中国互联网络信息中心(CNNIC)

可信网络服务中心证书业务规则版本号:3.
01有效期:2012-04-08至2013-04-07中国互联网络信息中心(CNNIC)2012年04月07日CNNIC可信网络服务中心证书业务规则CNNIC可信网络服务中心证书业务规则版本控制表版本号主要修改说明完成时间V1.
00初次审核通过2007年5月15日V2.
00进行年审修改后,延长CPS有效期一年2008年4月8日V2.
01提供http协议的CRL下载2008年11月5日V2.
021、域名证书密钥对要求2048位2、赔付金额进行修改3、联络方式中的邮编修改4、年审完成,延长CPS有效期一年2009年3月19日V2.
031、证书主题中O项值修改2、多域名证书主题中CN项值修改3、证书申请所提交材料调整4、证书结构中证书项说明调整,与所发证书一致2009年4月14日V2.
041、参考号、授权码发放方式调整2、CP改为在储存库中公开发布3、对证书发布情况的说明进行调整2009年6月18日V2.
051、修改交叉认证描述,增加CNNIC中级根证书和Entrust根之间的关系说明2009年11月09日V2.
061、增加对根签发的证书废止列表的说明,相应对其他相关部分文字进行调整2010年02月02日V2.
071、延长有效期2010年04月08日V3.
01、增加快速域名证书的相关内容2、修改安全管理委员会工作方式3、取消对外ldap服务2011年4月07日V3.
011,修改"高级证书"名称为"标准服务器证书";删除"网址卫士"名称,并不再提供纸质版的网址卫士核准说明;2、修改标准证书审核内容;3,修改快速域名证书的相关流程;4、crl发布网址增加http://crl.
cnnic.
cn5,延长CPS有效期一年;2012年4月07日CNNIC可信网络服务中心证书业务规则I目录中国互联网络信息中心(CNNIC)可信网络服务中心I证书业务规则.
I1引言.
11.
1概述11.
2角色与责任11.
2.
1安全管理委员会11.
2.
2首席安全管理员11.
3适用性21.
3.
1CNNIC可信网络服务中心21.
3.
2最终实体.
31.
3.
3证书持有者分类41.
3.
4证书分类.
41.
3.
5证书有效期.
41.
3.
6从CNNIC可信网络服务中心申请证书51.
4联络方式51.
5处理投诉程序52总则.
52.
1义务52.
1.
1CNNIC可信网络服务中心认证中心(CA)义务62.
1.
2CNNIC可信网络服务中心注册中心(RA)义务.
62.
1.
3储存库义务.
62.
1.
4证书持有者义务72.
1.
5信赖方义务.
82.
2其它82.
2.
1合理技术及免责条款82.
2.
2责任限制.
92.
2.
3CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任.
112.
2.
4证书持有者的转让122.
2.
5陈述权限.
122.
2.
6更改.
122.
2.
7保留所有权.
122.
2.
8条款冲突.
122.
2.
9受信关系.
122.
2.
10交叉认证.
132.
3解释及执行(管辖法律)132.
3.
1管辖法律.
132.
3.
2条款可中止性、修改132.
3.
3争议解决程序.
132.
4证书费用14CNNIC可信网络服务中心证书业务规则II2.
4.
1证书.
142.
4.
2查询.
142.
4.
3废止.
142.
4.
4退款策略.
142.
4.
5其他费用.
142.
5公布资料及储存库142.
5.
1证书储存库控制152.
5.
2证书储存库进入要求152.
5.
3证书储存库更新周期152.
6遵从规定的评估152.
7机密性163鉴别及认证.
173.
1关于CNNICCA根证书的结构.
173.
2标准服务器证书命名及首次注册.
173.
2.
1名称类型.
173.
2.
2名称要求.
183.
2.
3申请者的匿名或伪名183.
2.
4理解不同名称形式的规则183.
2.
5名称唯一性.
183.
2.
6商标的识别、鉴证和角色183.
2.
7名称争端解决.
183.
2.
8标准服务器证书首次注册193.
2.
8.
1单域名,通配域名证书193.
2.
8.
2多域名证书.
203.
3快速域名证书命名及首次注册.
223.
3.
1名称类型.
223.
3.
2名称要求.
223.
3.
3申请者的匿名或伪名233.
3.
4理解不同名称形式的规则233.
3.
5名称唯一性.
233.
3.
6商标的识别、鉴证和角色233.
3.
7名称争端解决.
233.
3.
8快速域名证书首次注册233.
3.
8.
1单域名证书、多域名证书233.
4证明拥有私钥的方法254操作规范.
254.
1关于CNNICROOT证书链下的证书签发.
254.
2标准服务器证书申请、签发、接受、废止及发布.
254.
2.
1证书申请.
254.
2.
2签发、接受证书264.
2.
3证书发布.
274.
2.
4标准服务器证书补发274.
2.
5标准服务器证书续费及年检29CNNIC可信网络服务中心证书业务规则III4.
2.
6多域名证书域名修改324.
2.
7证书废止.
344.
3可信快速域名证书申请、签发、接受、废止及发布.
384.
3.
1证书申请.
384.
3.
2签发、接受证书384.
3.
3证书发布.
394.
3.
4可信快速域名证书补发394.
3.
5可信快速域名证书的续费及年检404.
3.
6证书废止.
434.
4证书冻结464.
5证书更新464.
6证书发布464.
7计算机安全审计程序464.
7.
1记录事件类型.
464.
7.
2处理记录的次数474.
7.
3审计追踪记录保存期限474.
7.
4审计追踪记录保护474.
7.
5审计追踪记录备份474.
7.
6审计追踪记录收集系统474.
7.
7安全事件通知.
484.
7.
8脆弱性评估.
484.
8记录归档484.
8.
1归档记录类型.
484.
8.
2归档保存期限.
484.
8.
3归档保护.
494.
8.
4归档备份程序.
494.
8.
5时间戳.
494.
9密钥变更494.
10CNNIC可信网络服务中心服务终止494.
11灾难恢复及密钥泄漏计划.
504.
11.
1灾难恢复计划.
504.
11.
2密钥泄漏应对计划504.
11.
3密钥的转换.
505实体、程序及人员安全控制.
515.
1实体安全515.
1.
1选址及建造.
515.
1.
2进入控制.
515.
1.
3电力及空调.
515.
1.
4自然灾害.
515.
1.
5防火及保护.
525.
1.
6媒体介质存储.
525.
1.
7场外备份.
525.
1.
8保管印刷文件.
525.
1.
9废料处理.
52CNNIC可信网络服务中心证书业务规则IV5.
2过程控制525.
2.
1可信职责.
525.
2.
2CNNIC可信网络服务中心与本地受理点(LRA)之间的文件及资料传递.
535.
2.
3年度评估.
535.
3人员控制535.
3.
1背景及资格.
535.
3.
2背景调查.
545.
3.
3培训要求.
545.
3.
4向人员提供的文件546技术安全控制.
546.
1密钥的生成及安装546.
1.
1密钥对的生成.
546.
1.
2公钥传送给证书签发机构556.
1.
3CNNIC可信网络服务中心公钥发布556.
1.
4密钥的长度.
556.
1.
5密码模块标准.
556.
1.
6密钥用途.
566.
1.
7密钥销毁.
566.
2私钥保护和密码模块工程控制.
566.
2.
1密码模块标准.
566.
2.
2私钥多人控制.
566.
2.
3私钥托管.
576.
2.
4CNNIC可信网络服务中心私钥备份576.
3密钥对管理的其它方面.
576.
3.
1公钥归档.
576.
3.
2私钥归档.
576.
3.
3证书操作期和密钥对使用期限586.
4计算机安全控制586.
5生命周期技术安全控制.
586.
6网络安全控制586.
7密码模块工程控制597证书及证书废止列表(CRL)结构597.
1证书结构597.
1.
1版本号.
597.
1.
2证书项说明.
597.
1.
3算法对象标识符607.
1.
4名称形式.
607.
1.
5名称限制.
617.
1.
6证书策略对象标识符617.
1.
7策略限制扩展项的用法627.
1.
8策略限定符的语法和语义627.
1.
9关键证书策略扩展项的处理规则627.
2证书废止列表(CRL)结构.
62CNNIC可信网络服务中心证书业务规则V7.
2.
1版本号.
627.
2.
2CRL项.
627.
3OCSP637.
3.
1版本号.
647.
3.
2OCSP扩展项647.
3.
3OCSP请求.
647.
3.
4OCSP响应.
648CPS管理.
648.
1变更流程648.
2公告与通知658.
3CPS批准程序658.
4解释6511引言1.
1概述中国互联网络信息中心(CNNIC)可信网络服务中心(以下简称"CNNIC可信网络服务中心")为域名提供域名证书安全服务,因此根据IETF组织关于证书业务规则(CPS)的编写规范RFC3647编写了CNNIC可信网络服务中心的CPS,作为CNNIC可信网络服务中心的证书相关业务和系统的运行规范.
1.
2角色与责任1.
2.
1安全管理委员会CNNIC可信网络服务中心安全管理委员会负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构.
安全管理委员会的职责包括:收集与协调安全管理方面的问题和建议,达成一致意见;制定并维护CNNIC可信网络服务中心的证书策略文件(CP);对本CPS进行审核,以确保CPS与CP文件一致.
