证书同ip网站查询
同ip网站查询 时间:2021-03-17 阅读:()
中国互联网络信息中心(CNNIC)可信网络服务中心证书业务规则版本号:3.
07有效期:2015-11-02至2016-11-02中国互联网络信息中心(CNNIC)2015年11月02日CNNIC可信网络服务中心证书业务规则CNNIC可信网络服务中心证书业务规则版本控制表版本号主要修改说明完成时间V1.
00初次审核通过2007年5月15日V2.
00进行年审修改后,延长CPS有效期一年2008年4月8日V2.
01提供http协议的CRL下载2008年11月5日V2.
021、域名证书密钥对要求2048位2、赔付金额进行修改3、联络方式中的邮编修改4、年审完成,延长CPS有效期一年2009年3月19日V2.
031、证书主题中O项值修改2、多域名证书主题中CN项值修改3、证书申请所提交材料调整4、证书结构中证书项说明调整,与所发证书一致2009年4月14日V2.
041、参考号、授权码发放方式调整2、CP改为在储存库中公开发布3、对证书发布情况的说明进行调整2009年6月18日V2.
051、修改交叉认证描述,增加CNNIC中级根证书和Entrust根之间的关系说明2009年11月09日V2.
061、增加对根签发的证书废止列表的说明,相应对其他相关部分文字进行调整2010年02月02日V2.
071、延长有效期2010年04月08日V3.
01、增加快速域名证书的相关内容2、修改安全管理委员会工作方式3、取消对外ldap服务2011年4月07日V3.
011,修改"高级证书"名称为"标准服务器证书";删除"网址卫士"名称,并不再提供纸质版的网址卫士核准说明;2、修改标准证书审核内容;3、修改快速域名证书的相关流程;4、crl发布网址增加http://crl.
cnnic.
cn5、延长CPS有效期一年;2012年4月07日V3.
021、修改标准服务器证书申请提交资料2、修订CA相关人员背景调查内容3、增加电磁防护相关内容4、对国防类域名的申请审核流程做特殊说明2012年9月20日V3.
031、本地受地点提交到CNNIC的申请资料由纸质版原件变更为电子扫描件;2、标准服务器证书审核确认仅需和经办人进行电话确认;3、在灾难恢复计划中加入了CA服务在2013年6月24日CNNIC可信网络服务中心证书业务规则II灾难情况下系统停机时间,恢复时间内容.
V3.
041.
停止提供多域名证书域名修改服务.
2.
CNNIC将定期检查CABForum的SSLBaselineRequirement要求并承诺证书管理及签发符合该要求.
3.
CNNICCA加入24*7的应急处理机制.
2014年4月22日V3.
051.
证书审核通过后的参考号和授权码的16位直接发到用户指定的经办人邮箱,不再采用发送前13位,后3位由审核员单独发送的方式.
2015年1月20日V3.
061.
添加第五章二级根授权操作规范2.
在第八章中加入对二级根证书格式的说明.
2015年4月26日V3.
071.
添加对自然人申请证书时提交地址证明材料;2.
添加了申请证书主题里包含IP时的要求和补充资料.
3.
加入新SHA256算法的二级根.
4.
添加了二级根更新,密钥变更,和作废的内容.
2015年11月2日CNNIC可信网络服务中心证书业务规则I目录中国互联网络信息中心(CNNIC)可信网络服务中心I证书业务规则.
I1引言.
11.
1概述11.
2角色与责任11.
2.
1安全管理委员会11.
2.
2首席安全管理员11.
3适用性21.
3.
1CNNIC可信网络服务中心21.
3.
2最终实体.
31.
3.
3证书持有者分类41.
3.
4证书分类.
41.
3.
5证书有效期.
41.
3.
6从CNNIC可信网络服务中心申请证书51.
4联络方式51.
5处理投诉程序52总则.
52.
1义务52.
1.
1CNNIC可信网络服务中心认证中心(CA)义务62.
1.
2CNNIC可信网络服务中心注册中心(RA)义务.
62.
1.
3储存库义务.
62.
1.
4证书持有者义务72.
1.
5信赖方义务.
82.
2其它82.
2.
1合理技术及免责条款82.
2.
2责任限制.
92.
2.
3CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任.
112.
2.
4证书持有者的转让122.
2.
5陈述权限.
122.
2.
6更改.
122.
2.
7保留所有权.
122.
2.
8条款冲突.
122.
2.
9受信关系.
122.
2.
10交叉认证.
132.
3解释及执行(管辖法律)132.
3.
1管辖法律.
132.
3.
2条款可中止性、修改132.
3.
3争议解决程序.
132.
4证书费用14CNNIC可信网络服务中心证书业务规则II2.
4.
1证书.
142.
4.
2查询.
142.
4.
3废止.
142.
4.
4退款策略.
142.
4.
5其他费用.
142.
5公布资料及储存库142.
5.
1证书储存库控制152.
5.
2证书储存库进入要求152.
5.
3证书储存库更新周期152.
6遵从规定的评估152.
7机密性163鉴别及认证.
173.
1关于CNNICCA根证书的结构.
173.
2标准服务器证书命名及首次注册.
173.
2.
1名称类型.
173.
2.
2名称要求.
183.
2.
3申请者的匿名或伪名183.
2.
4理解不同名称形式的规则183.
2.
5名称唯一性.
183.
2.
6商标的识别、鉴证和角色193.
2.
7名称争端解决.
193.
2.
8标准服务器证书首次注册193.
2.
8.
1单域名,通配域名证书193.
2.
8.
2多域名证书.
203.
2.
8.
3证书主题中包含IP地址213.
2.
8.
4国防类域名申请注册标准服务器证书213.
3快速域名证书命名及首次注册.
223.
3.
1名称类型.
223.
3.
2名称要求.
233.
3.
3申请者的匿名或伪名233.
3.
4理解不同名称形式的规则233.
3.
5名称唯一性.
233.
3.
6商标的识别、鉴证和角色233.
3.
7名称争端解决.
243.
3.
8快速域名证书首次注册243.
3.
8.
1单域名证书、多域名证书243.
4证明拥有私钥的方法254操作规范.
254.
1关于CNNICROOT证书链下的证书签发.
254.
2标准服务器证书申请、签发、接受、废止及发布.
264.
2.
1证书申请.
264.
2.
2签发、接受证书264.
2.
3证书发布.
27CNNIC可信网络服务中心证书业务规则III4.
2.
4标准服务器证书补发274.
2.
5标准服务器证书续费及年检294.
2.
6多域名证书域名修改314.
2.
7证书废止.
324.
2.
8国防类域名标准服务器证书的申请,补发,续费,变更及废止.
364.
3快速域名证书申请、签发、接受、废止及发布.
364.
3.
1证书申请.
364.
3.
2签发、接受证书374.
3.
3证书发布.
374.
3.
4快速域名证书补发374.
3.
5快速域名证书的续费及年检394.
3.
6证书废止.
414.
4证书冻结444.
5证书更新444.
6证书发布444.
7计算机安全审计程序454.
7.
1记录事件类型.
454.
7.
2处理记录的次数454.
7.
3审计追踪记录保存期限454.
7.
4审计追踪记录保护464.
7.
5审计追踪记录备份.
464.
7.
6审计追踪记录收集系统464.
7.
7安全事件通知.
464.
7.
8脆弱性评估.
464.
8记录归档464.
8.
1归档记录类型.
464.
8.
2归档保存期限.
474.
8.
3归档保护.
474.
8.
4归档备份程序.
474.
8.
5时间戳.
474.
9密钥变更474.
10CNNIC可信网络服务中心服务终止484.
11灾难恢复及密钥泄漏计划.
484.
11.
1灾难恢复计划.
484.
11.
2密钥泄漏应对计划494.
11.
3密钥的转换.
494.
12CNNIC可信网络服务中心应急机制495二级根授权操作规范.
505.
1二级根授权基本管理流程.
505.
2二级根申请人资质评审.
515.
3二级根证书签发及记录.
525.
4二级根证书吊销处理525.
5二级根更新535.
65.
6二级根密钥变更.
54CNNIC可信网络服务中心证书业务规则IV6实体、程序及人员安全控制.
556.
1实体安全556.
1.
1选址及建造.
556.
1.
2进入控制.
556.
1.
3电力及空调.
556.
1.
4自然灾害.
556.
1.
5防火及保护.
556.
1.
6媒体介质存储.
566.
1.
7场外备份.
566.
1.
8保管印刷文件.
566.
1.
9废料处理.
566.
1.
10电磁防护.
566.
2过程控制566.
2.
1可信职责.
566.
2.
2CNNIC可信网络服务中心与本地受理点(LRA)之间的文件及资料传递.
576.
2.
3年度评估.
576.
3人员控制576.
3.
1背景及资格.
576.
3.
2背景调查.
586.
3.
3培训要求.
586.
3.
4向人员提供的文件587技术安全控制.
587.
1密钥的生成及安装587.
1.
1密钥对的生成.
587.
1.
2公钥传送给证书签发机构597.
1.
3CNNIC可信网络服务中心公钥发布597.
1.
4密钥的长度.
597.
1.
5密码模块标准.
597.
1.
6密钥用途.
607.
1.
7密钥销毁.
607.
2私钥保护和密码模块工程控制.
607.
2.
1密码模块标准.
607.
2.
2私钥多人控制.
607.
2.
3私钥托管.
617.
2.
4CNNIC可信网络服务中心私钥备份617.
3密钥对管理的其它方面.
617.
3.
1公钥归档.
617.
3.
2私钥归档.
617.
3.
3证书操作期和密钥对使用期限627.
4计算机安全控制627.
5生命周期技术安全控制.
627.
6网络安全控制627.
7密码模块工程控制63CNNIC可信网络服务中心证书业务规则V8证书及证书废止列表(CRL)结构638.
1证书结构638.
1.
1版本号.
638.
1.
2证书项说明.
638.
1.
3算法对象标识符668.
1.
4名称形式.
668.
1.
5名称限制.
668.
1.
6证书策略对象标识符678.
1.
7策略限制扩展项的用法678.
1.
8策略限定符的语法和语义678.
1.
9关键证书策略扩展项的处理规则678.
2证书废止列表(CRL)结构.
678.
2.
1版本号.
688.
2.
2CRL项.
688.
3OCSP688.
3.
1版本号.
698.
3.
2OCSP扩展项698.
3.
3OCSP请求.
698.
3.
4OCSP响应.
699CPS管理.
709.
1变更流程709.
2公告与通知709.
3CPS批准程序709.
4解释7111引言1.
1概述中国互联网络信息中心(CNNIC)可信网络服务中心(以下简称"CNNIC可信网络服务中心")为域名提供域名证书安全服务,因此根据IETF组织关于证书业务规则(CPS)的编写规范RFC3647编写了CNNIC可信网络服务中心的CPS,作为CNNIC可信网络服务中心的证书相关业务和系统的运行规范.
1.
2角色与责任1.
2.
1安全管理委员会CNNIC可信网络服务中心安全管理委员会负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构.
安全管理委员会的职责包括:收集与协调安全管理方面的问题和建议,达成一致意见;制定并维护CNNIC可信网络服务中心的证书策略文件(CP);对本CPS进行审核,以确保CPS与CP文件一致.
安全管理委员会应保证每年至少召开1次会议或进行1次文件会签,以对CNNIC可信网络服务中心相关制度规定进行检查修改和批准续期,并对中心运行状况进行通报.
此外,在有其他重要变更时,安全管理委员会应根据实际情况及时通过会议或文件会签的方式对重要事项进行讨论和审批.
安全管理委员会成员由来自于CNNIC领导、人力资源、财务、法律事务、安全管理等方面的代表组成.
1.
2.
2首席安全管理员首席安全管理员将全面负责CNNIC可信网络服务中心日常的各项安全事务,受CNNIC可信网络服务中心安全管理委员会授权,首席安全管理员可以执行变CNNIC可信网络服务中心证书业务规则2更CNNIC可信网络服务中心的安全策略,对CNNIC可信网络服务中心的安全管理进行定期的检查和评估,保持CNNIC可信网络服务中心的安全管理始终处在一个较先进的水平,具有较高的安全性和可信度.
随时追踪有关安全管理的最新动态,确保安全体系的先进性.
为保障CNNIC可信网络服务中心的安全、可靠运营,CNNIC可信网络服务中心首席安全管理员重点关注下面三个关键领域:开发安全策略,并协助程序开发和执行;维护安全策略和程序,使之保持完备性;审计安全策略及其实际执行情况的一致性.
CNNIC可信网络服务中心首席安全管理员拥有以下职责:经授权后建立和变更CNNIC可信网络服务中心安全策略和规范;管理交叉认证,发布CNNIC可信网络服务中心交叉认证协议,更新及撤消交叉认证;处理审计报告.
1.
3适用性1.
3.
1CNNIC可信网络服务中心根据本CPS,CNNIC可信网络服务中心履行证书认证机构的职能并承担其义务.
CNNIC可信网络服务中心是唯一根据本CPS授权发出证书的证书认证机构(见第2.
1.
1节).
1.
3.
1.
1CNNIC可信网络服务中心所作的陈述CNNIC可信网络服务中心向遵守本CPS第2.
1.
5节和其它有关条款的信赖方表明,CNNIC可信网络服务中心根据本CPS向证书持有者颁发证书.
1.
3.
1.
2生效经CNNIC可信网络服务中心签发的证书一经发出并由证书持有者接受,证书立即生效.
CNNIC可信网络服务中心证书业务规则31.
3.
1.
3CNNIC可信网络服务中心对本地受理点(LRA)授权的权利CNNIC可信网络服务中心可把履行本CPS及证书持有者协议的部分或全部工作的职责授权给本地受理点(LRA)执行.
无论有关职责是否由本地受理点(LRA)执行,CNNIC可信网络服务中心仍会负责履行本CPS及证书持有者协议.
本业务规则中的本地受理点(LRA)是指CNNIC认证的服务器证书注册服务机构.
1.
3.
2最终实体根据本证书业务规则,存在两类最终实体,包括证书持有者及信赖方.
证书持有者可以是"证书持有者个人"或"证书持有者机构".
信赖方信任CNNIC可信网络服务中心发出的任何类别或种类证书(包括但不限于域名证书).
特此澄清,信赖方信任的不是可信网络服务注册中心(以下简称"注册中心"或RA)或本地受理点(LRA)等证书注册机构,而是CNNIC可信网络服务中心.
