中国互联网络信息中心(CNNIC),中国互联网络信息中心(CNNIC)

域名 5
可信网络服务中心证书业务规则 版本号:3.03生效期:2013-07-
1 中国互联网络信息中心(CNNIC)2013年07月01日 CNNIC可信网络服务中心证书业务规则 CNNIC可信网络服务中心证书业务规则版本控制表 版本号V1.00V2.00V2.01V2.02 V2.03 V2.04V2.05V2.06V2.07V3.0V3.01 V3.02 V3.03 主要修改说明 初次审核通过进行年审修改后,延长CPS有效期一年提供http协议的CRL下载
1、域名证书密钥对要求2048位
2、赔付金额进行修改
3、联络方式中的邮编修改
4、年审完成,延长CPS有效期一年
1、证书主题中O项值修改
2、多域名证书主题中CN项值修改
3、证书申请所提交材料调整
4、证书结构中证书项说明调整,与所发 证书一致
1、参考号、授权码发放方式调整
2、CP改为在储存库中公开发布
3、对证书发布情况的说明进行调整
1、修改交叉认证描述,增加CNNIC中级 根证书和Entrust根之间的关系说明
1、增加对根签发的证书废止列表的说 明,相应对其他相关部分文字进行调整
1、延长有效期
1、增加快速域名证书的相关内容
2、修改安全管理委员会工作方式
3、取消对外ldap服务
1,修改“高级证书”名称为“标准服务器证书”;删除“网址卫士”名称,并不再提供纸质版的网址卫士核准说明;
2、修改标准证书审核内容;
3、修改快速域名证书的相关流程;4、crl发布网址增加
5、延长CPS有效期一年;
1、修改标准服务器证书申请提交资料
2、修订CA相关人员背景调查内容
3、增加电磁防护相关内容
4、对国防类域名的申请审核流程做特殊说明
1、本地受地点提交到CNNIC的申请资料由纸质版原件变更为电子扫描件;
2、标准服务器证书审核确认仅需和经办人进行电话确认;
3、在灾难恢复计划中加入了CA服务在 完成时间2007年5月15日2008年4月8日2008年11月5日2009年3月19日 2009年4月14日 2009年6月18日2009年11月09日2010年02月02日2010年04月08日2011年4月07日2012年4月07日 2012年9月20日 2013年6月24日 CNNIC可信网络服务中心证书业务规则灾难情况下系统停机时间,恢复时间内容。
II CNNIC可信网络服务中心证书业务规则 目录 1

引言..................................................................................................................................................

1 1.1概述

.........................................................................................................................................

11.2角色与责任

.............................................................................................................................

1 1.2.1安全管理委员会

.............................................................................................................

11.2.2首席安全管理员

.............................................................................................................

11.3适用性

.....................................................................................................................................

21.3.1CNNIC可信网络服务中心

............................................................................................

21.3.2

最终实体.........................................................................................................................

31.3.3证书持有者分类

.............................................................................................................

41.3.4

证书分类.........................................................................................................................

41.3.5

证书有效期.....................................................................................................................

41.3.6从CNNIC可信网络服务中心申请证书.......................................................................51.4联络方式

.................................................................................................................................

51.5处理投诉程序

.........................................................................................................................

5 2

总则..................................................................................................................................................

5 2.1义务

.........................................................................................................................................

52.1.1CNNIC可信网络服务中心认证中心(CA)义务.......................................................62.1.2CNNIC可信网络服务中心注册中心(RA)义务........................................................62.1.3

储存库义务.....................................................................................................................

62.1.4证书持有者义务

.............................................................................................................

72.1.5

信赖方义务.....................................................................................................................

8 2.2其它

.........................................................................................................................................

82.2.1合理技术及免责条款

.....................................................................................................

82.2.2

责任限制.........................................................................................................................

92.2.3CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任...........112.2.4证书持有者的转让

.......................................................................................................

122.2.5

陈述权限.......................................................................................................................

122.2.6

更改...............................................................................................................................

122.2.7

保留所有权...................................................................................................................

122.2.8

条款冲突.......................................................................................................................

122.2.9

受信关系.......................................................................................................................

122.2.10

交叉认证.......................................................................................................................

13 2.3解释及执行(管辖法律)

...................................................................................................

132.3.1

管辖法律.......................................................................................................................

132.3.2条款可中止性、修改

...................................................................................................

132.3.3争议解决程序

...............................................................................................................

13 2.4证书费用

...............................................................................................................................

142.4.1

证书...............................................................................................................................

14
I CNNIC可信网络服务中心证书业务规则 2.4.2

查询...............................................................................................................................

142.4.3

废止...............................................................................................................................

142.4.4

退款策略.......................................................................................................................

142.4.5

其他费用.......................................................................................................................

142.5公布资料及储存库

...............................................................................................................

142.5.1证书储存库控制

...........................................................................................................

152.5.2证书储存库进入要求

...................................................................................................

152.5.3证书储存库更新周期

...................................................................................................

152.6遵从规定的评估

...................................................................................................................

152.7机密性

...................................................................................................................................

16 3

鉴别及认证....................................................................................................................................

17 3.1关于CNNICCA

根证书的结构...........................................................................................

173.2

标准服务器证书命名及首次注册........................................................................................

17 3.2.1

名称类型.......................................................................................................................

173.2.2

名称要求.......................................................................................................................

183.2.3申请者的匿名或伪名

...................................................................................................

183.2.4理解不同名称形式的规则

...........................................................................................

183.2.5

名称唯一性...................................................................................................................

183.2.6商标的识别、鉴证和角色

...........................................................................................

183.2.7名称争端解决

...............................................................................................................

183.2.8标准服务器证书首次注册

...........................................................................................

193.2.8.1单域名,通配域名证书

...............................................................................................

193.2.8.2

多域名证书...................................................................................................................

203.2.8.3国防类域名申请注册标准服务器证书.......................................................................213.3

快速域名证书命名及首次注册............................................................................................

223.3.1

名称类型.......................................................................................................................

223.3.2

名称要求.......................................................................................................................

223.3.3申请者的匿名或伪名

...................................................................................................

233.3.4理解不同名称形式的规则

...........................................................................................

233.3.5

名称唯一性...................................................................................................................

233.3.6商标的识别、鉴证和角色

...........................................................................................

233.3.7名称争端解决

...............................................................................................................

233.3.8快速域名证书首次注册

...............................................................................................

233.3.8.1单域名证书、多域名证书

...........................................................................................

233.4证明拥有私钥的方法

...........................................................................................................

25 4

操作规范........................................................................................................................................

25 4.1关于CNNICROOT证书链下的证书签发..........................................................................254.2标准服务器证书申请、签发、接受、废止及发布............................................................25 4.2.1

证书申请.......................................................................................................................

254.2.2签发、接受证书

...........................................................................................................

264.2.3

证书发布.......................................................................................................................

274.2.4标准服务器证书补发

...................................................................................................

274.2.5标准服务器证书续费及年检.......................................................................................28 II CNNIC可信网络服务中心证书业务规则 4.2.6多域名证书域名修改

...................................................................................................

314.2.7

证书废止.......................................................................................................................

324.2.8国防类域名标准服务器证书的申请,补发,续费,变更及废止............................364.3快速域名证书申请、签发、接受、废止及发布................................................................364.3.1

证书申请.......................................................................................................................

364.3.2签发、接受证书

...........................................................................................................

374.3.3

证书发布.......................................................................................................................

374.3.4快速域名证书补发

.......................................................................................................

374.3.5快速域名证书的续费及年检.......................................................................................394.3.6

证书废止.......................................................................................................................