安全管理委员会应保证每年至少召开1次会议或进行1次文件会签,以对CNNIC可信网络服务中心相关制度规定进行检查修改和批准续期,并对中心运行状况进行通报.
此外,在有其他重要变更时,安全管理委员会应根据实际情况及时通过会议或文件会签的方式对重要事项进行讨论和审批.
安全管理委员会成员由来自于CNNIC领导、人力资源、财务、法律事务、安全管理等方面的代表组成.
1.
2.
2首席安全管理员首席安全管理员将全面负责CNNIC可信网络服务中心日常的各项安全事务,受CNNIC可信网络服务中心安全管理委员会授权,首席安全管理员可以执行变CNNIC可信网络服务中心证书业务规则2更CNNIC可信网络服务中心的安全策略,对CNNIC可信网络服务中心的安全管理进行定期的检查和评估,保持CNNIC可信网络服务中心的安全管理始终处在一个较先进的水平,具有较高的安全性和可信度.
随时追踪有关安全管理的最新动态,确保安全体系的先进性.
为保障CNNIC可信网络服务中心的安全、可靠运营,CNNIC可信网络服务中心首席安全管理员重点关注下面三个关键领域:开发安全策略,并协助程序开发和执行;维护安全策略和程序,使之保持完备性;审计安全策略及其实际执行情况的一致性.
CNNIC可信网络服务中心首席安全管理员拥有以下职责:经授权后建立和变更CNNIC可信网络服务中心安全策略和规范;管理交叉认证,发布CNNIC可信网络服务中心交叉认证协议,更新及撤消交叉认证;处理审计报告.
1.
3适用性1.
3.
1CNNIC可信网络服务中心根据本CPS,CNNIC可信网络服务中心履行证书认证机构的职能并承担其义务.
CNNIC可信网络服务中心是唯一根据本CPS授权发出证书的证书认证机构(见第2.
1.
1节).
1.
3.
1.
1CNNIC可信网络服务中心所作的陈述CNNIC可信网络服务中心向遵守本CPS第2.
1.
5节和其它有关条款的信赖方表明,CNNIC可信网络服务中心根据本CPS向证书持有者颁发证书.
1.
3.
1.
2生效经CNNIC可信网络服务中心签发的证书一经发出并由证书持有者接受,证书立即生效.
CNNIC可信网络服务中心证书业务规则31.
3.
1.
3CNNIC可信网络服务中心对本地受理点(LRA)授权的权利CNNIC可信网络服务中心可把履行本CPS及证书持有者协议的部分或全部工作的职责授权给本地受理点(LRA)执行.
无论有关职责是否由本地受理点(LRA)执行,CNNIC可信网络服务中心仍会负责履行本CPS及证书持有者协议.
本业务规则中的本地受理点(LRA)是指CNNIC认证的服务器证书注册服务机构.
1.
3.
2最终实体根据本证书业务规则,存在两类最终实体,包括证书持有者及信赖方.
证书持有者可以是"证书持有者个人"或"证书持有者机构".
信赖方信任CNNIC可信网络服务中心发出的任何类别或种类证书(包括但不限于域名证书).
特此澄清,信赖方信任的不是可信网络服务注册中心(以下简称"注册中心"或RA)或本地受理点(LRA)等证书注册机构,而是CNNIC可信网络服务中心.
CNNIC可信网络服务中心通过注册中心发出数字证书,而注册中心对信赖方并无任何职务职责,也不需对信赖方就发出数字证书而负责(见第2.
1.
2节).
1.
3.
2.
1证书持有者的保证及陈述申请人须签署或确定接受一份协议(按本CPS规定的条款),其中载有一条款.
申请人据此条款同意,申请人一经接受根据本CPS发出的证书,即表示其向CNNIC可信网络服务中心保证(承诺)并向所有其它有关人士(尤其是信赖方)做出陈述,在证书的有效期内,以下事实属实并将保持真实:除域名证书持有者及其授权者外,并无其它人士曾取用证书持有者的私人密钥.
使用与证书持有者域名证书所包含的公开密钥相关的证书持有者私人密钥所产生的每一数字签名实属证书持有者的数字签名.
证书所包含的所有资料及由证书持有者做出的陈述均属真实.
证书将只会用于符合本CPS认可并合法的用途.
在证书申请过程中所提供的所有资料,均不侵犯任何第三方的商标、服CNNIC可信网络服务中心证书业务规则4务标记、商号、公司名称或任何知识产权.
1.
3.
3证书持有者分类CNNIC可信网络服务中心的证书持有者就是域名持有者,可以是法人或自然人,但CNNIC可信网络服务中心并不区分他们.
1.
3.
4证书分类CNNIC可信网络服务中心根据本CPS提供域名证书服务,目前所颁发的域名证书品牌为"标准服务器证书"和快速域名证书两类证书,标准服务器证书存在不同的类型:单域名证书:CN是一个固定域名通配域名证书:CN是一个形式为"*.
xxx.
xxx"形式的域名多域名证书:CN是多个域名的并列,例如"CN=a.
xxx.
xxx,CN=b.
xxx.
xxx,CN=c.
xxx.
xxx",SAN扩展中包含这多个域名CNNIC可信网络服务中心颁发的标准服务器证书仅限于域名证书,确保信息传输加密传输的同时,也进一步体现该证书所属实体的信息,而不能用于其他用途.
可信快速域名证书存在不同的类型:单域名证书:CN是一个固定域名多域名证书:CN是多个域名的并列,例如"CN=a.
xxx.
xxx,CN=b.
xxx.
xxx,CN=c.
xxx.
xxx",SAN扩展中包含这多个域名CNNIC可信网络服务中心颁发的可信快速域名证书仅限于域名证书,保证网站与客户端之间的信息传输加密,不能用于其他用途.
1.
3.
5证书有效期根据本证书业务规则发出的新申请人的证书,其有效期为一年.
CNNIC可信网络服务中心证书业务规则5根据本证书业务规则的证书续费程序而发出的证书有效期可超过上述的有效期.
数字证书内会注明其有效期.
1.
3.
6从CNNIC可信网络服务中心申请证书所有首次申请及证书废止或到期后的申请,申请人须依据本CPS规定的程序递交申请.
1.
4联络方式邮寄地址:北京349信箱6分箱CNNIC邮政编码:100190电话:86-10-58813000传真:86-10-58812666电子邮件地址:service@cnnic.
cn网址:http://www.
cnnic.
cn中文域名:http://中国互联网络信息中心.
CN通用网址:中国互联网络信息中心:CNNIC1.
5处理投诉程序CNNIC可信网络服务中心工作人员会尽快处理所有以书面及口头形式发起的投诉,并在五个工作日内给予详细的答复.
若五个工作日内不能给予详细的答复,会向投诉人做出简要回复.
在可行范围内,CNNIC可信网络服务中心人员会在收到投诉后尽快以电话、电子邮件或信件与投诉人联络确认收到有关投诉并做出回复.
2总则2.
1义务CNNIC可信网络服务中心对证书持有者的义务由本CPS及与证书持有者达CNNIC可信网络服务中心证书业务规则6成的证书持有者协议进行约定.
对于非证书持有者的证书信赖方,CNNIC可信网络服务中心仅承诺采取合理技术避免根据本CPS签发、废止证书时对证书信赖方造成若干类型的损失及损害,并就责任做出限定.
2.
1.
1CNNIC可信网络服务中心认证中心(CA)义务根据条例,CNNIC可信网络服务中心为受认可的证书认证机构,负责使用稳定系统签发、废止证书及利用公开储存库发布证书撤销列表等信息.
根据本CPS,CNNIC可信网络服务中心所属认证中心有下述义务:a)接收注册中心的请求及时签发证书b)废止证书并及时发布证书废止列表(CRL)(见第4.
5节)2.
1.
2CNNIC可信网络服务中心注册中心(RA)义务注册中心系统负责证书申请者证书的申请和审批及证书管理,并将证书申请信息传递到认证中心.
注册中心有下述义务:a)根据本CPS第3、4章规定,验证申请人所提交信息的准确性和真实性,并使验证通过的证书申请生效,将其安全传递给认证中心(CA),证书申请包括证书注册、补发、续费、废止、多域名修改等类型申请b)通知申请人有关已批准或被拒绝的证书申请(见第4.
1、4.
2、4.
3及4.
4节)c)通知证书持有者有关已废止的证书(见第4.
5.
1,4.
5.
2及4.
5.
3节)CNNIC可信网络服务中心仅有一个注册中心,设在CNNIC.
CNNIC可信网络服务中心确认LRA的身份,并授权LRA进行证书申请者注册的资料收集工作.
LRA有义务在证书申请者进行证书注册、补发、续费、废止、多域名修改时负责收集相关信息并初步验证这些信息的正确性.

2.
1.
3储存库义务CNNIC可信网络服务中心储存库应根据自己制定的策略,及时公布证书废止列表(CRL)及其他内容.
CNNIC可信网络服务中心证书业务规则72.
1.
4证书持有者义务证书持有者负责:a)适当完成申请程序并在适当表格内签署或确定接受证书持有者协议;履行该协议规定其应承担的义务并确保在申请证书时所作的陈述准确无误.
b)准确地遵守本CPS所描述的关于完成证书的程序.
c)承诺使用合理预防措施来保护其证书私人密钥的机密性(即对其保密)及完整性以防丢失、泄露或未经授权使用.
d)发现其证书的私人密钥丢失或泄漏时,立即向CNNIC可信网络服务中心报告丢失或泄漏.
e)及时将证书持有者证书资料的任何变动通知给CNNIC可信网络服务中心.
f)出现下文4.