CNNIC可信网络服务中心通过注册中心发出数字证书,而注册中心对信赖方并无任何职务职责,也不需对信赖方就发出数字证书而负责(见第2.
1.
2节).
1.
3.
2.
1证书持有者的保证及陈述申请人须签署或确定接受一份协议(按本CPS规定的条款),其中载有一条款.
申请人据此条款同意,申请人一经接受根据本CPS发出的证书,即表示其向CNNIC可信网络服务中心保证(承诺)并向所有其它有关人士(尤其是信赖方)做出陈述,在证书的有效期内,以下事实属实并将保持真实:除域名证书持有者及其授权者外,并无其它人士曾取用证书持有者的私人密钥.
使用与证书持有者域名证书所包含的公开密钥相关的证书持有者私人密钥所产生的每一数字签名实属证书持有者的数字签名.
证书所包含的所有资料及由证书持有者做出的陈述均属真实.
证书将只会用于符合本CPS认可并合法的用途.
在证书申请过程中所提供的所有资料,均不侵犯任何第三方的商标、服CNNIC可信网络服务中心证书业务规则4务标记、商号、公司名称或任何知识产权.
1.
3.
3证书持有者分类CNNIC可信网络服务中心的证书持有者就是域名持有者,可以是法人或自然人,但CNNIC可信网络服务中心并不区分他们.
1.
3.
4证书分类CNNIC可信网络服务中心根据本CPS提供域名证书服务,目前所颁发的域名证书品牌为"标准服务器证书"和快速域名证书两类证书,标准服务器证书存在不同的类型:单域名证书:CN是一个固定域名通配域名证书:CN是一个形式为"*.
xxx.
xxx"形式的域名多域名证书:CN是多个域名的并列,例如"CN=a.
xxx.
xxx,CN=b.
xxx.
xxx,CN=c.
xxx.
xxx",SAN扩展中包含这多个域名CNNIC可信网络服务中心颁发的标准服务器证书仅限于域名证书,确保信息传输加密传输的同时,也进一步体现该证书所属实体的信息,而不能用于其他用途.
快速域名证书存在不同的类型:单域名证书:CN是一个固定域名多域名证书:CN是多个域名的并列,例如"CN=a.
xxx.
xxx,CN=b.
xxx.
xxx,CN=c.
xxx.
xxx",SAN扩展中包含这多个域名CNNIC可信网络服务中心颁发的快速域名证书仅限于域名证书,保证网站与客户端之间的信息传输加密,不能用于其他用途.
1.
3.
5证书有效期根据本证书业务规则发出的新申请人的证书,其有效期可以为1至3年.
CNNIC可信网络服务中心证书业务规则51.
3.
6从CNNIC可信网络服务中心申请证书所有首次申请及证书废止或到期后的申请,申请人须依据本CPS规定的程序递交申请.
1.
4联络方式邮寄地址:北京349信箱6分箱CNNIC邮政编码:100190电话:86-10-58813000传真:86-10-58812666电子邮件地址:service@cnnic.
cn网址:http://www.
cnnic.
cn中文域名:http://中国互联网络信息中心.
CN通用网址:中国互联网络信息中心:CNNIC1.
5处理投诉程序CNNIC可信网络服务中心工作人员会尽快处理所有以书面及口头形式发起的投诉,不包括证书吊销类投诉,并在五个工作日内给予详细的答复.
若五个工作日内不能给予详细的答复,会向投诉人做出简要回复.
在可行范围内,CNNIC可信网络服务中心人员会在收到投诉后尽快以电话、电子邮件或信件与投诉人联络确认收到有关投诉并做出回复.
2总则2.
1义务CNNIC可信网络服务中心对证书持有者的义务由本CPS及与证书持有者达成的证书持有者协议进行约定.
对于非证书持有者的证书信赖方,CNNIC可信网络服务中心仅承诺采取合理技术避免根据本CPS签发、废止证书时对证书信CNNIC可信网络服务中心证书业务规则6赖方造成若干类型的损失及损害,并就责任做出限定.
2.
1.
1CNNIC可信网络服务中心认证中心(CA)义务根据条例,CNNIC可信网络服务中心为受认可的证书认证机构,负责使用稳定系统签发、废止证书及利用公开储存库发布证书撤销列表等信息.
根据本CPS,CNNIC可信网络服务中心所属认证中心有下述义务:a)接收注册中心的请求及时签发证书b)废止证书并及时发布证书废止列表(CRL)(见第4.
5节)c)定期查看来自CABForum的SSLBaselineRequirement基线要求的更新内容,并承诺将根据基线要求的内容进行CA系统及业务逻辑内容的升级调整,保证对服务器证书的签发及管理符合最新版本的SSLBaselineRequirement要求.
2.
1.
2CNNIC可信网络服务中心注册中心(RA)义务注册中心系统负责证书申请者证书的申请和审批及证书管理,并将证书申请信息传递到认证中心.
注册中心有下述义务:a)根据本CPS第3、4章规定,验证申请人所提交信息的准确性和真实性,并使验证通过的证书申请生效,将其安全传递给认证中心(CA),证书申请包括证书注册、补发、续费、废止、多域名修改等类型申请b)通知申请人有关已批准或被拒绝的证书申请(见第4.
1、4.
2、4.
3及4.
4节)c)通知证书持有者有关已废止的证书(见第4.
5.
1,4.
5.
2及4.
5.
3节)CNNIC可信网络服务中心仅有一个注册中心,设在CNNIC.
CNNIC可信网络服务中心确认LRA的身份,并授权LRA进行证书申请者注册的资料收集工作.
LRA有义务在证书申请者进行证书注册、补发、续费、废止、多域名修改时负责收集相关信息并初步验证这些信息的正确性.
2.
1.
3储存库义务CNNIC可信网络服务中心储存库应根据自己制定的策略,及时公布证书废止CNNIC可信网络服务中心证书业务规则7列表(CRL)及其他内容.
2.
1.
4证书持有者义务证书持有者负责:a)适当完成申请程序并在适当表格内签署或确定接受证书持有者协议;履行该协议规定其应承担的义务并确保在申请证书时所作的陈述准确无误.
b)准确地遵守本CPS所描述的关于完成证书的程序.
c)承诺使用合理预防措施来保护其证书私人密钥的机密性(即对其保密)及完整性以防丢失、泄露或未经授权使用.
d)发现其证书的私人密钥丢失或泄漏时,立即向CNNIC可信网络服务中心报告丢失或泄漏.
e)及时将证书持有者证书资料的任何变动通知给CNNIC可信网络服务中心.
f)出现下文4.
5.
1节所规定的废止证书的情形时,立即通知给CNNIC可信网络服务中心.
g)向CNNIC可信网络服务中心保证,并向所有证书信赖方表明,在证书的有效期内,以上第1.
3.
2.
1节所描述的事实真实.
h)在明知CNNIC可信网络服务中心根据本CPS可能废止证书的情况下,或证书持有者已提出废止申请,或CNNIC可信网络服务中心拟根据本CPS废止证书并通知证书持有者后,均不得在交易中使用证书.
i)在明知CNNIC可信网络服务中心根据本CPS可能废止证书的情况下,或证书持有者提出废止申请,或CNNIC可信网络服务中心拟根据本CPS废止证书并通知证书持有者后,须立即通知从事当时仍有待完成的任何交易的证书信赖方,并明确说明,用于该交易的证书需要废止(由CNNIC可信网络服务中心或经证书持有者申请),证书信赖方不得在交易中信任此证书.
j)证书的使用仅限于合法目的,并且符合相关的证书策略和本CPS(或其他公布的商业事项).
如果注册者有理由相信与证书所用的公钥相对应的CNNIC可信网络服务中心证书业务规则8私钥有泄密的危险,那么应及时通知CNNIC可信网络服务中心废止证书.
k)证书持有者承认,如其未能按照上述条款的规定履行其义务,则其应对可能造成的CNNIC可信网络服务中心或其信赖方的损失承担赔偿责任.
2.
1.
5信赖方义务信任CNNIC可信网络服务中心数字证书的证书信赖方负责:a)证书信赖方考虑过所有因素后并确信信任证书实属合理时,方可信任该证书.
b)在信任该证书前,确定使用证书是适合本CPS规定的用途,即仅信任CNNIC可信网络服务中心的证书用作域名证书.
c)在信任证书前查核证书废止列表(CRL)上的证书状态.
d)执行所有适当证书路径验证程序.
e)一旦信任了该证书,即表明同意接受本CPS所规定的责任限制的条款.
2.
2其它2.
2.
1合理技术及免责条款CNNIC可信网络服务中心将根据本CPS采取合理的技术及管理措施,向各证书持有者和信赖方行使其权利并履行其义务.
CNNIC可信网络服务中心不保证根据本CPS提供的服务不中断或无错误.
也就是说,尽管CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心根据CPS行使应有的权利及义务时采取合理的技术及管理措施,若证书持有者或信赖方遭受出自CPS中描述的公开密钥基础设施或与之相关的任何性质的债务、损失或损害,各证书持有者同意CNNIC可信网络服务中心及其注册中心无需承担任何责任、损失或损害.
CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心已采取合理程度的技术及管理措施的前提下,若证书持有者因信任另一证书持有者由CNNIC可信网络服务中心所发出的证书支持的虚假或伪造的数字签名而蒙受损失或损害,CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中CNNIC可信网络服务中心证书业务规则9心概不负责.
在CNNIC可信网络服务中心已采取合理的技术或管理手段以避免或减轻无法控制事件后果的前提下,若证书持有者因CNNIC可信网络服务中心不能控制的情况遭受不良影响,CNNIC可信网络服务中心概不负责.
CNNIC可信网络服务中心控制以外的情况包括但不限于互联网或电信或其它基础设施系统的不可用,或天灾、战争、军事行动、国家紧急状态、疫症、火灾、水灾、地震、罢工或暴乱或其它证书持有者或其它第三者的疏忽或蓄意不当行为.
2.
2.
2责任限制2.
2.
2.
1限制的合理性各证书持有者或信赖方必须同意,CNNIC可信网络服务中心按证书持有者协议及本CPS所列条件限制其法律责任实属合理.
2.
2.
2.
2可追讨损失种类的限制CNNIC可信网络服务中心若违反《证书持有者协议》或者出现任何职务职责的情况下,而造成证书持有者或信赖方遭受损失及损害的,CNNIC可信网络服务中心不负责下述原因造成的损失及损害的赔偿:a)任何直接或间接利润或收入损失、信誉或商誉损失或伤害、任何商机损失、失去项目、或失去或无法使用任何数据、设备或软件;b)任何间接、相应而生或附带引起的损失或损害.
2.
2.
2.
3限额即使是CNNIC可信网络服务中心违反《证书持有者协议》或者负有任何职务职责的情况下,而造成证书持有者或信赖方蒙受损失及损害,对于任何证书持有者、或任何信赖方,CNNIC可信网络服务中心所负法律责任限于在任何情况下每张域名证书不得超过证书购买价格的10倍.
CNNIC可信网络服务中心证书业务规则102.
2.
2.
4提出赔偿的时限证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.
2.
2.
2.
5故意不当行为的责任任何因欺诈或故意不当行为的责任均不在本CPS、证书持有者协议或CNNIC可信网络服务中心签发的证书的任何限制或除外规定范围内.
2.
2.
2.
6证书责任限制通知CNNIC可信网络服务中心签发证书已经作出如下责任限制通知:"CNNIC可信网络服务中心职员按CNNIC可信网络服务中心签署的证书业务规则所载条款,在条件适用于本证书的情况下,根据相关规定作为证书认证机构签发本证书.
因此,任何人士信任本证书前均应阅读适用于域名证书的证书业务规则(可浏览http://tns.
cnnic.
cn).
中华人民共和国法律适用于本证书,信赖方须承认因信任本证书而引致的任何争议或问题属于中华人民共和国法律管辖.
如果信赖方不接受本证书用来签发的条款及条件,则不应信任本证书.
CNNIC可信网络服务中心签发本证书,但无须对信赖方承担任何责任或职务职责.
信赖方信任本证书前确保信任行为公平合理无恶意,方可信任本证书;信任本证书前,确定证书的使用就CPS规定的用途而言实属适当;信任本证书前,根据证书废止列表(CRL)检查本证书的状态,并履行所有适当证书路径验证程序.
尽管CNNIC可信网络服务中心已采取合理技术及管理措施,若本证书仍在任何方面存在不准确或误导,则CNNIC可信网络服务中心对信赖方的任何损失CNNIC可信网络服务中心证书业务规则11或损害不承担任何责任.
若本证书在任何方面存在不准确或误导,而这种不准确或误导是因CNNIC可信网络服务中心的疏忽所导致,则CNNIC可信网络服务中心将可以因合理信任本证书中的这种不准确或误导事项而造成的经证实损失向每名信赖方支付最多为证书购买价格的10倍,只有这种损失不属于并且不包括(1)任何直接或间接损失,包括利润或收入损失、信誉或商誉损失或伤害、商机或契机损失、失去项目、失去或无法使用任何数据、设备或软件等;(2)任何间接、相应而生或偶然引起的损失或损害.
在该等情况下根据条例适用于本证书的信任额度为证书购买价格的10倍.
证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.
若本证书包含任何由CNNIC可信网络服务中心做出的故意或罔顾后果的失实陈述,则本证书并不就这类对因合理信任本证书中的失实陈述而遭受损失的信赖方所应承担的法律责任做出任何限制.
本文所描述的法律责任限制不适用于个人伤害或死亡的(不大可能发生的)情形.
"2.
2.
3CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任若证书持有者接受证书后发现,因证书包含的私人密钥或公开密钥出现差错,导致基于公开密钥基础设施的交易无法适当完成或根本无法完成,则证书持有者须将这种情况立即通知CNNIC可信网络服务中心,以便废止证书并重新签发.
或者在接受证书后三个月内发现这种情况且证书持有者不再需要证书,则在CNNIC同意的前提下,可以申请退款.
如果证书持有者在接受证书三个月后才将这类差错通知CNNIC,则将不会退还持有者已缴纳的费用.
CNNIC可信网络服务中心证书业务规则122.
2.
4证书持有者的转让证书持有者不可转让证书持有者协议或证书赋予的权利,任何转让行为均属无效.