414.4证书冻结

...............................................................................................................................

444.5证书更新

...............................................................................................................................

444.6证书发布

...............................................................................................................................

444.7计算机安全审计程序

...........................................................................................................

454.7.1记录事件类型

...............................................................................................................

454.7.2处理记录的次数

...........................................................................................................

454.7.3审计追踪记录保存期限

...............................................................................................

454.7.4审计追踪记录保护

.......................................................................................................

464.7.5审计追踪记录备份

.......................................................................................................

464.7.6审计追踪记录收集系统

...............................................................................................

464.7.7安全事件通知

...............................................................................................................

464.7.8

脆弱性评估...................................................................................................................

464.8记录归档

...............................................................................................................................

464.8.1归档记录类型

...............................................................................................................

464.8.2归档保存期限

...............................................................................................................

474.8.3

归档保护.......................................................................................................................

474.8.4归档备份程序

...............................................................................................................

474.8.5

时间戳...........................................................................................................................

474.9密钥变更

...............................................................................................................................

474.10CNNIC可信网络服务中心服务终止..................................................................................484.11灾难恢复及密钥泄漏计划

...................................................................................................

484.11.1灾难恢复计划

...............................................................................................................

484.11.2密钥泄漏应对计划

.......................................................................................................

494.11.3

密钥的转换...................................................................................................................

49 5

实体、程序及人员安全控制........................................................................................................

50 5.1实体安全

...............................................................................................................................

505.1.1

选址及建造...................................................................................................................

505.1.2

进入控制.......................................................................................................................

505.1.3

电力及空调...................................................................................................................

505.1.4

自然灾害.......................................................................................................................

505.1.5

防火及保护...................................................................................................................

505.1.6媒体介质存储

...............................................................................................................

515.1.7

场外备份.......................................................................................................................

515.1.8保管印刷文件

...............................................................................................................

51 III CNNIC可信网络服务中心证书业务规则 5.1.9

废料处理.......................................................................................................................

515.1.10

电磁防护.......................................................................................................................

515.2过程控制

...............................................................................................................................

515.2.1

可信职责.......................................................................................................................

515.2.2CNNIC可信网络服务中心与本地受理点(LRA)之间的文件及资料传递.................525.2.3

年度评估.......................................................................................................................

525.3人员控制

...............................................................................................................................

525.3.1

背景及资格...................................................................................................................

525.3.2

背景调查.......................................................................................................................

535.3.3

培训要求.......................................................................................................................

535.3.4向人员提供的文件

.......................................................................................................

53 6

技术安全控制................................................................................................................................

53 6.1密钥的生成及安装

...............................................................................................................

536.1.1密钥对的生成

...............................................................................................................

536.1.2公钥传送给证书签发机构

...........................................................................................

546.1.3CNNIC可信网络服务中心公钥发布..........................................................................546.1.4

密钥的长度...................................................................................................................

546.1.5密码模块标准

...............................................................................................................

546.1.6

密钥用途.......................................................................................................................

556.1.7

密钥销毁.......................................................................................................................

55 6.2

私钥保护和密码模块工程控制............................................................................................

556.2.1密码模块标准

...............................................................................................................

556.2.2私钥多人控制

...............................................................................................................

556.2.3

私钥托管.......................................................................................................................

566.2.4CNNIC可信网络服务中心私钥备份..........................................................................56 6.3密钥对管理的其它方面

.......................................................................................................

566.3.1

公钥归档.......................................................................................................................

566.3.2

私钥归档.......................................................................................................................

566.3.3证书操作期和密钥对使用期限...................................................................................57 6.4计算机安全控制

...................................................................................................................

576.5生命周期技术安全控制

.......................................................................................................

576.6网络安全控制

.......................................................................................................................

576.7密码模块工程控制

...............................................................................................................

58 7证书及证书废止列表(CRL)结构

...........................................................................................

58 7.1证书结构

...............................................................................................................................

587.1.1

版本号...........................................................................................................................

587.1.2

证书项说明...................................................................................................................

587.1.3算法对象标识符

...........................................................................................................

597.1.4

名称形式.......................................................................................................................

597.1.5

名称限制.......................................................................................................................

607.1.6证书策略对象标识符

...................................................................................................

607.1.7策略限制扩展项的用法

...............................................................................................

617.1.8策略限定符的语法和语义

...........................................................................................

61 IV CNNIC可信网络服务中心证书业务规则 7.1.9关键证书策略扩展项的处理规则...............................................................................617.2

证书废止列表(CRL)结构................................................................................................

61 7.2.1

版本号...........................................................................................................................

617.2.2CRL

项...........................................................................................................................

617.3OCSP

.....................................................................................................................................

627.3.1

版本号...........................................................................................................................

637.3.2OCSP扩展项

...............................................................................................................

637.3.3OCSP请求

....................................................................................................................

637.3.4OCSP响应

....................................................................................................................

638CPS管理

.......................................................................................................................................

638.1变更流程

...............................................................................................................................

638.2公告与通知

...........................................................................................................................

648.3CPS批准程序

.......................................................................................................................

648.4解释

.......................................................................................................................................

64
V 1引言 1.1概述 中国互联网络信息中心(CNNIC)可信网络服务中心(以下简称“CNNIC可信网络服务中心”)为域名提供域名证书安全服务,因此根据IETF组织关于证书业务规则(CPS)的编写规范RFC3647编写了CNNIC可信网络服务中心的CPS,作为CNNIC可信网络服务中心的证书相关业务和系统的运行规范。
1.2角色与责任 1.2.1安全管理委员会 CNNIC可信网络服务中心安全管理委员会负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构。
安全管理委员会的职责包括:收集与协调安全管理方面的问题和建议,达成一致意见;制定并维护CNNIC可信网络服务中心的证书策略文件(CP);对本CPS进行审核,以确保CPS与CP文件一致。
安全管理委员会应保证每年至少召开1次会议或进行1次文件会签,以对CNNIC可信网络服务中心相关制度规定进行检查修改和批准续期,并对中心运行状况进行通报。
此外,在有其他重要变更时,安全管理委员会应根据实际情况及时通过会议或文件会签的方式对重要事项进行讨论和审批。
安全管理委员会成员由来自于CNNIC领导、人力资源、财务、法律事务、安全管理等方面的代表组成。
1.2.2首席安全管理员 首席安全管理员将全面负责CNNIC可信网络服务中心日常的各项安全事务,受CNNIC可信网络服务中心安全管理委员会授权,首席安全管理员可以执行变
1 CNNIC可信网络服务中心证书业务规则更CNNIC可信网络服务中心的安全策略,对CNNIC可信网络服务中心的安全管理进行定期的检查和评估,保持CNNIC可信网络服务中心的安全管理始终处在一个较先进的水平,具有较高的安全性和可信度。
随时追踪有关安全管理的最新动态,确保安全体系的先进性。
为保障CNNIC可信网络服务中心的安全、可靠运营,CNNIC可信网络服务中心首席安全管理员重点关注下面三个关键领域:开发安全策略,并协助程序开发和执行;维护安全策略和程序,使之保持完备性;审计安全策略及其实际执行情况的一致性。
CNNIC可信网络服务中心首席安全管理员拥有以下职责:经授权后建立和变更CNNIC可信网络服务中心安全策略和规范;管理交叉认证,发布CNNIC可信网络服务中心交叉认证协议,更新及撤 消交叉认证;处理审计报告。
1.3适用性 1.3.1CNNIC可信网络服务中心 根据本CPS,CNNIC可信网络服务中心履行证书认证机构的职能并承担其义务。
CNNIC可信网络服务中心是唯一根据本CPS授权发出证书的证书认证机构(见第2.1.1节)。
1.3.1.1CNNIC可信网络服务中心所作的陈述 CNNIC可信网络服务中心向遵守本CPS第2.1.5节和其它有关条款的信赖方表明,CNNIC可信网络服务中心根据本CPS向证书持有者颁发证书。
1.3.1.2生效 经CNNIC可信网络服务中心签发的证书一经发出并由证书持有者接受,证书立即生效。