5.
1节所规定的废止证书的情形时,立即通知给CNNIC可信网络服务中心.
g)向CNNIC可信网络服务中心保证,并向所有证书信赖方表明,在证书的有效期内,以上第1.
3.
2.
1节所描述的事实真实.
h)在明知CNNIC可信网络服务中心根据本CPS可能废止证书的情况下,或证书持有者已提出废止申请,或CNNIC可信网络服务中心拟根据本CPS废止证书并通知证书持有者后,均不得在交易中使用证书.
i)在明知CNNIC可信网络服务中心根据本CPS可能废止证书的情况下,或证书持有者提出废止申请,或CNNIC可信网络服务中心拟根据本CPS废止证书并通知证书持有者后,须立即通知从事当时仍有待完成的任何交易的证书信赖方,并明确说明,用于该交易的证书需要废止(由CNNIC可信网络服务中心或经证书持有者申请),证书信赖方不得在交易中信任此证书.
j)证书的使用仅限于合法目的,并且符合相关的证书策略和本CPS(或其他公布的商业事项).
如果注册者有理由相信与证书所用的公钥相对应的私钥有泄密的危险,那么应及时通知CNNIC可信网络服务中心废止证书.
k)证书持有者承认,如其未能按照上述条款的规定履行其义务,则其应对CNNIC可信网络服务中心证书业务规则8可能造成的CNNIC可信网络服务中心或其信赖方的损失承担赔偿责任.
2.
1.
5信赖方义务信任CNNIC可信网络服务中心数字证书的证书信赖方负责:a)证书信赖方考虑过所有因素后并确信信任证书实属合理时,方可信任该证书.
b)在信任该证书前,确定使用证书是适合本CPS规定的用途,即仅信任CNNIC可信网络服务中心的证书用作域名证书.
c)在信任证书前查核证书废止列表(CRL)上的证书状态.
d)执行所有适当证书路径验证程序.
e)一旦信任了该证书,即表明同意接受本CPS所规定的责任限制的条款.
2.
2其它2.
2.
1合理技术及免责条款CNNIC可信网络服务中心将根据本CPS采取合理的技术及管理措施,向各证书持有者和信赖方行使其权利并履行其义务.
CNNIC可信网络服务中心不保证根据本CPS提供的服务不中断或无错误.
也就是说,尽管CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心根据CPS行使应有的权利及义务时采取合理的技术及管理措施,若证书持有者或信赖方遭受出自CPS中描述的公开密钥基础设施或与之相关的任何性质的债务、损失或损害,各证书持有者同意CNNIC可信网络服务中心及其注册中心无需承担任何责任、损失或损害.
CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心已采取合理程度的技术及管理措施的前提下,若证书持有者因信任另一证书持有者由CNNIC可信网络服务中心所发出的证书支持的虚假或伪造的数字签名而蒙受损失或损害,CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心概不负责.
在CNNIC可信网络服务中心已采取合理的技术或管理手段以避免或减轻无CNNIC可信网络服务中心证书业务规则9法控制事件后果的前提下,若证书持有者因CNNIC可信网络服务中心不能控制的情况遭受不良影响,CNNIC可信网络服务中心概不负责.
CNNIC可信网络服务中心控制以外的情况包括但不限于互联网或电信或其它基础设施系统的不可用,或天灾、战争、军事行动、国家紧急状态、疫症、火灾、水灾、地震、罢工或暴乱或其它证书持有者或其它第三者的疏忽或蓄意不当行为.
2.
2.
2责任限制2.
2.
2.
1限制的合理性各证书持有者或信赖方必须同意,CNNIC可信网络服务中心按证书持有者协议及本CPS所列条件限制其法律责任实属合理.
2.
2.
2.
2可追讨损失种类的限制CNNIC可信网络服务中心若违反《证书持有者协议》或者出现任何职务职责的情况下,而造成证书持有者或信赖方遭受损失及损害的,CNNIC可信网络服务中心不负责下述原因造成的损失及损害的赔偿:a)任何直接或间接利润或收入损失、信誉或商誉损失或伤害、任何商机损失、失去项目、或失去或无法使用任何数据、设备或软件;b)任何间接、相应而生或附带引起的损失或损害.
2.
2.
2.
3限额即使是CNNIC可信网络服务中心违反《证书持有者协议》或者负有任何职务职责的情况下,而造成证书持有者或信赖方蒙受损失及损害,对于任何证书持有者、或任何信赖方,CNNIC可信网络服务中心所负法律责任限于在任何情况下每张域名证书不得超过证书购买价格的10倍.
CNNIC可信网络服务中心证书业务规则102.
2.
2.
4提出赔偿的时限证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.
2.
2.
2.
5故意不当行为的责任任何因欺诈或故意不当行为的责任均不在本CPS、证书持有者协议或CNNIC可信网络服务中心签发的证书的任何限制或除外规定范围内.
2.
2.
2.
6证书责任限制通知CNNIC可信网络服务中心签发证书已经作出如下责任限制通知:"CNNIC可信网络服务中心职员按CNNIC可信网络服务中心签署的证书业务规则所载条款,在条件适用于本证书的情况下,根据相关规定作为证书认证机构签发本证书.
因此,任何人士信任本证书前均应阅读适用于域名证书的证书业务规则(可浏览http://tns.
cnnic.
cn).
中华人民共和国法律适用于本证书,信赖方须承认因信任本证书而引致的任何争议或问题属于中华人民共和国法律管辖.
如果信赖方不接受本证书用来签发的条款及条件,则不应信任本证书.
CNNIC可信网络服务中心签发本证书,但无须对信赖方承担任何责任或职务职责.
信赖方信任本证书前确保信任行为公平合理无恶意,方可信任本证书;信任本证书前,确定证书的使用就CPS规定的用途而言实属适当;信任本证书前,根据证书废止列表(CRL)检查本证书的状态,并履行所有适当证书路径验证程序.
尽管CNNIC可信网络服务中心已采取合理技术及管理措施,若本证书仍在任何方面存在不准确或误导,则CNNIC可信网络服务中心对信赖方的任何损失CNNIC可信网络服务中心证书业务规则11或损害不承担任何责任.
若本证书在任何方面存在不准确或误导,而这种不准确或误导是因CNNIC可信网络服务中心的疏忽所导致,则CNNIC可信网络服务中心将可以因合理信任本证书中的这种不准确或误导事项而造成的经证实损失向每名信赖方支付最多为证书购买价格的10倍,只有这种损失不属于并且不包括(1)任何直接或间接损失,包括利润或收入损失、信誉或商誉损失或伤害、商机或契机损失、失去项目、失去或无法使用任何数据、设备或软件等;(2)任何间接、相应而生或偶然引起的损失或损害.
在该等情况下根据条例适用于本证书的信任额度为证书购买价格的10倍.
证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.
若本证书包含任何由CNNIC可信网络服务中心做出的故意或罔顾后果的失实陈述,则本证书并不就这类对因合理信任本证书中的失实陈述而遭受损失的信赖方所应承担的法律责任做出任何限制.
本文所描述的法律责任限制不适用于个人伤害或死亡的(不大可能发生的)情形.
"2.
2.
3CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任若证书持有者接受证书后发现,因证书包含的私人密钥或公开密钥出现差错,导致基于公开密钥基础设施的交易无法适当完成或根本无法完成,则证书持有者须将这种情况立即通知CNNIC可信网络服务中心,以便废止证书并重新签发.
或者在接受证书后三个月内发现这种情况且证书持有者不再需要证书,则在CNNIC同意的前提下,可以申请退款.
如果证书持有者在接受证书三个月后才将这类差错通知CNNIC,则将不会退还持有者已缴纳的费用.
CNNIC可信网络服务中心证书业务规则122.
2.
4证书持有者的转让证书持有者不可转让证书持有者协议或证书赋予的权利,任何转让行为均属无效.
2.
2.
5陈述权限除非获得CNNIC可信网络服务中心授权,CNNIC可信网络服务中心或注册中心的代理人或工作人员无权代表CNNIC可信网络服务中心对本CPS的含义或解释作任何陈述.
2.
2.
6更改CNNIC可信网络服务中心有权更改本CPS,而无须发出预先通知(见第2.
2.
8节).
证书持有者协议不得做出修改或变更,除非符合本CPS中的修改或变更规定,或获得CNNIC可信网络服务中心的明确书面同意.
2.
2.
7保留所有权根据本CPS签发的证书上所有资料的实体权利、版权及知识产权均属CNNIC可信网络服务中心所有.
2.
2.
8条款冲突若本CPS与证书持有者协议或其它规则、指引、协议有冲突,证书持有者、信赖方及CNNIC可信网络服务中心须受本CPS条款约束,除非该等条款受法律禁止.
2.
2.
9受信关系CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心并非证书持有者或信赖方的代理人或其它代表.
证书持有者及信赖方无权以协议或其CNNIC可信网络服务中心证书业务规则13它方式约束CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心承担证书持有者或信赖方的代理人或其它代表的责任.
2.
2.
10交叉认证CNNIC可信网络服务中心在所有情形下均保留与其他证书认证机构定义及确定适当理由进行相互交叉认证的权利.
