中国互联网络信息中心(CNNIC),中国互联网络信息中心(CNNIC)

免费域名 2
可信网络服务中心证书策略 版本号:3.06 有效期:2016-04-26至2017-04-26 中国互联网络信息中心(CNNIC) CNNIC可信网络服务中心证书策略 CNNIC可信网络服务中心证书策略版本控制表 版本号V1.00V2.00V2.01 V2.02 V2.03V2.04V3.0 V3.01V3.02 V3.03V3.04 V3.05 主要修改说明初次审核通过进行年审修改后,延长CP有效期一年
1、域名证书密钥对要求2048位
2、赔付金额进行修改
3、联络方式中的邮编修改
4、年审完成,延长CP有效期一年
1、证书主题中O项值修改
2、多域名证书主题中CN项值修改
3、证书申请所提交材料调整
4、证书结构中证书项说明调整,与所发 证书一致
1、对CP进行检查,修改文字和格式问题, 以使CP便于对外发布
2、CP改为在储存库中公开发布
1、增加对根签发的证书废止列表的说 明,相应对其他相关部分文字进行调整
1、根据EVCA和DQCA上线后的实际情况对本CP进行修改,以符合EVCA和DQCA的实际情况
2、修改安全管理委员会会议或文件会签频率
1、对高级证书与EV证书的名字进行调整
1、人员控制中增加说明工作人员包括外包人员
2、对国防类域名的申请做特殊说明
3、根据实际情况调整参考号/授权码的 发送方式
1、在灾难恢复计划中加入了CA服务在灾难情况下系统停机时间,恢复时间内容。

1.停止提供多域名证书域名修改服务。

2.CNNIC将定期检查CABForum的SSL BaselineRequirement要求并承诺证书管理及签发符合该要求。

3.CNNICCA加入24*7的应急处理机制。

1.在第5章第2节中添加CNNIC可信网络中心重要调整控制流程;
2.由于证书和CRL结构已在CPS中有详细说明,故删除第7章及附录中证书和CRL结构相关内容。

3.附录中加入二级根签发记录表。
完成时间2007年5月15日2008年4月8日2009年3月19日 2009年4月14日 2009年6月18日2010年2月2日2010年5月20日 2012年4月05日2013年5月14日 2013年6月24日2014年4月25日 2015年4月28日 CNNIC可信网络服务中心证书策略 V3.06
1.调整CP文件获取地址
2.调整废止证书申请文件获取地址
3.调整业务规则文件获取地址 2016年4月26日 CNNIC可信网络服务中心证书策略 目录 CNNIC可信网络服务中心证书策略版本控制表................................................................................I 1引言

................................................................................................................................................

1 1.1概述

.......................................................................................................................................

11.2角色与责任

...........................................................................................................................

1 1.2.1安全管理委员会

..............................................................................................................

11.2.2首席安全管理员

..............................................................................................................

21.3适应性

...................................................................................................................................

21.3.1CNNIC可信网络服务中心认证中心..............................................................................3
1.3.2最终实体

..........................................................................................................................

41.3.3证书期限

..........................................................................................................................

41.4证书策略管理

.......................................................................................................................

41.4.1安全管理架构

..................................................................................................................

41.4.2联络方式

..........................................................................................................................

61.4.3证书策略变更流程

..........................................................................................................

61.4.4证书策略审批流程

..........................................................................................................

61.4.5证书策略发布

..................................................................................................................

71.4.6适应性和变更效力

..........................................................................................................

7 2总则

................................................................................................................................................

7 2.1义务

.......................................................................................................................................

72.1.1CNNIC可信网络服务中心认证中心义务......................................................................72.1.2CNNIC可信网络服务中心注册中心义务......................................................................82.1.3储存库义务

......................................................................................................................

92.1.4证书持有者义务

..............................................................................................................

92.1.5信赖方义务

......................................................................................................................

9 2.2责任

.......................................................................................................................................

92.3解释与执行

...........................................................................................................................

9 2.3.1管辖法律

..........................................................................................................................

92.3.2条款可中止性、修改

....................................................................................................

102.3.3争端解决程序

................................................................................................................

102.4证书费用

.............................................................................................................................

102.4.1数字证书(域名证书)费用........................................................................................102.5发布资料和储存库

.............................................................................................................

102.5.1CNNIC可信网络服务中心信息的发布........................................................................10
I CNNIC可信网络服务中心证书策略 2.5.2发布频率

........................................................................................................................

112.5.3储存库访问控制

............................................................................................................

112.6一致性审计

.........................................................................................................................

112.6.1一致性审计

....................................................................................................................

112.6.2审计员的身份与资质

....................................................................................................

112.6.3审计机构与被审计者的关系........................................................................................122.6.4审计项目

........................................................................................................................

122.6.5对审计中不足问题的处理

............................................................................................

122.6.6结果通报

........................................................................................................................

122.7机密性

.................................................................................................................................

122.7.1机密信息类型

................................................................................................................

132.7.2非机密信息类型

............................................................................................................

132.7.3证书废止信息批露

........................................................................................................

132.7.4披露给执法官员

............................................................................................................

132.8知识产权

.............................................................................................................................

142.8.1证书和废止信息的拥有权

............................................................................................

142.8.2证书策略的拥有权

........................................................................................................

142.8.3名称拥有权

....................................................................................................................

142.8.4密钥和密钥设备拥有权

................................................................................................

14 3鉴别与认证

..................................................................................................................................

15 3.1首次申请

.............................................................................................................................

153.1.1名称类型

........................................................................................................................

153.1.2名称含义

........................................................................................................................

153.1.3各个名称的解释规则

....................................................................................................

153.1.4名称唯一性

....................................................................................................................

153.1.5名称争端解决程序

........................................................................................................

163.1.6不侵权承诺

....................................................................................................................

163.1.7证书申请者身份认证

....................................................................................................

163.1.8证书申请渠道

................................................................................................................

163.1.9密钥对确认

....................................................................................................................

16 4操作规范

......................................................................................................................................

17 4.1证书申请

.............................................................................................................................

174.1.1域名证书

........................................................................................................................

17 4.2证书签发

.............................................................................................................................

174.3证书接受

.............................................................................................................................

184.4证书废止

.............................................................................................................................

18 II CNNIC可信网络服务中心证书策略 4.4.1废止情况

........................................................................................................................

184.4.2废止程序

........................................................................................................................

184.4.3废止请求处理时限

........................................................................................................

194.4.4废止效力

........................................................................................................................

194.4.5服务承诺

........................................................................................................................

194.4.6CRL更新频率

................................................................................................................

204.4.7证书续费

........................................................................................................................

214.5密钥变更

.............................................................................................................................

214.6密钥泄漏及灾难恢复程序

.................................................................................................

214.6.1灾难恢复计划

................................................................................................................

214.6.2密钥泄漏恢复计划

........................................................................................................

224.7CNNIC可信网络服务中心终止服务................................................................................224.8RA终止服务

......................................................................................................................

224.9CNNIC可信网络服务中心CA私钥归档........................................................................23
1.

加密机管理员到业务内审员处领申请表单...............................................................................

23
2.业务内审员签字

..........................................................................................................................

23
3.首席安全管理员签字

..................................................................................................................

23
4.通知CA

系统管理员等相关人员...............................................................................................

23
5.进入相应加密机区域进行密钥复制到归档密钥空间...............................................................23
6.操作结束填写维护表单

..............................................................................................................

23
7.参与操作相关人员签字确认(加密机管理员、业务内审员和CA系统管理员)...............23
8.首席安全管理员签字

..................................................................................................................

23
9.业务内审员归档

..........................................................................................................................

23 4.10CNNIC可信网络服务中心应急机制................................................................................23 5

实体、程序和人员的安全控制...................................................................................................

24 5.1实体安全

.............................................................................................................................

245.2过程控制

.............................................................................................................................

245.3人员控制

.............................................................................................................................

245.4计算机安全审计程序

.........................................................................................................

25 5.4.1记录事件类型

................................................................................................................

255.4.2处理记录的次数

............................................................................................................

255.4.3审计追踪记录的保护

....................................................................................................

265.4.4审计追踪记录备份程序

................................................................................................

265.4.5审计资料收集系统

........................................................................................................

26 III CNNIC可信网络服务中心证书策略 5.4.6安全主体向CNNIC可信网络服务中心发出通知.......................................................265.4.7脆弱性评估

....................................................................................................................

265.5记录归档

.............................................................................................................................

265.5.1归档记录类型

................................................................................................................

