证书中国数字认证网

陕西省数字证书认证中心证书策略(CP)文件编号:陕西CAG(s)303文件版号:V3.
0文件页数:42页生效日期:2020年08月06日拟制:日期:审核:日期:批准:日期:陕西CA证书策略(CP)修订表版本发布日期备注V2.
02009年05月20日新版本发布V3.
02020年08月06日内容修订本文件所有版权归陕西省数字证书认证中心股份有限公司所有,未经书面授权,本文件中所有的文字、图表不得以任何形式抄袭和出版.
目录1引言101.
1概述.
101.
2文档名称与标识.
101.
3PKI的参与者.
111.
3.
1电子认证服务机构.
111.
3.
2注册机构(RegistrationAuthority)111.
3.
3订户.
111.
3.
4依赖方.
111.
3.
5其他参与者.
121.
4证书应用.
121.
4.
1适合的证书应用.
121.
4.
2限制的证书应用.
141.
5策略管理.
141.
5.
1策略文档管理机构.
141.
5.
2联系人.
141.
5.
3决定CP符合策略的机构.
141.
5.
4CP批准程序.
151.
5.
5CP发布.
151.
6定义和缩写.
152发布与信息库责任.
162.
1信息库.
162.
2认证信息的发布.
162.
3发布的时间或频率.
172.
4信息库访问控制.
173识别与鉴别173.
1命名.
173.
1.
1名称类型.
173.
1.
2对名称意义化的要求.
173.
1.
3订户的匿名或伪名.
173.
1.
4解释不同名称形式的规则.
183.
1.
5名称的唯一性.
183.
1.
6商标的识别、鉴别和角色.
183.
2初始身份确认.
183.
2.
1证明拥有私钥的方法.
183.
2.
2组织机构身份的鉴别.
193.
2.
3个人身份的鉴别.
193.
2.
4没有验证的订户信息.
203.
2.
5授权确认.
203.
2.
6互操作准则.
203.
3密钥更新请求的标识与鉴别.
203.
3.
1常规密钥更新的标识与鉴别.
203.
3.
2吊销后密钥更新的标识与鉴别.
213.
3.
3证书变更的标识与鉴别.
213.
4吊销请求的标识与鉴别.
214生命周期操作要求.
224.
1证书申请.
224.
1.
1提交证书请求.
224.
1.
2注册过程与责任.
224.
2证书申请处理.
224.
2.
1执行识别与鉴别功能.
224.
2.
2证书申请批准和拒绝.
234.
2.
3处理证书申领的时间.
234.
3证书签发.
234.
3.
1证书签发中注册机构和电子认证服务机构的行为.
234.
3.
2电子认证服务机构和注册机构对订户的通告.
234.
4证书接受.
234.
4.
1构成接受证书的行为.
234.
4.
2电子认证服务机构对证书的发布.
244.
4.
3电子认证服务机构对其他实体的通告.
244.
5密钥对和证书的使用.
244.
5.
1订户私钥和证书的使用.
244.
5.
2依赖方公钥和证书的使用.
244.
6证书更新.
254.
7证书密钥更新.
254.
7.
1证书密钥更新.
254.
7.
2证书密钥更新的情形.
254.
7.
3请求证书密钥更新的实体.
264.
7.
4证书密钥更新请求的处理.
264.
7.
5颁发更新证书时对订户的通告.
264.
7.
6构成接受密钥更新证书的行为.
264.
7.
7电子认证服务机构对密钥更新证书的发布.
264.
7.
8电子认证服务机构对其他实体的通告.
274.
8证书变更.
274.
8.
1证书变更的情形.
274.
8.
2请求证书变更的实体.
274.
8.
3证书变更请求的处理.
274.
8.
4颁发新证书时对订户的通告.
274.
8.
5构成接受变更证书的行为.
274.
8.
6电子认证服务机构对变更证书的发布.
284.
8.
7电子认证服务机构对其他实体的通告.
284.
9证书吊销和挂起.
284.
9.
1证书吊销的情形.
284.
9.
2请求证书吊销的实体.
294.
9.
3请求吊销的流程.
294.
9.
4吊销请求宽限期.
294.
9.
5电子认证服务机构处理吊销请求的时限.
294.
9.
6依赖方检查证书吊销的要求.
304.
9.
7CRL发布频率.
304.
9.
8CRL发布的最大滞后时间.
304.
9.
9在线的吊销/状态查询的可用性.
304.
9.
10在线的吊销查询要求.
304.
9.
11吊销信息的其他发布形式.
304.
9.
12对密钥遭受安全威胁的特别处理要求.
304.
9.
13证书挂起.
304.
10证书状态服务.
314.
10.
1操作特征.
314.
10.
2服务可用性.
314.
11订购结束.
314.
12密钥生成、备份与恢复.
315认证机构设施、管理和操作控制.
326技术安全控制326.
1密钥对的生成和安装.
326.
1.
1密钥对的生成.
326.
1.
2私钥传送给订户.
326.
1.
3公钥传送给证书签发机构.
336.
1.
4电子认证服务机构公钥传送给依赖方.
336.
1.
5密钥的长度.
336.
1.
6公钥参数的生成和质量检查.
336.
1.
7密钥使用目的.
336.
2私钥保护和密码模块工程控制.
346.
2.
1密码模块标准和控制.
346.
2.
2私钥多人控制(m选n)346.
2.
3私钥托管.
346.
2.
4私钥备份.
346.
2.
5私钥归档.
356.
2.
6私钥导入、导出密码模块.
356.
2.
7私钥在密码模块的存储.
356.
2.
8激活私钥的方法.
356.
2.
9解除私钥激活状态的方法.
356.
2.
10销毁私钥的方法.
356.
2.
11密码模块的评估.
366.
3密钥对管理的其它方面.
366.
3.
1公钥归档.
366.
3.
2证书操作期和密钥对使用期限.
366.
4激活数据.
366.
4.
1激活数据的产生和安装.
366.
4.
2激活数据的保护.
366.
4.
3激活数据的其他方面.
376.
5计算机安全控制.
376.
5.
1特别的计算机安全技术要求.
376.
5.
2计算机安全评估.
376.
6生命周期技术控制.
386.
6.
1系统开发控制.
386.
6.
2安全管理控制.
386.
6.
3生命期的安全控制.
386.
7网络的安全控制.
386.
8时间戳.
387证书、证书吊销列表和在线证书状态协议.
397.
1证书.
397.
1.
1版本号.
397.
1.
2证书扩展项.
397.
1.
3算法对象标识符.
407.
1.
4名称形式.
407.
1.
5名称限制.
417.
1.
6证书策略对象标识符.
417.
1.