通过与Entrust公司之间的协议,CNNIC可信网络服务中心中级根证书CNNICSSL同时也被Entrust公司的根证书所信任,CNNIC可信网络服务中心所发出的域名证书可以通过不同的证书路径分别从CNNIC根证书和Entrust根证书两个信任锚进行认证.
2.
3解释及执行(管辖法律)2.
3.
1管辖法律本CPS受中华人民共和国法律管辖.
2.
3.
2条款可中止性、修改若本CPS的任何条款被宣布为非法、不可执行或无效,则应删除其中任何非法的词语,直至该等条款成为合法及可执行为止,同时应保留该等条款的本意.

本CPS的任何条款的不可执行性将不损害任何其它条款的可执行性.
CNNIC可信网络服务中心拆分或合并可能导致其经营范围、管理和运营状况的改变.
这种情况下,可能也需要修改本CPS.
经营活动的改变会与CPS的修改相一致.
2.
3.
3争议解决程序若当事人之间的争议无法友好协商解决,应提交中国国际经济贸易仲裁委员会进行仲裁.
仲裁的裁决是终局性的,对当事人均有约束力.
仲裁的裁决过程采用中文记录,仲裁裁决由有管辖权的法院执行.
CNNIC可信网络服务中心证书业务规则142.
4证书费用2.
4.
1证书标准服务器证书(包括单域名证书、通配域名证书、多域名证书)及快速域名证书(包括单域名证书、多域名证书)注册、续费、补发,以及多域名证书域名修改为收费服务,其费用根据市场和管理部门的规定自行决定.
2.
4.
2查询CNNIC可信网络服务中心证书查询现阶段为免费服务.
2.
4.
3废止CNNIC可信网络服务中心证书废止现阶段为免费服务.
2.
4.
4退款策略CNNIC可信网络服务中心证书费用在证书签发后概不退还.
2.
4.
5其他费用CNNIC可信网络服务中心除收取证书注册费、更新费(续费)、补发费、多域名证书域名修改费用外,暂不收取其他费用.
2.
5公布资料及储存库本文为CNNIC可信网络服务中心证书业务规则(CPS),在CNNIC可信网络服务中心网站发布,CNNIC可信网络服务中心网址为http://www.
cnnic.
cn,http://crl.
cnnic.
cnCNNIC可信网络服务中心维持一个储存库,包含最新的根和中级根所签发的证书废止列表(CRL)、CNNIC可信网络服务中心中级根证书和根证书、本CPSCNNIC可信网络服务中心证书业务规则15以及CNNIC可信网络服务中心证书策略(CP)文本一份以及其它相关资料.
除每周最多四小时的定期维修及紧急维修外,储存库保持每天24小时、每周7天开放.
CNNIC可信网络服务中心储存库可通过下述URL访问:http://www.
cnnic.
cn,http://crl.
cnnic.
cn公布资料和储存库允许所有互联网用户访问,但仅允许CNNIC可信网络服务中心管理员更新.
2.
5.
1证书储存库控制储存库所在位置可供在线浏览,并可防止擅自修改.
2.
5.
2证书储存库进入要求经授权的CNNIC可信网络服务中心工作人员方可进入储存库更新及修改内容.
2.
5.
3证书储存库更新周期CNNIC可信网络服务中心储存库内中级根签发的证书废止列表(CRL)每12小时更新一次.
如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
储存库中其他内容根据变更情况随时更改.
2.
6遵从规定的评估根据中华人民共和国的相关法律的规定,至少每12个月进行一次由外部独立的审计机构主持进行的规定遵从情况的评估,查清CNNIC可信网络服务中心签发、废止证书及公布证书废止列表(CRL)的系统是否严格遵守本CPS和CNNIC可信网络服务中心相关的控制措施.
审计内容包括:CNNIC可信网络服务中心证书业务规则16a)公布的商业事项b)服务的完整性(包括对密钥和证书生命周期管理的控制)c)环境控制审计结果应通报给CNNIC可信网络服务中心安全管理委员会.
由其安排CNNIC可信网络服务中心将根据具体的审计意见确定改进方案,采取改进行动.
2.
7机密性保密信息包括:a)证书持有者的签名私钥是保密的,不向CNNIC可信网络服务中心提供b)CNNIC可信网络服务中心的经营和控制专用的信息,都由CNNIC可信网络服务中心秘密保管;除非法律另有规定,否则不能对外泄漏.
c)除在证书、CRL、证书政策、CPS中公开发布的信息之外的有关证书持有者的信息,是保密信息;除非有证书政策要求,或法律另行规定,否则一律不能对外公开.
d)一般来说,每年的审计结果应该保密,除非CNNIC可信网络服务中心安全管理委员会认为有必要公布审计结果.
非保密信息包括:a)由CNNIC可信网络服务中心签发的证书以及CRL中所包括的信息是非保密信息.
b)CNNIC可信网络服务中心公布的CPS中的信息(或其他公布的商业事项)是非保密信息.
c)当CNNIC可信网络服务中心废止某一证书时,CRL中列出了证书的废止理由.
该废止理由的代码是非保密信息,所有其他证书持有者和证书信赖方都可以分享该信息.
但是,有关废止的其他细节一般不公布.
CNNIC可信网络服务中心将根据法律规定,应执法人员的执法要求公开信息.
CNNIC可信网络服务中心将根据信息持有人要求向其他方公布有关信息持有人的信息.
CNNIC可信网络服务中心证书业务规则173鉴别及认证3.
1关于CNNICCA根证书的结构其中CNNICROOT为根证书,CNNICSSL为标准服务器证书的中级根证书,CNNICDQSSL为快速域名证书的中级根证书.
3.
2标准服务器证书命名及首次注册3.
2.
1名称类型根据证书对应实体的类型不同,CNNIC可信网络服务中心签发的证书的实体名字可以是单个域名或多个域名,命名符合X.
500甄别名规定.
CNNIC可信网络服务中心所发证书的签发者和主题域中包含X.
500甄别名.
CNNIC可信网络服务中心所发证书的主题甄别名由下面的内容组成:CNNIC可信网络服务中心根证书主题甄别名国家(C)=CN机构(O)=CNNIC通用名(CN)=CNNICROOTCNNIC可信网络服务中心中级根证书主题甄别名国家(C)=CN机构(O)=CNNICSSL通用名(CN)=CNNICSSL域名证书的主题域中包含一个X.
500甄别名,它由如下的内容组成:国家(C)=CNCNNIC可信网络服务中心证书业务规则18机构(O)=证书持有者名称组织单元(OU)=SingleDomain(单域名证书或通配域名证书)或MultiDomain(多域名证书)通用名(CN)=这个属性包括单个域名(单域名证书或通配域名证书)或多域名的并列(多域名证书)3.
2.
2名称要求CNNIC可信网络服务中心签发的证书包含的命名应由域名、证书持有者名称与CNNIC可信网络服务中心证书固定的内容构成.
3.
2.
3申请者的匿名或伪名申请者不能使用匿名或伪名申请证书,证书中也不能使用匿名或伪名.
3.
2.
4理解不同名称形式的规则依X.
500甄别名命名规则解释.
3.
2.
5名称唯一性CNNIC可信网络服务中心签发给某个实体的证书,其主题甄别名,在CNNIC可信网络服务中心信任域内是唯一的.
3.
2.
6商标的识别、鉴证和角色CNNIC可信网络服务中心签发的证书的主题甄别名只与域名、证书持有者名称相关,而与商标无关.
3.
2.
7名称争端解决名称争端由CNNIC可信网络服务中心根据具体情况进行最终裁决.
CNNIC可信网络服务中心证书业务规则193.
2.
8标准服务器证书首次注册3.
2.
8.
1单域名,通配域名证书1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器(安装证书的服务器是由证书申请者自行管理的,下同),申请资料包括以下文档:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书注册申请书原件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
对于托管服务器(安装证书的服务器是由证书申请者委托其他机构代为管理的,下同),证书申请由受托机构代为办理,申请资料包括以下文档:证书申请者身份证明.
企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件或机关法人证书复印件(每页加盖公章);事业单位提供:组织机构代码证复印件或事业单位法人证书复印件(每页加盖公章);社团组织提供:组织机构代码证复印件或社会团体法人登记证书复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书注册申请书原件.
受托机构经办人身份证明复印件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人身CNNIC可信网络服务中心证书业务规则20份证明复印件.
2.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
3.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部纸质申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
4.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话分别与主管人、经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人.
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
3.
2.
8.
2多域名证书1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器,申请资料包括以下文档:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书注册申请书原件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
CNNIC可信网络服务中心证书业务规则21对于托管服务器,申请资料包括以下文档:所有证书申请者身份证明.
企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书注册申请书原件.
受托机构经办人身份证明复印件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人身份证明复印件.
2.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到多域名证书的所有域名注册者资料,查看这些域名注册者是否分别和域名证书申请者一致,初步审核确定各域名证书申请者确实拥有此域名.
3.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部纸质申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
初步审核不通过,即某域名证书申请者与域名注册者不一致,则要求此域名证书申请者修改域名注册者资料,然后受托机构才能再次前来申请多域名证书,或者在此多域名证书内去掉资料不一致的域名.
4.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话分别与主管人、经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,.
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
CNNIC可信网络服务中心证书业务规则223.
3快速域名证书命名及首次注册3.
3.
1名称类型根据证书对应域名所属的安装方式不同,CNNIC可信网络服务中心签发的证书分为单个域名或多个域名,命名符合X.
500甄别名规定.