265.5.2归档保存期限

................................................................................................................

275.5.3归档保护

........................................................................................................................

275.5.4归档备份程序

................................................................................................................

275.5.5时间戳

............................................................................................................................

27 6技术安全控制

..............................................................................................................................

28 6.1密钥的生成和安装

.............................................................................................................

286.1.1密钥对的生成

................................................................................................................

286.1.2公钥传送给证书签发机构

............................................................................................

286.1.3CNNIC可信网络服务中心CA公钥传送给信赖方.....................................................286.1.4密钥的长度

....................................................................................................................

296.1.5密码模块标准

................................................................................................................

296.1.6密钥用途

........................................................................................................................

29 6.2私钥保护和密码模块工程控制.........................................................................................296.3密钥对管理

.........................................................................................................................

306.4计算机安全控制

.................................................................................................................

306.5生命周期技术安全控制

.....................................................................................................

306.6网络安全控制

.....................................................................................................................

306.7密码模块工程控制

.............................................................................................................

30 7其他商业与法律事项

..................................................................................................................

31 7.1法律责任

.............................................................................................................................

317.1.1法律责任限制

................................................................................................................

317.1.2CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任............337.1.3证书持有者的转让

........................................................................................................

337.1.4陈述权限

........................................................................................................................

337.1.5更改

................................................................................................................................

337.1.6保留所有权

....................................................................................................................

347.1.7条款冲突

........................................................................................................................

347.1.8受信关系

........................................................................................................................

34 7.2财务责任

.............................................................................................................................

347.2.1限额

................................................................................................................................

347.2.2提出赔偿的时限

............................................................................................................

34 8附录

..............................................................................................................................................

35 IV CNNIC可信网络服务中心证书策略 附录A词汇

..........................................................................................................................................

36CA证书CA-CERTIFICATE

...........................................................................................................

36CPS摘要CPSSUMMARYORCPSABSTRACT..........................................................................37PKI信息公开声明(PDS)PKIDISCLOSURESTATEMENT...................................................37附录B缩略语

......................................................................................................................................

40附录C二级根签发记录表

...................................................................................................................

41
V CNNIC可信网络服务中心证书策略 1引言 1.1概述 本证书策略(CertificatePolicy,CP,“策略”)详细说明了中国互联网络信息中心(CNNIC)可信网络服务中心(以下简称“CNNIC可信网络服务中心”)签发和管理证书的规则和需求,并将用来验证CNNIC可信网络服务中心公开密钥基础设施(PKI)的数字签名策略。
本证书策略说明了有关CNNIC可信网络服务中心的下列信息:对本策略中定义和管理的认证中心、注册中心、证书持有者和信赖方进 行授权;由本策略对各方的主要职责进行管理;按照证书发行和管理的最基本要求,确保为用于校验数字签名或保证通 信的机密性而提到的适当申请与本策略中的适应性相一致。
为了下面提到的目的和应用,要求证书对本策略提供支持,每个信赖方都已确定通过该证书对特定交易的发起人进行认证是合适的并可充分信任。
1.2角色与责任 1.2.1安全管理委员会 CNNIC可信网络服务中心安全管理委员会负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构。
安全管理委员会的职责包括:收集与协调安全管理方面的问题和建议,达成一致意见;制定并维护CNNIC可信网络服务中心的证书策略文件(CP);对CPS进行审核,以确保CPS与CP文件一致。
安全管理委员会应保证每年至少召开1次会议或进行1次文件会签,以对CNNICCA中心相关制度规定进行检查修改和批准续期,并对CNNICCA中心运行状况进行通报。
此外,在有其他重要变更时,安全管理委员会应根据实际情况及时通过会议或文件会签的方式对重要事项进行讨论和审批。
安全管理委员
1 CNNIC可信网络服务中心证书策略 会成员由来自于CNNIC的领导层、人力资源、财务、法律事务、安全管理等方面的代表组成。
1.2.2首席安全管理员 首席安全管理员将全面负责CNNIC可信网络服务中心日常的各项安全事务,由CNNIC可信网络服务中心安全管理委员会授权,首席安全管理员可以执行变更CNNIC可信网络服务中心的安全策略,对全CNNIC可信网络服务中心的安全管理进行定期的检查和评估,保持CNNIC可信网络服务中心的安全管理始终处在一个较先进的水平,具有较高的安全性和可信度。
随时追踪有关安全管理的最新动态,确保安全体系的先进性。
为保障CNNIC可信网络服务中心的安全、可靠运营,CNNIC可信网络服务中心首席安全管理员重点关注以下三个关键领域:开发安全策略,并协助程序开发和执行;维护安全策略和程序,使之保持完备性;审计安全策略及其实际执行情况的一致性。
CNNIC可信网络服务中心首席安全管理员拥有以下职责:经授权后建立和变更CNNIC可信网络服务中心安全策略和规范;增加和减免其他安全管理员,管理员及CNNIC可信网络服务中心工作人 员;对于敏感操作的授权,诸如增加和减免安全管理员及管理员;管理交叉认证,发布CNNIC可信网络服务中心交叉认证协议,更新及撤 消交叉认证;处理审计日志。
1.3适应性 随着CNNIC可信网络服务中心业务的进展,本策略文档将进行修订以反映其新的和扩大的责任。
在CNNIC可信网络服务中心现阶段的授权实体为PKI服务提供者和最终实体: PKI服务提供者:
2 CNNIC可信网络服务中心证书策略 认证中心(CertificationAuthority,CA);注册中心(RegistrationAuthority,RA)本地受理点(LocalRA,LRA)最终实体:证书申请者或证书持有者(“证书申请者”在获取证书后变为“证书持有 者”)信赖方。
本策略受CNNIC可信网络服务中心制约,CNNIC可信网络服务中心依据本策略监督与CNNIC可信网络服务中心签发证书有关的所有部门的行为。
证书申请者和信赖方使用符合本策略签发的证书应参照相关的CPS,以获得进一步的细节,即CNNIC可信网络服务中心是如何实施该项策略的。
1.3.1CNNIC可信网络服务中心认证中心 CNNIC可信网络服务中心认证中心为两层CA结构。
第一层CA叫做根CA,制定CNNIC可信网络服务中心的整体策略,并可用于同其它CA进行交叉认证,CNNIC可信网络服务中心当前包括CNNICROOT和ChinaNetworkInformationCenterEVCertificatesRoot(以下简称CNNICEVROOT)两个根CA;第二层叫做中级根CA,也就是实际签发用户证书的CA,用于CNNIC可信网络服务中心证书业务的日常运营,CNNIC可信网络服务中心当前包括CNNICSSL、CNNICDQSSL、CNNICEVSSL三个中级根CA,其中CNNICSSL和CNNICDQSSL由CNNICROOT签发,CNNICEVSSL由CNNICEVROOT签发。
CNNIC可信网络服务中心CA执行的职能有:创建证书并对它们进行签名、将证书分发至证书申请者、废止证书及分发证书废止列表(CRL)。
CNNIC可信网络服务中心CA对公钥证书和CRL的储存库进行维护并以安全的方式加以使用。
CNNIC可信网络服务中心的证书业务规则(“CPS”)文件副本也应在CNNIC可信网络服务中心的网站中公开。
本策略受CNNIC可信网络服务中心制约,并监督与CNNIC可信网络服务中心签发证书有关的所有部门的行为。
如CNNIC可信网络服务中心认为证书申请符合证书业务规则所包含的操作程
3 CNNIC可信网络服务中心证书策略序,则CNNIC可信网络服务中心可签发证书。
1.3.2最终实体 CNNIC可信网络服务中心体系中的最终实体包括两部分:证书持有者和信赖方。
1.3.2.1证书持有者 CNNIC可信网络服务中心的证书持有者除了CNNIC可信网络服务中心的系统用户以外,主要是拥有因特网域名的用户,这些用户可以是法人或自然人,同时希望获得为该机构所拥有的域名发出的证书。
1.3.2.2信赖方 指信任CNNIC可信网络服务中心签发证书的最终实体,包括:最终用户、服务器等。
1.3.3证书期限 CNNIC可信网络服务中心的数字证书根证书有效期为20年,中级根证书有效期为10年。
CNNIC可信网络服务中心域名证书有效期最长为3年。
在接近过期日时有一段时间可以进行更新,证书内会注明其有效期。
1.4证书策略管理 1.4.1安全管理架构 CNNIC可信网络服务中心的安全管理构架分为两层,其一为安全管理委员会,负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构,其二为安全管理人员,负责执行安全管理委员会的决定,并对CNNIC可
4 CNNIC可信网络服务中心证书策略信网络服务中心的安全工作进行日常管理,CNNIC可信网络服务中心的日常安全管理工作由首席安全管理员负责。
1.4.1.1安全管理委员会 CNNIC可信网络服务中心安全管理委员会负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构。
安全管理委员会授权首席安全管理员及其团队实施其决定。
1.4.1.2首席安全管理员 首席安全管理员全面负责CNNIC可信网络服务中心日常的各项安全事务。
由CNNIC可信网络服务中心安全管理委员会授权,首席安全管理员可以执行变更CNNIC可信网络服务中心的安全策略,对全CNNIC可信网络服务中心的安全管理进行定期的检查和评估,保持CNNIC可信网络服务中心的安全管理始终处在一个较先进的水平,具有较高的安全性和可信度。
随时追踪有关安全管理的最新动态,确保安全体系的先进性。
为保障CNNIC可信网络服务中心的安全、可靠运营,CNNIC可信网络服务中心首席安全管理员重点关注以下三个关键领域:开发安全策略,并协助程序开发和执行;维护安全策略和程序,使之保持完备性;审计安全策略及其实际执行情况的一致性。
1.4.1.2.1维护、执行安全策略和程序 CNNIC可信网络服务中心首席安全管理员负责所有安全策略和程序的日常维持和执行工作。
通过使用抽样调查、对问题做出反应,以及采取事先主动的检查行为和程序等方式做好此项工作。
1.4.1.2.2审计一致性 CNNIC可信网络服务中心首席安全管理员是所有外部审计要求的联系人和协调者,同时还要确定内部安全策略和程序,并且提供外部审计使用的资料。