7策略限制扩展项的用法.
417.
1.
8策略限定符的语法和语义.
417.
1.
9关键证书策略扩展项的处理规则.
417.
2CRL.
417.
3在线证书状态协议.
418认证机构审计和其他评估.
419法律责任和其他业务条款.
42陕西省数字证书策略陕西省数字证书认证中心股份有限公司版权所有版权声明本证书策略受到完全的版权保护.
本文件中所涉及的"陕西省数字证书认证中心"、"陕西CA证书策略"、"陕西CA"及其标识等,均由陕西省数字证书认证中心股份有限公司独立享有版权和其它知识产权.
陕西省数字证书认证中心股份有限公司拥有对本证书策略的最终解释权.
未经陕西省数字证书认证中心股份有限公司的书面同意,本文件的任何部分不得以任何方式、任何途径(电子的、机械的、影印、录制等)进行复制、存储、调入网络系统检索或传播.
在被授权情况下,本文副本以在非独占性的、免收版权许可使用费的基础上进行复制及传播,并应保证复制、传播文件的准确性、完整性.
对任何复制本文件的其他请求,请寄往以下地址:陕西省数字证书认证中心股份有限公司,陕西省西安市高新技术产业开发区高新三路九号信息港大厦七层(710075)联系电话:029-82300561,传真:029-88311503电子邮件:yyglb@snca.
com.
cn1引言1.
1概述陕西省数字证书认证中心股份有限公司(简称陕西CA,英文名ShaanxiDigitalCertificateAuthority,英文简称陕西CA)是依法设立的权威第三方认证机构,2005年8月19日,获得全国首批由中华人民共和国信息产业部颁发的电子认证服务许可证.
证书策略(CP,CertificatePolicy)是认证机构(CA,CertificationAuthority)制订的一组策略,表明陕西CAPKI体系中的各个参与者的划分与其义务,并包含陕西CA证书基本策略.
本证书策略符合国际互联网标准组织"互联网工程工作组"制定的RFC3647标准《互联网X.
509公开密钥基础设施证书策略和证书业务框架》和国内标准GB/T26855-2011《信息安全技术公钥基础设施证书策略与认证业务声明框架》的框架和内容要求.
本证书策略的适用范围为陕西CA发放的证书.
1.
2文档名称与标识本文档的名称为《陕西省数字证书认证中心股份有限公司证书策略(CP)》,简称:证书策略.
根据应用的安全等级,相应证书策略和对象标识符如下:证书类别策略对象标识符通用证书(含USB类机构、个人)1.
2.
156.
115234.
4.
1.
10设备证书1.
2.
156.
115234.
4.
1.
11手机盾证书1.
2.
156.
115234.
4.
1.
12云证书1.
2.
156.
115234.
4.
1.
13事件型证书1.
2.
156.
115234.
4.
1.
141.
3PKI的参与者本文中所包含的电子认证活动参与者有:电子认证服务机构、注册机构、订户、依赖方以及其它参与者,下面将分别进行描述.
1.
3.
1电子认证服务机构电子认证服务机构CA(CertificationAuthority)承担证书签发、更新、吊销、密钥管理、证书查询、证书黑名单(又称证书吊销列表或CRL)发布、政策制定等工作.
陕西CA是依法设立的权威的第三方电子认证服务机构.
1.
3.
2注册机构(RegistrationAuthority)注册机构RA(RegistrationAuthority)负责订户证书的申请受理、审批和管理,直接面向证书订户,并负责在订户和CA之间传递证书管理信息.
CA可以授权下属机构或委托外部机构作为注册机构,但必须陕西CA与合作机构签署协议,合作机构可成为陕西CA的注册机构,并遵照陕西CA的管理办法开展数字证书业务.
1.
3.
3订户订户是指向CA机构申请数字证书的实体.
需要明确的是,证书订户与证书主体是两个不同的概念.
"证书订户"是指向陕西CA申请证书的实体,通常为个人或机构;"证书主体"是指与证书信息绑定的实体,服务器证书中的"证书主体"通常是指受信任的服务器或用于确保与某一机构安全通信的其它设施.
证书订户需要承担相应的责任与义务,而证书主体则是证书所要证明的可信赖方.
1.
3.
4依赖方依赖方是指信赖于证书所证明的基础信任关系并依此进行业务活动的实体.
1.
3.
5其他参与者其他参与者指为CA证书服务体系提供相关服务的其他实体.
1.
4证书应用1.
4.
1适合的证书应用陕西CA签发的证书按照应用安全级别和应用场景分成五大类证书.
通用证书适合应用在企业信息化、电子政务和电子商务等领域,用于证明订户在电子化环境中所进行的身份认证和电子签名以及数据加密等服务.
证书类型包括:自然人证书和机构证书.
自然人证书,包括个人用户证书,用于区分、标识、鉴别个人身份的场景,适用于个人身份认证和电子签名,以及数据加密等服务.
机构证书,包括机构单位证书和机构法人证书,用于需要区分、标识、鉴别机构身份的场景,适用于机构身份认证和电子签名,以及数据加密等服务.
具体如下表:订户证书类型证书用途及说明自然人自然人身份证书在网路通讯中标示证书持有者的个人身份,可以用于个人网上进行合同签订、订单、支付信息等活动中表明身份.
代码签名证书为独立软件开发人员提供对软件代码做数字签名的数字证书,可以有效确认开发者身份,防止软件代码被篡改.
机构机构身份证书以单位或机构作为可信实体对象,发放的"企业或机构身份证书",简称"机构证书".
机构岗位(内部用户证书)指以单位或机构内部岗位人员为实体对象,面向单位工作人员发放"企业或机构内部用户"证书,由单位工作人员持有,作为在网上行使"单位机构赋予单位工作人员(证书持有人)相关权利"的真实身份证明.
机构业务证书指单位或机构在网上进行某一项特定业务时使用的证书.
组织机构代码证书在网上能够标识组织机构代码使用的证书.
企业代码签名证书为软件开发商提供的用以对其软件代码进行数字签名,以便用户下载时可以确信此代码开发者的真实身份,并且确信此代码在传输过程中没有被非法篡改和被破坏.
设备证书包括各种设备证书和域名证书,用于标识各种设备身份,实现设备身份认证以及交互数据的加解密,保证传输数据的完整性和安全性等.
订户证书类型证书用途及说明设备服务器证书以信息设备作为可信实体对象,根据需要发放的数字证书,简称"服务器证书",并以此作为网上设备真实身份的证明.
支付网关证书支付网关证书是支付网关实现数据加解密的主要工具,用于数字签名和信息加密,支付网关证书仅用于支付网关提供的服务(Internet上各种安全协议与银行现有网络数据格式的转换).