2.
2.
5陈述权限除非获得CNNIC可信网络服务中心授权,CNNIC可信网络服务中心或注册中心的代理人或工作人员无权代表CNNIC可信网络服务中心对本CPS的含义或解释作任何陈述.
2.
2.
6更改CNNIC可信网络服务中心有权更改本CPS,更改发布之前CNNIC会审计方对修改内容沟通确认内容符合WebTrust审计标准.
证书持有者协议不得做出修改或变更,除非符合本CPS中的修改或变更规定,或获得CNNIC可信网络服务中心的明确书面同意.
2.
2.
7保留所有权根据本CPS签发的证书上所有资料的实体权利、版权及知识产权均属CNNIC可信网络服务中心所有.
2.
2.
8条款冲突若本CPS与证书持有者协议或其它规则、指引、协议有冲突,证书持有者、信赖方及CNNIC可信网络服务中心须受本CPS条款约束,除非该等条款受法律禁止.
2.
2.
9受信关系CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心并非CNNIC可信网络服务中心证书业务规则13证书持有者或信赖方的代理人或其它代表.
证书持有者及信赖方无权以协议或其它方式约束CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心承担证书持有者或信赖方的代理人或其它代表的责任.
2.
2.
10交叉认证CNNIC可信网络服务中心在所有情形下均保留与其他证书认证机构定义及确定适当理由进行相互交叉认证的权利.
通过与Entrust公司之间的协议,CNNIC可信网络服务中心中级根证书CNNICSSL同时也被Entrust公司的根证书所信任,CNNIC可信网络服务中心所发出的域名证书可以通过不同的证书路径分别从CNNIC根证书和Entrust根证书两个信任锚进行认证.
2.
3解释及执行(管辖法律)2.
3.
1管辖法律本CPS受中华人民共和国法律管辖.
2.
3.
2条款可中止性、修改若本CPS的任何条款被宣布为非法、不可执行或无效,则应删除其中任何非法的词语,直至该等条款成为合法及可执行为止,同时应保留该等条款的本意.
本CPS的任何条款的不可执行性将不损害任何其它条款的可执行性.
CNNIC可信网络服务中心拆分或合并可能导致其经营范围、管理和运营状况的改变.
这种情况下,可能也需要修改本CPS.
经营活动的改变会与CPS的修改相一致.
2.
3.
3争议解决程序若当事人之间的争议无法友好协商解决,应提交中国国际经济贸易仲裁委员会进行仲裁.
仲裁的裁决是终局性的,对当事人均有约束力.
仲裁的裁决过程采CNNIC可信网络服务中心证书业务规则14用中文记录,仲裁裁决由有管辖权的法院执行.
2.
4证书费用2.
4.
1证书标准服务器证书(包括单域名证书、通配域名证书、多域名证书)及快速域名证书(包括单域名证书、多域名证书)注册、续费、补发,以及多域名证书域名修改为收费服务,其费用根据市场和管理部门的规定自行决定.
2.
4.
2查询CNNIC可信网络服务中心证书查询现阶段为免费服务.
2.
4.
3废止CNNIC可信网络服务中心证书废止现阶段为免费服务.
2.
4.
4退款策略CNNIC可信网络服务中心证书费用在证书签发后概不退还.
2.
4.
5其他费用CNNIC可信网络服务中心除收取证书注册费、更新费(续费)、补发费、多域名证书域名修改费用外,暂不收取其他费用.
2.
5公布资料及储存库本文为CNNIC可信网络服务中心证书业务规则(CPS),在CNNIC可信网络服务中心网站发布,CNNIC可信网络服务中心网址为http://www.
cnnic.
cn,http://crl.
cnnic.
cnCNNIC可信网络服务中心维持一个储存库,包含最新的根和中级根所签发的CNNIC可信网络服务中心证书业务规则15证书废止列表(CRL)、CNNIC可信网络服务中心中级根证书和根证书、本CPS以及CNNIC可信网络服务中心证书策略(CP)文本一份以及其它相关资料.
除每周最多四小时的定期维修及紧急维修外,储存库保持每天24小时、每周7天开放.
CNNIC可信网络服务中心储存库可通过下述URL访问:http://www.
cnnic.
cn,http://crl.
cnnic.
cn公布资料和储存库允许所有互联网用户访问,但仅允许CNNIC可信网络服务中心管理员更新.
2.
5.
1证书储存库控制储存库所在位置可供在线浏览,并可防止擅自修改.
2.
5.
2证书储存库进入要求经授权的CNNIC可信网络服务中心工作人员方可进入储存库更新及修改内容.
2.
5.
3证书储存库更新周期CNNIC可信网络服务中心储存库内中级根签发的证书废止列表(CRL)每12小时更新一次.
如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
储存库中其他内容根据变更情况随时更改.
2.
6遵从规定的评估根据中华人民共和国的相关法律的规定,至少每12个月进行一次由外部独立的审计机构主持进行的规定遵从情况的评估,查清CNNIC可信网络服务中心签发、废止证书及公布证书废止列表(CRL)的系统是否严格遵守本CPS和CNNIC可信网络服务中心相关的控制措施.
CNNIC可信网络服务中心证书业务规则16审计内容包括:a)公布的商业事项b)服务的完整性(包括对密钥和证书生命周期管理的控制)c)环境控制审计结果应通报给CNNIC可信网络服务中心安全管理委员会.
由其安排CNNIC可信网络服务中心将根据具体的审计意见确定改进方案,采取改进行动.
2.
7机密性保密信息包括:a)证书持有者的签名私钥是保密的,不向CNNIC可信网络服务中心提供b)CNNIC可信网络服务中心的经营和控制专用的信息,都由CNNIC可信网络服务中心秘密保管;除非法律另有规定,否则不能对外泄漏.
c)除在证书、CRL、证书政策、CPS中公开发布的信息之外的有关证书持有者的信息,是保密信息;除非有证书政策要求,或法律另行规定,否则一律不能对外公开.
d)一般来说,每年的审计结果应该保密,除非CNNIC可信网络服务中心安全管理委员会认为有必要公布审计结果.
非保密信息包括:a)由CNNIC可信网络服务中心签发的证书以及CRL中所包括的信息是非保密信息.
b)CNNIC可信网络服务中心公布的CPS中的信息(或其他公布的商业事项)是非保密信息.
c)当CNNIC可信网络服务中心废止某一证书时,CRL中列出了证书的废止理由.
该废止理由的代码是非保密信息,所有其他证书持有者和证书信赖方都可以分享该信息.
但是,有关废止的其他细节一般不公布.
CNNIC可信网络服务中心将根据法律规定,应执法人员的执法要求公开信息.
CNNIC可信网络服务中心将根据信息持有人要求向其他方公布有关信息CNNIC可信网络服务中心证书业务规则17持有人的信息.
3鉴别及认证3.
1关于CNNICCA根证书的结构CNNICROOTCNNICSHA256SSLCNNICSSLCNNICDQSSL其中CNNICROOT为根证书,CNNICSHA256SSL为支持SHA256算法的标准证书的中级根证书,CNNICSSL为标准服务器证书的中级根证书,CNNICDQSSL为快速域名证书的中级根证书.
3.
2标准服务器证书命名及首次注册3.
2.
1名称类型根据证书对应实体的类型不同,CNNIC可信网络服务中心签发的证书的实体名字可以是单个域名或多个域名,命名符合X.
500甄别名规定.
CNNIC可信网络服务中心所发证书的签发者和主题域中包含X.
500甄别名.
CNNIC可信网络服务中心所发证书的主题甄别名由下面的内容组成:CNNIC可信网络服务中心根证书主题甄别名国家(C)=CN机构(O)=CNNIC通用名(CN)=CNNICROOTCNNIC可信网络服务中心中级根证书主题甄别名国家(C)=CN机构(O)=CNNICSHA256SSLCNNIC可信网络服务中心证书业务规则18通用名(CN)=CNNICSHA256SSLCNNIC可信网络服务中心中级根证书主题甄别名国家(C)=CN机构(O)=CNNICSSL通用名(CN)=CNNICSSL域名证书的主题域中包含一个X.
500甄别名,它由如下的内容组成:国家(C)=CN机构(O)=证书持有者名称组织单元(OU)=证书持有者或持有者下属的部门通用名(CN)=一般为网站域名或IP地址(该字段仅包含多域名中的第一个域名,所有的域名将在SubjectAlternativeName即SAN中并列显示)地区(L)=所在城市省(S)=所在身份3.
2.
2名称要求CNNIC可信网络服务中心签发的证书包含的命名应由域名、证书持有者名称与CNNIC可信网络服务中心证书固定的内容构成.
3.
2.
3申请者的匿名或伪名申请者不能使用匿名或伪名申请证书,证书中也不能使用匿名或伪名.
3.
2.
4理解不同名称形式的规则依X.
500甄别名命名规则解释.
3.
2.
5名称唯一性CNNIC可信网络服务中心签发给某个实体的证书,其主题甄别名,在CNNIC可信网络服务中心信任域内是唯一的.
CNNIC可信网络服务中心证书业务规则193.
2.
6商标的识别、鉴证和角色CNNIC可信网络服务中心签发的证书的主题甄别名只与域名、证书持有者名称相关,而与商标无关.
3.
2.
7名称争端解决名称争端由CNNIC可信网络服务中心根据具体情况进行最终裁决.
3.
2.
8标准服务器证书首次注册3.
2.
8.
1单域名,通配域名证书1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书注册申请书原件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
证书申请人为自然人时,还需提交证明其所在地址的资料.
2.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
3.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
CNNIC可信网络服务中心证书业务规则204.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人.
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
3.
2.
8.
2多域名证书1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书注册申请书原件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
2.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到多域名证书的所有域名注册者资料,查看这些域名注册者是否分别和域名证书申请者一致,初步审核确定各域名证书申请者确实拥有此域名.
3.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
初步审核不通过,即某域名证书申请者与域名注册者不一致,则要求此域名证书申请者修改域名注册者资料,然后受托机构才能再次前来申请多域名证书,或者在此多域名证书内去掉资料不一致的域名.
4.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whoisCNNIC可信网络服务中心证书业务规则21功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人,.
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
3.
2.
8.
3证书主题中包含IP地址当申请人提交的证书申请中包含IP地址时,在提交3.
2.
8.
1中申请资料的同时,还有如下要求:1.
确认该IP地址不能被IANA标记为ReservedIP地址;2.
CNNIC将要求申请人提交证明资料确认其拥有该IP的使用权,方式可以是提供IP地址分配机构出具的证明资料,或者通过要求申请人在该IP地址的网站添加特定信息的方式进行证明.
.
3.
2.
8.
4国防类域名申请注册标准服务器证书由于国防类单位无组织机构代码证和营业执照,CNNIC将授权由本地受理点"北京神州长城通信技术发展中心域名注册服务机构"对申请单位进行审核,并出具证明函.
"中国长城互联网络信息中心"(又称:北京神州长城通信技术发展中心域名注册服务机构),是由中国工业和信息化部授权唯一一家负责国防类域名的注册管理和注册服务机构,该机构将负责对所有申请服务器证书的国防类机构和申请人员进行严格审核和保证.
证书申请需提交如下资料:证书申请书原件(加盖公章)国防类单位申请标准服务器证书证明函原件(加盖公章)申请经办人的身份证复印件收到申请资料后的审核流程如下:1.
本地受理点审核人员对申请人资料进行审核,通过国防类域名whois专用系统,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证CNNIC可信网络服务中心证书业务规则22书申请者一致,审核确定域名证书申请者确实拥有此域名.
2.
本地受理点审核人员通过电话与经办人进行确认.
3.
本地受理点要求申请单位填写国防类域名申请标准服务器证书证明函(需申请单位和本地受理点同时加盖公章).
4.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
5.
CNNIC审核员与申请单位进行电话确认.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人.
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
3.
3快速域名证书命名及首次注册3.
3.
1名称类型根据证书对应域名所属的安装方式不同,CNNIC可信网络服务中心签发的证书分为单个域名或多个域名,命名符合X.
500甄别名规定.
CNNIC可信网络服务中心所发证书的签发者和主题域中包含X.
500甄别名.
CNNIC可信网络服务中心所发证书的主题甄别名由下面的内容组成:CNNIC可信网络服务中心根证书主题甄别名国家(C)=CN机构(O)=CNNIC通用名(CN)=CNNICROOTCNNIC可信网络服务中心快速域名证书的中级根证书主题甄别名通用名(CN)=CNNICDQSSL机构(O)=CNNIC国家(C)=CNCNNIC可信网络服务中心证书业务规则23快速域名证书的主题域中包含一个X.
500甄别名,它由如下的内容组成:国家(C)=CN机构(O)=这个属性包括单个域名(单域名证书的域名字段或多域名证书的第一个域名字段通用名(CN)=这个属性包括单个域名(单域名证书)或多域名的并列(多域名证书)3.
3.
2名称要求CNNIC可信网络服务中心签发的快速域名证书包含的命名应由域名与CNNIC可信网络服务中心证书固有的内容构成.
3.
3.
3申请者的匿名或伪名申请者不能使用匿名或伪名申请证书,证书中也不能使用匿名或伪名,证书中仅对申请的域名进行体现.
3.
3.
4理解不同名称形式的规则依X.
500甄别名命名规则解释.
3.
3.
5名称唯一性CNNIC可信网络服务中心签发给某个实体的证书,其主题甄别名,在CNNIC可信网络服务中心信任域内是唯一的.
3.
3.
6商标的识别、鉴证和角色CNNIC可信网络服务中心签发的证书的主题甄别名只与域名相关,而与商标无关.
CNNIC可信网络服务中心证书业务规则243.
3.
7名称争端解决名称争端由CNNIC可信网络服务中心根据具体情况进行最终裁决.
3.
3.
8快速域名证书首次注册3.
3.
8.
1单域名证书、多域名证书A、证书申请经办人提交申请资料给本地受理点(LRA)录入员,如果申请者为经过CNNIC域名注册审核过的CN域名或"中国"域名用户时,域名注册申请资料视同于快速域名证书申请资料,域名经过CNNIC实名制审核视同于符合快速域名申请资料审核.
CNNIC审核CN域名或"中国"域名注册申请时,会审核申请经办人的身份证明、营业执照或组织机构代码证.
1.