5 CNNIC可信网络服务中心证书策略 1.4.2联络方式 邮寄地址:北京349信箱6分箱CNNIC邮政编码:100190电话:86-10-58813000传真:86-10-58812666电子邮件地址:网址:中文域名:http://中国互联网络信息中心.CN通用网址:中国互联网络信息中心:CNNIC 1.4.3证书策略变更流程 在CNNIC可信网络服务中心的CP做出任何变动之前,CNNIC可信网络服务中心将对变动的条款进行研究,做出变更的决定。
在征求CNNIC可信网络服务中心律师有关法律上的意见后,安全管理委员会形成决议并签署同意。
CNNIC可信网络服务中心形成决议后,根据变动的具体情况,决定是否将此决议通知用户。
如果变动不会影响用户的使用,则不会通知用户,如果CNNIC可信网络服务中心安全管理委员会认为这些变动会影响到用户使用,则会通过CNNIC可信网络服务中心的网站通知用户此次策略变更。
CNNIC可信网络服务中心将对CP进行严格的版本控制。
1.4.4证书策略审批流程 批准流程是:CP编写组编写或修订CP。
CP编写或修订完成后提交给CNNIC可信网络服务中心首席安全管理员 组织相关人员审议,并给出与CPS的一致性报告。
审议通过后的CP和一致性报告一同递交CNNIC可信网络服务中心安全 管理委员会审议。
CNNIC可信网络服务中心安全管理委员会最终确定CP与CPS的一致性。

6 CNNIC可信网络服务中心证书策略CNNIC可信网络服务中心安全管理委员会审议通过后,CP的正式版本由CNNIC可信网络服务中心安全管理委员会签署。
1.4.5证书策略发布 CNNIC可信网络服务中心证书策略经批准后会及时对外进行发布。
用户可以访问以下网址获取最新版本的证书策略(CP)文档: /jczyfw/fwqzs/CNNICfwqzsywgz 1.4.6适应性和变更效力 如果在进行证书策略的变更时CNNIC可信网络服务中心安全管理委员会认为会影响用户的使用,而通过CNNIC可信网络服务中心的网站通知用户此次策略变更的具体内容,则此次变更在发布30天后生效。
证书持有者和合格信赖方有责任定期访问网站查看本策略的最新变更通知。
使用或者信任证书的宽限期为30天,宽限期后视为接受修订条款。
2总则 2.1义务 2.1.1CNNIC可信网络服务中心认证中心义务 根据条例,CNNIC可信网络服务中心为受认可的证书认证机构,负责使用稳定系统签发、废止证书及利用公开储存库发布证书撤销列表等信息。
根据本策略,CNNIC可信网络服务中心所属认证中心(CA)有下述义务: a)接收注册中心(RA)的请求及时签发证书b)废止证书并及时发布证书废止列表c)定期查看来自CABForum的SSLBaselineRequirement基线要求的更新内 容,并承诺将根据基线要求的内容进行CA系统及业务逻辑内容的升级调整,保证对服务器证书的签发及管理符合最新版本的SSLBaseline
7 CNNIC可信网络服务中心证书策略 Requirement要求 2.1.1.1CNNIC可信网络服务中心认证中心陈述 通过给一个证书申请者签发一张证书,CNNIC可信网络服务中心认证中心(CA)向证书申请者保证所有合格的信赖方能够合理地在有效期内根据本策略信任证书中的信息,并且: CNNIC可信网络服务中心CA根据本策略签发证书,在必要时可废止该证书;CNNIC可信网络服务中心CA在签发证书时已确认证书申请者的身份满足本策略的要求和CPS的要求;在CNNIC可信网络服务中心CA的证书中没有已知的错误,而且CNNIC可信网络服务中心CA已经采取合理的做法确保证书中信息的正确性;在证书申请中由证书申请者提供的信息已被准确应用到证书中;该证书满足本策略和CNNIC可信网络服务中心的CPS的所有具体要求;该证书申请者的公钥和私钥为匹配的密钥对;在证书中定义的证书申请者拥有与证书中所列公钥相对应的私钥;CNNIC可信网络服务中心CA已使用一套可信的系统去产生和签发该证书。
2.1.2CNNIC可信网络服务中心注册中心义务 注册中心(RA,RegistrationAuthority)系统负责证书的申请和审批及证书管理,并将证书申请信息传递到认证中心(CA)。
注册中心有下述义务: a)验证申请人所提交信息的准确性和真实性,并使验证通过的证书申请生效,将其安全传递给认证中心(CA),证书申请包括证书注册、补发、续费、废止等类型申请 b)通知申请人有关已批准或被拒绝的证书申请c)通知证书持有者有关已废止的证书CNNIC可信网络服务中心仅有一个RA,设在CNNIC。
CNNIC可信网络服务中心确认LRA的身份,并授权LRA进行用户注册的资料收集工作。
LRA有义务在用户进行证书注册、补发、续费、废止时负责收集相
8 CNNIC可信网络服务中心证书策略关信息并验证这些信息的正确性。
2.1.3储存库义务 CNNIC可信网络服务中心储存库被用来发布CA证书、CPS、CP和证书废止信息等内容。
CNNIC可信网络服务中心支持储存库,并利用定义在CPS中的技术实现有效发布。
2.1.4证书持有者义务 证书持有者代表着证书公钥所绑定的唯一实体,拥有与证书公钥唯一对应的私钥的最终控制权。
证书持有者应在本CP和CPS的范围内使用证书,愿意并能够承担在本CP和CPS中约定的义务。
2.1.5信赖方义务 要信任或验证一张证书,信赖方必须验证证书的废止信息。
信赖方应在经过合理的审核后才能够信任一张证书。
2.2责任 CNNIC可信网络服务中心与证书持有者间的责任将在证书持有者协议中约定。
CNNIC可信网络服务中心与LRA间的责任将在相应的LRA协议中约定。
2.3解释与执行 2.3.1管辖法律 本策略受中华人民共和国法律管辖。