手机盾证书是基于密钥分割的软件密码模块产生的证书,适合应用在移动互联网、云服务和传统业务等各领域,用于证明订户在移动化和云服务环境中所进行的身份认证与电子签名.
云证书是由云端密码设备产生的证书,由订户自主掌控,适合应用在移动互联网、云服务和传统业务等各领域,用于证明订户在移动化和云服务环境中所进行的身份认证与电子签名.
云证书只应用于电子签名场合.
事件证书是一种适合对即时业务和特定场景业务签名认证的一次性数字证书,脱离场景该证书就不能使用.
适合应用在企业信息化、电子政务和电子商务等领域,用于证明业务场景中所进行的电子签名行为.
事件证书只用于一次性事件型电子签名场合.
1.
4.
2限制的证书应用禁止证书在任何违反国家法律法规或破坏国家安全的情形下使用,否则由此造成的法律后果由用户自己承担.
1.
5策略管理1.
5.
1策略文档管理机构本认证证书策略的管理机构是陕西CA运营策略委员会.
陕西CA运营策略委员会,作为陕西CA认证服务体系所有策略的制定管理机构,负责召集管理者、PKI专家、法律顾问审核批准CP,并作为CP实施检查监督的决定机构.
陕西CA运营管理部作为CP的工作机构,负责起草CP并根据要求提出修改报告,并负责此方面的对外咨询服务.
1.
5.
2联系人陕西CA对证书策略进行严格的版本控制,并由陕西CA指定专门的机构和人员负责相关的事宜.
任何人有关CP的问题、建议、疑问等,都可以与此联系人进行联系.
联系人:陕西省数字证书认证中心股份有限公司运营管理部地址:西安高新技术开发区高新三路九号信息港大厦七层电话:029-88311561邮编:710075传真:029-88311503电子邮址:yyglb@snca.
com.
cn1.
5.
3决定CP符合策略的机构陕西CA运营策略委员会作为策略管理机构,是CP符合策略的决定结构.
陕西CA保证制定和发布的CP,其执行、解释、翻译和有效性均遵循中华人民共和国的法律规定.
陕西CA运营策略委员会根据法律法规和本CP的要求,为用户解决证书使用时产生的争议.
运营策略委员会收集相关的证据以促进争议解决,会同运营管理部协调陕西CA、当事人之间的相互关系,并作为建议报告的最终撰写人.
运营管理部作为CP的工作部门,保证陕西CA认证服务体系的运行符合本CP的要求.
1.
5.
4CP批准程序陕西CA的CP由运营管理部起草拟定后,提交陕西CA运营策略委员会审核.
如果因为标准的变化、技术提高、安全机制的增强、运营环境的变化和法律法规的要求等对CP进行修改,由运营管理部提交修改建议报告,提交陕西CA运营策略委员会批准.
1.
5.
5CP发布在CP修改审批之后,由运营管理部在陕西CA网站http://www.
snca.
com.
cn上公布变更后的CP.
对本CP所做的修改,将于陕西CA发布之日起立即生效.
所进行的修改将取代以往CP各版本中的任何冲突和指定条款.
1.
6定义和缩写下列定义适用于本证书策略:a)公开密钥基础设施(PKI)PublicKeyInfrastructure支持公开密钥体制的安全基础设施,提供身份鉴别、加密、完整性和不可否认性服务.
b)证书策略(CP)CertificationPolicy是关于电子认证服务机构制订的一组规则,表明证书对特定群体的适用范围,或对不同安全需求类型的适用规则.
c)电子认证业务规则(CPS)CertificationPracticeStatement关于证书电子认证服务机构在签发、管理、吊销或更新证书(或更新证书中的密钥)过程中所釆纳的业务实践的声明.
d)电子认证服务机构(CA)CertificationAuthority受用户信任,负责创建和分配公钥证书的权威机构.
e)注册机构(RA)RegistrationAuthority具有下列一项或多项功能的实体:识别和鉴别证书申请人,同意或拒绝证书申请,在某些环境下主动撤销或挂起证书,处理订户撤销或挂起其证书的请求,同意或拒绝订户更新其证书或密钥的请求.
但是,RA并不签发证书(即RA代表CA承担某些任务).
f)数字证书(证书)DigitalCertificate也称公钥证书,由电子认证服务机构(CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构.
g)证书撤销列表(CRL):CertificateRevocationList一个经电子认证服务机构数字签名的列表,它指定了一系列证书颁发者认为无效的证书,也称黑名单服务.
h)CA注销列表(ARL):CertificateAuthorityRevocationList一个经电子认证服务机构数字签名的列表,标记已经被注销的CA的公钥证书的列表,表示这些证书已经无效.
i)私钥PrivateKey非对称密码算法中只能由拥有者使用的不公开密钥.
j)公钥PublicKey非对称密码算法中可以公开的密钥.
2发布与信息库责任2.
1信息库本CA机构的信息库是一个对外公开的信息库,面向订户及依赖方提供信息服务.
提供信息服务包括但不限于以下内容:证书、CPS、CP和CRL以及陕西CA不定期发布的信息.
2.
2认证信息的发布证书状态可以通过CA机构的OCSP和CRL获得.
本证书策略发布在公司的网站上,供相关方下载、查阅.
2.
3发布的时间或频率a)《证书策略》一经网站发布,即时生效.
对数字证书的订户及证书申请人均具备约束力.
b)证书的发布:在证书签发时,CA机构通过目录服务器自动将该证书公布.
c)CRL每24小时发布一次.
2.
4信息库访问控制对于公开发布的CP、CPS和CA证书等公开信息,陕西CA允许公众自行通过网站进行查询和访问.
3识别与鉴别3.
1命名3.
1.
1名称类型根据实体的类型不同,陕西CA证书采用X.
509定义的甄别名称(DN)标准来唯一标识,实体名字可以是姓名、组织机构名、域名、IP地址等.
3.
1.
2对名称意义化的要求DN(DistinguishedName):唯一甄别名,在数字证书的主体名称域中,用来唯一标识一个安全的证书.
自然人证书和机构证书包含的命名应具有通常理解的语义,用它可以确定证书主体中的个人、机构的身份.
主体名称应有实际意义,主体名称可以假名,但是在CA机构中必须保存有对应的真实身份信息.
3.
1.
3订户的匿名或伪名订户不能使用匿名或伪名申请证书.
3.
1.
4解释不同名称形式的规则DN的命名规则由陕西CA定义,详见本CP7.
1.
4的说明.
3.
1.
5名称的唯一性陕西CA保证签发的某个实体证书,其主体甄别名,在陕西CA的信任域内是唯一的.