证书申请人需要提交以下内容给受理点:电子申请确认函的确认,其中包括申请协议;2.
用户提交申请后,本地受理点(LRA)将对用户提交资料做初次审核,然后将用户申请信息在CNNICWebRA系统中提交,系统自动判断申请域名是否为CN域名或"中国"域名并判断如下内容,域名持有人是否通过联系人实名认证,即是否在白名单;域名是否通过审核;申请的公司名称和返回的域名的公司名称是否一致;域名注册时的电话和白名单返回是否一致3.
当上述4点要求同时确认通过,将认可此次申请;4.
当系统认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
5.
经办人通过证书注册链接登录后,需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
B、如果申请者为未经过CNNIC实名认证过的CN域名或"中国"域名及其他类型域名时,则按以下流程进行进行.
CNNIC可信网络服务中心证书业务规则251.
证书申请人需要提交以下内容给受理点:电子申请确认函的确认,其中包括申请协议;申请经办人的身份证明复印件;营业执照复印件(加盖公章)或组织机构代码证复印件(加盖公章).
2.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
3.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
本地受理点初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
4.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
5.
当审核员认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
6.
经办人通过证书注册链接登录后,系统需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
3.
4证明拥有私钥的方法CNNIC可信网络服务中心通过使用附带数字签名的PKCS#10格式的证书请求,验证证书申请者拥有与证书公钥对应的私钥.
4操作规范4.
1关于CNNICROOT证书链下的证书签发在CNNICROOT证书链下签发的证书,当前分为两种类型,一种为标准服务器证书CNNIC可信网络服务中心证书业务规则26一种为快速域名证书,在证书冻结、证书更新及证书发布环节两种证书在CNNICCA中心有着相同的业务处理流程,其他环节中标准服务器证书与快速域名证书有着不同,现以不同的章节进行体现.
4.
2标准服务器证书申请、签发、接受、废止及发布4.
2.
1证书申请4.
2.
1.
1处理申请申请标准服务器证书的经办人必须到CNNIC指定的CNNIC可信网络服务中心本地受理点处递交申请.
CNNIC可信网络服务中心(包括注册中心)不直接面对申请者接受申请.
4.
2.
1.
2身份审核用以证明证书持有者机构、经办人及经办人身份的文件,在本CPS第3.
2节说明,申请者需要按照本CPS第3.
2节进行申请操作.
CNNIC可信网络服务中心注册中心完成核对身份手续后,将下载证书所必须的参考号、授权码发送给证书申请经办人.
4.
2.
2签发、接受证书4.
2.
2.
1单域名,通配域名证书单域名及通配域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信CNNIC可信网络服务中心证书业务规则27网络服务中心的服务.
4.
2.
2.
2多域名证书多域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信网络服务中心的服务.
4.
2.
3证书发布CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息.
4.
2.
4标准服务器证书补发在CNNIC可信网络服务中心的证书体系中,证书补发需要重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件.
新证书补发后,原证书立即作废,新证书截至有效期与原证书相同.
4.
2.
4.
1单域名,通配域名证书补发1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书补发申请书原件.
证书申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
CNNIC可信网络服务中心证书业务规则282.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人.
如果未确认通过,则拒绝证书补发,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请补发.
6.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
4.
2.
4.
2多域名证书补发1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书补发申请书原件.
证书申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人,.
如果未确认通过,则拒绝证书补发,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请补发.
CNNIC可信网络服务中心证书业务规则296.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
4.
2.
5标准服务器证书续费及年检在证书持有者证书到期前,证书持有者需要获得新的证书以保持证书使用的连续性.
证书持有者产生一个新的密钥对代替过期的密钥对,称作"密钥更新".
然而,在某些情况下,证书持有者希望为一个现存的密钥对申请一个新证书,称作"证书更新".
在CNNIC可信网络服务中心的证书体系中,证书续费需要证书持有者重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求证书持有者使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件CSR(即必须进行"密钥更新").
证书续费期为当前证书失效前3个月内,在此之前或之后CNNIC可信网络服务中心将拒绝续费申请.
续费之后,新的证书下载后应该立即安装.
续费的有效期顺延:新证书失效期=当前时间+新购证书的时间长度+当前证书剩余的时间长度.
4.
2.
5.
1单域名,通配域名证书续费1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
CNNIC可信网络服务中心证书业务规则30证书续费申请书原件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人,.
如果未确认通过,则拒绝证书续费,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请续费.
6.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
4.
2.
5.
2多域名证书续费1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书续费申请书原件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
CNNIC可信网络服务中心证书业务规则312.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人,.
如果未确认通过,则拒绝证书续费,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请续费.
6.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
4.
2.
5.
3关于各类型证书年检证书的年检是指为了确保用户信息的有效性,对于申请年限多余1年的证书将实行年检制度.
即每年审核员将进行用户信息有效性的年检,年检流程同于申请流程,只是无需用户再提交资料,而是由CNNIC可信网络服务中心自行发起到第三方进行年检.
4.
2.
6多域名证书域名修改不适用.
CNNIC可信网络服务中心停止提供多域名证书域名修改服务.
如用户的多域名证书中域名需要变更,请参照证书的首次申请流程进行办理.
CNNIC可信网络服务中心证书业务规则324.
2.
7证书废止4.
2.
7.
1废止的情形以下情况,CNNIC将在24小时之内吊销该证书:d)订户书面要求吊销该证书;e)订户通知CNNIC原始的证书请求未得到授权且不会被追朔给予授权;f)CNNIC得到证据订户的密钥对泄露或者是一个弱的密钥对;g)CNNIC得到证据订户的证书被错误使用;h)CNNIC发现证书订户违反了与CNNIC之间的用户协议;i)CNNIC发现任何指示证书中的域名或IP地址已不允许被合法使用(包括法庭或仲裁吊销了域名注册人使用域名的权利,或者域名注册人与注册机构之间的协议到期,或者域名注册人没有续注)j)CNNIC发现通配证书被用来验证一个欺骗性的子域名网站;k)CNNIC发现证书中信息已经发生了变更的资料;l)CNNIC发现该证书没有符合CP或CPS中的要求进行签发;m)CNNIC发现该证书中有任何不准确的或有错误导向的信息;n)CNNICCA系统停止运营,且没有安排其他的CA机构对该证书提供吊销支持;o)CNNIC发现签发该证书的二级根的私钥可能发生了泄露;p)根据CNNIC的CP或CPS要求进行吊销或者1.
证书的格式或者技术参数对于应用软件提供商或其他依赖方呈现出不可接受的风险.
(例如证书中使用的签名算法,或者算法长度已经不安全).
4.
2.
7.
2废止程序如出现本文第4.
5.
1节规定的除第3条外的情况,CNNIC可信网络服务中心将主动废止域名证书并通知证书持有者.
证书持有者也有权自行申请废止证书,申请废止的流程如下:CNNIC可信网络服务中心证书业务规则334.
2.
7.
3单域名,通配域名证书废止1.
证书持有者提交证书废止申请资料的电子扫描件给本地受理点(LRA)录入员.
证书废止申请书原件.
申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与经办人进行确认.
5.
如果审核通过,RA审核员直接废止此域名证书.
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和经办人者联系交涉,按照拒绝原因进行相应修改,重新申请废止.
4.
2.
7.
4多域名证书废止1.
证书持有者提交证书废止申请资料的电子扫描件给本地受理点(LRA)录入员.
证书废止申请书原件.
申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息CNNIC可信网络服务中心证书业务规则34对比.
通过电话与经办人进行确认.
5.
如果审核通过,RA审核员直接废止此域名证书.
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和证书申请者联系交涉,按照拒绝原因进行相应修改,重新申请废止.
4.
2.
7.
5废止效力CNNIC可信网络服务中心把废止状态发布到证书废止列表(CRL)中,即终止某一证书的使用效力.
4.
2.
7.
6请求证书废止的实体CNNIC可信网络服务中心或证书持有者可以在CPS第4.
5.
1节所述情形下要求废止一个证书.
4.
2.
7.
7废止请求的流程当CNNIC可信网络服务中心有充分的理由相信需要废止证书时,CNNIC可信网络服务中心认证中心或注册中心的有关人员可以通过内部确定的流程提交废止证书的请求.
在证书废止后,CNNIC可信网络服务中心将通过适当的方式,包括邮件、传真等,通知证书持有者证书已被废止及被废止的理由.
证书持有者也可以通过废止程序自行要求废止自己的证书.
在证书持有者提交废止请求时,需同时提供证书申请时提供的资料作为身份鉴别的信息.
4.
2.
7.
8废止请求提出时限当发现出现CPS第4.
5.
1节中的情况时,从发现需要废止证书到提出废止请求的时间间隔,不应超过24小时.
CNNIC可信网络服务中心证书业务规则354.
2.
7.
9CNNIC可信网络服务中心处理废止请求的时限CNNIC可信网络服务中心注册中心(RA)从接到废止请求(包括资料的电子扫描件)到完成处理请求的时间,不能超过两个工作日.
CNNIC可信网络服务中心工作日不包括周末和国家法定假日.
4.
2.
7.
10信赖方检查证书废止的要求信赖方是否检查证书废止完全取决于信赖方的安全要求.
4.
2.
7.
11CRL发布频率CNNIC可信网络服务中心中级根每隔12个小时签发一次证书废止列表(CRL).
4.
2.
7.
12如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
CRL发布的最大滞后时间一个域名证书从它被废止到它被发布到CRL上的滞后时间不超过12小时.
如果中级根被废止,根签发的CRL则立即发布.
4.
2.
7.
13在线状态查询的可用性CNNIC可信网络服务中心提供证书状态的在线查询服务(OCSP),每周除最多四小时的定期维修及紧急维修外,该服务7*24小时可用.
4.
2.
7.
14在线状态查询要求信赖方是否进行在线状态查询完全取决于信赖方的安全要求.
对于安全保障要求高并且完全依赖证书进行身份鉴别与授权的应用,信赖方在信赖一个证书前CNNIC可信网络服务中心证书业务规则36可通过证书状态在线查询系统检查该证书的状态.
4.
2.
7.
15废止信息的其他发布形式CNNIC可信网络服务中心目前只提供OCSP查询,以及通过LDAP目录服务和HTTP服务提供CRL查询.
4.
2.
7.
16密钥损害的特别要求无论是证书持有者还是CNNIC可信网络服务中心,发现证书密钥受到安全损害时应立即废止证书.
4.
2.
8国防类域名标准服务器证书的申请,补发,续费,变更及废止.
国防类域名使用标准服务器证书的申请,补发,续费,变更及废止和本文3.
2.
8.
3章节中申请证书时提供的审核资料和审核流程保持一致.
4.
3快速域名证书申请、签发、接受、废止及发布4.
3.
1证书申请4.
3.
1.
1处理申请如通过其他业务进行快速域名证书的申请者,必须到指定地点提交相应的证明材料,必须到指定的URL地址提交申请,CNNIC可信网络服务中心(包括注册中心)不直接面对申请者接受申请.
4.
3.
1.
2身份审核用以证明证书持有者机构、经办人及经办人身份的文件,在本CPS第3.
3节说明,申请者需要按照本CPS第3.
3节进行申请操作.
在完成身份核对手续后,CNNIC可信网络服务中心证书业务规则37将由用户直接下载证书.
4.
3.
2签发、接受证书4.
3.
2.
1单域名证书单域名及通配域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成,即表明申请者接受CNNIC可信网络服务中心的服务.
4.
3.
2.
2多域名证书多域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信网络服务中心的服务.
4.
3.
3证书发布CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息.
4.
3.
4快速域名证书补发在CNNIC可信网络服务中心的证书体系中,在CNNIC可信网络服务中心的CNNIC可信网络服务中心证书业务规则38证书体系中,证书补发分为如下两种情况,1,用户证书文件未安装就丢失;2,用户的私钥泄漏;这2种情况下,证书补发都需要重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件.
新证书补发后,原证书立即作废,新证书截至有效期与原证书相同.
限制条件:用户进行证书自助补发,每个月补发证书最多为3次.
4.
3.
4.
1单域名域名证书补发如通过其他业务进行快速域名证书的申请者:1.
申请人经过CNNIC指定的URL地址,填写申请信息并提交申请.
2.
在证书有效期内,用户提交申请后,系统将自动检测所提交信息是否为正确信息,如果申请信息与原来信息一致(主要是经办人信息、公司信息等),将认可此次补发申请,如果该证书的有效期为大于一年期的申请,将在年检时一并进行严格审核;3.
CNNIC可信网络服务中心签发证书,并由证书申请经办人安装.
4.
3.
4.
2多域名证书补发如通过其他业务进行快速域名证书的申请者:1.
申请人经过CNNIC指定的URL地址,填写申请信息并提交申请.
2.
在证书有效期内,用户提交申请后,系统将自动检测所提交信息是否为正确信息,如果申请信息与原来信息一致(主要是经办人信息、公司信息等),将认可此次补发申请,如果该证书的有效期为大于一年期的申请,将在年检时一并进行严格审核;3.
CNNIC可信网络服务中心签发证书,并由证书申请经办人安装.
CNNIC可信网络服务中心证书业务规则394.
3.
5快速域名证书的续费及年检在证书持有者证书到期前,证书持有者需要获得新的证书以保持证书使用的连续性.
证书持有者产生一个新的密钥对代替过期的密钥对,称作"密钥更新".
然而,在某些情况下,证书持有者希望为一个现存的密钥对申请一个新证书,称作"证书更新".
在CNNIC可信网络服务中心的证书体系中,证书续费需要证书持有者重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求证书持有者使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件CSR(即必须进行"密钥更新").
证书续费期为当前证书失效前3个月内,在此之前或之后CNNIC可信网络服务中心将拒绝续费申请.
续费之后,新的证书下载后应该立即安装.
续费的有效期顺延:新证书失效期=当前时间+新购证书的时间长度+当前证书剩余的时间长度.
4.
3.
5.
1单域名证书续费如通过其他业务进行快速域名证书的申请者:1.
经CNNIC实名注册的CN域名或"中国"域名用户可以直接登录CNNIC制定的URL地址,进行证书更新.
2.
非经CNNIC实名注册的CN域名或"中国"域名以外的域名用户证书申请人需要提交以下资料给受理点:电子申请确认函的确认,其中包括申请协议;申请经办人的身份证明复印件;营业执照复印件(加盖公章)或组织机构代码证复印件(加盖公章).