9 CNNIC可信网络服务中心证书策略 2.3.2条款可中止性、修改 若本证书策略的任何条款被宣布为非法、不可执行或无效,则应删除其中任何非法的词语,直至该等条款成为合法及可执行为止,同时应保留该等条款的本意。
本证书策略的任何条款的不可执行性将不损害任何其它条款的可执行性。
CNNIC可信网络服务中心拆分或合并可能导致其经营范围、管理和运营状况的改变。
这种情况下,可能也需要修改本证书策略。
经营活动的改变会与证书策略的修改相一致。
2.3.3争端解决程序 若当事人之间的争议无法友好协商解决,应提交中国国际经济贸易仲裁委员会进行仲裁。
仲裁的裁决是终局性的,对当事人均有约束力。
仲裁的裁决过程采用中文记录,仲裁裁决由有管辖权的法院执行。
2.4证书费用 2.4.1数字证书(域名证书)费用 证书费用由可信网络服务中心根据市场和管理部门的规定自行决定。
2.5发布资料和储存库 2.5.1CNNIC可信网络服务中心信息的发布 CNNIC可信网络服务中心将在储存库中发布下列信息:
(1)CA证书;
(2)证书废止信息; 10 CNNIC可信网络服务中心证书策略
(3)CPS和CP的拷贝
(4)其它相关信息。
2.5.2发布频率 所有需要发布在储存器中的信息都应及时发布。
有关证书废止的相关信息将根据第4.4节相关规定进行发布。
2.5.3储存库访问控制 储存库在合理的维护下可供RA、合格信赖方、证书持有者每周7天,每天24小时使用。
2.6一致性审计2.6.1一致性审计 由CNNIC可信网络服务中心或法律主管部门指定的审计机构对CNNIC可信网络服务中心进行审计。
年度审计次数由CNNIC可信网络服务中心决定或者由法律指定的监管机构决定。
2.6.2审计员的身份与资质 对CNNIC可信网络服务中心实施审计的审计者所具有的资质和经验必须符合监管法律和行业准则规定的要求,包括: 必须是经许可的、有营业执照的公共会计师或者是经许可的商业评估机构,在业内享有良好的声誉; 了解计算机安全体系、网络通信安全要求、PKI技术、标准和操作;具备检查系统运行状况的专业技术和工具。
11 CNNIC可信网络服务中心证书策略 2.6.3审计机构与被审计者的关系 审计机构必须是独立于CNNIC可信网络服务中心的实体。
2.6.4审计项目 对CNNIC可信网络服务中心规范审计应包括但不限于:CNNIC可信网络服务中心支持的证书操作规程是否完整地在CPS中表述, 包括CNNIC可信网络服务中心的技术、手续和员工的相关管理政策和操作规范;CNNIC可信网络服务中心是否实施了必要的技术、管理、相关政策和操作规范。
2.6.5对审计中不足问题的处理 如果在审计过程中发现执行规范有不足之处,CNNIC可信网络服务中心将根据审计报告的内容,以最快的速度准备一份解决方案以完善不足之处。
2.6.6结果通报 除非法律明确要求,CNNIC可信网络服务中心一般不公开审计结果。
2.7机密性 在执行与CNNIC可信网络服务中心签发、废止证书的有关任务时,可取阅任何记录、书刊、记录册、登记册、通讯、信息、文件或其它资料的CNNIC可信网络服务中心认证中心(CA)、注册中心(RA)及任何CNNIC可信网络服务中心外包商的人员,不得向他人披露该等记录、书刊、记录册、登记册、通讯、信息、文件或资料。
CNNIC可信网络服务中心会确保其CA、RA及任何CNNIC可信网络服务中心外包商的人员均会遵循此限制事项。
作为根据本CP申请数字证书的组成部分而提交的证书持有者资料,只会用于收集资料的目的并以机密方式保存,CNNIC可信网络服务中心需根据本CP履 12 CNNIC可信网络服务中心证书策略行其责任的情况除外。
除非经法庭发出的传票或命令,或中华人民共和国法律法规另有规定,未经证书持有者事先同意,不得将这些资料对外发布。
2.7.1机密信息类型 各最终实体的签名私钥是该用户的机密信息,CNNIC可信网络服务中心CA和RA不得访问此类私钥。
对CNNIC可信网络服务中心的审计信息,考虑到其安全性,除法律要求外,不得对外公开。
由CNNIC可信网络服务中心CA和RA保存的个人和公司信息,除了被明确需要发布在证书、CRL、证书策略或CPS中的部分外,除非由法律要求,不得公开。
2.7.2非机密信息类型 包含在证书和CRL中,由CNNIC可信网络服务中心发布的信息不是机密信息。
CPS和CP中公布的信息不是机密信息,但策略要求它只可用于本PKI体系内的用户。
CPS的部分内容可在更广泛的范围内使用。
2.7.3证书废止信息批露 当证书由CNNIC可信网络服务中心废止时,在CRL条目中包含被废止证书的废止原因代码。
这个废止原因代码不是机密信息,可与所有其它证书持有者和信赖方分享。
其它关于废止的细节不被透露。
废止代码列表和一个简短的描述将发布在储存库。
2.7.4披露给执法官员 和CNNIC的其它服务一样,根据策略,CNNIC可信网络服务中心将遵照法律规定披露信息给执法官员。
13 CNNIC可信网络服务中心证书策略 2.8知识产权 CNNIC可信网络服务中心享有并保留对证书及CNNIC可信网络服务中心提供的全部软件的一切知识产权,包括所有权、名称权和利益分享权等。
2.8.1证书和废止信息的拥有权 所有CNNIC可信网络服务中心颁发的证书、证书废止信息和CNNIC可信网络服务中心提供的软件中使用、体现的一切版权、商标和其他知识产权均属于CNNIC可信网络服务中心,这些知识产权包括所有相关的文件和使用手册。
2.8.2证书策略的拥有权 CNNIC可信网络服务中心拥有本策略的所有知识产权。
2.8.3名称拥有权 在没有CNNIC可信网络服务中心预先书面同意的情况下,使用者不得在证书到期、废止之后,使用任何CNNIC可信网络服务中心使用的名称、商标或可能与之相混淆的名称、商标。
2.8.4密钥和密钥设备拥有权 由最终用户自己保管的密钥对的知识产权,属于用户自己。
CNNIC可信网络服务中心的CA公钥和CA私钥,包括所有CNNIC可信网络服务中心所使用的公钥和证书都是CNNIC可信网络服务中心的资产。
CNNIC可信网络服务中心准许软件和硬件制造商在生产时将根证书安装在可信的硬件设备或软件中。
14 CNNIC可信网络服务中心证书策略 3鉴别与认证 3.1首次申请 域名证书的申请,证书申请者或其经办人必须亲自到CNNIC可信网络服务中心指定的机构地点,并出示第3.1.7节所述身份证明。
证书申请者须向CNNIC可信网络服务中心本地受理点递交一份填好的申请表。
对于单位申请者,域名证书的申请须由申请单位的经办人和主管人填好并签名,并加盖申请单位公章,其中,国防类域名单位还必须提交标准服务器证书证明函,并由申请单位和本地受理点同时加盖公章;对于自然人申请者,域名证书的申请须由本人填好并签名。
申请批准后,CNNIC可信网络服务中心即准备好证书并发布给证书申请者,而证书申请者也将成为证书持有者。
3.1.1名称类型 通过证书上的主题名称(于附录B内指明)可识别证书持有者的身份,该名称包括证书持有者机构所拥有服务器(包括网络域名)的名称。
3.1.2名称含义 所采用名称的语义必须为一般人所能理解,方便辨识证书持有者身分。
证书DN中的CommonName或者SubjectAltName为实际申请Web服务器的域名。
3.1.3各个名称的解释规则 CNNIC可信网络服务中心数字证书会包含的证书持有者名称(主题名称)类型见第3.1.1节。
有关CNNIC可信网络服务中心数字证书主题名称的诠释,请参照附录
B。
3.1.4名称唯一性 对证书持有者而言,主题名称(于附录B内指明)应无歧义而且具有唯一 15 CNNIC可信网络服务中心证书策略性。
3.1.5名称争端解决程序 名称争端由CNNIC可信网络服务中心根据具体情况进行最终裁决。
3.1.6不侵权承诺 证书申请者或证书持有者向CNNIC可信网络服务中心保证并向证书信赖方声明:申请证书过程提供的资料没有以侵犯第三者的商标权、商号或其他知识产权。
3.1.7证书申请者身份认证 证书申请者应依据《CNNIC可信网络服务中心证书业务规则》(CPS)相关规定,在进行证书申请时提交身份证明材料,CNNIC可信网络服务中心应履行对证书申请者进行身份认证的职责。
3.1.8证书申请渠道 CNNIC可信网络服务中心的证书申请一律通过本地受理点(LRA)进行,CNNIC可信网络服务中心不直接受理申请。
3.1.9密钥对确认 CNNIC可信网络服务中心在获取到证书申请者的签发证书请求(CSR)后,将验证证书请求的签名和其他相关信息,以确认证书申请者拥有相应的密钥对。
16 CNNIC可信网络服务中心证书策略 4操作规范 4.1证书申请 4.1.1域名证书 4.1.1.1处理申请 域名证书的申请者必须到CNNIC可信网络服务中心指定的受理点递交申请。
4.1.1.2身份审核 对于证书申请者,用以证明其身份所需的文件,在本策略第3.1.7节中说明。
完成核对身份手续后,数字证书会以安全方式送递申请者。
4.2证书签发 在核对身份手续后,CNNIC可信网络服务中心会以电子邮件和电话通知证书申请者其申请已被接纳,并发送证书“参考号/授权码”。
发出数字证书的过程如下: 证书申请者在其设备上自行产生私人密钥及公开密钥。
证书申请者在其设备上自行产生包含其公开密钥的“签发证书请求”(CertificateSigningRequest,CSR),并将“签发证书请求”经由指定的CNNIC可信网络服务中心网页传送给CNNIC可信网络服务中心。
在收到“签发证书请求”后,CNNIC可信网络服务中心系统会自动查证包含公开密钥资料的“签发证书请求”上的数字签名,以核对证书申请者是持有配对的私人密钥。
CNNIC可信网络服务中心并不会持有证书申请者的私钥。
在核对证书申请者是持有配对的私钥后,CNNIC可信网络服务中心会产生载有证书申请者公开密钥的数字证书。
证书申请者可在指定的CNNIC可信网络服务中心网页核对数字证书的内容及确认接受该数字证书。
17 CNNIC可信网络服务中心证书策略 4.3证书接受 下载证书即构成证书持有者的证书接受。
4.4证书废止 4.4.1废止情况 如果出现下列情况,CNNIC可信网络服务中心有权废止所签发的域名证书:
1.事后检查发现证书持有者申请域名证书时提供的资料存在虚假信息;
2.证书持有者未履行证书持有者协议所约定的义务;
3.证书持有者要求废止域名证书;
4.证书持有者主体消亡;
5.证书持有者变更域名证书的用途;
6.法律或法规要求的其他情况。
4.4.2废止程序 如出现本文第4.4.1节规定的除第3条外的情况,CNNIC可信网络服务中心将主动废止域名证书并通知证书持有者。
证书持有者也有权自行通过本地受理点提出废止证书要求,废止申请具体流程请参考CPS。
CNNIC可信网络服务中心的注册中心(RA)收到申请,并和申请者确认废止证书后,该证书即会废止且永久失效。
废止证书申请表格可从CNNIC可信网络服务中心网页/jczyfw/fwqzs/fwqzsxzzx下载。
所有废止证书的有关资料(包括表明废止证书的原因代码)将包含在废止证书列表(CRL)内。
(见第7.2节) CNNIC可信网络服务中心处理废止证书请求的时间为每工作日上午九时至下午五时。
18 CNNIC可信网络服务中心证书策略 4.4.3废止请求处理时限 在CNNIC可信网络服务中心所发布的操作时段内,废止请求应在CNNIC可信网络服务中心接收到正式申请资料后两个工作日内处理完成。
4.4.4废止效力 CNNIC可信网络服务中心把废止状态发布到证书废止列表中,即终止某一证书的使用效力。
4.4.5服务承诺 CNNIC可信网络服务中心将做出合理努力,确保在
(1)CNNIC可信网络服务中心从证书持有者处收到废止申请或
(2)在无此申请之情况下,CNNIC可信网络服务中心决定废止证书,两个工作日内,将该废止证书数据在证书废止列表发布。
然而,证书废止列表并不会在各证书废止后随即在公众目录中发布。
只有在下一张证书废止列表更新时一并发布,证书废止列表届时才会显示该证书已废止的状态。
CNNICSSL中级根(签发标准服务器证书)以及CNNICEVSSL中级根(签发EV高级服务器证书)签发的证书废止列表每12小时发布一次,CNNICDQSSL中级根(签发快速证书)签发的证书废止列表每7天(168小时)发布一次;如果没有进行中级根的废止,CNNICROOT及CNNICEVROOT根签发的证书废止列表(CRL)每6个月(182天)更新一次,如果进行中级根的废止,根签发的证书废止列表(CRL)会立即更新。
CNNIC可信网络服务中心在处理证书废止时,会以合理的方式与证书持有者保持联系(例如电话),进行确认。
在证书持有者明知CNNIC可信网络服务中心根据CPS条款可能据以废止证书的任何事项的情况下,或证书持有者已做出废止申请,或经CNNIC可信网络服务中心通知拟根据本CP条款废止证书后,证书持有者均须立刻停止在交易中使用证书。
倘若证书持有者无视本条所述的规定,仍在交易中使用证书,则CNNIC可信网络服务中心毋须就任何此类交易向证书持有者或证书信赖方承担 19 CNNIC可信网络服务中心证书策略 责任。
此外,在证书持有者明知CNNIC可信网络服务中心根据CP条款可能据以废 止证书的任何事项的情况下,或证书持有者已做出废止申请,或经CNNIC可信网络服务中心通知拟根据CP条款废止证书后,均须立即通知从事当时仍有待完成的任何交易的证书信赖方,用于该交易的证书须予废止(由CNNIC可信网络服务中心或经证书持有者申请),并明确说明,故证书信赖方不得在交易中继续信任该证书。
若证书持有者未能通知证书信赖方,则CNNIC可信网络服务中心无须就此类交易向证书持有者承担责任,并无须向虽已收到通知但仍完成交易的证书信赖方承担责任。
除非CNNIC可信网络服务中心未能行使合理技术且证书持有者未能按此等规定的要求通知证书信赖方,否则,CNNIC可信网络服务中心无须就CNNIC可信网络服务中心做出废止证书(根据申请或其它原因)的决定与此信息出现在证书废止列表之间的时间内进行的交易承担责任。
任何这类责任均仅限于本CP其它部分规定的范畴内。
在任何情况下,注册中心自身无须对证书信赖方承担独立责任。
因此,即使出现疏忽,注册中心也无须对证书信赖方负责。
数字证书的证书废止列表会依据在附录C内指明的格式更新。
有关CNNIC可信网络服务中心对于证书信赖方暂时未能获取已废止的证书资料时的政策,己列于本CP第2.1.5节(证书信赖方的义务)中。
4.4.6CRL更新频率 CNNIC可信网络服务中心应以尽可能快的速度签发一个最新的CRL并在储存库中发布:CNNICSSL中级根(签发标准服务器证书)以及CNNICEVSSL中级根(签发EV高级服务器证书)签发的证书废止列表每12小时发布一次,即标准服务器证书和EV高级服务器证书的CRL不晚于正确的域名证书废止请求被处理完成后12小时后发布;CNNICDQSSL中级根(签发快速证书)签发的证书废止列表每7天(168小时)发布一次,即快速证书的CRL不晚于正确的域名证书废止请求被处理完成后168小时后发布。