CNNIC可信网络服务中心所发证书的签发者和主题域中包含X.
500甄别名.
CNNIC可信网络服务中心所发证书的主题甄别名由下面的内容组成:CNNIC可信网络服务中心根证书主题甄别名国家(C)=CN机构(O)=CNNIC通用名(CN)=CNNICROOTCNNIC可信网络服务中心快速域名证书的中级根证书主题甄别名通用名(CN)=CNNICDQSSL机构(O)=CNNIC国家(C)=CN快速域名证书的主题域中包含一个X.
500甄别名,它由如下的内容组成:国家(C)=CN机构(O)=这个属性包括单个域名(单域名证书的域名字段或多域名证书的第一个域名字段组织单元(OU)=Domain-QuickSSL通用名(CN)=这个属性包括单个域名(单域名证书)或多域名的并列(多域名证书)3.
3.
2名称要求CNNIC可信网络服务中心签发的快速域名证书包含的命名应由域名与CNNIC可信网络服务中心证书固有的内容构成.
CNNIC可信网络服务中心证书业务规则233.
3.
3申请者的匿名或伪名申请者不能使用匿名或伪名申请证书,证书中也不能使用匿名或伪名,证书中仅对申请的域名进行体现.
3.
3.
4理解不同名称形式的规则依X.
500甄别名命名规则解释.
3.
3.
5名称唯一性CNNIC可信网络服务中心签发给某个实体的证书,其主题甄别名,在CNNIC可信网络服务中心信任域内是唯一的.
3.
3.
6商标的识别、鉴证和角色CNNIC可信网络服务中心签发的证书的主题甄别名只与域名相关,而与商标无关.
3.
3.
7名称争端解决名称争端由CNNIC可信网络服务中心根据具体情况进行最终裁决.
3.
3.
8快速域名证书首次注册3.
3.
8.
1单域名证书、多域名证书A、证书申请经办人提交申请资料给本地受理点(LRA)录入员,如果申请者为经过CNNIC域名注册审核过的CN域名或"中国"域名用户时,域名注册申请资料视同于快速域名证书申请资料,域名经过CNNIC实名制审核视同于符合快速域名申请资料审核.
CNNIC审核CN域名或"中国"域名注册申请时,会审核申请经办人的身份CNNIC可信网络服务中心证书业务规则24证明、营业执照或组织机构代码证.
1.
证书申请人需要提交以下内容给受理点:电子申请确认函的确认,其中包括申请协议;2.
用户提交申请后,本地受理点(LRA)将对用户提交资料做初次审核,然后将用户申请信息在CNNICWebRA系统中提交,系统自动判断申请域名是否为CN域名或"中国"域名并判断如下内容,域名持有人是否通过联系人实名认证,即是否在白名单;域名是否通过审核;申请的公司名称和返回的域名的公司名称是否一致;域名注册时的电话和白名单返回是否一致3.
当上述4点要求同时确认通过,将认可此次申请;4.
当系统认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
5.
经办人通过证书注册链接登录后,需要验证域名持有权;系统会发送一封验备案证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
B、如果申请者为未经过CNNIC实名认证过的CN域名或"中国"域名及其他类型域名时,则按以下流程进行进行.
1.
证书申请人需要提交以下内容给受理点:电子申请确认函的确认,其中包括申请协议;申请经办人的身份证明复印件;营业执照复印件(加盖公章)或组织机构代码证复印件(加盖公章).
2.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
3.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部纸质申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
本地受理点初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
4.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whoisCNNIC可信网络服务中心证书业务规则25功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
5.
当审核员认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
6.
经办人通过证书注册链接登录后,系统需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
3.
4证明拥有私钥的方法CNNIC可信网络服务中心通过使用附带数字签名的PKCS#10格式的证书请求,验证证书申请者拥有与证书公钥对应的私钥.
4操作规范4.
1关于CNNICROOT证书链下的证书签发在CNNICROOT证书链下签发的证书,当前分为两种类型,一种为标准服务器证书一种为快速域名证书,在证书冻结、证书更新及证书发布环节两种证书在CNNICCA中心有着相同的业务处理流程,其他环节中标准服务器证书与快速域名证书有着不同,现以不同的章节进行体现.
4.
2标准服务器证书申请、签发、接受、废止及发布4.
2.
1证书申请4.
2.
1.
1处理申请申请标准服务器证书的经办人必须到CNNIC指定的CNNIC可信网络服务中心本地受理点处递交申请.
CNNIC可信网络服务中心(包括注册中心)不直接面对申请者接受申请.
CNNIC可信网络服务中心证书业务规则264.
2.
1.
2身份审核用以证明证书持有者机构、经办人及经办人身份的文件,在本CPS第3.
2节说明,申请者需要按照本CPS第3.
2节进行申请操作.
CNNIC可信网络服务中心注册中心完成核对身份手续后,将下载证书所必须的参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人.
4.
2.
2签发、接受证书4.
2.
2.
1单域名,通配域名证书单域名及通配域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信网络服务中心的服务.
4.
2.
2.
2多域名证书多域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信网络服务中心的服务.
CNNIC可信网络服务中心证书业务规则274.
2.
3证书发布CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息.
4.
2.
4标准服务器证书补发在CNNIC可信网络服务中心的证书体系中,证书补发需要重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件.
新证书补发后,原证书立即作废,新证书截至有效期与原证书相同.
4.
2.
4.
1单域名,通配域名证书补发1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器,申请资料包括以下文档:证书补发申请书原件.
证书申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
对于托管服务器,申请资料包括以下文档:证书补发申请书原件.
受托机构经办人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话分别与主管人(如有)、经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,.
如果未确认通过,则拒绝证书补发,发回所有资料给本地受理点,并附加拒CNNIC可信网络服务中心证书业务规则28绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请补发.
6.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
4.
2.
4.
2多域名证书补发1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器,申请资料包括以下文档:证书补发申请书原件.
证书申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
对于托管服务器,申请资料包括以下文档:证书补发申请书原件.
受托机构经办人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与主管人(如有)、经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,.
如果未确认通过,则拒绝证书补发,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请补发.
6.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授CNNIC可信网络服务中心证书业务规则29权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
4.
2.
5标准服务器证书续费及年检在证书持有者证书到期前,证书持有者需要获得新的证书以保持证书使用的连续性.
证书持有者产生一个新的密钥对代替过期的密钥对,称作"密钥更新".
然而,在某些情况下,证书持有者希望为一个现存的密钥对申请一个新证书,称作"证书更新".
在CNNIC可信网络服务中心的证书体系中,证书续费需要证书持有者重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求证书持有者使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件CSR(即必须进行"密钥更新").
证书续费期为当前证书失效前3个月内,在此之前或之后CNNIC可信网络服务中心将拒绝续费申请.
续费之后,新的证书下载后应该立即安装.
续费的有效期顺延:新证书失效期=当前时间+新购证书的时间长度+当前证书剩余的时间长度.
4.
2.
5.
1单域名,通配域名证书续费1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器,申请资料包括以下文档:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书续费申请书原件.
CNNIC可信网络服务中心证书业务规则30证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
对于托管服务器,申请资料包括以下文档:证书申请者身份证明.
企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书续费申请书原件.
受托机构经办人身份证明复印件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话分别与主管人、经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,.
如果未确认通过,则拒绝证书续费,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请续费.
6.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
CNNIC可信网络服务中心证书业务规则314.
2.
5.
2多域名证书续费1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器,申请资料包括以下文档:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书续费申请书原件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
对于托管服务器,申请资料包括以下文档:所有证书申请者身份证明.
企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书续费申请书原件.
受托机构经办人身份证明复印件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话分别与主管人、经办人进行确认.
CNNIC可信网络服务中心证书业务规则325.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,.
如果未确认通过,则拒绝证书续费,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请续费.
6.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
4.
2.
5.
3关于各类型证书年检证书的年检是指为了确保用户信息的有效性,对于申请年限多余1年的证书将实行年检制度.
即每年审核员将进行用户信息有效性的年检,年检流程同于申请流程,只是无需用户再提交资料,而是由CNNIC可信网络服务中心自行发起到第三方进行年检.
4.
2.
6多域名证书域名修改多域名证书提供域名修改服务,可以增加、删除和修改域名:1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器,申请资料包括以下文档:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
多域名证书修改申请书原件.
CNNIC可信网络服务中心证书业务规则33证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
对于托管服务器,申请资料包括以下文档:新增的域名证书申请者身份证明.
企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
多域名证书修改申请书原件.
受托机构经办人身份证明复印件.
新增的域名证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员检验合法的域名持有者是否与证书申请者相符合,审核资料是否真实,并与RA系统中的申请信息对比.
通过电话分别与主管人、经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,.
如果未确认通过,则拒绝域名修改申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请域名修改.
6.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
*注:域名变更后,原证书马上作废,新的证书下载后必须马上安装,证书有效CNNIC可信网络服务中心证书业务规则34期与原证书相同.
4.
2.
7证书废止4.
2.
7.
1废止的情形如果出现下列情况,CNNIC可信网络服务中心有权废止所签发的域名证书:1.
事后检查发现证书持有者申请域名证书时提供的资料存在虚假信息;2.
证书持有者未履行证书持有者协议所约定的义务;3.
证书持有者要求废止域名证书;4.
证书持有者主体消亡;5.
证书持有者变更域名证书的用途;6.
法律或法规要求的其他情况.
4.
2.
7.