3.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
4.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申CNNIC可信网络服务中心证书业务规则40请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
本地受理点初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
5.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
6.
当审核员认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
7.
经办人通过证书注册链接登录后,系统需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
4.
3.
5.
2多域名证书续费1.
经CNNIC实名注册的CN域名或"中国"域名用户可以直接登录CNNIC制定的URL地址,进行证书更新.
2.
非经CNNIC实名注册的CN域名或"中国"域名以外的域名用户证书申请人需要提交以下资料给受理点:电子申请确认函的确认,其中包括申请协议;申请经办人的身份证明复印件;营业执照复印件(加盖公章)或组织机构代码证复印件(加盖公章).
3.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
4.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
本地受理点初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
CNNIC可信网络服务中心证书业务规则415.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
6.
当审核员认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
7.
经办人通过证书注册链接登录后,系统需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
4.
3.
5.
3关于各类型证书年检证书的年检是指为了确保用户信息的有效性,对于申请年限多余1年的证书将实行年检制度.
即每年审核员将进行用户信息有效性的年检,年检流程同于申请流程,只是无需用户再提交资料,而是由CNNIC可信网络服务中心自行发起到第三方进行年检.
4.
3.
6证书废止4.
3.
6.
1废止的情形如果出现下列情况,CNNIC可信网络服务中心有权废止所签发的域名证书:1.
事后检查发现证书持有者申请域名证书时提供的资料存在虚假信息;2.
证书持有者未履行证书持有者协议所约定的义务;3.
证书持有者要求废止域名证书;4.
证书持有者主体消亡;5.
证书持有者变更域名证书的用途;6.
法律或法规要求的其他情况.
CNNIC可信网络服务中心证书业务规则424.
3.
6.
2废止程序如出现本文第4.
3.
6.
1节规定的除第3条外的情况,CNNIC可信网络服务中心将主动废止域名证书并通知证书持有者.
证书持有者也有权自行申请废止证书,申请废止的流程如下:4.
3.
6.
3单域名,多域名证书废止如通过其他业务进行快速域名证书的申请者:1.
证书持有者提交电子版证书废止申请资料给本地受理点(LRA)录入员.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与、经办人进行确认.
5.
如果审核通过,RA审核员直接废止此域名证书.
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和经办人者联系交涉,按照拒绝原因进行相应修改,重新申请废止.
6.
系统将发布CRL公示该证书已经吊销、吊销时间及原因等.
4.
3.
6.
4废止效力CNNIC可信网络服务中心把废止状态发布到证书废止列表(CRL)中,即终止某一证书的使用效力.
4.
3.
6.
5请求证书废止的实体CNNIC可信网络服务中心或证书持有者可以在CPS第4.
3.
6.
1节所述情形下要求废止一个证书.
CNNIC可信网络服务中心证书业务规则434.
3.
6.
6废止请求的流程当CNNIC可信网络服务中心有充分的理由相信需要废止证书时,CNNIC可信网络服务中心认证中心或注册中心的有关人员可以通过内部确定的流程提交废止证书的请求.
在证书废止后,CNNIC可信网络服务中心将通过适当的方式,包括邮件、传真等,通知证书持有者证书已被废止及被废止的理由.
证书持有者也可以通过废止程序自行要求废止自己的证书.
在证书持有者提交废止请求时,需同时提供证书申请时提供的资料作为身份鉴别的信息.
4.
3.
6.
7废止请求提出时限当发现出现CPS第4.
3.
6.
1节中的情况时,从发现需要废止证书到提出废止请求的时间间隔,不应超过24小时.
4.
3.
6.
8CNNIC可信网络服务中心处理废止请求的时限CNNIC可信网络服务中心注册中心(RA)从接到废止请求(包括资料的电子扫描件)到完成处理请求的时间,不能超过两个工作日.
CNNIC可信网络服务中心工作日不包括周末和国家法定假日.
4.
3.
6.
9信赖方检查证书废止的要求信赖方是否检查证书废止完全取决于信赖方的安全要求.
4.
3.
6.
10CRL发布频率CNNIC可信网络服务中心中级根每隔7天签发一次证书废止列表(CRL).
如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
CNNIC可信网络服务中心证书业务规则444.
3.
6.
11CRL发布的最大滞后时间一个域名证书从它被废止到它被发布到CRL上的滞后时间不超过168个小时.
如果中级根被废止,根签发的CRL则立即发布.
4.
3.
6.
12在线状态查询的可用性CNNIC可信网络服务中心提供证书状态的在线查询服务(OCSP),每周除最多四小时的定期维修及紧急维修外,该服务7*24小时可用.
4.
3.
6.
13废止信息的其他发布形式CNNIC可信网络服务中心目前提供HTTP服务的CRL查询.
4.
3.
6.
14密钥损害的特别要求无论是证书持有者还是CNNIC可信网络服务中心,发现证书密钥受到安全损害时应立即废止证书.
4.
4证书冻结不适用.
CNNIC可信网络服务中心不支持证书冻结.
4.
5证书更新不适用.
CNNIC可信网络服务中心不支持密钥不更换的情况下的证书更新.
4.
6证书发布CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息.
CNNIC可信网络服务中心证书业务规则454.
7计算机安全审计程序4.
7.
1记录事件类型CNNIC可信网络服务中心的重要安全事件,均以人工或自动记录在受保护的审计追踪记录内.
这类事件包括但不限于以下内容:可疑网络活动多次试图进入而不能访问与安装设备或软件、修改及配置CNNIC可信网络服务中心系统的有关事件相关人员访问CNNIC可信网络服务中心各组成部分的过程定期管理证书的操作同样也包括在审计追踪记录中,这些操作包括但不限于以下内容:处理废止证书的请求实际发出(包括证书注册、续费、补发等)、废止证书更新储存库资料汇编证书废止列表(CRL)并刊登新数据证书认证中心密钥转换档案备份紧急密钥恢复4.
7.
2处理记录的次数CNNIC可信网络服务中心每周均会处理审计追踪记录,用以审计追踪有关CNNIC可信网络服务中心行动、交易及程序.
4.
7.
3审计追踪记录保存期限存盘审计追踪记录文件的保存期为10年.
CNNIC可信网络服务中心证书业务规则464.
7.
4审计追踪记录保护CNNIC可信网络服务中心处理审计追踪记录时实施多人式控制,可提供足够保护,避免有关记录意外受损或被人蓄意修改.
4.
7.
5审计追踪记录备份CNNIC可信网络服务中心每周均会按照预定程序为审计追踪记录作适当备份.
备份会另行离机储存,并获足够保护,以免被盗用、损毁及媒体衰变.
4.
7.
6审计追踪记录收集系统无4.
7.
7安全事件通知CNNIC可信网络服务中心拥有自动监控系统,可向CNNIC可信网络服务中心适当人士或系统报告重要安全事件.
4.
7.
8脆弱性评估脆弱性评估是CNNIC可信网络服务中心风险评估的一部份:根据审计记录,CNNIC可信网络服务中心定期进行技术安全、管理安全方面的脆弱性评估,并根据评估报告采取加固措施.
4.
8记录归档4.
8.
1归档记录类型CNNIC可信网络服务中心须确保归档记录包括足够资料,从而确定证书是否有效以及以往是否运行妥当.
CNNIC可信网络服务中心应保存有以下数据:系统设备结构档案CNNIC可信网络服务中心证书业务规则47评估结果及设备合格复查记录证书业务规则所有版本对CNNIC可信网络服务中心具约束力的协议所有发出的证书及证书废止列表(CRL)定期事件记录其它用以核实归档内容的工作日志4.
8.
2归档保存期限上述归档记录至少妥善保存10年.
审计跟踪文档以CNNIC可信网络服务中心视为适当的方式存放.
4.
8.
3归档保护CNNIC可信网络服务中心保存的归档介质受各种实体或加密措施保护,可避免未经授权进入.
保护措施用以保护归档介质免受温度、湿度及磁场等环境侵害.
4.
8.
4归档备份程序制作并保存归档的副本.
4.
8.
5时间戳归档资料均注明归档项目的开始时间及日期.
CNNIC可信网络服务中心利用控制措施防止擅自调校系统时钟.
4.
9密钥变更由CNNIC可信网络服务中心认证中心产生,并用以证明根据本CPS发出的证书的认证中心根密钥及证书寿命为期不超过二十年.
CNNIC可信网络服务中心证书认证机构密钥及证书在期满前至少三个月会进行更新.
更新为新根密钥后,相关的根证书也会公布供大众取用.
原先的根密钥则保留至第4.
8.
2节指定CNNIC可信网络服务中心证书业务规则48的最短的时限,以供核对用原根密钥签名的证书.
4.
10CNNIC可信网络服务中心服务终止在CNNIC可信网络服务中心服务终止的情况下,CNNIC可信网络服务中心将废止所有由CNNIC可信网络服务中心发布的证书.
并将CNNIC可信网络服务中心的归档记录移交给法律法规规定的机构.
在终止服务后,CNNIC可信网络服务中心会将证书认证机构的记录存盘10年(由终止服务日起计);这些记录包括根证书和中级根证书、已发出的域名证书、证书业务规则及证书废止列表(CRL).
4.
11灾难恢复及密钥泄漏计划4.
11.
1灾难恢复计划CNNIC可信网络服务中心已经准备了妥善的业务连续性计划,包括每天备份主要业务信息和认证中心系统数据,并适当地备份认证中心系统的软件,以维持主要业务持续运营,保障在严重故障或灾难影响下仍可继续提供服务或在最短时间内恢复提供服务.
每年都会对业务连续性计划进行复查,并严格执行.
CNNIC可信网络服务中心在异地设有一个灾难恢复基地.
如发生严重故障或灾难,CNNIC可信网络服务中心会及时通知政府部门,并公布运营由生产基地转至灾难恢复基地.
在发生灾难后但稳妥可靠的环境尚未重新确立前:敏感性材料或仪器会安全地锁在设施内;若不能将敏感性材料或仪器安全地锁在设施内或这些物资或仪器有受损毁的风险,这些材料或仪器会移离设施并锁在其它临时设施内;设施的出入会实行访问控制,以防范盗窃或被人擅自访问.
为保证CNNICCA中心在市场上的竞争力,并保证在所确定的系统中断时间内,CA中心可能遭受的损失相对较低,风险相对较小,同时建设成本和管理成本也比较适合,CNNICCA中心最终确认:CNNIC可信网络服务中心证书业务规则491.
对于证书注册服务,在一般灾难情况下CNNICCA中心会使用合理的商业手段在24小时内予以恢复,并在48小时内完全恢复全面注册服务功能.
如不可抗力灾难(例如战争、地震、洪水、火灾等)造成CNNICCA中心出现大面积硬件、设备、人员损失,可以在向公众通告具体情况,保证信息公开的基础上,延长注册服务系统中断时间.
2.
对于包括CRL下载服务在内的储存库服务,在灾难情况(包括不可抗力灾难)下,CNNICCA中心会使用合理的商业手段在4小时内予以恢复,并在8小时内完全恢复储存库服务.
4.
11.
2密钥泄漏应对计划业务连续性计划包含处理密钥泄漏的应对计划.
这些计划每年均会进行复检.
如根据本CPS用来签发域名证书的CNNIC可信网络服务中心根证书或中级根证书私钥信息泄漏,CNNIC可信网络服务中心会及时进行公布.
CNNIC可信网络服务中心的根证书或中级根证书私钥信息一旦泄漏,CNNIC可信网络服务中心会及时废止由此私钥签发的证书,然后签发新证书取代.
4.
11.
3密钥的转换在密钥信息泄漏或灾难情况下,CNNIC可信网络服务中心根据本CPS签发域名证书所使用的私钥信息泄漏或遭破坏而无法复原,CNNIC可信网络服务中心会进行公布.
公布内容包括已废止证书的名单、如何为证书持有者提供新的CNNIC可信网络服务中心根证书或中级根证书公开密钥及如何向证书持有者重新颁发证书.
4.
12CNNIC可信网络服务中心应急机制CNNIC可信网络服务中心将提供24*7的应急机制,在如下所述的情况下,可以通过010-58813000联系CNNIC可信网络服务中心,进行紧急事件的处理:CNNIC可信网络服务中心证书业务规则501.
CNNICCA中心将在24小时之内完成证书废止的申请,在如下情况:CNNICCAwillrevokecertificatein24hoursinfollowingcases,当签发的证书在技术内容和格式上存在不可接受的风险时;当证书申请者不是有效的授权者,或授权已过期;当CNNICCA中心确认证书申请者的使用有危害的密钥申请了证书时;当CNNICCA中心发现申请者使用的不再是一个有效的全域名时.
当申请人违反了申请协议或应组遵守的义务时;2.
当证书出现问题的时候(技术问题,外界因素等),CNNICCA中心可以及时处理并在24小时之内对高优先级的证书问题发起调查.
5二级根授权操作规范5.
1二级根授权基本管理流程CNNIC将按照如下流程进行二级根签发:1.
二级根证书申请人提出申请.
2.
由CNNICCA中心各角色对二级根证书申请人的各项资质进行评审,详见5.
23.
CNNICCA中心通过评审及风险评估,对二级根申请合作给出评估意见;4.
CNNIC安全管理委员会对上述评估意见进行评审,决定是否进行二级根授权合作;5.
如确定合作,CNNIC与二级根申请人签署合作协议;6.
CNNIC在CPS和CP中对将要新签发的二级根证书结构和用途进行披露说明;(包括向各个浏览器及操作系统厂商进行披露,需要提前45天通知微软)7.
CNNIC启动外部授权二级根签发流程,详见5.
3.
8.
CNNIC对外公布该签发的二级根证书.
CNNIC可信网络服务中心证书业务规则51二级根签发完成并公布之后,CNNIC将按照审计周期对二级根CA的审计报告进行验证.
5.
2二级根申请人资质评审1.
申请人提供盖章签字的申请书,申请人基本资料(包括企业营业执照复印件等),申请机构在其官网发布的CP和CPS,申请机构的WebTrust审计报告,二级CA内部流程及制度相关管理文档,包括不限于如下文档:机房设计文档、机房管理制度、加密机/密钥管理制度.
2.
二级根密钥生成及管理核验A.