如果没有进行中级根的废止,CNNICROOT及CNNICEVROOT根签发的证书废止列表(CRL)每6个月(182天)更新一次,如果进行中级根的废止,根签发 20 CNNIC可信网络服务中心证书策略 的证书废止列表(CRL)则立即更新。
4.4.7证书续费 CNNIC可信网络服务中心会于证书的有效期届满前,以电子邮件或信件等方式向域名证书的证书持有者发出续费通知。
证书持有者可依据CNNIC可信网络服务中心的流程从本地受理点处更新证书。
4.5密钥变更 由CNNIC可信网络服务中心认证中心产生,并用以签发、认证本中心所发出的证书的认证中心根密钥及证书寿命为期不超过二十年。
CNNIC可信网络服务中心证书认证机构密钥及证书在期满前至少三个月会进行更新。
更新为新根密钥后,相关的根证书也会公布供大众取用。
原先的根密钥则保留一定的时限,以供核对用原根密钥签名的证书。
4.6密钥泄漏及灾难恢复程序 4.6.1灾难恢复计划 CNNIC可信网络服务中心应有妥善的业务连续性计划,包括每天备份主要业务信息和认证中心系统数据,并适当地备份认证中心系统的软件,以维持主要业务持续运营,保障在严重故障或灾难影响下仍可继续提供服务或在最短时间内恢复提供服务。
每年需要对业务连续性计划进行复查,并严格执行。
CNNIC可信网络服务中心应在异地设有灾难恢复基地。
如发生严重故障或灾难,CNNIC可信网络服务中心应及时通知政府部门,并公布运营由生产基地转至灾难恢复基地。
为保证CNNICCA中心在市场上的竞争力,并保证在所确定的系统中断时间内,CA中心可能遭受的损失相对较低,风险相对较小,同时建设成本和管理成本也比较适合,CNNICCA中心最终确认: 21 CNNIC可信网络服务中心证书策略
1.对于证书注册服务,在一般灾难情况下CNNICCA中心会使用合理的商业手段在24小时内予以恢复,并在48小时内完全恢复全面注册服务功能。
如不可抗力灾难(例如战争、地震、洪水、火灾等)造成CNNICCA中心出现大面积硬件、设备、人员损失,可以在向公众通告具体情况,保证信息公开的基础上,延长注册服务系统中断时间。