2废止程序如出现本文第4.
5.
1节规定的除第3条外的情况,CNNIC可信网络服务中心将主动废止域名证书并通知证书持有者.
证书持有者也有权自行申请废止证书,申请废止的流程如下:4.
2.
7.
3单域名,通配域名证书废止1.
证书持有者提交纸质证书废止申请资料给本地受理点(LRA)录入员.
对于独立服务器,申请资料包括:证书废止申请书原件.
申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
对于托管服务器,申请资料包括:证书废止申请书原件.
受托机构经办人身份证明复印件.
CNNIC可信网络服务中心证书业务规则352.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话分别与主管人(如有)、经办人进行确认.
5.
如果审核通过,RA审核员直接废止此域名证书.
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和经办人者联系交涉,按照拒绝原因进行相应修改,重新申请废止.
4.
2.
7.
4多域名证书废止1.
证书持有者提交纸质证书废止申请资料给本地受理点(LRA)录入员.
对于独立服务器,申请资料包括:证书废止申请书原件.
申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
对于托管服务器,申请资料包括:证书废止申请书原件.
受托机构经办人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与主管人(如有)、经办人进行确认.
5.
如果审核通过,RA审核员直接废止此域名证书.
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和证书申请者联系交涉,按照拒绝原因进行相应修改,重新申请废止.
CNNIC可信网络服务中心证书业务规则364.
2.
7.
5废止效力CNNIC可信网络服务中心把废止状态发布到证书废止列表(CRL)中,即终止某一证书的使用效力.
4.
2.
7.
6请求证书废止的实体CNNIC可信网络服务中心或证书持有者可以在CPS第4.
5.
1节所述情形下要求废止一个证书.
4.
2.
7.
7废止请求的流程当CNNIC可信网络服务中心有充分的理由相信需要废止证书时,CNNIC可信网络服务中心认证中心或注册中心的有关人员可以通过内部确定的流程提交废止证书的请求.
在证书废止后,CNNIC可信网络服务中心将通过适当的方式,包括邮件、传真等,通知证书持有者证书已被废止及被废止的理由.
证书持有者也可以通过废止程序自行要求废止自己的证书.
在证书持有者提交废止请求时,需同时提供证书申请时提供的资料作为身份鉴别的信息.

4.
2.
7.
8废止请求提出时限当发现出现CPS第4.
5.
1节中的情况时,从发现需要废止证书到提出废止请求的时间间隔,不应超过24小时.
4.
2.
7.
9CNNIC可信网络服务中心处理废止请求的时限CNNIC可信网络服务中心注册中心(RA)从接到废止请求(包括纸质资料)到完成处理请求的时间,不能超过两个工作日.
CNNIC可信网络服务中心工作日不包括周末和国家法定假日.
CNNIC可信网络服务中心证书业务规则374.
2.
7.
10信赖方检查证书废止的要求信赖方是否检查证书废止完全取决于信赖方的安全要求.
4.
2.
7.
11CRL发布频率CNNIC可信网络服务中心中级根每隔12个小时签发一次证书废止列表(CRL).
4.
2.
7.
12如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
CRL发布的最大滞后时间一个域名证书从它被废止到它被发布到CRL上的滞后时间不超过12小时.
如果中级根被废止,根签发的CRL则立即发布.
4.
2.
7.
13在线状态查询的可用性CNNIC可信网络服务中心提供证书状态的在线查询服务(OCSP),每周除最多四小时的定期维修及紧急维修外,该服务7*24小时可用.
4.
2.
7.
14在线状态查询要求信赖方是否进行在线状态查询完全取决于信赖方的安全要求.
对于安全保障要求高并且完全依赖证书进行身份鉴别与授权的应用,信赖方在信赖一个证书前可通过证书状态在线查询系统检查该证书的状态.
4.
2.
7.
15废止信息的其他发布形式CNNIC可信网络服务中心目前只提供OCSP查询,以及通过LDAP目录服务和HTTP服务提供CRL查询.
CNNIC可信网络服务中心证书业务规则384.
2.
7.
16密钥损害的特别要求无论是证书持有者还是CNNIC可信网络服务中心,发现证书密钥受到安全损害时应立即废止证书.
4.
3快速域名证书申请、签发、接受、废止及发布4.
3.
1证书申请4.
3.
1.
1处理申请如通过其他业务进行快速域名证书的申请者,必须到指定地点提交相应的证明材料,必须到指定的URL地址提交申请,CNNIC可信网络服务中心(包括注册中心)不直接面对申请者接受申请.
4.
3.
1.
2身份审核用以证明证书持有者机构、经办人及经办人身份的文件,在本CPS第3.
3节说明,申请者需要按照本CPS第3.
3节进行申请操作.
在完成身份核对手续后,将由用户直接下载证书.
4.
3.
2签发、接受证书4.
3.
2.
1单域名证书单域名及通配域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成,即表明申请者接受CNNIC可信网络服务中心的服务.
CNNIC可信网络服务中心证书业务规则394.
3.
2.
2多域名证书多域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信网络服务中心的服务.
4.
3.
3证书发布CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息.
4.
3.
4快速域名证书补发在CNNIC可信网络服务中心的证书体系中,在CNNIC可信网络服务中心的证书体系中,证书补发分为如下两种情况,1,用户证书文件未安装就丢失;2,用户的私钥泄漏;这2种情况下,证书补发都需要重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件.
新证书补发后,原证书立即作废,新证书截至有效期与原证书相同.
限制条件:用户进行证书自助补发,每个月补发证书最多为3次.
4.
3.
4.
1单域名域名证书补发如通过其他业务进行快速域名证书的申请者:CNNIC可信网络服务中心证书业务规则401.
申请人经过CNNIC指定的URL地址,填写申请信息并提交申请.
2.
在证书有效期内,用户提交申请后,系统将自动检测所提交信息是否为正确信息,如果申请信息与原来信息一致(主要是经办人信息、公司信息等),将认可此次补发申请,如果该证书的有效期为大于一年期的申请,将在年检时一并进行严格审核;3.
CNNIC可信网络服务中心签发证书,并由证书申请经办人安装.
4.
3.
4.
2多域名证书补发如通过其他业务进行快速域名证书的申请者:1.
申请人经过CNNIC指定的URL地址,填写申请信息并提交申请.
2.
在证书有效期内,用户提交申请后,系统将自动检测所提交信息是否为正确信息,如果申请信息与原来信息一致(主要是经办人信息、公司信息等),将认可此次补发申请,如果该证书的有效期为大于一年期的申请,将在年检时一并进行严格审核;3.
CNNIC可信网络服务中心签发证书,并由证书申请经办人安装.
4.
3.
5快速域名证书的续费及年检在证书持有者证书到期前,证书持有者需要获得新的证书以保持证书使用的连续性.
证书持有者产生一个新的密钥对代替过期的密钥对,称作"密钥更新".
然而,在某些情况下,证书持有者希望为一个现存的密钥对申请一个新证书,称作"证书更新".
在CNNIC可信网络服务中心的证书体系中,证书续费需要证书持有者重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求证书持有者使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件CSR(即必须进行"密钥更新").
证书续费期为当前证书失效前3个月内,在此之前或之后CNNIC可信网络服务中心将拒绝续费申请.
续费之后,新的证书下载后应该立即安装.
续费的有效期顺延:新证书失效CNNIC可信网络服务中心证书业务规则41期=当前时间+新购证书的时间长度+当前证书剩余的时间长度.
4.
3.
5.
1单域名证书续费如通过其他业务进行快速域名证书的申请者:1.
经CNNIC实名注册的CN域名或"中国"域名用户可以直接登录CNNIC制定的URL地址,进行证书更新.
2.
非经CNNIC实名注册的CN域名或"中国"域名以外的域名用户证书申请人需要提交以下资料给受理点:电子申请确认函的确认,其中包括申请协议;申请经办人的身份证明复印件;营业执照复印件(加盖公章)或组织机构代码证复印件(加盖公章).
3.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
4.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部纸质申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
本地受理点初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
5.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
6.
当审核员认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
7.
经办人通过证书注册链接登录后,系统需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
CNNIC可信网络服务中心证书业务规则424.
3.
5.
2多域名证书续费1.
经CNNIC实名注册的CN域名或"中国"域名用户可以直接登录CNNIC制定的URL地址,进行证书更新.
2.
非经CNNIC实名注册的CN域名或"中国"域名以外的域名用户证书申请人需要提交以下资料给受理点:电子申请确认函的确认,其中包括申请协议;申请经办人的身份证明复印件;营业执照复印件(加盖公章)或组织机构代码证复印件(加盖公章).
3.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
4.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部纸质申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
本地受理点初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
5.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
6.
当审核员认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
7.
经办人通过证书注册链接登录后,系统需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.

只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
4.
3.
5.
3关于各类型证书年检证书的年检是指为了确保用户信息的有效性,对于申请年限多余1年的证书CNNIC可信网络服务中心证书业务规则43将实行年检制度.
即每年审核员将进行用户信息有效性的年检,年检流程同于申请流程,只是无需用户再提交资料,而是由CNNIC可信网络服务中心自行发起到第三方进行年检.
4.
3.
6证书废止4.
3.
6.
1废止的情形如果出现下列情况,CNNIC可信网络服务中心有权废止所签发的域名证书:1.
事后检查发现证书持有者申请域名证书时提供的资料存在虚假信息;2.