3.
1.
6商标的识别、鉴别和角色无.
3.
2初始身份确认3.
2.
1证明拥有私钥的方法证书类别证明拥有私钥的方法通用证书通过证书请求中所包含的数字签名来证明证书申请人持有与注册公钥对应的私钥.
在陕西CA证书服务体系中,私钥在用户端生成,证书请求信息中包含用私钥进行的数字签名,CA用其对应的公钥来验证这个签名.
陕西CA要求证书申请人妥善保管自己的私钥,因此,证书申请人视作其私钥的唯一持有者.
设备证书通过证书请求中所包含的数字签名来证明证书申请人持有与注册公钥对应的私钥.
手机盾证书通过证书请求中所包含的数字签名来证明证书申请人持有与注册公钥对应的私钥.
在手机盾证书服务体系中,私钥在订户终端和服务云端共同计算生成,基于密钥分割的软件密码模块,证书请求信息中包含用私钥进行的数字签名,CA用订户终端和签名服务云端共同计算生成的公钥来验证这个签名,视作申请人为其私钥的拥有者.
云证书通过证书请求中所包含的数字签名来证明证书申请人持有与注册公钥对应的私钥.
用户移动终端和云服务端的密码设备协同产生,用户移动终端和云服务端各自加密保存部分密钥因子事件证书通过证书请求中所包含的数字签名来证明证书申请人持有与注册公钥对应的私钥.
本CA机构在签发证书前,系统将自动使用订户的公钥验证其私钥签名的有效性和申请数据的完整性,以此来判断证书使用者拥有私钥.
3.
2.
2组织机构身份的鉴别组织机构订户在申领组织机构证书或组织机构拥有的设备等证书前应指定并授权证书的申领代表,接受证书申领的有关条款,承担相应的责任.
对组织机构身份鉴证应该包括如下两个内容:确认组织机构确实存在的、合法的实体.
确认方式可以是,政府签发的组织机构的有效文件,如营业执照、事业单位法人证书、社会团体证等.
鉴别组织机构的身份时,证书申请人需持营业执照等证件,以及组织给经办人的授权和经办人身份证件,向CA机构提出申请.
如该企业需申请服务器类型的证书,还需向CA机构或授权的注册机构提交域名证明文件.
CA机构或授权的注册机构按照CA审核流程对申请资料的原件和复印件真实性进行审核,并进行批准申请或拒绝申请的操作.
手机盾证书、云证书可采取对移动用户进行面对面或者有权威机构盖章背书的认证审核方式.
通过移动互联网,接收企业法定代表人和经办人提交的身份证信息、银行卡信息、手机短信信息、社保卡信息等其中的一种渠道或两种或在以上基础上增加生物特征审核,通过用户拥有的生物信息比如指纹、人脸识别、声纹等,和相关的权威机构已有的指纹、人脸、声纹等信息对比,确认用户身份的真实性,验证用户身份信息的正确性.
3.
2.
3个人身份的鉴别个人订户在申领证书前或在其它注册机构绑定新的应用前应持个人有效身份证件,包括:身份证、军官证、士兵证、护照、(以上可任择其一),提出证书申领,并接受证书申领的有关条款,承担相应的责任,并进行批准申领或拒绝申领的操作.
手机盾证书、云证书可采取对移动用户进行面对面或者有权威机构盖章背书的认证审核方式.
通过移动互联网,接收提交的身份证信息、银行卡信息、手机短信信息、社保卡信息等其中的一种渠道或两种或在以上基础上增加生物特征审核,通过用户拥有的生物信息比如指纹、人脸识别、声纹等,和相关的权威机构已有的指纹、人脸、声纹等信息对比,确认用户身份的真实性,验证用户身份信息的正确性.
3.
2.
4没有验证的订户信息无.
3.
2.
5授权确认确认证书申请时,必须通过可靠地途径确认申请者获得了所在组织机构的授权.
陕西CA或注册机构有责任确认该授权信息,并将授权信息妥善保存.
3.
2.
6互操作准则互操作可能是交叉认证、单身交叉认证或其他形式的互操作.
交叉认证是指两个完全独立的、采用各自认证策略的CA中心之间建立相互信任关系,从而使双方的订户可以实现互相认证.
陕西CA将根据业务需要,在遵循本《证书策略》的各项控制要求的基础上,与CA的证书服务体系中未涉及的其他电子认证服务机构建立交叉认证关系.
但交叉认证并不表示本CA机构批准了或赋予了其他CA中心或电子认证服务机构的权力.
3.
3密钥更新请求的标识与鉴别3.
3.
1常规密钥更新的标识与鉴别订户在证书有效期内且证书未被撤销的情况下提出密钥更新请求,视为常规密钥更新请求.
对于一般正常情况下的新密钥申请,订户须提交能够识别原证书的足够信息,如订户甄别名、证书序列号等,对申请的鉴别基于以下几个方面:申请对应的原证书存在并且由认证机构签发;用原证书上的订户公钥对申请的签名进行验证;基于原注册信息进行身份鉴别.
除事件证书外,所有证书在常规密钥更新中,都是通过使用订户当前有效私钥对包含新公钥的密钥更新请求进行签名,CA机构使用订户原有公钥验证确认签名来进行订户身份标识和鉴别.
事件证书只适用于一次性签名事件,没有证书密钥更新服务.
3.
3.
2吊销后密钥更新的标识与鉴别订户在证书吊销后申请密钥更新时,按照初始证书申请流程重新申请.
3.
3.
3证书变更的标识与鉴别证书变更是指订户的证书信息发生变更,申请重新签发一张证书,对原证书进行吊销处理.
使用原始身份验证相同的流程,详见§3.
2.
2机构身份的鉴别和3.
2.
3个人身份的鉴别.
3.
4吊销请求的标识与鉴别证书吊销请求可以来自订户,也可以来自认证机构、注册机构.
证书吊销的方式可以是要求认证机构、注册机构吊销.
订户通过认证机构吊销时,鉴别过程如下:订户通过一定的方式,如传真、申请书等向认证机构提交请求,认证机构或注册中心通过相应的通讯方式与订户联系,确认要吊销的证书是订户本人.
审核后为订户吊销证书.
如果是因为订户没有履行本《证书策略》、《陕西CA电子认证业务规则》《数字证书责任书》所规定的义务,由陕西CA机构或授权的注册机构申请吊销订户的证书时,不需要对订户身份进行标识和鉴别.
4生命周期操作要求4.
1证书申请4.
1.
1提交证书请求任何自然人、具有独立法人资格的企事业单位、社会团体等各类组织机构需要在应用中进行基于数字证书的身份鉴别、需要采用数字签名及实现信息加密时,可向陕西CA的注册机构提出证书申请.