2 CNNIC可信网络服务中心证书业务规则 1.3.1.3CNNIC可信网络服务中心对本地受理点(LRA)授权的权利 CNNIC可信网络服务中心可把履行本CPS及证书持有者协议的部分或全部工作的职责授权给本地受理点(LRA)执行。
无论有关职责是否由本地受理点(LRA)执行,CNNIC可信网络服务中心仍会负责履行本CPS及证书持有者协议。
本业务规则中的本地受理点(LRA)是指CNNIC认证的服务器证书注册服务机构。
1.3.2最终实体 根据本证书业务规则,存在两类最终实体,包括证书持有者及信赖方。
证书持有者可以是"证书持有者个人"或"证书持有者机构"。
信赖方信任CNNIC可信网络服务中心发出的任何类别或种类证书(包括但不限于域名证书)。
特此澄清,信赖方信任的不是可信网络服务注册中心(以下简称“注册中心”或RA)或本地受理点(LRA)等证书注册机构,而是CNNIC可信网络服务中心。
CNNIC可信网络服务中心通过注册中心发出数字证书,而注册中心对信赖方并无任何职务职责,也不需对信赖方就发出数字证书而负责(见第2.1.2节)。
1.3.2.1证书持有者的保证及陈述 申请人须签署或确定接受一份协议(按本CPS规定的条款),其中载有一条款。
申请人据此条款同意,申请人一经接受根据本CPS发出的证书,即表示其向CNNIC可信网络服务中心保证(承诺)并向所有其它有关人士(尤其是信赖方)做出陈述,在证书的有效期内,以下事实属实并将保持真实: 除域名证书持有者及其授权者外,并无其它人士曾取用证书持有者的私人密钥。
使用与证书持有者域名证书所包含的公开密钥相关的证书持有者私人密钥所产生的每一数字签名实属证书持有者的数字签名。
证书所包含的所有资料及由证书持有者做出的陈述均属真实。
证书将只会用于符合本CPS认可并合法的用途。
在证书申请过程中所提供的所有资料,均不侵犯任何第三方的商标、服
3 CNNIC可信网络服务中心证书业务规则务标记、商号、公司名称或任何知识产权。
1.3.3证书持有者分类 CNNIC可信网络服务中心的证书持有者就是域名持有者,可以是法人或自然人,但CNNIC可信网络服务中心并不区分他们。
1.3.4证书分类 CNNIC可信网络服务中心根据本CPS提供域名证书服务,目前所颁发的域名证书品牌为“标准服务器证书”和快速域名证书两类证书,标准服务器证书存在不同的类型: 单域名证书:CN是一个固定域名通配域名证书:CN是一个形式为“*.xxx.xxx”形式的域名多域名证书:CN是多个域名的并列,例如“CN=a.xxx.xxx,CN=b. xxx.xxx,CN=c.xxx.xxx”,SAN扩展中包含这多个域名CNNIC可信网络服务中心颁发的标准服务器证书仅限于域名证书,确保信息传输加密传输的同时,也进一步体现该证书所属实体的信息,而不能用于其他用途。
快速域名证书存在不同的类型:单域名证书:CN是一个固定域名多域名证书:CN是多个域名的并列,例如“CN=a.xxx.xxx,CN=b. xxx.xxx,CN=c.xxx.xxx”,SAN扩展中包含这多个域名CNNIC可信网络服务中心颁发的快速域名证书仅限于域名证书,保证网站与客户端之间的信息传输加密,不能用于其他用途。
1.3.5证书有效期 根据本证书业务规则发出的新申请人的证书,其有效期为一年。

4 CNNIC可信网络服务中心证书业务规则根据本证书业务规则的证书续费程序而发出的证书有效期可超过上述的有 效期。
数字证书内会注明其有效期。
1.3.6从CNNIC可信网络服务中心申请证书 所有首次申请及证书废止或到期后的申请,申请人须依据本CPS规定的程序递交申请。
1.4联络方式 邮寄地址:北京349信箱6分箱CNNIC邮政编码:100190电话:86-10-58813000传真:86-10-58812666电子邮件地址:网址:中文域名:http://中国互联网络信息中心.CN通用网址:中国互联网络信息中心:CNNIC 1.5处理投诉程序 CNNIC可信网络服务中心工作人员会尽快处理所有以书面及口头形式发起的投诉,并在五个工作日内给予详细的答复。
若五个工作日内不能给予详细的答复,会向投诉人做出简要回复。
在可行范围内,CNNIC可信网络服务中心人员会在收到投诉后尽快以电话、电子邮件或信件与投诉人联络确认收到有关投诉并做出回复。
2总则 2.1义务 CNNIC可信网络服务中心对证书持有者的义务由本CPS及与证书持有者达
5 CNNIC可信网络服务中心证书业务规则成的证书持有者协议进行约定。
对于非证书持有者的证书信赖方,CNNIC可信网络服务中心仅承诺采取合理技术避免根据本CPS签发、废止证书时对证书信赖方造成若干类型的损失及损害,并就责任做出限定。
2.1.1CNNIC可信网络服务中心认证中心(CA)义务 根据条例,CNNIC可信网络服务中心为受认可的证书认证机构,负责使用稳定系统签发、废止证书及利用公开储存库发布证书撤销列表等信息。
根据本CPS,CNNIC可信网络服务中心所属认证中心有下述义务: a)接收注册中心的请求及时签发证书b)废止证书并及时发布证书废止列表(CRL)(见第4.5节) 2.1.2CNNIC可信网络服务中心注册中心(RA)义务 注册中心系统负责证书申请者证书的申请和审批及证书管理,并将证书申请信息传递到认证中心。
注册中心有下述义务: a)根据本CPS第3、4章规定,验证申请人所提交信息的准确性和真实性,并使验证通过的证书申请生效,将其安全传递给认证中心(CA),证书申请包括证书注册、补发、续费、废止、多域名修改等类型申请 b)通知申请人有关已批准或被拒绝的证书申请(见第4.1、4.2、4.3及4.4节)c)通知证书持有者有关已废止的证书(见第4.5.1,4.5.2及4.5.3节)CNNIC可信网络服务中心仅有一个注册中心,设在CNNIC。
CNNIC可信网络服务中心确认LRA的身份,并授权LRA进行证书申请者注册的资料收集工作。
LRA有义务在证书申请者进行证书注册、补发、续费、废止、多域名修改时负责收集相关信息并初步验证这些信息的正确性。
2.1.3储存库义务 CNNIC可信网络服务中心储存库应根据自己制定的策略,及时公布证书废止列表(CRL)及其他内容。