2.对于包括CRL下载服务在内的储存库服务,在灾难情况(包括不可抗力灾难)下,CNNICCA中心会使用合理的商业手段在4小时内予以恢复,并在8小时内完全恢复储存库服务。
4.6.2密钥泄漏恢复计划 业务连续性计划应包含处理密钥泄漏的应对计划。
这些计划每年均会进行复检。
如用来签发域名证书的CNNIC可信网络服务中心根证书或中级根证书私钥信息泄漏,CNNIC可信网络服务中心应及时进行公布。
CNNIC可信网络服务中心的根证书或中级根证书私钥信息一旦泄漏,CNNIC可信网络服务中心应及时废止由此私钥签发的证书,然后签发新证书取代。
4.7CNNIC可信网络服务中心终止服务 如CNNIC可信网络服务中心停止担任证书认证机构的职能,即按CNNIC可信网络服务中心终止服务计划所定程序通知政府部门并做出公布。
在终止服务后,CNNIC可信网络服务中心会将证书认证机构的记录适当地存盘10年(由终止服务日起计);这类记录包括根证书和中级根证书、已发出的域名证书、证书业务规则及证书废止列表(CRL)。
4.8RA终止服务 如注册中心(RA)根据注册中心协议或因注册中心终止服务停止担任注册中心的职能,且其代表CNNIC可信网络服务中心行使的授权已予以收回,由此注册中心申请的证书仍会按其条款和有效期继续有效。
22 CNNIC可信网络服务中心证书策略 4.9CNNIC可信网络服务中心CA私钥归档 当CNNIC可信网络服务中心的CA密钥对到期后,这些CA密钥对将归档保存至少10年。
归档CA密钥对保存在CPS所述的硬件密码模块中,并且CNNIC可信网络服务中心的密钥管理策略和流程阻止归档CA密钥对返回到生产系统中。
对归档私钥到了归档保存期,CNNIC可信网络服务中心将按CPS所述进行销毁。
CNNIC可信网络服务中心CA私钥归档的具体步骤如下:
1.加密机管理员到业务内审员处领申请表单
2.业务内审员签字
3.首席安全管理员签字
4.通知CA系统管理员等相关人员
5.进入相应加密机区域进行密钥复制到归档密钥空间
6.操作结束填写维护表单
7.参与操作相关人员签字确认(加密机管理员、业务内审员和CA系统管理 员)
8.首席安全管理员签字
9.业务内审员归档 4.10CNNIC可信网络服务中心应急机制 CNNIC可信网络服务中心将提供24*7的应急机制,在如下所述的情况下,可以通过010-58813000联系CNNIC可信网络服务中心,进行紧急事件的处理:
1.CNNICCA中心将在24小时之内完成证书废止的申请,在如下情况:当签发的证书在技术内容和格式上存在不可接受的风险时;当证书申请者不是有效的授权者,或授权已过期;当CNNICCA中心确认证书申请者的使用有危害的密钥申请了证书时;当CNNICCA中心发现申请者使用的不再是一个有效的全域名时;当申请人违反了申请协议或应组遵守的义务时;当证书出现问题的时候(技术问题,外界因素等),CNNICCA中心可以及时处理并在24小时之内对高优先级的证书问题发起调查。
23 CNNIC可信网络服务中心证书策略 5实体、程序和人员的安全控制 5.1实体安全 CNNIC可信网络服务中心应通过有效的物理控制来确保实体安全,具体措施可参考CPS。
5.2过程控制 CNNIC可信网络服务中心应建设、维护和执行完备的管理制度和流程来对人员以及人员操作进行控制,从而确保CNNIC可信网络服务中心的安全。
CNNIC可信网络服务中心对重要调整按照如下流程进行控制,重要调整指业务及IT环境的重大变更,包括可能导致秘钥泄漏的操作、可能导致关键业务中断的非常规操作、建立或开展新的CA业务,以及对业务流程、审批环节和IT环境现有安全控制进行变更等。