个人证书由证书使用者本人提出申请;企业证书由企业、组织机构授权的人员申请.
4.
1.
2注册过程与责任证书申请人按照陕西CA《证书策略》和《电子认证服务规则》所规定的要求,填写证书申请表,并准备相关的身份证明材料.
CA机构或注册机构依据身份鉴别规范对证书申请人的身份进行鉴别,并决定是否受理申请.
申请过程中各方责任为:订户要按照陕西CA《证书策略》和《电子认证服务规则》的要求准备证书申请材料,并确保申请材料真实准确.
陕西CA和注册机构负责接收证书申请人的请求材料,当面对订户所提供的证书申请信息与身份证明资料的一致性进行查验.
在线申请信息通过权威第三方提供的服务进行一致性查验.
根据《中华人民共和国电子签名法》的规定,证书申请人未向CA机构提供真实、完整和准确的信息,或者有其他过错,给CA机构或电子签名依赖方造成损失的,应承担相应的法律责任和经济赔偿.
4.
2证书申请处理4.
2.
1执行识别与鉴别功能证书申请者向注册机构提交初始的证书申请请求,以及申请将证书关联新的应用时,注册机构须按照以下规定对订户的申请材料进行审查:机构订户:参照3.
2.
2节的规定.
个人订户:参照3.
2.
3节的规定.
注册机构需要审查订户的证书申请表格是否按照要求填写、申请材料是否齐全、资质证明材料是否符合要求(如机构订户是否在申请表上加盖公章).
4.
2.
2证书申请批准和拒绝注册机构完成对证书用户申请的鉴定,并在申请者同意了证书使用应履行的责任后,予以批准申请,发放证书.
如果鉴证未通过或用户拒绝履行应尽的责任,则会拒绝申请.
被拒绝的证书申请者可随后再次提出申请.
4.
2.
3处理证书申领的时间注册机构将在合理的时间内完成证书申请处理.
在申请者提交的资料齐全且符合要求的情况下,处理证书申请的时间不超过5个工作日.
4.
3证书签发4.
3.
1证书签发中注册机构和电子认证服务机构的行为在证书的签发过程中RA的管理员负责证书申请的审批,并通过操作RA系统将签发证书的请求发往CA签发系统,证书签发的请求信息满足必须具有身份鉴别与信息保密措施,并确保请求发到正确的证书签发系统.
4.
3.
2电子认证服务机构和注册机构对订户的通告为用户制证后将用户证书直接发放给用户,并将用户的公钥证书发布到主从目录上,以供用户在线查询下载公钥证书.
同时,可以通过在线方式实现对证书撤销列表(CRL)的查询.
4.
4证书接受4.
4.
1构成接受证书的行为当订户填写证书申请表,并提供真实、准确的身份信息经注册机构审核通过,并同意《用户责任书》的约定,申领到证书后即视为订户已经接受此证书.
4.
4.
2电子认证服务机构对证书的发布对于订户证书,CA将证书发布到目录系统上,并通过认证服务器发布到相应的应用服务数据库中,在绑定身份及关联信息后为用户提供安全机制向依赖方提供查询服务.
4.
4.
3电子认证服务机构对其他实体的通告陕西CA系统提供对证书在线状态查询协议的支持,证书成功下载后,证书是否可以信任,用户可以通过标准的证书状态查询接口来获取证书有效性的检查结果.
对于陕西CA签发的证书,陕西CA不主动通告其他实体.
4.
5密钥对和证书的使用4.
5.
1订户私钥和证书的使用订户在使用私钥和证书时须遵循以下约定:1、订户只能在规定的范围内(在本CP1.
4中定义)使用私钥和证书,并对使用行为承担责任;2、订户在使用证书时必须遵守《数字证书用户责任书》及CPS和本CP的要求;3、订户应当妥善保存其私钥和证书,避免他人未经本人授权而使用本人证书情形的发生.
4、当证书到期或被吊销之后,用户必须停止使用其私钥和证书.
4.
5.
2依赖方公钥和证书的使用在依赖方接受数字签名信息后需要:1、获得数字签名对应的证书及信任链;2、确认该签名对应的证书是依赖方信任的证书;3、证书的用途适用于对应的签名;4、使用证书上的公钥验证签名;5、确认数字签名对应的证书状态正常,没有进入CRL列表.
以上任何一个环节失败,信赖方应该拒绝接受签名信息.
依赖方需要采用合适的软(硬)件进行数字签名的验证工作,包括验证证书链及链中所有证书的数字签名.
当依赖方需要发送加密信息给接受方时,须先通过适当的途径获得接受方的加密证书,然后使用证书上的公钥对信息加密.
信赖方应将加密证书连同加密信息一起发送给接受方.
4.
6证书更新证书更新指在不改变证书中订户的公钥或其他任何信息的情况下,为订户签发一张新证书,陕西CA在证书到期,除事件证书不提供证书更新外,其余都提供证书更新服务.
证书到期进行更新服务,可以使用相同的密钥对.
证书更新过程如证书密钥更新处理过程.
4.
7证书密钥更新4.
7.
1证书密钥更新每个证书都有有效期,在一个订户的证书到期前30天内或已到期30天内,如果订户的注册信息没有改变,订户可以申请证书更新.
在证书更新时,订户须提交能够识别原证书的足够信息,如订户甄别名、证书序列号、证书申请提交的注册信息等.
证书吊销后将不能更新.
4.
7.
2证书密钥更新的情形当订户证书即将到期或已经到期时应当进行证书密钥更新.
由证书的订户、证书订户的授权代表(机构证书)或证书对应实体的拥有者(设备证书)可以要求更新证书.
事件证书私钥在使用过一次后即销毁,不提供证书密钥更新服务.
4.
7.
3请求证书密钥更新的实体个人证书由证书使用者本人提出申请;机构证书由企业、组织机构授权的人员申请;设备证书由实体的授权拥有者申请.
4.
7.
4证书密钥更新请求的处理处理证书更新请求的过程包括申请验证、鉴别、签发证书过程.
对申请的验证和鉴别基于以下几个方面:申请对应的原证书是否为本认证机构签发;用原证书上的订户公钥对申请的签名进行验证;基于原注册信息进行身份鉴别;审查通过后,注册机构进行密钥更新.
4.
7.
5颁发更新证书时对订户的通告证书更新完成后,面对面更新的,当面提交给订户,网上在线自助处理时,系统会有提示更新成功或下载成功信息.
订户向注册机构提出密钥更新申请时,注册机构在审核订户身份后,无论是拒绝还是批准订户的密钥更新申请,均有义务告知订户申请结果.