6 CNNIC可信网络服务中心证书业务规则 2.1.4证书持有者义务 证书持有者负责:a)适当完成申请程序并在适当表格内签署或确定接受证书持有者协议;履 行该协议规定其应承担的义务并确保在申请证书时所作的陈述准确无误。
b)准确地遵守本CPS所描述的关于完成证书的程序。
c)承诺使用合理预防措施来保护其证书私人密钥的机密性(即对其保密)及完整性以防丢失、泄露或未经授权使用。
d)发现其证书的私人密钥丢失或泄漏时,立即向CNNIC可信网络服务中心报告丢失或泄漏。
e)及时将证书持有者证书资料的任何变动通知给CNNIC可信网络服务中心。
f)出现下文4.5.1节所规定的废止证书的情形时,立即通知给CNNIC可信网络服务中心。
g)向CNNIC可信网络服务中心保证,并向所有证书信赖方表明,在证书的有效期内,以上第1.3.2.1节所描述的事实真实。
h)在明知CNNIC可信网络服务中心根据本CPS可能废止证书的情况下,或证书持有者已提出废止申请,或CNNIC可信网络服务中心拟根据本CPS废止证书并通知证书持有者后,均不得在交易中使用证书。
i)在明知CNNIC可信网络服务中心根据本CPS可能废止证书的情况下,或证书持有者提出废止申请,或CNNIC可信网络服务中心拟根据本CPS废止证书并通知证书持有者后,须立即通知从事当时仍有待完成的任何交易的证书信赖方,并明确说明,用于该交易的证书需要废止(由CNNIC可信网络服务中心或经证书持有者申请),证书信赖方不得在交易中信任此证书。
j)证书的使用仅限于合法目的,并且符合相关的证书策略和本CPS(或其他公布的商业事项)。
如果注册者有理由相信与证书所用的公钥相对应的私钥有泄密的危险,那么应及时通知CNNIC可信网络服务中心废止证书。
k)证书持有者承认,如其未能按照上述条款的规定履行其义务,则其应对
7 CNNIC可信网络服务中心证书业务规则 可能造成的CNNIC可信网络服务中心或其信赖方的损失承担赔偿责任。
2.1.5信赖方义务 信任CNNIC可信网络服务中心数字证书的证书信赖方负责:a)证书信赖方考虑过所有因素后并确信信任证书实属合理时,方可信任该 证书。
b)在信任该证书前,确定使用证书是适合本CPS规定的用途,即仅信任 CNNIC可信网络服务中心的证书用作域名证书。
c)在信任证书前查核证书废止列表(CRL)上的证书状态。
d)执行所有适当证书路径验证程序。
e)一旦信任了该证书,即表明同意接受本CPS所规定的责任限制的条款。
2.2其它 2.2.1合理技术及免责条款 CNNIC可信网络服务中心将根据本CPS采取合理的技术及管理措施,向各证书持有者和信赖方行使其权利并履行其义务。
CNNIC可信网络服务中心不保证根据本CPS提供的服务不中断或无错误。
也就是说,尽管CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心根据CPS行使应有的权利及义务时采取合理的技术及管理措施,若证书持有者或信赖方遭受出自CPS中描述的公开密钥基础设施或与之相关的任何性质的债务、损失或损害,各证书持有者同意CNNIC可信网络服务中心及其注册中心无需承担任何责任、损失或损害。
CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心已采取合理程度的技术及管理措施的前提下,若证书持有者因信任另一证书持有者由CNNIC可信网络服务中心所发出的证书支持的虚假或伪造的数字签名而蒙受损失或损害,CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心概不负责。
在CNNIC可信网络服务中心已采取合理的技术或管理手段以避免或减轻无
8 CNNIC可信网络服务中心证书业务规则法控制事件后果的前提下,若证书持有者因CNNIC可信网络服务中心不能控制的情况遭受不良影响,CNNIC可信网络服务中心概不负责。
CNNIC可信网络服务中心控制以外的情况包括但不限于互联网或电信或其它基础设施系统的不可用,或天灾、战争、军事行动、国家紧急状态、疫症、火灾、水灾、地震、罢工或暴乱或其它证书持有者或其它第三者的疏忽或蓄意不当行为。
2.2.2责任限制 2.2.2.1限制的合理性 各证书持有者或信赖方必须同意,CNNIC可信网络服务中心按证书持有者协议及本CPS所列条件限制其法律责任实属合理。
2.2.2.2可追讨损失种类的限制 CNNIC可信网络服务中心若违反《证书持有者协议》或者出现任何职务职责的情况下,而造成证书持有者或信赖方遭受损失及损害的,CNNIC可信网络服务中心不负责下述原因造成的损失及损害的赔偿: a)任何直接或间接利润或收入损失、信誉或商誉损失或伤害、任何商机损失、失去项目、或失去或无法使用任何数据、设备或软件; b)任何间接、相应而生或附带引起的损失或损害。
2.2.2.3限额 即使是CNNIC可信网络服务中心违反《证书持有者协议》或者负有任何职务职责的情况下,而造成证书持有者或信赖方蒙受损失及损害,对于任何证书持有者、或任何信赖方,CNNIC可信网络服务中心所负法律责任限于在任何情况下每张域名证书不得超过证书购买价格的10倍。