证书持有者未履行证书持有者协议所约定的义务;3.
证书持有者要求废止域名证书;4.
证书持有者主体消亡;5.
证书持有者变更域名证书的用途;6.
法律或法规要求的其他情况.
4.
3.
6.
2废止程序如出现本文第4.
3.
6.
1节规定的除第3条外的情况,CNNIC可信网络服务中心将主动废止域名证书并通知证书持有者.
证书持有者也有权自行申请废止证书,申请废止的流程如下:4.
3.
6.
3单域名,多域名证书废止如通过其他业务进行快速域名证书的申请者:1.
证书持有者提交电子版证书废止申请资料给本地受理点(LRA)录入员.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
CNNIC可信网络服务中心证书业务规则44通过电话分别与主管人(如有)、经办人进行确认.
5.
如果审核通过,RA审核员直接废止此域名证书.
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和经办人者联系交涉,按照拒绝原因进行相应修改,重新申请废止.
6.
系统将发布CRL公示该证书已经吊销、吊销时间及原因等.
4.
3.
6.
4废止效力CNNIC可信网络服务中心把废止状态发布到证书废止列表(CRL)中,即终止某一证书的使用效力.
4.
3.
6.
5请求证书废止的实体CNNIC可信网络服务中心或证书持有者可以在CPS第4.
3.
6.
1节所述情形下要求废止一个证书.
4.
3.
6.
6废止请求的流程当CNNIC可信网络服务中心有充分的理由相信需要废止证书时,CNNIC可信网络服务中心认证中心或注册中心的有关人员可以通过内部确定的流程提交废止证书的请求.
在证书废止后,CNNIC可信网络服务中心将通过适当的方式,包括邮件、传真等,通知证书持有者证书已被废止及被废止的理由.
证书持有者也可以通过废止程序自行要求废止自己的证书.
在证书持有者提交废止请求时,需同时提供证书申请时提供的资料作为身份鉴别的信息.

4.
3.
6.
7废止请求提出时限当发现出现CPS第4.
3.
6.
1节中的情况时,从发现需要废止证书到提出废止请求的时间间隔,不应超过24小时.
CNNIC可信网络服务中心证书业务规则454.
3.
6.
8CNNIC可信网络服务中心处理废止请求的时限CNNIC可信网络服务中心注册中心(RA)从接到废止请求(包括纸质资料)到完成处理请求的时间,不能超过两个工作日.
CNNIC可信网络服务中心工作日不包括周末和国家法定假日.
4.
3.
6.
9信赖方检查证书废止的要求信赖方是否检查证书废止完全取决于信赖方的安全要求.
4.
3.
6.
10CRL发布频率CNNIC可信网络服务中心中级根每隔7天签发一次证书废止列表(CRL).
如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
4.
3.
6.
11CRL发布的最大滞后时间一个域名证书从它被废止到它被发布到CRL上的滞后时间不超过168个小时.
如果中级根被废止,根签发的CRL则立即发布.
4.
3.
6.
12在线状态查询的可用性CNNIC可信网络服务中心提供证书状态的在线查询服务(OCSP),每周除最多四小时的定期维修及紧急维修外,该服务7*24小时可用.
4.
3.
6.
13废止信息的其他发布形式CNNIC可信网络服务中心目前提供HTTP服务的CRL查询.
CNNIC可信网络服务中心证书业务规则464.
3.
6.
14密钥损害的特别要求无论是证书持有者还是CNNIC可信网络服务中心,发现证书密钥受到安全损害时应立即废止证书.
4.
4证书冻结不适用.
CNNIC可信网络服务中心不支持证书冻结.
4.
5证书更新不适用.
CNNIC可信网络服务中心不支持密钥不更换的情况下的证书更新.
4.
6证书发布CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息.
4.
7计算机安全审计程序4.
7.
1记录事件类型CNNIC可信网络服务中心的重要安全事件,均以人工或自动记录在受保护的审计追踪记录内.
这类事件包括但不限于以下内容:可疑网络活动多次试图进入而不能访问与安装设备或软件、修改及配置CNNIC可信网络服务中心系统的有关事件相关人员访问CNNIC可信网络服务中心各组成部分的过程定期管理证书的操作同样也包括在审计追踪记录中,这些操作包括但不限于以下内容:CNNIC可信网络服务中心证书业务规则47处理废止证书的请求实际发出(包括证书注册、续费、补发等)、废止证书更新储存库资料汇编证书废止列表(CRL)并刊登新数据证书认证中心密钥转换档案备份紧急密钥恢复4.
7.
2处理记录的次数CNNIC可信网络服务中心每周均会处理审计追踪记录,用以审计追踪有关CNNIC可信网络服务中心行动、交易及程序.
4.
7.
3审计追踪记录保存期限存盘审计追踪记录文件的保存期为10年.
4.
7.
4审计追踪记录保护CNNIC可信网络服务中心处理审计追踪记录时实施多人式控制,可提供足够保护,避免有关记录意外受损或被人蓄意修改.
4.
7.
5审计追踪记录备份CNNIC可信网络服务中心每周均会按照预定程序为审计追踪记录作适当备份.
备份会另行离机储存,并获足够保护,以免被盗用、损毁及媒体衰变.

4.
7.
6审计追踪记录收集系统无CNNIC可信网络服务中心证书业务规则484.
7.
7安全事件通知CNNIC可信网络服务中心拥有自动监控系统,可向CNNIC可信网络服务中心适当人士或系统报告重要安全事件.
4.
7.
8脆弱性评估脆弱性评估是CNNIC可信网络服务中心风险评估的一部份:根据审计记录,CNNIC可信网络服务中心定期进行技术安全、管理安全方面的脆弱性评估,并根据评估报告采取加固措施.
4.
8记录归档4.
8.
1归档记录类型CNNIC可信网络服务中心须确保归档记录包括足够资料,从而确定证书是否有效以及以往是否运行妥当.
CNNIC可信网络服务中心应保存有以下数据:系统设备结构档案评估结果及设备合格复查记录证书业务规则所有版本对CNNIC可信网络服务中心具约束力的协议所有发出的证书及证书废止列表(CRL)定期事件记录其它用以核实归档内容的工作日志4.
8.
2归档保存期限上述归档记录至少妥善保存10年.
审计跟踪文档以CNNIC可信网络服务中心视为适当的方式存放.
CNNIC可信网络服务中心证书业务规则494.
8.
3归档保护CNNIC可信网络服务中心保存的归档介质受各种实体或加密措施保护,可避免未经授权进入.
保护措施用以保护归档介质免受温度、湿度及磁场等环境侵害.
4.
8.
4归档备份程序制作并保存归档的副本.
4.
8.
5时间戳归档资料均注明归档项目的开始时间及日期.
CNNIC可信网络服务中心利用控制措施防止擅自调校系统时钟.
4.
9密钥变更由CNNIC可信网络服务中心认证中心产生,并用以证明根据本CPS发出的证书的认证中心根密钥及证书寿命为期不超过二十年.
CNNIC可信网络服务中心证书认证机构密钥及证书在期满前至少三个月会进行更新.
更新为新根密钥后,相关的根证书也会公布供大众取用.
原先的根密钥则保留至第4.
8.
2节指定的最短的时限,以供核对用原根密钥签名的证书.
4.
10CNNIC可信网络服务中心服务终止在CNNIC可信网络服务中心服务终止的情况下,CNNIC可信网络服务中心将废止所有由CNNIC可信网络服务中心发布的证书.
并将CNNIC可信网络服务中心的归档记录移交给法律法规规定的机构.
在终止服务后,CNNIC可信网络服务中心会将证书认证机构的记录存盘10年(由终止服务日起计);这些记录包括根证书和中级根证书、已发出的域名证书、证书业务规则及证书废止列表(CRL).
CNNIC可信网络服务中心证书业务规则504.
11灾难恢复及密钥泄漏计划4.
11.
1灾难恢复计划CNNIC可信网络服务中心已经准备了妥善的业务连续性计划,包括每天备份主要业务信息和认证中心系统数据,并适当地备份认证中心系统的软件,以维持主要业务持续运营,保障在严重故障或灾难影响下仍可继续提供服务或在最短时间内恢复提供服务.
每年都会对业务连续性计划进行复查,并严格执行.
CNNIC可信网络服务中心在异地设有一个灾难恢复基地.
如发生严重故障或灾难,CNNIC可信网络服务中心会及时通知政府部门,并公布运营由生产基地转至灾难恢复基地.
在发生灾难后但稳妥可靠的环境尚未重新确立前:敏感性材料或仪器会安全地锁在设施内;若不能将敏感性材料或仪器安全地锁在设施内或这些物资或仪器有受损毁的风险,这些材料或仪器会移离设施并锁在其它临时设施内;设施的出入会实行访问控制,以防范盗窃或被人擅自访问.
4.
11.
2密钥泄漏应对计划业务连续性计划包含处理密钥泄漏的应对计划.
这些计划每年均会进行复检.
如根据本CPS用来签发域名证书的CNNIC可信网络服务中心根证书或中级根证书私钥信息泄漏,CNNIC可信网络服务中心会及时进行公布.
CNNIC可信网络服务中心的根证书或中级根证书私钥信息一旦泄漏,CNNIC可信网络服务中心会及时废止由此私钥签发的证书,然后签发新证书取代.
4.
11.
