进行。
5.5.5记录时间戳要求 CNNIC对每项日志有时间记录。
对于纸质记录,由操作人员手工记录。
对于电子记录由系统自动增加时间,但这些时间未采用时间戳技术。
5.5.6归档收集系统 CNNIC有专门的电子归档记录存放系统。
5.5.7获得和检验归档信息的程序 只有可信人员才可以查看和获得归档信息,这些信息被归还时必须经过检验。
5.6CA密钥变更 当CA密钥对的累计寿命超过CPS6.3.2中对顶的最大生命周期,CNNIC将启动密钥更新流程,替换已经过期的CA密钥对。
CNNIC密钥变更按如下方式进行:一个上级CA在其私钥到期时间小于下级CA的生命周期之前停止签发新的下级CA证书 (“停止签发日期”)。
产生新的密钥对,签发新的上级CA证书。
在“停止签发证书的日期”之后,对于批准的下级CA或最终用户证书请求,将采用新 的CA密钥签发证书。
5.7损害与灾害恢复 5.7.1事故和损害处理程序 CNNIC已制定各种应急处理方案,规定了相应的事故和损害处理程序,这些应急处理方案有:1)认证系统应急方案;2)电力系统应急方案;3)消防应急方案; 4)网络与信息系统应急方案;5)安全事故应急处理方案等。
5.7.2计算机资源、软件和/或数据的损坏 CNNIC对业务系统及其他重要系统的资源、软件和数据进行了备份,并制订了相应的应急处理流程,当出现计算机资源、软件和/或数据的损坏时在最短的时间内恢复被损害的资源、软件和/或数据。
对备用设备、设施、数据,每月进行可用性监测,确保在应急恢复时设备、设施、数据的可用性。
5.7.3私钥损耗处理程序 CNNIC的根私钥出现损毁、遗失、泄露、破解、被篡改或者由被第三者窃用的疑虑时,CNNIC应该:1)立即向电子认证服务管理办公室和其他政府主管部门汇报,通过网站和其他公共媒体 对订户进行通告,采取措施保障用户利益不受损失。
2)立即吊销所有已经被签发的证书,更新CRL和OCSP信息,供证书订户和依赖方查询。
同时CNNIC立即生成新的密钥对,并自签发新的根证书。
3)新的根证书签发以后,按照本CPS关于证书签发的规定,重新签发下级证书和下级操作 子CA证书。
4)CNNIC新的根证书签发以后,将会立即通过CNNIC信息库、目录服务器、HTTP等方式进 行发布。
CNNIC的子CA私钥出现遗失、泄露、破解、被篡改或者由被第三者窃用的疑虑时,操作CA应该:1)立即向CNNIC进行汇报并生成新的密钥对和证书请求,向CNNIC申请签发新的证书。
2)立即向电子认证服务管理办公室和其他政府主管部门汇报,通过网站和其他公共媒体对订户进行通告,采取措施保障用户利益不受损失。
3)立即吊销所有已经被签发的证书,更新CRL和OCSP信息,供证书订户和依赖方查询。
同时CNNIC立即生成新的密钥对,并自签发新的根证书。
4)新的根证书签发以后,按照本CPS关于证书签发的规定,重新签发下级证书和下级操作子CA证书。
5)CNNIC新的根证书签发以后,将会立即通过CNNIC信息库、目录服务器、HTTP等方式进行发布。
证书订户的私钥出现遗失、泄露、破解、被篡改或者有被第三者窃用的疑虑时,订户应该按照本CPS的规定,首先申请证书吊销,并按照规定重新申请新的证书。
5.7.4灾难后的业务存续能力 CNNIC在异地有数据级别的备份,一旦物理场地出现了重大灾难,CNNIC能够根据业务连续性计划在最短时间内利用备份数据重建系统,恢复业务。
5.8CA或RA的终止 当CNNIC及其注册机构需要停止其业务时,将会严格按照《中华人民共和国电子签名法》及相关法规中对认证机构终止业务的规定要求进行有关工作。
六、技术安全控制 6.1密钥对的产生和安装 6.1.1密钥对的产生 6.1.1.1CA密钥对的产生 CNNIC密钥对由硬件加密设备直接产生,并且直接保存在该硬件加密设备(加密机)中,CNNIC可信网络服务中心使用的是国家商业密码管理委员会鉴定通过的加密硬件设备。
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人均没有办法执行产生密钥的操作。
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码。
6.1.1.2订户密钥对的产生 对于电子邮件证书、账户证书、个人证书和机构证书,订户使用国家密码管理部门许可的密码模块生成密钥对。
对于服务器证书,订户使用服务器程序使用的密码模块提供的密钥生成功能生成密钥对。
对于运营设备证书,运营CA的密钥对在本地的硬件加密设备上产生(硬件加密设备使用的是国家商业密码管理委员会鉴定通过的加密硬件设备),私钥不能出此加密硬件设备。
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人没有办法执行产生密钥的操作。
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码。
对于管理员证书,私钥使用国家密码管理部门许可的客户端密码模块产生。
6.1.2私钥传送给