9 CNNIC可信网络服务中心证书业务规则 2.2.2.4提出赔偿的时限 证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出。
半年期限届满时,该赔偿请求必须放弃且绝对禁止。
2.2.2.5故意不当行为的责任 任何因欺诈或故意不当行为的责任均不在本CPS、证书持有者协议或CNNIC可信网络服务中心签发的证书的任何限制或除外规定范围内。
2.2.2.6证书责任限制通知 CNNIC可信网络服务中心签发证书已经作出如下责任限制通知:“CNNIC可信网络服务中心职员按CNNIC可信网络服务中心签署的证书业务规则所载条款,在条件适用于本证书的情况下,根据相关规定作为证书认证机构签发本证书。
因此,任何人士信任本证书前均应阅读适用于域名证书的证书业务规则(可浏览)。
中华人民共和国法律适用于本证书,信赖方须承认因信任本证书而引致的任何争议或问题属于中华人民共和国法律管辖。
如果信赖方不接受本证书用来签发的条款及条件,则不应信任本证书。
CNNIC可信网络服务中心签发本证书,但无须对信赖方承担任何责任或职务职责。
信赖方信任本证书前确保信任行为公平合理无恶意,方可信任本证书;信任本证书前,确定证书的使用就CPS规定的用途而言实属适当;信任本证书前,根据证书废止列表(CRL)检查本证书的状态,并履行所有适当证书路径验证程序。
尽管CNNIC可信网络服务中心已采取合理技术及管理措施,若本证书仍在任何方面存在不准确或误导,则CNNIC可信网络服务中心对信赖方的任何损失 10 CNNIC可信网络服务中心证书业务规则 或损害不承担任何责任。
若本证书在任何方面存在不准确或误导,而这种不准确或误导是因CNNIC 可信网络服务中心的疏忽所导致,则CNNIC可信网络服务中心将可以因合理信任本证书中的这种不准确或误导事项而造成的经证实损失向每名信赖方支付最多为证书购买价格的10倍,只有这种损失不属于并且不包括
(1)任何直接或间接损失,包括利润或收入损失、信誉或商誉损失或伤害、商机或契机损失、失去项目、失去或无法使用任何数据、设备或软件等;
(2)任何间接、相应而生或偶然引起的损失或损害。
在该等情况下根据条例适用于本证书的信任额度为证书购买价格的10倍。
证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出。
半年期限届满时,该赔偿请求必须放弃且绝对禁止。
若本证书包含任何由CNNIC可信网络服务中心做出的故意或罔顾后果的失实陈述,则本证书并不就这类对因合理信任本证书中的失实陈述而遭受损失的信赖方所应承担的法律责任做出任何限制。
本文所描述的法律责任限制不适用于个人伤害或死亡的(不大可能发生的)情形。
” 2.2.3CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任 若证书持有者接受证书后发现,因证书包含的私人密钥或公开密钥出现差错,导致基于公开密钥基础设施的交易无法适当完成或根本无法完成,则证书持有者须将这种情况立即通知CNNIC可信网络服务中心,以便废止证书并重新签发。
或者在接受证书后三个月内发现这种情况且证书持有者不再需要证书,则在CNNIC同意的前提下,可以申请退款。
如果证书持有者在接受证书三个月后才将这类差错通知CNNIC,则将不会退还持有者已缴纳的费用。
11 CNNIC可信网络服务中心证书业务规则 2.2.4证书持有者的转让 证书持有者不可转让证书持有者协议或证书赋予的权利,任何转让行为均属无效。
2.2.5陈述权限 除非获得CNNIC可信网络服务中心授权,CNNIC可信网络服务中心或注册中心的代理人或工作人员无权代表CNNIC可信网络服务中心对本CPS的含义或解释作任何陈述。
2.2.6更改 CNNIC可信网络服务中心有权更改本CPS,而无须发出预先通知(见第2.2.8节)。
证书持有者协议不得做出修改或变更,除非符合本CPS中的修改或变更规定,或获得CNNIC可信网络服务中心的明确书面同意。
2.2.7保留所有权 根据本CPS签发的证书上所有资料的实体权利、版权及知识产权均属CNNIC可信网络服务中心所有。
2.2.8条款冲突 若本CPS与证书持有者协议或其它规则、指引、协议有冲突,证书持有者、信赖方及CNNIC可信网络服务中心须受本CPS条款约束,除非该等条款受法律禁止。
2.2.9受信关系 CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心并非证书持有者或信赖方的代理人或其它代表。
证书持有者及信赖方无权以协议或其 12 CNNIC可信网络服务中心证书业务规则它方式约束CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心承担证书持有者或信赖方的代理人或其它代表的责任。
2.2.10交叉认证 CNNIC可信网络服务中心在所有情形下均保留与其他证书认证机构定义及确定适当理由进行相互交叉认证的权利。
通过与Entrust公司之间的协议,CNNIC可信网络服务中心中级根证书CNNICSSL同时也被Entrust公司的根证书所信任,CNNIC可信网络服务中心所发出的域名证书可以通过不同的证书路径分别从CNNIC根证书和Entrust根证书两个信任锚进行认证。
2.3解释及执行(管辖法律) 2.3.1管辖法律 本CPS受中华人民共和国法律管辖。
2.3.2条款可中止性、修改 若本CPS的任何条款被宣布为非法、不可执行或无效,则应删除其中任何非法的词语,直至该等条款成为合法及可执行为止,同时应保留该等条款的本意。
本CPS的任何条款的不可执行性将不损害任何其它条款的可执行性。
CNNIC可信网络服务中心拆分或合并可能导致其经营范围、管理和运营状况的改变。
这种情况下,可能也需要修改本CPS。
经营活动的改变会与CPS的修改相一致。
2.3.3争议解决程序 若当事人之间的争议无法友好协商解决,应提交中国国际经济贸易仲裁委员会进行仲裁。
仲裁的裁决是终局性的,对当事人均有约束力。
仲裁的裁决过程采用中文记录,仲裁裁决由有管辖权的法院执行。
13 CNNIC可信网络服务中心证书业务规则 2.4证书费用 2.4.1证书 标准服务器证书(包括单域名证书、通配域名证书、多域名证书)及快速域名证书(包括单域名证书、多域名证书)注册、续费、补发,以及多域名证书域名修改为收费服务,其费用根据市场和管理部门的规定自行决定。
2.4.2查询 CNNIC可信网络服务中心证书查询现阶段为免费服务。
2.4.3废止 CNNIC可信网络服务中心证书废止现阶段为免费服务。
2.4.4退款策略 CNNIC可信网络服务中心证书费用在证书签发后概不退还。
2.4.5其他费用 CNNIC可信网络服务中心除收取证书注册费、更新费(续费)、补发费、多域名证书域名修改费用外,暂不收取其他费用。
2.5公布资料及储存库 本文为CNNIC可信网络服务中心证书业务规则(CPS),在CNNIC可信网络服务中心网站发布,CNNIC可信网络服务中心网址为 ,CNNIC可信网络服务中心维持一个储存库,包含最新的根和中级根所签发的证书废止列表(CRL)、CNNIC可信网络服务中心中级根证书和根证书、本CPS 14 CNNIC可信网络服务中心证书业务规则以及CNNIC可信网络服务中心证书策略(CP)文本一份以及其它相关资料。
除每周最多四小时的定期维修及紧急维修外,储存库保持每天24小时、每周7天开放。
CNNIC可信网络服务中心储存库可通过下述URL访问: ,公布资料和储存库允许所有互联网用户访问,但仅允许CNNIC可信网络服务中心管理员更新。
2.5.1证书储存库控制 储存库所在位置可供在线浏览,并可防止擅自修改。
2.5.2证书储存库进入要求 经授权的CNNIC可信网络服务中心工作人员方可进入储存库更新及修改内容。
2.5.3证书储存库更新周期 CNNIC可信网络服务中心储存库内中级根签发的证书废止列表(CRL)每12小时更新一次。
如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新。
储存库中其他内容根据变更情况随时更改。
2.6遵从规定的评估 根据中华人民共和国的相关法律的规定,至少每12个月进行一次由外部独立的审计机构主持进行的规定遵从情况的评估,查清CNNIC可信网络服务中心签发、废止证书及公布证书废止列表(CRL)的系统是否严格遵守本CPS和CNNIC可信网络服务中心相关的控制措施。
审计内容包括: 15 CNNIC可信网络服务中心证书业务规则 a)公布的商业事项b)服务的完整性(包括对密钥和证书生命周期管理的控制)c)环境控制审计结果应通报给CNNIC可信网络服务中心安全管理委员会。
由其安排CNNIC可信网络服务中心将根据具体的审计意见确定改进方案,采取改进行动。
2.7机密性 保密信息包括:a)证书持有者的签名私钥是保密的,不向CNNIC可信网络服务中心提供b)CNNIC可信网络服务中心的经营和控制专用的信息,都由CNNIC可信 网络服务中心秘密保管;除非法律另有规定,否则不能对外泄漏。
c)除在证书、CRL、证书政策、CPS中公开发布的信息之外的有关证书持 有者的信息,是保密信息;除非有证书政策要求,或法律另行规定,否则一律不能对外公开。
d)一般来说,每年的审计结果应该保密,除非CNNIC可信网络服务中心安全管理委员会认为有必要公布审计结果。
非保密信息包括:a)由CNNIC可信网络服务中心签发的证书以及CRL中所包括的信息是非保密信息。
b)CNNIC可信网络服务中心公布的CPS中的信息(或其他公布的商业事项)是非保密信息。
c)当CNNIC可信网络服务中心废止某一证书时,CRL中列出了证书的废止理由。
该废止理由的代码是非保密信息,所有其他证书持有者和证书信赖方都可以分享该信息。
但是,有关废止的其他细节一般不公布。
CNNIC可信网络服务中心将根据法律规定,应执法人员的执法要求公开信息。
CNNIC可信网络服务中心将根据信息持有人要求向其他方公布有关信息持有人的信息。
16 CNNIC可信网络服务中心证书业务规则 3鉴别及认证 3.1关于CNNICCA根证书的结构 其中CNNICROOT为根证书,CNNICSSL为标准服务器证书的中级根证书,CNNICDQSSL为快速域名证书的中级根证书。
3.2标准服务器证书命名及首次注册 3.2.1名称类型 根据证书对应实体的类型不同,CNNIC可信网络服务中心签发的证书的实体名字可以是单个域名或多个域名,命名符合X.500甄别名规定。
CNNIC可信网络服务中心所发证书的签发者和主题域中包含X.500甄别名。
CNNIC可信网络服务中心所发证书的主题甄别名由下面的内容组成: CNNIC可信网络服务中心根证书主题甄别名国家(C)=CN机构(O)=CNNIC通用名(CN)=CNNICROOT CNNIC可信网络服务中心中级根证书主题甄别名国家(C)=CN机构(O)=CNNICSSL通用名(CN)=CNNICSSL 域名证书的主题域中包含一个X.500甄别名,它由如下的内容组成:国家(C)=CN 17 CNNIC可信网络服务中心证书业务规则机构(O)=证书持有者名称组织单元(OU)=SingleDomain(单域名证书或通配域名证书)或MultiDomain(多域名证书)通用名(CN)=这个属性包括单个域名(单域名证书或通配域名证书)或多域名的并列(多域名证书) 3.2.2名称要求 CNNIC可信网络服务中心签发的证书包含的命名应由域名、证书持有者名称与CNNIC可信网络服务中心证书固定的内容构成。
3.2.3申请者的匿名或伪名 申请者不能使用匿名或伪名申请证书,证书中也不能使用匿名或伪名。
3.2.4理解不同名称形式的规则 依X.500甄别名命名规则解释。
3.2.5名称唯一性 CNNIC可信网络服务中心签发给某个实体的证书,其主题甄别名,在CNNIC可信网络服务中心信任域内是唯一的。
3.2.6商标的识别、鉴证和角色 CNNIC可信网络服务中心签发的证书的主题甄别名只与域名、证书持有者名称相关,而与商标无关。
3.2.7名称争端解决 名称争端由CNNIC可信网络服务中心根据具体情况进行最终裁决。
18 CNNIC可信网络服务中心证书业务规则 3.2.8标准服务器证书首次注册 3.2.8.1单域名,通配域名证书
1.证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章)。
自然人提供:有效个人身份证明复印件。
证书注册申请书原件。
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件。