1.申请人提出申请。

2.申请人发起风险评估申请,由CA各相关角色生成风险评估的结果。

3.业务内审员对风险评估结果给出评审意见。

4.首席安全管理员根据风险评估结果给出审核意见,并判断是否有必要提 交安全管理委员会进行评审。

5.如有必要,由安全管理委员会进行审核,给出评审结论。

6.申请人根据审批结论协调相关CA角色进行操作,CA相关角色记录操作 步骤及内容。

7.操作完成后将事件结果向业务内审员和首席安全管理员汇报。

8.对于由安全管理委员会审核的事项,由首席安全管理员向安全管理委员 会汇报事件处理结果。
5.3人员控制 CNNIC可信网络服务中心应对工作人员的背景、资历、经验等情况都进行核 24 CNNIC可信网络服务中心证书策略 实和审查,通过管理制度对其行为进行约束,并对其进行持续的培训,确保其可信程度及胜任程度,并确保他们履行职责。
工作人员包括CNNIC正式员工以及外包人员。
5.4计算机安全审计程序 5.4.1记录事件类型 CNNIC可信网络服务中心的重要安全事件,均以人工或自动记录在受保护的审计追踪记录内。
这类事件包括但不限于以下内容: 可疑网络活动多次试图进入而不能访问与安装设备或软件、修改及配置CNNIC可信网络服务中心系统的有关事 件相关人员访问CNNIC可信网络服务中心各组成部分的过程 定期管理证书的操作同样也包括在审计追踪记录中,这些操作包括但不限于以下内容: 处理废止证书的请求实际发出(包括证书注册、续费、补办等)、废止证书更新储存库资料汇编证书废止列表并刊登新数据证书认证中心密钥转换档案备份紧急密钥恢复 5.4.2处理记录的次数 CNNIC可信网络服务中心每周均会处理及复查审计追踪记录,用以审计追踪有关CNNIC可信网络服务中心行动、交易及程序。
25 CNNIC可信网络服务中心证书策略 5.4.3审计追踪记录的保护 CNNIC可信网络服务中心处理审计追踪记录时实施多人式控制,可提供足够保护,避免有关记录意外受损或被人蓄意修改。
5.4.4审计追踪记录备份程序 CNNIC可信网络服务中心每日均会按照预先界定程序为审计追踪记录作适当备份。
备份会另行离机储存,并获足够保护,以免被盗用、损毁及媒体衰变。
5.4.5审计资料收集系统 无 5.4.6安全主体向CNNIC可信网络服务中心发出通知 CNNIC可信网络服务中心拥有自动监控系统,可向CNNIC可信网络服务中心适当人士或系统报告重要安全事件。
5.4.7脆弱性评估 脆弱性评估是CNNIC可信网络服务中心风险评估的一部份:根据审计记录,CNNIC可信网络服务中心定期进行技术安全、管理安全方面的脆弱性评估,并根据评估报告采取措施。
5.5记录归档 5.5.1归档记录类型 CNNIC可信网络服务中心须确保归档记录包括足够资料,从而确定证书是否有效以及以往是否运行妥当。
CNNIC可信网络服务中心应保存有以下数据: 系统设备结构档案 26 CNNIC可信网络服务中心证书策略评估结果及设备合格复查记录证书业务规则所有版本对CNNIC可信网络服务中心具约束力的协议所有发出的证书及证书废止列表(CRL)定期事件记录其它用以核实归档内容的工作日志 5.5.2归档保存期限 上述归档记录至少妥为保存10年。
审计跟踪文档须以CNNIC可信网络服务中心视为适当的方式存放。
5.5.3归档保护 CNNIC可信网络服务中心保存的归档介质受各种实体或加密措施保护,可避免未经授权进入。
保护措施用以保护归档介质免受温度、湿度及磁场等环境侵害。
5.5.4归档备份程序 制作并保存归档的副本。
5.5.5时间戳 归档资料均注明归档项目的开始时间及日期。
CNNIC可信网络服务中心利用控制措施防止擅自调校系统时钟。
27 CNNIC可信网络服务中心证书策略 6技术安全控制 6.1密钥的生成和安装 6.1.1密钥对的生成 根CA:根CA的根密钥对由硬件加密设备直接产生,并且直接保存在该硬件加密设备中,CNNIC可信网络服务中心使用的是国家商业密码管理委员会鉴定通过的加密硬件设备。
产生密钥的时候,必须由三个加密机管理员(共计五个加密机管理员)同时登录后由加密硬件设备产生,任何单独的一个人均没有办法执行产生密钥的操作。
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码。
子CA:子CA的CA密钥对在本地的硬件加密设备上产生(硬件加密设备使用的是国家商业密码管理委员会鉴定通过的加密硬件设备),私钥不能出此加密硬件设备。
产生密钥的时候,必须由三个加密机管理员(共计五个加密机管理员)同时登录后由加密硬件设备产生,任何单独的一个人没有办法执行产生密钥的操作。
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码。
证书申请者:签名密钥对在客户端产生,具有严密且安全的控制措施,可采用智能IC卡、其它硬件加密设备或加密软件生成。
6.1.2公钥传送给证书签发机构 证书申请者使用安全软件把公钥发给CNNIC可信网络服务中心由CNNIC可信网络服务中心生成证书。
6.1.3CNNIC可信网络服务中心CA公钥传送给信赖方 CNNIC可信网络服务中心会把自己的CA公钥证书发布在自己的网站上,以便最终实体获取。
28 CNNIC可信网络服务中心证书策略 6.1.4密钥的长度 CNNIC可信网络服务中心的CNNICROOT及CNNICEVROOT根密钥和CNNICSSL、CNNICEVSSL、CNNICDQSSL等中级根密钥对为2048位RSA。
证书持有者密钥对也要求为2048位RSA。
6.1.5密码模块标准 产生签名密钥、存储及签名操作在硬件密码模块进行。
硬件密码模块是由中国国家密码主管机构审查通过的安全产品,符合国家的相关规定。
6.1.6密钥用途 CNNIC可信网络服务中心域名证书使用的密钥可用于加密通讯。
CNNIC可信网络服务中心的根密钥只用于签发证书及证书废止列表。
6.2私钥保护和密码模块工程控制 CNNIC可信网络服务中心应根据本策略条款规定采取相应的步骤保护自己的CA私钥。
CNNIC可信网络服务中心CA的签名私钥不能泄露。
如果证书到期或被废止,或者签名私钥的使用终结,那么,所有私钥的复制都要被安全地毁掉。
私钥不再使用、不需要保存时,应该将私钥销毁,从而避免丢失、偷窃、泄露或非授使用。
CNNIC可信网络服务中心签发的最终用户签名私钥,在其生命周结束后,无需再保存,可以通过私钥的删除、系统或密码模块的初始化来销毁。
在CNNIC可信网络服务中心的CA私钥生命周期结束后,CNNIC可信网络服务中心应将CA私钥继续保存在一个硬件密码模块中,并进行归档,其他的CA私钥备份被安全销毁。
归档的CA私钥在其归档期结束后,需在多名可信人员参与的情况下安全销毁。
CA私钥的销毁将确保CA私钥从件密码模块中彻底删除,不留有任何残余信息。
具体实施细节参见CPS中相关的内容。
29 CNNIC可信网络服务中心证书策略 6.3密钥对管理 CNNIC可信网络服务中心应考虑CA证书和域名证书的公私钥有效期和归档问题。
6.4计算机安全控制 CNNIC可信网络服务中心需要在安全的环境下运行,并实行分区访问权限控制。
核心系统和其它系统隔离,采用防火墙和入侵检测保证安全。
并实行: 系统安全配置,关闭不必要的服务与端口。
操作系统必须安装最新的补丁程序,由专人负责最新补丁的安装。
生产系统每台机器均由专人负责,严格上机操作程序,口令逐级管理,逐级授权。
各人负责各自权限范围内的操作。
日志和操作记录的审计制度。
数据备份和恢复机制。
6.5生命周期技术安全控制 证书生命周期安全控制需要遵循WebTrust认证规范。
CNNIC可信网络服务中心所使用的系统在使用前均应经过详细测试,并在使用过程中进行不定期检查。
6.6网络安全控制 根据安全要求的不同,应考虑将CNNIC可信网络服务中心系统划分为不同的网段,部分高安全级系统进行离线操作。
并采用层次模型保证网络的安全性以及系统的可靠性。
6.7密码模块工程控制 CNNIC可信网络服务中心使用的密码模块必须是经过中国国家密码主管机构审查通过的加密机。
30 CNNIC可信网络服务中心证书策略 7其他商业与法律事项 7.1法律责任7.1.1法律责任限制 7.1.1.1限制的合理性 各证书持有者或信赖方必须同意,CNNIC可信网络服务中心按证书持有者协议及本CP及CPS所列条件限制其法律责任实属合理。
7.1.1.2可追讨损失种类的限制 CNNIC可信网络服务中心若违反《证书持有者协议》或者出现任何职务职责的情况下,而造成证书持有者或信赖方遭受损失及损害的,CNNIC可信网络服务中心不负责下述原因造成的损失及损害的赔偿: a)任何直接或间接利润或收入损失、信誉或商誉损失或伤害、任何商机损失、失去项目、或失去或无法使用任何数据、设备或软件; b)任何间接、相应而生或附带引起的损失或损害。
7.1.1.3故意不当行为的责任 任何因欺诈或故意不当行为的责任均不在本CP及CPS、证书持有者协议或CNNIC可信网络服务中心签发的证书的任何限制或除外规定范围内。
7.1.1.4证书责任限制通知 CNNIC可信网络服务中心签发证书已经作出如下责任限制通知:“CNNIC可信网络服务中心职员按CNNIC可信网络服务中心签署的证书业 31 CNNIC可信网络服务中心证书策略 务规则所载条款,在条件适用于本证书的情况下,根据相关规定作为证书认证机构签发本证书。
因此,任何人士信任本证书前均应阅读适用于数字证书的业务规则(可浏览/jczyfw/fwqzs/CNNICfwqzsywgz)。
中华人民共和国法律适用于本证书,信赖方须承认因信任本证书而引致的任何争议或问题属于中华人民共和国法庭管辖。
如果信赖方不接受本证书用来签发的条款及条件,则不应信任本证书。
CNNIC可信网络服务中心签发本证书,但无须对信赖方承担任何责任或职务职责。
信赖方信任本证书前确保信任行为公平合理无恶意,方可信任本证书;信任本证书前,确定证书的使用就CPS规定的用途而言实属适当;信任本证书前,根据证书废止列表检查本证书的状态,并履行所有适当证书路径验证程序。
尽管CNNIC可信网络服务中心已采取合理技术及管理措施,若本证书仍在任何方面存在不准确或误导,则CNNIC可信网络服务中心对信赖方的任何损失或损害概不承担任何责任。
若本证书在任何方面存在不准确或误导,而这种不准确或误导是因CNNIC可信网络服务中心的疏忽所导致,则CNNIC可信网络服务中心将可以因合理信任本证书中的这种不准确或误导事项而造成的经证实损失向每名信赖方支付最多为证书购买价格的10倍,只有这种损失不属于并且不包括
(1)任何直接或间接损失,包括利润或收入损失、信誉或商誉损失或伤害、商机或契机损失、失去项目、失去或无法使用任何数据、设备或软件等;
(2)任何间接、相应而生或偶然引起的损失或损害。