4.
7.
6构成接受密钥更新证书的行为当订户向注册机构提出证书更新请求,并提供真实、准确的身份信息经注册机构审核通过,注册机构将更新后的证书交还给订户,即视为订户接受更新证书密钥的行为.
4.
7.
7电子认证服务机构对密钥更新证书的发布密钥更新后的证书会在更新的同时被CA机构发布到公开的信息库和指定的数据库中.
4.
7.
8电子认证服务机构对其他实体的通告密钥更新后的证书会在更新的同时被CA机构发布到公开的信息库和指定的数据库中,订户和依赖方可以在信息库上自行查询.
4.
8证书变更4.
8.
1证书变更的情形指改变证书中的订户公钥之外的信息而签发新证书的情形,如用户DN信息改变,造成证书改变.
证书变更是申请重新签发一张证书,对原证书进行吊销处理.
事件证书仅用于业务场景的一次性的电子签名,不提供证书变更服务.
4.
8.
2请求证书变更的实体合法的陕西CA的证书用户.
4.
8.
3证书变更请求的处理(1)终端用户可提出变更申请、审核、签发.
(2)由RA管理员进行变更处理.
其流程与原始证书签发流程相同,证书有效期将为证书变更时间到原证书到期时间.
4.
8.
4颁发新证书时对订户的通告为用户制证后将用户证书直接发放给用户,并将用户的公钥证书发布到主从目录上,以供用户在线查询下载公钥证书.
同时,可以通过在线方式实现对证书撤销列表(CRL)的查询.
4.
8.
5构成接受变更证书的行为证书申请订户委托陕西CA的注册机构下载证书,下载的证书被保存在客户端安全设备-数字证书载体中,证书下载完毕即视为订户接受证书.
陕西CA提供必要的措施保证订户在获取到数字证书载体前,该证书不被使用.
4.
8.
6电子认证服务机构对变更证书的发布订户接受证书后,陕西CA在其规定的时间内将该订户更新后的证书发布到陕西CA的目录服务系统.
4.
8.
7电子认证服务机构对其他实体的通告对于陕西CA签发的证书,陕西CA不主动通知其他实体.
4.
9证书吊销和挂起4.
9.
1证书吊销的情形如有下列情况中的任何一种情况发生,则订户的证书将被吊销:1)私钥失盗、纂改、未经授权的泄露和其他安全威胁;2)证书主体违反了证书协议中的重要职责;3)法律、规章或其他法律的改变;4)政府行为;5)其他超过个人控制的原因并且对他人信息构成威胁的;6)订户在申请时提供的证明材料不真实;7)陕西CA已经履行催缴义务后,订户仍未缴纳服务费.
吊销分为主动吊销和被动吊销.
主动吊销是指由订户提出吊销申请,由注册机构审核通过后吊销证书的情形;被动吊销是指当注册机构或CA确认订户违反证书应用规定、约定或订户主体已经消亡等情况发生时,采取吊销证书的手段以停止对该证书的证明.
当出现上述提到的第1、2、5、6、7种情况时,适用于被动吊销,第3、4种情况适用于主动吊销.
事件证书仅用于业务场景的一次性的电子签名,证书私钥在使用过一次后即销毁,不提供证书吊销服务.
4.
9.
2请求证书吊销的实体在符合本CP4.
9.
1所述的情形下,请求证书吊销的实体与本CP4.
1.
1证书申请实体相同.
另外,注册机构或陕西CA也可以在本CP4.
9.
1所述的情形下主动吊销订户的证书.
4.
9.
3请求吊销的流程最终订户吊销证书时可按以下流程进行:1)订户(或其授权委托人)填写书面申请表并签名或盖章,同时提交相应的证明材料,向注册机构或关联过新应用的注册机构提出吊销证书请求.
2)接到吊销申请的注册机构,验证申请者身份及吊销理由的正当性,并对审核资料进行归档保存.
3)注册机构在验证吊销申请后吊销证书.
4)陕西CA及时将证书吊销信息发布到陕西CA信息库中,并且吊销信息会及时通过订户电话、EMAIL地址等方式通知订户.
4.
9.
4吊销请求宽限期当订户一旦发现出现CP&4.
9.
1中的情况时,应尽快提出吊销请求,从发现需要吊销证书到向认证机构、注册机构提出吊销请求的时间间隔不得超过24小时.
4.
9.
5电子认证服务机构处理吊销请求的时限陕西CA收到吊销请求到审核完成,做出吊销决定并将吊销证书发布到信息库,全部工作应当在24小时内完成.
说明:订户在正式提出证书吊销申请后不得在交易中继续使用此证书,否则由此产生的后果,由订户自行承担.
4.
9.
6依赖方检查证书吊销的要求对于安全保障要求比较高并且完全依赖证书进行身份鉴别与授权的应用,信赖方在信赖一个证书前必须查询证书吊销列表确认该证书的状态.
4.
9.
7CRL发布频率认证机构定时发布最新的证书吊销列表.
证书吊销列表更新的时间间隔不超过24小时.
4.
9.
8CRL发布的最大滞后时间证书从它被吊销到被发布到CRL上的滞后时间不超过24小时.
4.
9.
9在线的吊销/状态查询的可用性陕西CA提供在线的吊销/状态查询,该服务7X24小时可用.
4.
9.
10在线的吊销查询要求依赖方在信赖一张证书前须确定证书的状态,查询方式为检查CRL或OCSP.
4.
9.
11吊销信息的其他发布形式除CRL与OCSP之外,尚无其它发布形式.
4.
9.
12对密钥遭受安全威胁的特别处理要求当订户发现、或有充足的理由发现其密钥遭受安全威胁时,应及时地提出证书吊销请求.
4.
9.
13证书挂起陕西CA为用户提供证书挂起服务,用户在证书有效期内可以申请证书挂起服务,证书挂起期间用户不能正常使用用户证书.
事件证书不提供挂起服务.
4.
10证书状态服务4.
10.
1操作特征认证机构提供的证书状态查询以网络服务的形式,让依赖方能够随时查询、下载.
CRL的发布频率和延迟必须符合CP&4.
9.
7、4.
9.
8.
OCSP应能立即反映证书的当前状态.
证书状态服务的提供应该使标准、通用的方式.
对服务请求应该有合理的响应时间和并发处理能力.
4.
10.
2服务可用性陕西CA提供7X24小时不间断证书状态查询服务.
4.
11订购结束以下三种情形将被视为订购结束:1、证书到期后即视为订购结束.
2、在证书有效期内,订户主动提出对证书进行吊销视为订购结束,陕西CA将按照"证书吊销流程"处理订户申请.