2.本地受理点录入员进行初步审核。
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名。

3.本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员。
初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书。

4.RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比。
通过电话与经办人进行确认。

5.如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人。
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请。
19 CNNIC可信网络服务中心证书业务规则 3.2.8.2多域名证书
1.证书申请经办人提交申请资料给本地受理点(LRA)录入员: 证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章)。
自然人提供:有效个人身份证明复印件。
证书注册申请书原件。
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和 经办人的身份证明复印件。

2.本地受理点录入员进行初步审核。
通过域名注册信息查询(whois)功能,得到 多域名证书的所有域名注册者资料,查看这些域名注册者是否分别和域名证书申请者一致,初步审核确定各域名证书申请者确实拥有此域名。

3.本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员。
初步审核不通过,即某域名证书申请者与域名注册者不一致,则要求此域名证书申请者修改域名注册者资料,然后受托机构才能再次前来申请多域名证书,或者在此多域名证书内去掉资料不一致的域名。

4.RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比。
通过电话与经办人进行确认。

5.如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,。
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请。
20 CNNIC可信网络服务中心证书业务规则 3.2.8.3国防类域名申请注册标准服务器证书 由于国防类单位无组织机构代码证和营业执照,CNNIC将授权由本地受理点“北京神州长城通信技术发展中心域名注册服务机构”对申请单位进行审核,并出具证明函。
“中国长城互联网络信息中心”(又称:北京神州长城通信技术发展中心域名注册服务机构),是由中国工业和信息化部授权唯一一家负责国防类域名的注册管理和注册服务机构,该机构将负责对所有申请服务器证书的国防类机构和申请人员进行严格审核和保证。
证书申请需提交如下资料:证书申请书原件(加盖公章)国防类单位申请标准服务器证书证明函原件(加盖公章)申请经办人的身份证复印件 收到申请资料后的审核流程如下:
1.本地受理点审核人员对申请人资料进行审核,通过国防类域名whois专用系 统,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,审核确定域名证书申请者确实拥有此域名。

2.本地受理点审核人员通过电话与经办人进行确认。

3.本地受理点要求申请单位填写国防类域名申请标准服务器证书证明函(需申请单位和本地受理点同时加盖公章)。

4.本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员。

5.CNNIC审核员与申请单位进行电话确认。
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人。
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请。
21 CNNIC可信网络服务中心证书业务规则 3.3快速域名证书命名及首次注册 3.3.1名称类型 根据证书对应域名所属的安装方式不同,CNNIC可信网络服务中心签发的证书分为单个域名或多个域名,命名符合X.500甄别名规定。
CNNIC可信网络服务中心所发证书的签发者和主题域中包含X.500甄别名。
CNNIC可信网络服务中心所发证书的主题甄别名由下面的内容组成: CNNIC可信网络服务中心根证书主题甄别名国家(C)=CN机构(O)=CNNIC通用名(CN)=CNNICROOT CNNIC可信网络服务中心快速域名证书的中级根证书主题甄别名通用名(CN)=CNNICDQSSL机构(O)=CNNIC国家(C)=CN 快速域名证书的主题域中包含一个X.500甄别名,它由如下的内容组成:国家(C)=CN机构(O)=这个属性包括单个域名(单域名证书的域名字段或多域名证书的第一个域名字段组织单元(OU)=Domain-QuickSSL通用名(CN)=这个属性包括单个域名(单域名证书)或多域名的并列(多域名证书) 3.3.2名称要求 CNNIC可信网络服务中心签发的快速域名证书包含的命名应由域名与CNNIC可信网络服务中心证书固有的内容构成。
22 CNNIC可信网络服务中心证书业务规则 3.3.3申请者的匿名或伪名 申请者不能使用匿名或伪名申请证书,证书中也不能使用匿名或伪名,证书中仅对申请的域名进行体现。
3.3.4理解不同名称形式的规则 依X.500甄别名命名规则解释。
3.3.5名称唯一性 CNNIC可信网络服务中心签发给某个实体的证书,其主题甄别名,在CNNIC可信网络服务中心信任域内是唯一的。
3.3.6商标的识别、鉴证和角色 CNNIC可信网络服务中心签发的证书的主题甄别名只与域名相关,而与商标无关。
3.3.7名称争端解决 名称争端由CNNIC可信网络服务中心根据具体情况进行最终裁决。
3.3.8快速域名证书首次注册 3.3.8.1单域名证书、多域名证书
A、证书申请经办人提交申请资料给本地受理点(LRA)录入员,如果申请者为经过CNNIC域名注册审核过的CN域名或“中国”域名用户时,域名注册申请资料视同于快速域名证书申请资料,域名经过CNNIC实名制审核视同于符合快速域名申请资料审核。
CNNIC审核CN域名或“中国”域名注册申请时,会审核申请经办人的身份 23 CNNIC可信网络服务中心证书业务规则 证明、营业执照或组织机构代码证。

1.证书申请人需要提交以下内容给受理点: 电子申请确认函的确认,其中包括申请协议;
2.用户提交申请后,本地受理点(LRA)将对用户提交资料做初次审核,然后将 用户申请信息在CNNICWebRA系统中提交,系统自动判断申请域名是否为CN域名或“中国”域名并判断如下内容, 域名持有人是否通过联系人实名认证,即是否在白名单;域名是否通过审核;申请的公司名称和返回的域名的公司名称是否一致;域名注册时的电话和白名单返回是否一致
3.当上述4点要求同时确认通过,将认可此次申请;
4.当系统认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统 审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由。

5.经办人通过证书注册链接登录后,需要验证域名持有权;系统会发送一封验 证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证。
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发。

B、如果申请者为未经过CNNIC实名认证过的CN域名或“中国”域名及其他类型域名时,则按以下流程进行进行。

1.证书申请人需要提交以下内容给受理点:电子申请确认函的确认,其中包括申请协议;申请经办人的身份证明复印件;营业执照复印件(加盖公章)或组织机构代码证复印件(加盖公章)。