在该等情况下根据条例适用于本证书的信任额度为为证书购买价格的10倍。
证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出。
半年期限届满时,该赔偿请求必须放弃且绝对禁止。
若本证书包含任何由CNNIC可信网络服务中心做出的故意或罔顾后果的失 32 CNNIC可信网络服务中心证书策略实陈述,则本证书并不就这类对因合理信任本证书中的失实陈述而遭受损失的信赖方所应承担的法律责任做出任何限制。
本文所描述的法律责任限制不适用于个人伤害或死亡的(不大可能发生的)情形。
” 7.1.2CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任 若证书持有者接受证书后发现,因证书包含的私人密钥或公开密钥出现差错,导致基于公开密钥基础设施的交易无法适当完成或根本无法完成,则证书持有者须将这种情况立即通知CNNIC可信网络服务中心,以便废止证书并重新签发。
或者在接受证书后三个月内发现这种情况且证书持有者不再需要证书,则在CNNIC同意的前提下,可以申请退款。
如果证书持有者在接受证书三个月后才将这类差错通知CNNIC,则将不会退还持有者已缴纳的费用。
7.1.3证书持有者的转让 证书持有者不可转让证书持有者协议或证书赋予的权利。
拟转让的行为均属无效。
7.1.4陈述权限 除非获得CNNIC可信网络服务中心授权,CNNIC可信网络服务中心或注册中心的代理人或雇员无权代表CNNIC可信网络服务中心对本CP及CPS的含义或解释作任何陈述。
7.1.5更改 CNNIC可信网络服务中心有权更改本证书策略,而无须发出预先通知。
证书持有者协议不得做出更改、修改或变更,除非符合本证书策略中的更改或变更规定,或获得CNNIC可信网络服务中心的明确书面同意。
33 CNNIC可信网络服务中心证书策略 7.1.6保留所有权 根据本证书策略签发的证书上所有资料的实质权利、版权及知识产权现属CNNIC可信网络服务中心所有。
7.1.7条款冲突 若本证书策略与证书持有者协议或其它规则、指引或合约有冲突,证书持有者、信赖方及CNNIC可信网络服务中心须受本证书策略条款约束,除非该等条款受法律禁止。
7.1.8受信关系 CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心并非证书持有者或信赖方的代理人或其它代表。
证书持有者及信赖方无权以协议或其它方式约束CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心承担证书持有者或信赖方的代理人或其它代表的责任。
7.2财务责任 7.2.1限额 即使是CNNIC可信网络服务中心违反《证书持有者协议》或者负有任何职务职责的情况下,而造成证书持有者或信赖方蒙受损失及损害,对于任何证书持有者、或任何信赖方,CNNIC可信网络服务中心所负法律责任限于在任何情况下每张域名证书不得超过证书购买价格的10倍。
7.2.2提出赔偿的时限 证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出。
半年期限届满时, 34 CNNIC可信网络服务中心证书策略该赔偿请求必须放弃且绝对禁止。
8附录 35 CNNIC可信网络服务中心证书策略 附录A词汇 证书认证中心(CA)CertificationAuthority受用户信任,负责创建和分配公钥证书的权威机构。
有时,证书认证中心也 可为用户创建密钥。
CA证书CA-certificate由其他CA为一个CA的公钥签发的证书。
证书认证路径CertificationPath一个有序的证书序列,连同路径中起始对象的公钥,通过处理该序列可获得 路径末端对象的公钥。
公钥基础设施(PKI)PublicKeyInfrastructure(PKI)支持公钥管理体制的基础设施,提供鉴别、加密、完整性和不可否认性服务。
激活数据ActivationData用于操作密码模块所必需的、并且需要被保护的数据值(例如PIN、口令、 或人工控制的密钥共享部分),而不是密钥。
鉴别Authentication确定个人、组织或事物如其所声称的人或事物的过程。
在PKI上下文中,鉴 别指的是确定以某个特定名称申请或试图访问某事物的个人或组织确实为正确的个人或组织的过程。
证书策略(CP)CertificatePolicy一套命名的规则集,用以指明证书对一个特定团体和(或者)具有相同安全 需求的应用类型的适用性。
例如,一个特定的CP可以指明某类证书适用于鉴 36 CNNIC可信网络服务中心证书策略别从事企业到企业(B-to-B)交易活动的参与方,针对给定价格范围内的产品和服务。
证书业务规则(CPS)CertificationPracticeStatement关于证书认证机构在签发、管理、废止或更新证书(或更新证书中的密钥) 过程中所采纳的业务实践的声明。
CPS摘要CPSSummaryorCPSAbstract由一个CA公布的、关于其完整CPS的一个子集。
身份标识Identification建立个人或组织的身份的过程,如指明某个人或组织是特定的个人或组织。
在PKI上下文中,身份标识指代两个过程:确定某个人或组织的给定名称与真实世界中该个人或组织的身份相联系;确定在该名称之下申请或试图访问某事物的个人或组织确实为被命名的个 人或组织。
寻求标识的人可能是证书申请者,或者是PKI中可信职位的申请者,或者是试图访问网络或应用软件的人(如CA管理员试图访问CA系统)。
签发证书认证中心(签发CA)IssuingCertificationAuthority在特定的CA证书上下文中,签发CA是签发证书的CA(参见主体CA)。
参与者Participant在一个给定PKI中扮演某一角色的个人或组织,如证书持有者、信赖方、CA、 RA、证书制作机构、证书库服务提供者、或类似实体。
PKI信息公开声明(PDS)PKIDisclosureStatement关于CP或CPS的补充手段,用于公开证书策略和CA/PKI业务中的关键信息。
PDS是公开和强调信息的载体工具,这些信息通常在相关CP或CPS中作更详细描述。
因此,PDS并不能替代CP或CPS。
37 CNNIC可信网络服务中心证书策略 策略限定符Policyqualifier依赖于策略的信息,可能与CP标识符共同出现在X.509证书中。
该信息中 可能包含指向适用CPS或信赖方协议的URL指针,也可能包含证书使用条款的文字(或引起文字出现的数字)。
注册中心(RA)RegistrationAuthority具有下列一项或多项功能的实体:标识和鉴别证书申请者,同意或拒绝证书 申请,在某些环境下主动废止或挂起证书,处理证书持有者废止或挂起其证书的请求,同意或拒绝证书持有者更新其证书或密钥的请求。
但是,RA并不签发证书(即RA代表CA承担某些任务)。
信赖方Relyingparty证书的接收者,他依赖于该证书和(或)可通过该证书所验证的数字签名。
在本证书策略中,术语“证书使用者”与“信赖方”可互换使用。
信赖方协议Relyingpartyagreement证书认证机构与信赖方所签署的协议,通常规定了在验证数字签名或其他使 用证书的过程中有关方所拥有的权利和义务。
条款集Setofprovisions关于业务实施和(或)策略声明的集合,覆盖了一定范围的标准主题,用于 使用本框架中所描述的方法来表达CP或CPS。
主体证书认证中心(主体CA)SubjectCertificationAuthority在特定的CA证书上下文中,主体CA指的是在证书中其公钥被认证的CA。
(参 见签发CA) 证书持有者Subscriber 38 CNNIC可信网络服务中心证书策略被颁发给一张证书的证书主体。
证书持有者协议SubscriberAgreementCA与证书持有者之间签署的协议,规定了双方在颁发和管理证书的过程中所 拥有的权利和义务。
验证Validation 对证书申请者进行身份标识的过程。
验证是身份标识的子集,并且在建立证书申请者身份的过程中指的就是身份标识。
39 CNNIC可信网络服务中心证书策略 附录B缩略语 CACPCPSCRLDAPDESDNDNSDSA/DSSHTTPIETFISOITULDAPRAOIDPKIPKIX CertificationAuthorityCertificatePolicyCertificationPracticeStatementCertificateRevocationListDirectoryessProtocolDataEncryptionStandardDistinguishedNameDomainNameServerDigitalSignatureAlgorithm/DigitalSignatureStandardHypertextTransferProtocolEngineeringTaskForceInformationSecurityOfficerInternationalmunicationsUnionLightweightDirectoryessProtocolRegistrationAuthorityObjectIdentifierPublicKeyInfrastructurePublicKeyInfrastructureX.509 RFCRSASHA-1HTTPSSSLURL (IETF)RequestForCommentsRivest-Shamir-AdlemanSecureHashAlgorithmSecureHypertextTransferProtocolSecureSocketsLayerUniformResourceLocator 40 认证中心证书策略证书业务规则证书废止列表目录访问协议数据加密标准甄别名称域名服务器数字签名算法/数字签名标准超文本传输协议因特网工程任务组信息安全官员国际电信联盟轻量目录访问协议注册机构对象标识符公钥基础设施公钥基础设施X.509意见要求RSA算法安全散列算法安全Http协议安全套接字层统一资源定位符 CNNIC可信网络服务中心证书策略 附录C二级根签发记录表 名称 注册所在地公司简介 申请事由简述 CNNIC业务经办人审批资料是否齐全(安委会审批记录)CNNICCA内审员审批意见CNNIC首席安全管理员审批意见 开始时间操作区域操作对象CA管理员策略管理员(PA) 二级根申请人信息组织机构代码证(或其他公司标示)公司性质 CNNIC审批信息申请日期 操作记录结束时间 其他支持人员证书信息 41 年月日年月日 CNNIC可信网络服务中心证书策略 证书有效起始日期证书序列号基本限制密钥用法 证书接收人 证书有效终止日期证书使用者 证书发放公开 发放时间发放目标 年月日 42

标签: #关键词 #关键词 #域名 #网站建设 #如何做 #外包 #seo #亚马逊