CNNIC安排专人负责二级根密钥生成和管理核验,其具体工作流程包括:提前研究机房设计文档、机房管理制度、加密机/密钥管理制度,同时研读其CPS和CP中机房环境、访问控制、加密机管理、密钥管理相关条款.
B.
亲自参加和见证二级根密钥生成仪式,并参观其CA中心机房.
核验如下内容:1)是否有二级根密钥生成脚本;2)二级根密钥生成脚本是否符合CPS、CP及内部制度中密钥管理相关制度要求;3)是否完全按照密钥生成脚本完成二级根密钥生成;4)生成和保管密钥的机房环境是否与CPS、CP相关条款及机房设计和管理文档内容一致;5)生成和保管密钥使用的加密机是否与CPS、CP中的说明一致,符合相关标准要求;6)生成和保管密钥是否实施了多人控制,符合CPS、CP相关条款和加密机/密钥管理制度要求;7)检查加密机日志,确认是否有本次密钥生成记录.
3.
审计报告核验CNNIC安排专人负责二级根WebTrust审计报告的定期核验,具体工作流CNNIC可信网络服务中心证书业务规则52程包括:A.
按照审计报告中的审计周期定期到WebTrust官网确认报告是否持续有效;B.
提前与审计方沟通确认审计报告中需要覆盖的点,并对报告中的关键点进行确认;C.
如二级根CA的审计报告中包含不符合项,CNNICCA会启动风险评估流程对不符合项的风险进行评估,以决定是否吊销该二级根证书或作其他处理,所有处理将及时向公众披露.
4.
风险评估收集并汇总包括不限于上述1,2,3中的资料,并由CNNICCA中心各相关角色进行风险评估准备工作,然后通过会议讨论方式进行风险评估并得出风险评估内容.
5.
3二级根证书签发及记录CNNIC将按照二级根签发记录表(见CP)中各CA角色的审批结果,进行二级根的签发,同时对二级根签发过程完整记录,并将签发的证书进行公开披露.
5.
4二级根证书吊销处理在如下情形下,CNNICCA将在7天之内吊销二级CA证书:1.
子CA书面申请吊销二级根CA可以向CNNIC提出吊销申请,原因包括不限于密钥泄露,业务合作终止等安全或商业方面的原因.
二级根CA需要提供正式的证书吊销书面申请材料,二级根CA公司证明文件,并提供至少2名联系人的身份证明文件,其中1名必须为CA产品主要负责人(CA产品总监或首席安全管理员).
CNNIC收到二级根CA的吊销请求后,将通过电话回访的方式向二级根CA公司确认2名经办人的身份(通过二级根CA的CPS中公布的联系人和联系方式进行确认),之后联系二级根CA产品主要负责人以确认二级根吊销的申请是CNNIC可信网络服务中心证书业务规则53真实有效的.
CNNIC将由2名审核员同时进行上述确认工作,并在审核验证单上个签字.
确认后CNNIC将进行二级根吊销操作,并立即更新根CRL及OCSP服务.
2.
子CA通知根CA原证书请求未经授权且没有被追溯给予授权;3.
根CA得到证据证明子CA的私钥被泄露或者不符合密钥生成的要求;4.
根CA得到证据证书属于不当签发;5.
根CA意识到二级CA进行证书签发不符合CP或CPS要求,或者是子CA没有遵守BR;6.
根CA确定证书中的信息是不准确的或者令人误解的;7.
根CA与子CA基于任何理由终止合作;8.
除非根CA能安排继续维护CRL或者OCSP证书库,否则根CA或子CA签发证书的权限应该被吊销或终止;9.
证书吊销在签发CA的CP和CPS中需要定义;10.
证书的技术细节或格式对于应用软件提供商或者可信第三方来说,表现出不可接受的风险.
(举例来说:CA/BrowserForum会指出当不宜使用的加密或签名算法或者是密钥长度已经呈现出不可接受的风险时,这种证书应该被吊销,且被CA在指定时间内替换)5.
5二级根更新5.
5.
1二级根CA可以在证书过期之前48个月之内向CNNIC提出二级根的更新申请.
5.
5.
2二级根CA需要提供二级根更新申请表(签字盖章),二级根CA公司证明文件,并提供至少2名联系人的身份证明文件,其中1名必须为CA产品主要负责人(CA产品总监或首席安全管理员).
5.
5.
3CNNIC收到二级根CA的更新请求后,将通过电话回访的方式向二级根CA公司确认2名经办人的身份(通过二级根CA的CPS中公布的联系人和联系方式进行确认),之后联系5.
5.
2中提供的二级CA产品主要负责人以确认二级根证书更新的申请真实有效的,CNNIC将由2名审核员同时进行上述确认工作,并在CNNIC可信网络服务中心证书业务规则54审核验证单上个签字.
5.
5.
4CNNIC将按照《CNNIC外部授权二级根签发记录表》中的步骤进行二级根更新的操作和记录.
5.
65.
6二级根密钥变更5.
6.
1二级根密钥变更适用范围二级根CA应该在如下情况下向CNNIC提出密钥变更的申请,A,二级根CA发现了根密钥泄露或其他导致密钥不再安全的隐患,需要向CNNIC提出密钥变更的申请.
B,根据CNNIC密钥生命周期管理要求,二级根密钥的有效期不能超过10年,二级根CA需要在密钥过期之前向CNNIC提出密钥变更的申请.
5.
6.
2二级根密钥变更申请及核验二级根CA需要提供二级根密钥变更申请表(签字盖章),二级根CA公司证明文件,并提供至少2名联系人的身份证明文件,其中1名必须为CA产品主要负责人(CA产品总监或首席安全管理员).
CNNIC收到二级根CA的更新请求后,将通过电话回访的方式向二级根CA公司确认2名经办人的身份(通过二级根CA的CPS中公布的联系人和联系方式进行确认),之后联系二级CA产品主要负责人以确认二级根密钥变更的申请是真实有效的.
CNNIC将由2名审核员同时进行上述确认工作,并在审核验证单上个签字.
5.
6.
3二级根密钥变更处理A.
如二级根密钥变更申请原因为5.
6.
1中A,则CNNIC将吊销原有密钥对应的二级根证书,并立即更新CRL和OCSP服务,按照《CNNIC外部授权二级根签发记录表》中的步骤进行二级根的签发操作和记录,并确认新签发的二级根证书密钥与原二级根证书不同.
B.
如二级根密钥变更申请原因为5.
6.
1中的B,CNNIC将按照《CNNIC外部授权二级根签发记录表》中的步骤进行二级根的签发操作和记录,并确认新签发的二级根证书密钥与原二级根证书不同,原有的二级根证书不进行作废操作,待其CNNIC可信网络服务中心证书业务规则55自然过期.
6实体、程序及人员安全控制6.
1实体安全6.
1.
1选址及建造CNNIC可信网络服务中心运行在具备合理安全条件的地点.
在场地建造过程中,CNNIC可信网络服务中心已采取适当预防措施,为CNNIC可信网络服务中心运行做好准备.
6.
1.
2进入控制CNNIC可信网络服务中心实施合理的安全控制,限制访问CNNIC可信网络服务中心所使用的硬件及软件(包括服务器、工作站及任何外部加密硬件模块).
可访问上述硬件及软件的人员只限于本CPS第5.
2.
1节所述的履行可信职责的人员.
在任何时间都对上述访问进行控制及电子监控,以防发生未经授权入侵.
6.
1.
3电力及空调CNNIC可信网络服务中心设施可获得的电力和空调资源包括专用的空调系统,不间断电力供应系统(UPS)以及租用的电力公司的发电车,以备城市电力系统发生故障时供应电力.
6.
1.
4自然灾害CNNIC可信网络服务中心设施在合理可能的限度内可免受自然灾害影响.
6.
1.
5防火及保护CNNIC可信网络服务中心已为其设施准备妥当防火计划及灭火系统.
CNNIC可信网络服务中心证书业务规则566.
1.
6媒体介质存储媒体介质存储及处置程序已经准备妥当.
6.
1.
7场外备份CNNIC可信网络服务中心系统数据的适当备份会作场外储存,并获足够保护,以免被盗用、损毁及媒体衰变.
6.
1.
8保管印刷文件印刷文件(包括证书持有者的身份确认文件,管理文档等)由CNNIC可信网络服务中心妥为保存,只有授权人员可以取阅.
6.
1.
9废料处理根据正常的废料处理要求处理废料.
加密设备作废前根据设备生产商的指导,对其进行物理上的销毁或清零.
6.
1.
10电磁防护为防止内部信息通过电磁辐射泄漏,以及屏蔽外界的电磁干扰,CNNIC可信网络服务中心专门建设了电磁屏蔽室,并通过了军C级认证.
CNNIC可信网络服务中心的所有CA服务器、CA加密机设备均部署在电磁屏蔽室中.
6.
2过程控制6.
2.
1可信职责可进入关键区域,控制密码或其它操作程序并可能会对证书的签发、使用、废止带来重大影响的CNNIC可信网络服务中心人员,应视作承担可信职责.
此CNNIC可信网络服务中心证书业务规则57类人员包括但不限于系统管理人员、操作员、工程人员及获委派监督CNNIC可信网络服务中心运作的行政人员.
CNNIC可信网络服务中心已为所有涉及CNNIC可信网络服务中心域名证书服务而承担可信职责的人员制定了相关管理制度,包括:˙按角色及责任制定各级实体及系统的操作控制流程˙详细职责划分规定6.
2.
2CNNIC可信网络服务中心与本地受理点(LRA)之间的文件及资料传递CNNIC可信网络服务中心及其所属注册中心(RA)与本地受理点(LRA)之间的所有文件及资料的传递,均在受控制及安全的方式下进行.
6.
2.
3年度评估CNNIC可信网络服务中心每年进行一次年度评估,以确保日常运营过程符合安全策略及其他流程控制相关规定.
6.
3人员控制6.
3.
1背景及资格CNNIC可信网络服务中心工作人员的背景、资历、经验等情况都进行核实和审查.
具备忠诚、可信赖及工作热情、无影响系统运行的其它兼职工作、无同行业重大错误记录、无违法记录等.
背景:要求政治素质高、业务优秀、有非常强的责任感,原则性强,无犯罪记录和不良记录;资历:精通本岗位工作,其所受教育、培训及工作经历保证足够胜任其工作;CNNIC可信网络服务中心工作人员及管理政策可合理确保CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的LRA人员的可信程度及胜任程度,并确保他们根据本CPS履行职责.
CNNIC可信网络服务中心证书业务规则586.
3.
2背景调查CNNIC可信网络服务中心(包括注册中心)对担任可信职责的人员进行严格调查(其聘用前及其后有需要时定期进行),人员包括CNNIC正式员工以及外包人员,以根据本CPS及CNNIC可信网络服务中心的人员策略要求核实工作人员的可信程度及胜任程度.
未能通过首次及定期调查的人员不得担任或继续担任可信职责.
6.
3.
3培训要求CNNIC可信网络服务中心(包括注册中心)工作人员已接受履行其职责所需要的初步培训.
CNNIC可信网络服务中心会提供持续培训,使人员能掌握所需最新工作技能.
6.
3.
4向人员提供的文件CNNIC可信网络服务中心(包括注册中心)人员会收到指导手册,详细描述证书的注册、续费、补发及废止程序及与其职责有关的其它软件功能.
7技术安全控制7.
1密钥的生成及安装7.
1.
1密钥对的生成根CA:根CA的密钥对由硬件加密设备直接产生,并且直接保存在该硬件加密设备(加密机)中,CNNIC可信网络服务中心使用的是国家商业密码管理委员会鉴定通过的加密硬件设备.
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人均没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
CNNIC可信网络服务中心证书业务规则59运营CA:运营CA的密钥对在本地的硬件加密设备上产生(硬件加密设备使用的是国家商业密码管理委员会鉴定通过的加密硬件设备),私钥不能出此加密硬件设备.
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
证书申请者:签名密钥对在证书申请者端产生,具有严密且安全的控制措施.
CA服务器不为证书申请者提供密钥生成服务.
CNNIC可信网络服务中心不为证书申请者提供密钥介质.
7.
1.
2公钥传送给证书签发机构证书申请者使用Web服务器软件把公钥封装成PKCS#10格式的证书请求发给CNNIC可信网络服务中心由CNNIC可信网络服务中心生成证书.
CNNIC可信网络服务中心将根据证书申请者提交的证书请求验证证书请求的完整性,CNNIC可信网络服务中心只处理完整的证书请求.
7.
1.
3CNNIC可信网络服务中心公钥发布CNNIC可信网络服务中心会把自己的公钥发布在网站上,以便最终实体获取.
7.
1.
4密钥的长度CNNIC可信网络服务中心的根证书和中级根证书密钥对为2048位RSA.
证书申请者密钥对也要求为2048位RSA.
7.
1.
5密码模块标准产生签名密钥、存储及签署操作在硬件密码模块进行.
硬件密码模块是由中国国家密码主管机构审查通过的安全产品,符合国家的相关规定.
CNNIC可信网络服务中心证书业务规则607.
1.
6密钥用途CNNIC可信网络服务中心域名证书使用的密钥可用于加密通讯.
CNNIC可信网络服务中心的根证书和中级根证书密钥只用于签发证书及证书废止列表(CRL).
7.
1.
7密钥销毁CNNIC可信网络服务中心的根证书和中级根证书密钥在失效以后归档保留10年,然后通过适当方法销毁.
归档的密钥在其归档期限结束后,需在多名可信人员参与的情况下安全销毁.
密钥的销毁将确保其私钥从硬件密码模块中彻底删除,不留有任何残余信息.
证书申请者私钥存在于证书申请者端,其证书过期后,应立即销毁私钥.
7.
2私钥保护和密码模块工程控制7.
2.
1密码模块标准CNNIC可信网络服务中心采用的硬件密码模块是由中国国家密码主管机构审查通过的安全产品,符合国家的相关规定.
硬件密码模块安置在安全区域,并在有至少三名加密机管理员(密钥管理员)在场的情况下才可以访问存储在加密机中的密钥.
备份与恢复加密机时也必须同时拥有三张管理员口令卡,才能对加密机进行备份与恢复的操作.
7.
2.
2私钥多人控制在所有管理员的大多数同时在场的情况下才可以访问存储在加密机中的密钥.
采取中国国家密码主管机构审查通过的保护措施保证加密机内密钥的安全性.