2.本地受理点录入员进行初步审核。
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名。

3.本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员。
本地受理点初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书。

4.RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois 24 CNNIC可信网络服务中心证书业务规则功能),审核资料是否真实,并与RA系统中的申请信息对比。
通过电话与经办人进行确认。

5.当审核员认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由。

6.经办人通过证书注册链接登录后,系统需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证。
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发。
3.4证明拥有私钥的方法 CNNIC可信网络服务中心通过使用附带数字签名的PKCS#10格式的证书请求,验证证书申请者拥有与证书公钥对应的私钥。
4操作规范 4.1关于CNNICROOT证书链下的证书签发 在CNNICROOT证书链下签发的证书,当前分为两种类型,一种为标准服务器证书一种为快速域名证书,在证书冻结、证书更新及证书发布环节两种证书在CNNICCA中心有着相同的业务处理流程,其他环节中标准服务器证书与快速域名证书有着不同,现以不同的章节进行体现。
4.2标准服务器证书申请、签发、接受、废止及发布 4.2.1证书申请 4.2.1.1处理申请 申请标准服务器证书的经办人必须到CNNIC指定的CNNIC可信网络服务中心本地受理点处递交申请。
CNNIC可信网络服务中心(包括注册中心)不直接面对申请者接受申请。
25 CNNIC可信网络服务中心证书业务规则 4.2.1.2身份审核 用以证明证书持有者机构、经办人及经办人身份的文件,在本CPS第3.2节说明,申请者需要按照本CPS第3.2节进行申请操作。
CNNIC可信网络服务中心注册中心完成核对身份手续后,将下载证书所必须的参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人。
4.2.2签发、接受证书 4.2.2.1单域名,通配域名证书 单域名及通配域名证书的签发、接受的步骤如下:
1.证书申请经办人在Web服务器中生成证书请求CSR。

2.证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、 授权码。

3.CNNIC可信网络服务中心系统自动检查CSR的完整性。

4.CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装。

5.CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信 网络服务中心的服务。
4.2.2.2多域名证书 多域名证书的签发、接受的步骤如下:
1.证书申请经办人在Web服务器中生成证书请求CSR。

2.证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、 授权码。

3.CNNIC可信网络服务中心系统自动检查CSR的完整性。

4.CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装。

5.CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信 网络服务中心的服务。
26 CNNIC可信网络服务中心证书业务规则 4.2.3证书发布 CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息。
4.2.4标准服务器证书补发 在CNNIC可信网络服务中心的证书体系中,证书补发需要重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件。
新证书补发后,原证书立即作废,新证书截至有效期与原证书相同。
4.2.4.1单域名,通配域名证书补发
1.证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书补发申请书原件。
证书申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件。

2.本地受理点录入员通过RA系统将上述资料录入,提交申请。

3.本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的 RA审核员。

4.RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比。
通过电话与经办人进行确认。

5.如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授 权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,。
如果未确认通过,则拒绝证书补发,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请补发。

6.证书申请经办人在Web服务器中生成证书请求CSR。

7.证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授 27 CNNIC可信网络服务中心证书业务规则 权码。

8.CNNIC可信网络服务中心签发证书,由证书申请经办人安装。
4.2.4.2多域名证书补发
1.证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书补发申请书原件。
证书申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件。

2.本地受理点录入员通过RA系统将上述资料录入,提交申请。

3.本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的 RA审核员。

4.RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比。
通过电话与经办人进行确认。

5.如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授 权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,。
如果未确认通过,则拒绝证书补发,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请补发。

6.证书申请经办人在Web服务器中生成证书请求CSR。

7.证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码。

8.CNNIC可信网络服务中心签发证书,由证书申请经办人安装。
4.2.5标准服务器证书续费及年检 在证书持有者证书到期前,证书持有者需要获得新的证书以保持证书使用的连续性。
证书持有者产生一个新的密钥对代替过期的密钥对,称作“密钥更新”。
28 CNNIC可信网络服务中心证书业务规则 然而,在某些情况下,证书持有者希望为一个现存的密钥对申请一个新证书,称作“证书更新”。
在CNNIC可信网络服务中心的证书体系中,证书续费需要证书持有者重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求证书持有者使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件CSR(即必须进行“密钥更新”)。
证书续费期为当前证书失效前3个月内,在此之前或之后CNNIC可信网络服务中心将拒绝续费申请。
续费之后,新的证书下载后应该立即安装。
续费的有效期顺延:新证书失效期=当前时间+新购证书的时间长度+当前证书剩余的时间长度。
4.2.5.1单域名,通配域名证书续费
1.证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章)。
自然人提供:有效个人身份证明复印件。
证书续费申请书原件。
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件。

2.本地受理点录入员通过RA系统将上述资料录入,提交申请。

3.本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的 RA审核员。

4.RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比。
通过电话与经办人进行确认。

5.如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授 权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,。
29 CNNIC可信网络服务中心证书业务规则 如果未确认通过,则拒绝证书续费,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请续费。

6.证书申请经办人在Web服务器中生成证书请求CSR。

7.证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码。

8.CNNIC可信网络服务中心签发证书,由证书申请经办人安装。
4.2.5.2多域名证书续费
1.证书申请经办人提交申请资料给本地受理点(LRA)录入员: 证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章)。
自然人提供:有效个人身份证明复印件。
证书续费申请书原件。
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和 经办人的身份证明复印件。

2.本地受理点录入员通过RA系统将上述资料录入,提交申请。

3.本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的 RA审核员。

4.RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比。
通过电话与经办人进行确认。

5.如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授 权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,。
如果未确认通过,则拒绝证书续费,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修 30 CNNIC可信网络服务中心证书业务规则 改,重新申请续费。

6.证书申请经办人在Web服务器中生成证书请求CSR。

7.证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授 权码。

8.CNNIC可信网络服务中心签发证书,由证书申请经办人安装。
4.2.5.3关于各类型证书年检 证书的年检是指为了确保用户信息的有效性,对于申请年限多余1年的证书将实行年检制度。
即每年审核员将进行用户信息有效性的年检,年检流程同于申请流程,只是无需用户再提交资料,而是由CNNIC可信网络服务中心自行发起到第三方进行年检。
4.2.6多域名证书域名修改 多域名证书提供域名修改服务,可以增加、删除和修改域名:
1.证书申请经办人提交申请资料给本地受理点(LRA)录入员: 证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章)。
自然人提供:有效个人身份证明复印件。
多域名证书修改申请书原件。
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和 经办人的身份证明复印件。

2.本地受理点录入员通过RA系统将上述资料录入,提交申请。

3.本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的 RA审核员。
31 CNNIC可信网络服务中心证书业务规则
4.RA审核员检验合法的域名持有者是否与证书申请者相符合,审核资料是否真实,并与RA系统中的申请信息对比。
通过电话与经办人进行确认。

5.如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,。
如果未确认通过,则拒绝域名修改申请,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请域名修改。