3密钥的转换在密钥信息泄漏或灾难情况下,CNNIC可信网络服务中心根据本CPS签发域名证书所使用的私钥信息泄漏或遭破坏而无法复原,CNNIC可信网络服务中CNNIC可信网络服务中心证书业务规则51心会进行公布.
公布内容包括已废止证书的名单、如何为证书持有者提供新的CNNIC可信网络服务中心根证书或中级根证书公开密钥及如何向证书持有者重新颁发证书.
5实体、程序及人员安全控制5.
1实体安全5.
1.
1选址及建造CNNIC可信网络服务中心运行在具备合理安全条件的地点.
在场地建造过程中,CNNIC可信网络服务中心已采取适当预防措施,为CNNIC可信网络服务中心运行做好准备.
5.
1.
2进入控制CNNIC可信网络服务中心实施合理的安全控制,限制访问CNNIC可信网络服务中心所使用的硬件及软件(包括服务器、工作站及任何外部加密硬件模块).
可访问上述硬件及软件的人员只限于本CPS第5.
2.
1节所述的履行可信职责的人员.
在任何时间都对上述访问进行控制及电子监控,以防发生未经授权入侵.

5.
1.
3电力及空调CNNIC可信网络服务中心设施可获得的电力和空调资源包括专用的空调系统,不间断电力供应系统(UPS)以及租用的电力公司的发电车,以备城市电力系统发生故障时供应电力.
5.
1.
4自然灾害CNNIC可信网络服务中心设施在合理可能的限度内可免受自然灾害影响.
CNNIC可信网络服务中心证书业务规则525.
1.
5防火及保护CNNIC可信网络服务中心已为其设施准备妥当防火计划及灭火系统.
5.
1.
6媒体介质存储媒体介质存储及处置程序已经准备妥当.
5.
1.
7场外备份CNNIC可信网络服务中心系统数据的适当备份会作场外储存,并获足够保护,以免被盗用、损毁及媒体衰变.
5.
1.
8保管印刷文件印刷文件(包括证书持有者的身份确认文件,管理文档等)由CNNIC可信网络服务中心妥为保存,只有授权人员可以取阅.
5.
1.
9废料处理根据正常的废料处理要求处理废料.
加密设备作废前根据设备生产商的指导,对其进行物理上的销毁或清零.
5.
2过程控制5.
2.
1可信职责可进入关键区域,控制密码或其它操作程序并可能会对证书的签发、使用、废止带来重大影响的CNNIC可信网络服务中心人员,应视作承担可信职责.
此类人员包括但不限于系统管理人员、操作员、工程人员及获委派监督CNNIC可信网络服务中心运作的行政人员.
CNNIC可信网络服务中心已为所有涉及CNNIC可信网络服务中心域名证书CNNIC可信网络服务中心证书业务规则53服务而承担可信职责的人员制定了相关管理制度,包括:˙按角色及责任制定各级实体及系统的操作控制流程˙详细职责划分规定5.
2.
2CNNIC可信网络服务中心与本地受理点(LRA)之间的文件及资料传递CNNIC可信网络服务中心及其所属注册中心(RA)与本地受理点(LRA)之间的所有文件及资料的传递,均在受控制及安全的方式下进行.
5.
2.
3年度评估CNNIC可信网络服务中心每年进行一次年度评估,以确保日常运营过程符合安全策略及其他流程控制相关规定.
5.
3人员控制5.
3.
1背景及资格CNNIC可信网络服务中心工作人员的背景、资历、经验等情况都进行核实和审查.
具备忠诚、可信赖及工作热情、无影响系统运行的其它兼职工作、无同行业重大错误记录、无违法记录等.
背景:要求政治素质高、业务优秀、有非常强的责任感,原则性强,无犯罪记录和不良记录;资历:精通本岗位工作,其所受教育、培训及工作经历保证足够胜任其工作;CNNIC可信网络服务中心工作人员及管理政策可合理确保CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的LRA人员的可信程度及胜任程度,并确保他们根据本CPS履行职责.
CNNIC可信网络服务中心证书业务规则545.
3.
2背景调查CNNIC可信网络服务中心(包括注册中心)对担任可信职责的人员进行调查(其聘用前及其后有需要时定期进行),以根据本CPS及CNNIC可信网络服务中心的人员策略要求核实工作人员的可信程度及胜任程度.
未能通过首次及定期调查的人员不得担任或继续担任可信职责.
5.
3.
3培训要求CNNIC可信网络服务中心(包括注册中心)工作人员已接受履行其职责所需要的初步培训.
CNNIC可信网络服务中心会提供持续培训,使人员能掌握所需最新工作技能.
5.
3.
4向人员提供的文件CNNIC可信网络服务中心(包括注册中心)人员会收到指导手册,详细描述证书的注册、续费、补发及废止程序及与其职责有关的其它软件功能.

6技术安全控制6.
1密钥的生成及安装6.
1.
1密钥对的生成根CA:根CA的密钥对由硬件加密设备直接产生,并且直接保存在该硬件加密设备(加密机)中,CNNIC可信网络服务中心使用的是国家商业密码管理委员会鉴定通过的加密硬件设备.
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人均没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
运营CA:运营CA的密钥对在本地的硬件加密设备上产生(硬件加密设备CNNIC可信网络服务中心证书业务规则55使用的是国家商业密码管理委员会鉴定通过的加密硬件设备),私钥不能出此加密硬件设备.
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
证书申请者:签名密钥对在证书申请者端产生,具有严密且安全的控制措施.
CA服务器不为证书申请者提供密钥生成服务.
CNNIC可信网络服务中心不为证书申请者提供密钥介质.
6.
1.
2公钥传送给证书签发机构证书申请者使用Web服务器软件把公钥封装成PKCS#10格式的证书请求发给CNNIC可信网络服务中心由CNNIC可信网络服务中心生成证书.
CNNIC可信网络服务中心将根据证书申请者提交的证书请求验证证书请求的完整性,CNNIC可信网络服务中心只处理完整的证书请求.
6.
1.
3CNNIC可信网络服务中心公钥发布CNNIC可信网络服务中心会把自己的公钥发布在网站上,以便最终实体获取.
6.
1.
4密钥的长度CNNIC可信网络服务中心的根证书和中级根证书密钥对为2048位RSA.
证书申请者密钥对也要求为2048位RSA.
6.
1.
5密码模块标准产生签名密钥、存储及签署操作在硬件密码模块进行.
硬件密码模块是由中国国家密码主管机构审查通过的安全产品,符合国家的相关规定.
CNNIC可信网络服务中心证书业务规则566.
1.
6密钥用途CNNIC可信网络服务中心域名证书使用的密钥可用于加密通讯.
CNNIC可信网络服务中心的根证书和中级根证书密钥只用于签发证书及证书废止列表(CRL).
6.
1.
7密钥销毁CNNIC可信网络服务中心的根证书和中级根证书密钥在失效以后归档保留10年,然后通过适当方法销毁.
归档的密钥在其归档期限结束后,需在多名可信人员参与的情况下安全销毁.
密钥的销毁将确保其私钥从硬件密码模块中彻底删除,不留有任何残余信息.
证书申请者私钥存在于证书申请者端,其证书过期后,应立即销毁私钥.
6.
2私钥保护和密码模块工程控制6.
2.
1密码模块标准CNNIC可信网络服务中心采用的硬件密码模块是由中国国家密码主管机构审查通过的安全产品,符合国家的相关规定.
硬件密码模块安置在安全区域,并在有至少三名加密机管理员(密钥管理员)在场的情况下才可以访问存储在加密机中的密钥.
备份与恢复加密机时也必须同时拥有三张管理员口令卡,才能对加密机进行备份与恢复的操作.
6.
2.
2私钥多人控制在所有管理员的大多数同时在场的情况下才可以访问存储在加密机中的密钥.
采取中国国家密码主管机构审查通过的保护措施保证加密机内密钥的安全性.
具体地说,CNNIC可信网络服务中心对根证书和中级根证书私钥的保护采用CNNIC可信网络服务中心证书业务规则57五人控制,三人必须同时到场的策略.
6.
2.
3私钥托管CNNIC可信网络服务中心的根证书和中级根证书私钥不托管给其他机构,CNNIC可信网络服务中心也不接受证书申请者的签名私钥托管.
6.
2.
4CNNIC可信网络服务中心私钥备份作为灾难恢复的一项措施,需要进行密钥备份.
CNNIC可信网络服务中心采用符合国家规定的硬件密码模块对根证书和中级根证书私钥进行加密和备份,备份存储在与硬件密码模块系统独立的系统内防止被窃.
在备份密钥时,必须由密钥管理员使用口令IC卡,启动密钥管理程序,执行密钥备份指令才能完成.
证书申请者私钥存放在证书申请者端,证书申请者宜根据其具体情况采用合适的手段对其私钥进行存储、备份和恢复.
6.
3密钥对管理的其它方面6.
3.
1公钥归档由管理员操作CNNIC可信网络服务中心证书和公钥的归档.
6.
3.
2私钥归档根证书和中级根证书密钥对到期后,这些密钥对将归档保存至少10年.
归档密钥对保存在6.
2.
1所述的硬件密码模块中,并且CNNIC的密钥管理策略和流程阻止归档密钥对返回到生产系统中.
归档密钥对超过归档保存期后,CNNIC可信网络服务中心将按CPS第6.
1.
7节规定对其进行销毁.
证书申请者私钥保存在证书申请者端,因此证书申请者私钥归档不适用.