3、被动吊销视为订购结束.
4.
12密钥生成、备份与恢复通用证书签名密钥对由订户的密码设备(如智能USBKEY或智能IC卡)生成,手机盾证书由基于密钥分割的软件密码模块生成;云证书签名密钥对由服务器端密码机生成.
加密证书的密钥对在KMC区内由加密机产生,然后存放到KMC中的密钥库中供CA系统索取使用,KMC中的密钥库采用热备方式存储.
陕西CA依据国家密码管理部门的相关规定,对加密证书密钥进行集中管理.
密钥恢复只针对加密密钥,签名密钥不提供密钥恢复.
加密证书密钥恢复是严格受控过程,只有在以下情况才允许进行密钥恢复:(1)证书持有人提出申请;(2)国家司法机构因执法的需要.
5认证机构设施、管理和操作控制本章规定参见CPS.
6技术安全控制6.
1密钥对的生成和安装6.
1.
1密钥对的生成CA系统和RA系统的密钥对是在加密机内部产生,加密机具有国家密码主管部门的相应资质.
在生成CA密钥对时,CA机构按照加密机密钥管理制度,执行详细的操作流程控制计划,选定并授权3个密钥管理员,密钥管理员凭借智能IC卡对密钥进行控制.
通用证书的签名密钥对由订户的密码设备(如智能USBKEY或智能IC卡等)生成,加密密钥对由密钥管理中心生成.
手机盾证书的签名密钥由基于密钥分割的软件密码模块生成.
云证书的签名密钥和加密密钥由服务器端密码机生成,密码机具有国家密码主管部门的相应资质.
6.
1.
2私钥传送给订户通用证书订户的签名密钥对由自己的密码设备生成并保管.
事件型证书的签名密钥对由签名密码设备生成并保管.
手机盾证书签名密钥对由基于密钥分割的软件密码模块生成,通过安全通道协商传输.
云证书:签名密钥对由服务器端密码机生成,加密存储在云服务器数据库中.
证书的加密密钥对由密钥管理中心产生,通过安全通道传到订户手中的密码设备中.
6.
1.
3公钥传送给证书签发机构注册机构通过安全软件把公钥通过安全通道发给陕西CA.
6.
1.
4电子认证服务机构公钥传送给依赖方陕西CA的公钥通过如下方式传递给依赖方:(1)依赖方访问陕西CA的网站,下载根证书.
(2)依赖方访问陕西CA的目录系统获取根证书.
(3)陕西CA、注册机构或合作伙伴通过签名电子邮件将CA的根证书传输给依赖方.
6.
1.
5密钥的长度陕西CA用户签名密钥对的长度是RSA算法:1024位或2048位,SM2算法:256位陕西CA用户加密密钥对的长度是RSA算法:1024位或2048位,SM2算法:256位陕西CA签名密钥对的长度是RSA算法:1024位或2048位,SM2算法:256位6.
1.
6公钥参数的生成和质量检查陕西CA系统的密钥中公钥由CA系统软件从加密机中取出,符合国家密码管理部门的要求.
6.
1.
7密钥使用目的密钥的用途在证书的"密钥用途"域中有定义,主要分为加密、解密、签名和验证几种用途.
6.
2私钥保护和密码模块工程控制6.
2.
1密码模块标准和控制陕西CA使用国家密码管理部门认可的密码设备产生CA密钥对,陕西CA也使用密码硬件设备来存储密钥对.
在密码硬件设备的初始化、上线、销毁等生命周期内,陕西CA有相应的策略来保障硬件密码设备的安全.
陕西CA密码设备遵循多人在场、多人控制的原则.
6.
2.
2私钥多人控制(m选n)为保证系统运营安全,对CA的各类私钥操作都采取3of5的安全口令管理机制,即五个管理员有三个以上到场,输入三个以上的管理员口令,方可执行相应的操作.
6.
2.
3私钥托管订户加密证书对应的私钥由密钥管理中心托管.
通用证书对应的签名私钥由自己保管,密钥管理中心不负责托管.
手机盾证书的签名私钥由订户终端和签名服务云端协同计算产生并分别保管;云签证书签名私钥加密存储在云服务器数据库中.
密钥管理中心严格保证订户密钥对的安全,密钥以密文形式保存,密钥库具有最高安全级别,禁止外界非法访问.
6.
2.
4私钥备份作为灾难恢复的一项措施,需要进行密钥备份.
陕西CA采用密码设备以及密钥备份卡进行密钥备份,这些备份存储在本地以及异地.
在备份密钥时,必须由密钥管理员使用加密IC卡,同时至少有两名管理员在场,启动密钥管理程序,执行密钥备份指令才能完成.
6.
2.
5私钥归档当陕西CA的CA密钥对超过使用期或因其他原因终止使用后,这些CA密钥对将归档保存至少5年.
归档CA密钥对保存在CP6.
2.
1所述的硬件密码模块中.
对归档私钥到了归档保存期,将按CP6.
2.
10销毁.
6.
2.
6私钥导入、导出密码模块陕西CA的密钥对在硬件模块上生成、保存和使用.
为实施灾难备份或恢复,需要对CA密钥进行导入或导出,当导出CA密钥时,需要至少两名管理员在场,并进行身份验证.
导出的密钥以密文的形式存放.
当导入CA密钥时也至少需要两名管理员在场,并进行身份认证.
6.
2.
7私钥在密码模块的存储陕西CA的私钥在密码模块中以密文的形式存在.
6.
2.
8激活私钥的方法CA私钥:具有激活私钥权限的管理员使用含有自己的身份的加密IC卡登录,启动密钥管理程序,进行激活私钥的操作,需要多管理员同时在场.
订户私钥:通过PIN码激活.
6.
2.
9解除私钥激活状态的方法关闭密码模块设备、停止私钥服务应用等.
6.
2.
10销毁私钥的方法陕西CA的私钥,不再使用并且不再需要保存时,为避免丢失或非授权使用需要销毁私钥,在归档期结束后需销毁时需有多名管理员在场安全彻底销毁.
订户私钥,在确信无需保存时,可以通过删除或初始化来销毁私钥.
6.
2.
11密码模块的评估陕西CA使用的密码模块,是经国家密码管理部门认可、批准的.
密码模块的评估由国家密码管理部门进行.
6.
3密钥对管理的其它方面6.
3.
1公钥归档陕西CA对生命周期结束后的公钥进行归档,归档证书存放在系统数据库中.
6.
3.
2证书操作期和密钥对使用期限订户证书的有效期与密钥对有效期一致,根据合同设定有效期,有效期不能超过陕西CA根证有效期.