具体地说,CNNIC可信网络服务中心对根证书和中级根证书私钥的保护采用CNNIC可信网络服务中心证书业务规则61五人控制,三人必须同时到场的策略.
7.
2.
3私钥托管CNNIC可信网络服务中心的根证书和中级根证书私钥不托管给其他机构,CNNIC可信网络服务中心也不接受证书申请者的签名私钥托管.
7.
2.
4CNNIC可信网络服务中心私钥备份作为灾难恢复的一项措施,需要进行密钥备份.
CNNIC可信网络服务中心采用符合国家规定的硬件密码模块对根证书和中级根证书私钥进行加密和备份,备份存储在与硬件密码模块系统独立的系统内防止被窃.
在备份密钥时,必须由密钥管理员使用口令IC卡,启动密钥管理程序,执行密钥备份指令才能完成.
证书申请者私钥存放在证书申请者端,证书申请者宜根据其具体情况采用合适的手段对其私钥进行存储、备份和恢复.
7.
3密钥对管理的其它方面7.
3.
1公钥归档由管理员操作CNNIC可信网络服务中心证书和公钥的归档.
7.
3.
2私钥归档根证书和中级根证书密钥对到期后,这些密钥对将归档保存至少10年.
归档密钥对保存在6.
2.
1所述的硬件密码模块中,并且CNNIC的密钥管理策略和流程阻止归档密钥对返回到生产系统中.
归档密钥对超过归档保存期后,CNNIC可信网络服务中心将按CPS第6.
1.
7节规定对其进行销毁.
证书申请者私钥保存在证书申请者端,因此证书申请者私钥归档不适用.
CNNIC可信网络服务中心证书业务规则627.
3.
3证书操作期和密钥对使用期限CNNIC可信网络服务中心根证书和中级根证书公钥和私钥的有效期保持一致,根证书密钥对有效期为20年,中级根证书密钥对有效期为10年.
CNNIC可信网络服务中心域名证书有效期最长为3年.
在接近过期日时有一段时间可以进行更新.
7.
4计算机安全控制CNNIC可信网络服务中心在安全的环境下运行,并实行分区访问权限控制.
核心系统和其它系统隔离,采用防火墙和入侵检测保证安全.
并实行:系统安全配置,关闭不必要的服务与端口.
操作系统必须安装最新的补丁程序,由专人负责最新补丁的安装.
生产系统每台机器均由专人负责,严格上机操作程序,口令逐级管理,逐级授权.
各人负责各自权限范围内的操作.
日志和操作记录的审计制度.
数据备份和恢复机制.
7.
5生命周期技术安全控制证书生命周期安全控制遵循WebTrust认证规范.
CNNIC可信网络服务中心所使用的系统在使用前均经过详细测试,并在使用过程中进行不定期检查.
7.
6网络安全控制根据安全要求的不同,将CNNIC可信网络服务中心系统划分为不同的网段,部分高安全级系统进行离线操作.
并采用层次模型保证网络的安全性以及系统的可靠性.
CNNIC可信网络服务中心证书业务规则637.
7密码模块工程控制CNNIC可信网络服务中心使用的密码模块是经过中国国家密码主管机构审查通过的加密机.
8证书及证书废止列表(CRL)结构8.
1证书结构本CPS提及的证书包含用来确认身份和核实这些信息是否完整的公开密钥.
本CPS提及的证书一律以X.
509第三版本的格式发出.
8.
1.
1版本号CNNIC可信网络服务中心域名证书有广泛的通用性.
证书格式符合X.
509V3标准,可以提供支持证书扩展的能力.
8.
1.
2证书项说明二级根证书结构说明域值或值的限制基本域版本V3序列号CNNIC可信网络服务中心给所发证书赋予的唯一的值签名算法sha256RSA签名哈希算法sha256颁发者CN=CNNICROOTO=CNNICC=CN有效起始日期用来指定证书有效的起始日期,基于国际通用时间(UTC),和北京时间同步CNNIC可信网络服务中心证书业务规则64有效终止日期用来指定证书有效的终止日期,基于国际通用时间(UTC),和北京时间同步使用者证书持有者的甄别名公钥根据当时PKCS#10请求中产生的公钥确定,使用RSA算法,密钥长度2048bit扩展项基本限制域名证书值为:SubjectType=CAPathLengthConstraint=None(根据实际情况进行设置为0,1,2,3)CRL分发点CRLDistributionPointDistributionPointName:FullName:URL=http://crl.
cnnic.
cn/download/rootsha2crl/CRL1.
crl密钥用法CertificateSigning,Off-lineCRLSigning,CRLSigning(06)(目前只签发服务器证书,可根据签发证书类型扩展)使用者密钥标识符所颁发二级根证书公钥的标识颁发机构密钥标识符KeyID=65f231ad2af7f7dd52960ac702c10eefa6d53b11证书策略[1]CertificatePolicy:PolicyIdentifier=1.
3.
6.
1.
4.
1.
29836.
1.
6[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cnnic.
cn/cps/颁发机构信息访问[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)AlternativeName:URL=http://ocspcnnicroot.
cnnic.
cn[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://www.
cnnic.
cn/download/cert/CNNICROOT.
cer用户证书结构说明EndityCertificate域值或值的限制CNNIC可信网络服务中心证书业务规则65基本域版本V3序列号CNNIC可信网络服务中心给所发证书赋予的唯一的值签名算法用于签发证书的算法的名称,见本CPS7.
1.
3节颁发者证书颁发者的甄别名,域名证书中为CNNIC可信网络服务中心中级根证书的主题有效起始日期用来指定证书有效的起始日期,基于国际通用时间(UTC),和北京时间同步有效终止日期用来指定证书有效的终止日期,基于国际通用时间(UTC),和北京时间同步主题证书持有者的甄别名,见本CPS7.
1.
4节公钥证书公钥,使用RSA算法,密钥长度满足本CPS6.
1.
4节的要求扩展项基本限制域名证书值为:SubjectType=EndEntityPathLengthConstraint=NoneCRL分发点CNNIC可信网络服务中心签发的证书中包含CRL的分发点扩展项,依赖方可根据该扩展项提供地址和协议下载CRL,见本CPS密钥用法域名证书值为:KeyEncipherment,DigitalSignature主题密钥标识符所颁发域名证书公钥的标识颁发机构密钥标识符上级CA证书公钥的标识证书策略[1]CertificatePolicy:PolicyIdentifier=1.
3.
6.
1.
4.
1.
29836.
1.
1[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cnnic.
cn/cps/增强型密钥用法域名证书值为:服务器验证主题备用名在多域名证书中值为证书所认证的所有域名CNNIC可信网络服务中心证书业务规则668.
1.
3算法对象标识符CNNIC可信网络服务中心签发证书所使用的签名算法为sha1RSA和sha256RSA.
.
8.
1.
4名称形式CNNIC可信网络服务中心签发证书的甄别名符合X500关于甄别名的规定.
对于证书主题甄别名,C代表国家,值是CN;O代表组织,值是CNNIC或CNNICSSL或域名证书持有者名称;CN在多域名证书时是多个域名的并列,单域名证书、通配域名证书是单个域名.
8.
1.
5名称限制在DN中,可以使用除专用字符和特殊字符外的所有ASCII字符.
专用字符为反斜杠("\")和双引号("""),由于在DN中有特殊含义,不能用在DN中.
另外,如果在cn中包含特殊字符(","、"="、"+"、"#"、""、";"),CNNIC可信网络服务中心的CA系统会做特殊处理,即对整个cn内容加双引号,这样会导致以后实际处理上的不方便,因此不允许在cn中包含这些特殊字符.
由于存在不可见的ASCII字符,不便于证书申请者使用,下面给出本证书业务规则中所有可用的ASCII字符列表(ASCII值为十进制数值):ASCII值字符032空格033!
036$038&040(041)045-046.
047/048~0570~9058:065~090A~ZCNNIC可信网络服务中心证书业务规则67091[093]094^095—096`097~122A~z123{125}126~8.
1.
6证书策略对象标识符证书策略由发证机构制定并对外广泛发布,同时向国际标准化组织申请标准的对象标识符(OID),从而保证与其它应用相兼容,对象标识符在通信服务中进行传递,作为该证书机构证书策略的标识,代表该认证机构提供证书服务的相关策略.
另一方面,只有证书申请者同意该证书策略,才可以从认证中心去申请和获得数字证书.
8.
1.
7策略限制扩展项的用法规定在CA体系中的各层CA使用相同的CP以及是否和其他CA体系互相信任.
CNNIC可信网络服务中心域名证书未使用本扩展域.
8.
1.
8策略限定符的语法和语义对于本扩展域,X.
509V3标准没有规定格式,可以提供CPS在网上的位置说明.
CNNIC可信网络服务中心域名证书未使用本扩展域.
8.
1.
9关键证书策略扩展项的处理规则CNNIC可信网络服务中心域名证书未使用.
8.
2证书废止列表(CRL)结构CNNIC可信网络服务中心证书废止列表(CRL)的格式为X.
509第二版本.
CNNIC可信网络服务中心证书业务规则688.
2.
1版本号V28.
2.
2CRL项CRL数据定义版本(Version)含义:显示CRL的版本号.
签名(Signature)含义:签发CRL的CA的签名.
算法标识(algorithmIdentifier)含义:定义签发CRL所使用的算法.
CRL的签发者(Issuer)含义:指明签发CRL的CA的甄别名.
CRL发布时间(thisUpdate)预计下一个CRL更新时间(nextupdate)废止证书信息目录(revokedcertificates)8.
3OCSPCNNIC可信网络服务中心CA签发的OCSP响应符合RFC2560标准.
OCSP响应至少包含如下表所述基本域和内容.
OCSP结构的基本域域值或值的限制状态响应状态,包括成功、请求格式错误、内部错误、稍候重试、请求没有签名和请求签名证书无授权,当状态为成功时必须包括以下各项版本V1签名算法签发OCSP的算法.
使用sha1WithRSAEncryption(OID:CNNIC可信网络服务中心证书业务规则691.
2.
840.
113549.
1.
1.
5)算法签名.
颁发者签发OCSP的实体.
签发者公钥的SHA1数据摘要值和证书甄别名.
产生时间OCSP响应的产生时间.
证书状态列表包括请求中所查询的证书状态列表.
每个证书状态包括证书标识、证书状态以及证书废止信息.
证书标识包括数据摘要算法(SHA1,OID:1.
3.
14.
3.
2.
26)、证书甄别名数据摘要值、证书公钥数据摘要值和证书序列号.
证书状态证书的最新状态,包括有效、废止和未知.
证书废止信息当返回证书状态为废止时包含废止时间和废止原因.
8.
3.
1版本号V18.
3.
2OCSP扩展项与RFC2560一致.
8.
3.
3OCSP请求OCSP请求至少包括:协议版本服务请求目标证书标识OCSP服务器需要的扩展项8.
3.
4OCSP响应正确的OCSP响应须包括:响应协议的版本OCSP服务器的名称CNNIC可信网络服务中心证书业务规则70对一个请求中的每一个证书的应答(包括目标证书标识、证书状态值、有效应答的时间间隔、可选的扩展项)可选的扩展项签名计算方法OID用杂凑函数计算出的签名9CPS管理9.
1变更流程在CNNIC可信网络服务中心的CPS做出任何变动之前,CNNIC可信网络服务中心将对变动的条款进行研究,做出变更的决定.
在征求CNNIC可信网络服务中心律师法律意见后,由安全管理委员会形成决议.
CNNIC可信网络服务中心形成决议后,在CNNIC可信网络服务中心网站公布变更后的CNNIC可信网络服务中心CPS.
CNNIC可信网络服务中心将对CPS进行严格的版本控制.
9.
2公告与通知所有公告和通知将在CNNIC可信网络服务中心网站上公布(http://tns.
cnnic.
cn).
9.
3CPS批准程序批准流程是:(1)CPS编写组编写或修订CPS.
(2)CPS编写或修订完成后提交CNNIC可信网络服务中心各部门审议.
(3)审议通过后的CPS递交CNNIC可信网络服务中心安全管理委员会审议.
(4)CNNIC可信网络服务中心安全管理委员会审议通过后,CPS正式对外发布.
CNNIC可信网络服务中心证书业务规则719.
4解释CNNIC可信网络服务中心对本CPS拥有最终解释权.
07有效期:2015-11-02至2016-11-02中国互联网络信息中心(CNNIC)2015年11月02日CNNIC可信网络服务中心证书业务规则CNNIC可信网络服务中心证书业务规则版本控制表版本号主要修改说明完成时间V1.
00初次审核通过2007年5月15日V2.
00进行年审修改后,延长CPS有效期一年2008年4月8日V2.
01提供http协议的CRL下载2008年11月5日V2.
021、域名证书密钥对要求2048位2、赔付金额进行修改3、联络方式中的邮编修改4、年审完成,延长CPS有效期一年2009年3月19日V2.
031、证书主题中O项值修改2、多域名证书主题中CN项值修改3、证书申请所提交材料调整4、证书结构中证书项说明调整,与所发证书一致2009年4月14日V2.
041、参考号、授权码发放方式调整2、CP改为在储存库中公开发布3、对证书发布情况的说明进行调整2009年6月18日V2.
051、修改交叉认证描述,增加CNNIC中级根证书和Entrust根之间的关系说明2009年11月09日V2.
061、增加对根签发的证书废止列表的说明,相应对其他相关部分文字进行调整2010年02月02日V2.
071、延长有效期2010年04月08日V3.
01、增加快速域名证书的相关内容2、修改安全管理委员会工作方式3、取消对外ldap服务2011年4月07日V3.
011,修改"高级证书"名称为"标准服务器证书";删除"网址卫士"名称,并不再提供纸质版的网址卫士核准说明;2、修改标准证书审核内容;3、修改快速域名证书的相关流程;4、crl发布网址增加http://crl.
cnnic.
cn5、延长CPS有效期一年;2012年4月07日V3.
021、修改标准服务器证书申请提交资料2、修订CA相关人员背景调查内容3、增加电磁防护相关内容4、对国防类域名的申请审核流程做特殊说明2012年9月20日V3.
031、本地受地点提交到CNNIC的申请资料由纸质版原件变更为电子扫描件;2、标准服务器证书审核确认仅需和经办人进行电话确认;3、在灾难恢复计划中加入了CA服务在2013年6月24日CNNIC可信网络服务中心证书业务规则II灾难情况下系统停机时间,恢复时间内容.