6.证书申请经办人在Web服务器中生成证书请求CSR。

7.证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授 权码。

8.CNNIC可信网络服务中心签发证书,由证书申请经办人安装。
*注:域名变更后,原证书马上作废,新的证书下载后必须马上安装,证书有效期与原证书相同。
4.2.7证书废止 4.2.7.1废止的情形 如果出现下列情况,CNNIC可信网络服务中心有权废止所签发的域名证书:
1.事后检查发现证书持有者申请域名证书时提供的资料存在虚假信息;
2.证书持有者未履行证书持有者协议所约定的义务;
3.证书持有者要求废止域名证书;
4.证书持有者主体消亡;
5.证书持有者变更域名证书的用途;
6.法律或法规要求的其他情况。
4.2.7.2废止程序 如出现本文第4.5.1节规定的除第3条外的情况,CNNIC可信网络服务中心将主动废止域名证书并通知证书持有者。
证书持有者也有权自行申请废止证书,申请废止的流程如下: 32 CNNIC可信网络服务中心证书业务规则 4.2.7.3单域名,通配域名证书废止
1.证书持有者提交证书废止申请资料的电子扫描件给本地受理点(LRA)录入员。
证书废止申请书原件。
申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件。

2.本地受理点录入员通过RA系统将上述资料录入,提交申请。

3.本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心 的RA审核员。

4.RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息 对比。
通过电话与经办人进行确认。

5.如果审核通过,RA审核员直接废止此域名证书。
如果审核不通过,则 拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和经办人者联系交涉,按照拒绝原因进行相应修改,重新申请废止。
4.2.7.4多域名证书废止
1.证书持有者提交证书废止申请资料的电子扫描件给本地受理点(LRA)录入员。
证书废止申请书原件。
申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件。

2.本地受理点录入员通过RA系统将上述资料录入,提交申请。

3.本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心 的RA审核员。

4.RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息 33 CNNIC可信网络服务中心证书业务规则对比。
通过电话与经办人进行确认。

5.如果审核通过,RA审核员直接废止此域名证书。
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由。
由本地受理点和证书申请者联系交涉,按照拒绝原因进行相应修改,重新申请废止。
4.2.7.5废止效力 CNNIC可信网络服务中心把废止状态发布到证书废止列表(CRL)中,即终止某一证书的使用效力。
4.2.7.6请求证书废止的实体 CNNIC可信网络服务中心或证书持有者可以在CPS第4.5.1节所述情形下要求废止一个证书。
4.2.7.7废止请求的流程 当CNNIC可信网络服务中心有充分的理由相信需要废止证书时,CNNIC可信网络服务中心认证中心或注册中心的有关人员可以通过内部确定的流程提交废止证书的请求。
在证书废止后,CNNIC可信网络服务中心将通过适当的方式,包括邮件、传真等,通知证书持有者证书已被废止及被废止的理由。
证书持有者也可以通过废止程序自行要求废止自己的证书。
在证书持有者提交废止请求时,需同时提供证书申请时提供的资料作为身份鉴别的信息。
4.2.7.8废止请求提出时限 当发现出现CPS第4.5.1节中的情况时,从发现需要废止证书到提出废止请求的时间间隔,不应超过24小时。
34 CNNIC可信网络服务中心证书业务规则 4.2.7.9CNNIC可信网络服务中心处理废止请求的时限 CNNIC可信网络服务中心注册中心(RA)从接到废止请求(包括资料的电子扫描件)到完成处理请求的时间,不能超过两个工作日。
CNNIC可信网络服务中心工作日不包括周末和国家法定假日。
4.2.7.10信赖方检查证书废止的要求 信赖方是否检查证书废止完全取决于信赖方的安全要求。
4.2.7.11CRL发布频率 CNNIC可信网络服务中心中级根每隔12个小时签发一次证书废止列表(CRL)。
4.2.7.12如果没有进行中级根的废止,根签发的证书废止列表(CRL)每
6 个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止 列表(CRL)立即更新。
CRL发布的最大滞后时间 一个域名证书从它被废止到它被发布到CRL上的滞后时间不超过12小时。
如果中级根被废止,根签发的CRL则立即发布。
4.2.7.13在线状态查询的可用性 CNNIC可信网络服务中心提供证书状态的在线查询服务(OCSP),每周除最多四小时的定期维修及紧急维修外,该服务7×24小时可用。
4.2.7.14在线状态查询要求 信赖方是否进行在线状态查询完全取决于信赖方的安全要求。
对于安全保障要求高并且完全依赖证书进行身份鉴别与授权的应用,信赖方在信赖一个证书前 35 CNNIC可信网络服务中心证书业务规则可通过证书状态在线查询系统检查该证书的状态。
4.2.7.15废止信息的其他发布形式 CNNIC可信网络服务中心目前只提供OCSP查询,以及通过LDAP目录服务和HTTP服务提供CRL查询。
4.2.7.16密钥损害的特别要求 无论是证书持有者还是CNNIC可信网络服务中心,发现证书密钥受到安全损害时应立即废止证书。
4.2.8国防类域名标准服务器证书的申请,补发,续费,变更及废止. 国防类域名使用标准服务器证书的申请,补发,续费,变更及废止和本文3.2.8.3章节中申请证书时提供的审核资料和审核流程保持一致。
4.3快速域名证书申请、签发、接受、废止及发布 4.3.1证书申请 4.3.1.1处理申请 如通过其他业务进行快速域名证书的申请者,必须到指定地点提交相应的证明材料,必须到指定的URL地址提交申请,CNNIC可信网络服务中心(包括注册中心)不直接面对申请者接受申请。
4.3.1.2身份审核 用以证明证书持有者机构、经办人及经办人身份的文件,在本CPS第3.3节说明,申请者需要按照本CPS第3.3节进行申请操作。
在完成身份核对手续后, 36 CNNIC可信网络服务中心证书业务规则将由用户直接下载证书。
4.3.2签发、接受证书 4.3.2.1单域名证书 单域名及通配域名证书的签发、接受的步骤如下:
1.证书申请经办人在Web服务器中生成证书请求CSR。

2.证书申请经办人访问CNNIC证书下载页面,提交CSR。

3.CNNIC可信网络服务中心系统自动检查CSR的完整性。

4.CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装。

5.CNNIC可信网络服务中心签发证书完成,即表明申请者接受CNNIC可 信网络服务中心的服务。
4.3.2.2多域名证书 多域名证书的签发、接受的步骤如下:
1.证书申请经办人在Web服务器中生成证书请求CSR。

2.证书申请经办人访问CNNIC证书下载页面,提交CSR。

3.CNNIC可信网络服务中心系统自动检查CSR的完整性。

4.CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装。

5.CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信 网络服务中心的服务。
4.3.3证书发布 CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息。
4.3.4快速域名证书补发 在CNNIC可信网络服务中心的证书体系中,在CNNIC可信网络服务中心的 37 CNNIC可信网络服务中心证书业务规则 证书体系中,证书补发分为如下两种情况,
1,用户证书文件未安装就丢失;
2,用户的私钥泄漏;这2种情况下,证书补发都需要重新产生证书请求文件CSR,同时CNNIC 可信网络服务中心要求使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件。
新证书补发后,原证书立即作废,新证书截至有效期与原证书相同。
限制条件: 用户进行证书自助补发,每个月补发证书最多为3次. 4.3.4.1单域名域名证书补发 如通过其他业务进行快速域名证书的申请者:
1.申请人经过CNNIC指定的URL地址,填写申请信息并提交申请。

2.在证书有效期内,用户提交申请后,系统将自动检测所提交信息是否为正确 信息,如果申请信息与原来信息一致(主要是经办人信息、公司信息等),将认可此次补发申请,如果该证书的有效期为大于一年期的申请,将在年检时一并进行严格审核;
3.CNNIC可信网络服务中心签发证书,并由证书申请经办人安装。
4.3.4
声明: 该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。

标签: #qs #饺子 #做什么 #流量 #什么意思 #都叫 #有什么 #做什么

上一篇CNNIC 月度 SLA 报告,中国的顶级域名是什么?

下一篇文化融合是国际化发展必由之路,电瓶什么牌子好排名

相关文章