为了保证在证书有效期内签名的信息可以验证,公钥的使用期限可以在证书的有效期限以外,直到私钥受到损害或密钥对存在被破解的风险发生.
当私钥受到损害或密钥对被破解后,签名证书的公钥仅仅在技术层面上来验证数字签名,这时这种验证在法律上不一定有效.
6.
4激活数据6.
4.
1激活数据的产生和安装陕西CA私钥的激活数据由硬件加密机内部产生,并分割保存在5个备份密钥卡中,需通过专门的读卡设备和软件读取.
对于订户的私钥,激活数据就是私钥保护密码,是由用户自己产生并且需要符合一定的安全策略,例如至少8位字节长、需要在密码中同时具有大小写字符和数字等.
6.
4.
2激活数据的保护保存有陕西CA私钥的激活数据的5个密钥备份卡,由5个不同的可信人员持有,分别存在个人负责的保密柜中.
对于陕西CA的订户的私钥激活数据,用户需要进行妥善保护不要泄露给其他人,如果因为激活数据丢失造成的私钥被盗用进行操作的情况,将视同私钥主人用私钥进行操作.
6.
4.
3激活数据的其他方面陕西CA的密钥激活数据在传送时,应保证激活数据不被窃取、篡改或非授权使用;在销毁时,应确保激活数据被彻底销毁.
6.
5计算机安全控制6.
5.
1特别的计算机安全技术要求陕西CA的系统运行环境按功能划分安全区,并实行访问权限控制.
核心系统和其它系统隔离,采用防火墙和入侵检测保证安全.
并实行:系统安全配置,关闭不必要的服务与端口.
操作系统必须安装最新的补丁程序,由专人负责最新补丁的安装.
生产系统每台机器均由专人负责,严格上机操作程序,口令逐级管理,逐级授权.
各人负责各自权限范围内的操作.
日志和操作记录的审计制度.
数据备份和恢复机制.
6.
5.
2计算机安全评估陕西CA对计算机的安全要求如下:支持多异型机联机、能进行联机事务处理和批处理,支持多用户、多任务和批处理.
操作系统具有C2级安全级别,具有自主访问控制.
具有很好的容错处理能力,能提供各种安全保密处理.
支持多种通信协议.
支持系统的扩展与本地升级.
6.
6生命周期技术控制6.
6.
1系统开发控制在系统的设计和开发中,陕西CA注意在安全开发环境中严格按照软件工程的要求进行开发控制,保证系统的安全性和可靠性.
6.
6.
2安全管理控制陕西CA通过已制定的安全策略、管理制度以及操作流程对CA系统进行安全管理控制.
6.
6.
3生命期的安全控制陕西CA的CA认证系统在系统设计过程中充分进行了安全性考虑,在正式使用前通过了国家有关部门的系统安全性审查.
6.
7网络的安全控制在陕西CA的网络系统中,把整个网络划分为四个区:公共区、DMZ、操作区和安全区.
各安全层次之间采用不同类型的防火墙,每个安全层次在一个子网上,安全策略不尽相同,使得网络系统具备很强的防范能力.
在采用多层防火墙技术增加系统的安全性的同时,我们还选用了入侵检测设备等,这些产品可以从多方面对网络系统进行监测和分析,能够及时发现入侵者并及时报警,同时还能够采取一定的补救措施.
6.
8时间戳时间戳系统提供的时间戳服务在技术实现上严格遵循国际标准时间戳协议(RFC3161),釆用标准的时间戳请求、时间戳应答以及时间戳编码格式,时间源釆用国家授时中心提供的标准时间.
7证书、证书吊销列表和在线证书状态协议7.
1证书陕西CA签发的证书符合X.
509V3格式.
遵循RFC3280标准.
7.
1.
1版本号陕西CA签发的证书格式符合X.
509V3标准,这一版本信息包含在证书版本属性内.
7.
1.
2证书扩展项CA证书扩展项除使用IETFRFC3280中定义的证书扩展项,还支持私有扩展项.
CA采用的IETFRFC3280中定义的证书扩展项:颁发机构密钥标识符AuthorityKeyIdentifier主体密钥标识符SubjectKeyIdentifier密钥用法KeyUsage扩展密钥用途ExtendedKeyUsage私有密钥使用期PrivateKeyUsagePeriod主体可选替换名称SubjectAlternativeName基本限制BasicConstraints证书撤销列表分发点CRLDistributionPoints私有扩展项可支持以下类型:个人身份证号码IdentifyCardNumber企业营业执照(统一社会信息代码)ICRegistrationNumber企业组织机构代码OrganizationCode企业税号TaxationNumber7.
1.
3算法对象标识符符合国家密码主管部门批准的算法对象标识符.
7.
1.
4名称形式陕西CA签发的证书采用X.
509定义的甄别名称(DN)标准来唯一标识一张证书使用者的身份信息.
DN必须包括以下部分:DN项:C=CNS=陕西省L=XXXO=XXXOU=XXXCN=XXX详细说明:C=CN(CN表示中国)S=(申请用户所属省份)L=(申请用户所属地市,对于省政府各级部门、公务员以及设备,该项不填;对地市各级部门、公务员以及设备该项要填写;对于自然人申请者按实际地市填写;对于企业按其注册地填写即可)O=(对政府机构、自然人、设备来说,(1)L规定了所属地市,如果证书主体所属单位具有L管辖内明确的上一级单位则O为其上一级单位的全称;(2)L规定了所属地市,但证书主体所属单位不具有明确的上一级单位,则该项为证书主体所在地市的所属单位全称;(3)L没有值(意味着省级单位),如果证书主体所属单位具有明确的上一级单位,则O为其上一级单位的全称;(4)L没有值,且证书主体所属单位不具有明确的上一级单位,则该项为证书主体所属省级单位全称;)OU=证书主体所属单位的全称.
如果O已经是证书主体所属单位的全称,则OU可以空缺.
CN=(通用名称,(1)自然人证书应为证书主体的姓名,姓在前,名在后,中间无间隔符.
(2)机构证书应是证书主体单位的标准全称;(3)设备证书应是证书主体设备的域名或IP;(4)企业证书应为企业的标准全称)7.
1.
5名称限制陕西CA签发的证书,其名称须严格按照7.
1.
4的规则来定义.
7.
1.
6证书策略对象标识符见1.
2节7.
1.
7策略限制扩展项的用法未使用本扩展域.
7.
1.
8策略限定符的语法和语义未使用本扩展域.
7.
1.
9关键证书策略扩展项的处理规则未使用本扩展域.
7.
2CRL同CPS.
7.
3在线证书状态协议同CPS.
8认证机构审计和其他评估同CPS.
9法律责任和其他业务条款同CPS.