V3.
041.
停止提供多域名证书域名修改服务.
2.
CNNIC将定期检查CABForum的SSLBaselineRequirement要求并承诺证书管理及签发符合该要求.
3.
CNNICCA加入24*7的应急处理机制.
2014年4月22日V3.
051.
证书审核通过后的参考号和授权码的16位直接发到用户指定的经办人邮箱,不再采用发送前13位,后3位由审核员单独发送的方式.
2015年1月20日V3.
061.
添加第五章二级根授权操作规范2.
在第八章中加入对二级根证书格式的说明.
2015年4月26日V3.
071.
添加对自然人申请证书时提交地址证明材料;2.
添加了申请证书主题里包含IP时的要求和补充资料.
3.
加入新SHA256算法的二级根.
4.
添加了二级根更新,密钥变更,和作废的内容.
2015年11月2日CNNIC可信网络服务中心证书业务规则I目录中国互联网络信息中心(CNNIC)可信网络服务中心I证书业务规则.
I1引言.
11.
1概述11.
2角色与责任11.
2.
1安全管理委员会11.
2.
2首席安全管理员11.
3适用性21.
3.
1CNNIC可信网络服务中心21.
3.
2最终实体.
31.
3.
3证书持有者分类41.
3.
4证书分类.
41.
3.
5证书有效期.
41.
3.
6从CNNIC可信网络服务中心申请证书51.
4联络方式51.
5处理投诉程序52总则.
52.
1义务52.
1.
1CNNIC可信网络服务中心认证中心(CA)义务62.
1.
2CNNIC可信网络服务中心注册中心(RA)义务.
62.
1.
3储存库义务.
62.
1.
4证书持有者义务72.
1.
5信赖方义务.
82.
2其它82.
2.
1合理技术及免责条款82.
2.
2责任限制.
92.
2.
3CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任.
112.
2.
4证书持有者的转让122.
2.
5陈述权限.
122.
2.
6更改.
122.
2.
7保留所有权.
122.
2.
8条款冲突.
122.
2.
9受信关系.
122.
2.
10交叉认证.
132.
3解释及执行(管辖法律)132.
3.
1管辖法律.
132.
3.
2条款可中止性、修改132.
3.
3争议解决程序.
132.
4证书费用14CNNIC可信网络服务中心证书业务规则II2.
4.
1证书.
142.
4.
2查询.
142.
4.
3废止.
142.
4.
4退款策略.
142.
4.
5其他费用.
142.
5公布资料及储存库142.
5.
1证书储存库控制152.
5.
2证书储存库进入要求152.
5.
3证书储存库更新周期152.
6遵从规定的评估152.
7机密性163鉴别及认证.
173.
1关于CNNICCA根证书的结构.
173.
2标准服务器证书命名及首次注册.
173.
2.
1名称类型.
173.
2.
2名称要求.
183.
2.
3申请者的匿名或伪名183.
2.
4理解不同名称形式的规则183.
2.
5名称唯一性.
183.
2.
6商标的识别、鉴证和角色193.
2.
7名称争端解决.
193.
2.
8标准服务器证书首次注册193.
2.
8.
1单域名,通配域名证书193.
2.
8.
2多域名证书.
203.
2.
8.
3证书主题中包含IP地址213.
2.
8.
4国防类域名申请注册标准服务器证书213.
3快速域名证书命名及首次注册.
223.
3.
1名称类型.
223.
3.
2名称要求.
233.
3.
3申请者的匿名或伪名233.
3.
4理解不同名称形式的规则233.
3.
5名称唯一性.
233.
3.
6商标的识别、鉴证和角色233.
3.
7名称争端解决.
243.
3.
8快速域名证书首次注册243.
3.
8.
1单域名证书、多域名证书243.
4证明拥有私钥的方法254操作规范.
254.
1关于CNNICROOT证书链下的证书签发.
254.
2标准服务器证书申请、签发、接受、废止及发布.
264.
2.
1证书申请.
264.
2.
2签发、接受证书264.
2.
3证书发布.
27CNNIC可信网络服务中心证书业务规则III4.
2.
4标准服务器证书补发274.
2.
5标准服务器证书续费及年检294.
2.
6多域名证书域名修改314.
2.
7证书废止.
324.
2.
8国防类域名标准服务器证书的申请,补发,续费,变更及废止.
364.
3快速域名证书申请、签发、接受、废止及发布.
364.
3.
1证书申请.
364.
3.
2签发、接受证书374.
3.
3证书发布.
374.
3.
4快速域名证书补发374.
3.
5快速域名证书的续费及年检394.
3.
6证书废止.
414.
4证书冻结444.
5证书更新444.
6证书发布444.
7计算机安全审计程序454.
7.
1记录事件类型.
454.
7.
2处理记录的次数454.
7.
3审计追踪记录保存期限454.
7.
4审计追踪记录保护464.
7.
5审计追踪记录备份.
464.
7.
6审计追踪记录收集系统464.
7.
7安全事件通知.
464.
7.
8脆弱性评估.
464.
8记录归档464.
8.
1归档记录类型.
464.
8.
2归档保存期限.
474.
8.
3归档保护.
474.
8.
4归档备份程序.
474.
8.
5时间戳.
474.
9密钥变更474.
10CNNIC可信网络服务中心服务终止484.
11灾难恢复及密钥泄漏计划.
484.
11.
1灾难恢复计划.
484.
11.
2密钥泄漏应对计划494.
11.
3密钥的转换.
494.
12CNNIC可信网络服务中心应急机制495二级根授权操作规范.
505.
1二级根授权基本管理流程.
505.
2二级根申请人资质评审.
515.
3二级根证书签发及记录.
525.
4二级根证书吊销处理525.
5二级根更新535.
65.
6二级根密钥变更.
54CNNIC可信网络服务中心证书业务规则IV6实体、程序及人员安全控制.
556.
1实体安全556.
1.
1选址及建造.
556.
1.
2进入控制.
556.
1.
3电力及空调.
556.
1.
4自然灾害.
556.
1.
5防火及保护.
556.
1.
6媒体介质存储.
566.
1.
7场外备份.
566.
1.
8保管印刷文件.
566.
1.
9废料处理.
566.
1.
10电磁防护.
566.
2过程控制566.
2.
1可信职责.
566.
2.
2CNNIC可信网络服务中心与本地受理点(LRA)之间的文件及资料传递.
576.
2.
3年度评估.
576.
3人员控制576.
3.
1背景及资格.
576.
3.
2背景调查.
586.
3.
3培训要求.
586.
3.
4向人员提供的文件587技术安全控制.
587.
1密钥的生成及安装587.
1.
1密钥对的生成.
587.
1.
2公钥传送给证书签发机构597.
1.
3CNNIC可信网络服务中心公钥发布597.
1.
4密钥的长度.
597.
1.
5密码模块标准.
597.
1.
6密钥用途.
607.
1.
7密钥销毁.
607.
2私钥保护和密码模块工程控制.
607.
2.
1密码模块标准.
607.
2.
2私钥多人控制.
607.
2.
3私钥托管.
617.
2.
4CNNIC可信网络服务中心私钥备份617.
3密钥对管理的其它方面.
617.
3.
1公钥归档.
617.
3.
2私钥归档.
617.
3.
3证书操作期和密钥对使用期限627.
4计算机安全控制627.
5生命周期技术安全控制.
627.
6网络安全控制627.
7密码模块工程控制63CNNIC可信网络服务中心证书业务规则V8证书及证书废止列表(CRL)结构638.
1证书结构638.
1.
1版本号.
638.
1.
2证书项说明.
638.
1.
3算法对象标识符668.
1.
4名称形式.
668.
1.
5名称限制.
668.
1.
6证书策略对象标识符678.
1.
7策略限制扩展项的用法678.
1.
8策略限定符的语法和语义678.
1.
9关键证书策略扩展项的处理规则678.
2证书废止列表(CRL)结构.
678.
2.
1版本号.
688.
2.
2CRL项.
688.
3OCSP688.
3.
1版本号.
698.
3.
2OCSP扩展项698.
3.
3OCSP请求.
698.
3.
4OCSP响应.
699CPS管理.
709.
1变更流程709.
2公告与通知709.
3CPS批准程序709.
4解释7111引言1.
1概述中国互联网络信息中心(CNNIC)可信网络服务中心(以下简称"CNNIC可信网络服务中心")为域名提供域名证书安全服务,因此根据IETF组织关于证书业务规则(CPS)的编写规范RFC3647编写了CNNIC可信网络服务中心的CPS,作为CNNIC可信网络服务中心的证书相关业务和系统的运行规范.
1.
2角色与责任1.
2.
1安全管理委员会CNNIC可信网络服务中心安全管理委员会负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构.
安全管理委员会的职责包括:收集与协调安全管理方面的问题和建议,达成一致意见;制定并维护CNNIC可信网络服务中心的证书策略文件(CP);对本CPS进行审核,以确保CPS与CP文件一致.
安全管理委员会应保证每年至少召开1次会议或进行1次文件会签,以对CNNIC可信网络服务中心相关制度规定进行检查修改和批准续期,并对中心运行状况进行通报.
此外,在有其他重要变更时,安全管理委员会应根据实际情况及时通过会议或文件会签的方式对重要事项进行讨论和审批.
安全管理委员会成员由来自于CNNIC领导、人力资源、财务、法律事务、安全管理等方面的代表组成.
1.
2.
2首席安全管理员首席安全管理员将全面负责CNNIC可信网络服务中心日常的各项安全事务,受CNNIC可信网络服务中心安全管理委员会授权,首席安全管理员可以执行变CNNIC可信网络服务中心证书业务规则2更CNNIC可信网络服务中心的安全策略,对CNNIC可信网络服务中心的安全管理进行定期的检查和评估,保持CNNIC可信网络服务中心的安全管理始终处在一个较先进的水平,具有较高的安全性和可信度.
随时追踪有关安全管理的最新动态,确保安全体系的先进性.
为保障CNNIC可信网络服务中心的安全、可靠运营,CNNIC可信网络服务中心首席安全管理员重点关注下面三个关键领域:开发安全策略,并协助程序开发和执行;维护安全策略和程序,使之保持完备性;审计安全策略及其实际执行情况的一致性.
CNNIC可信网络服务中心首席安全管理员拥有以下职责:经授权后建立和变更CNNIC可信网络服务中心安全策略和规范;管理交叉认证,发布CNNIC可信网络服务中心交叉认证协议,更新及撤消交叉认证;处理审计报告.
1.
3适用性1.
3.
1CNNIC可信网络服务中心根据本CPS,CNNIC可信网络服务中心履行证书认证机构的职能并承担其义务.
CNNIC可信网络服务中心是唯一根据本CPS授权发出证书的证书认证机构(见第2.
1.
1节).
1.
3.
1.
1CNNIC可信网络服务中心所作的陈述CNNIC可信网络服务中心向遵守本CPS第2.
1.
5节和其它有关条款的信赖方表明,CNNIC可信网络服务中心根据本CPS向证书持有者颁发证书.
1.
3.
1.
2生效经CNNIC可信网络服务中心签发的证书一经发出并由证书持有者接受,证书立即生效.
CNNIC可信网络服务中心证书业务规则31.
3.
1.
3CNNIC可信网络服务中心对本地受理点(LRA)授权的权利CNNIC可信网络服务中心可把履行本CPS及证书持有者协议的部分或全部工作的职责授权给本地受理点(LRA)执行.
无论有关职责是否由本地受理点(LRA)执行,CNNIC可信网络服务中心仍会负责履行本CPS及证书持有者协议.
本业务规则中的本地受理点(LRA)是指CNNIC认证的服务器证书注册服务机构.
1.
3.
2最终实体根据本证书业务规则,存在两类最终实体,包括证书持有者及信赖方.
证书持有者可以是"证书持有者个人"或"证书持有者机构".
信赖方信任CNNIC可信网络服务中心发出的任何类别或种类证书(包括但不限于域名证书).
特此澄清,信赖方信任的不是可信网络服务注册中心(以下简称"注册中心"或RA)或本地受理点(LRA)等证书注册机构,而是CNNIC可信网络服务中心.
CNNIC可信网络服务中心通过注册中心发出数字证书,而注册中心对信赖方并无任何职务职责,也不需对信赖方就发出数字证书而负责(见第2.
1.
2节).
1.
3.
2.
1证书持有者的保证及陈述申请人须签署或确定接受一份协议(按本CPS规定的条款),其中载有一条款.
申请人据此条款同意,申请人一经接受根据本CPS发出的证书,即表示其向CNNIC可信网络服务中心保证(承诺)并向所有其它有关人士(尤其是信赖方)做出陈述,在证书的有效期内,以下事实属实并将保持真实:除域名证书持有者及其授权者外,并无其它人士曾取用证书持有者的私人密钥.
使用与证书持有者域名证书所包含的公开密钥相关的证书持有者私人密钥所产生的每一数字签名实属证书持有者的数字签名.
证书所包含的所有资料及由证书持有者做出的陈述均属真实.
证书将只会用于符合本CPS认可并合法的用途.
在证书申请过程中所提供的所有资料,均不侵犯任何第三方的商标、服CNNIC可信网络服务中心证书业务规则4务标记、商号、公司名称或任何知识产权.
1.
3.
3证书持有者分类CNNIC可信网络服务中心的证书持有者就是域名持有者,可以是法人或自然人,但CNNIC可信网络服务中心并不区分他们.
1.
3.
4证书分类CNNIC可信网络服务中心根据本CPS提供域名证书服务,目前所颁发的域名证书品牌为"标准服务器证书"和快速域名证书两类证书,标准服务器证书存在不同的类型:单域名证书:CN是一个固定域名通配域名证书:CN是一个形式为"*.
xxx.
xxx"形式的域名多域名证书:CN是多个域名的并列,例如"CN=a.
xxx.
xxx,CN=b.
xxx.
xxx,CN=c.
xxx.
xxx",SAN扩展中包含这多个域名CNNIC可信网络服务中心颁发的标准服务器证书仅限于域名证书,确保信息传输加密传输的同时,也进一步体现该证书所属实体的信息,而不能用于其他用途.
快速域名证书存在不同的类型:单域名证书:CN是一个固定域名多域名证书:CN是多个域名的并列,例如"CN=a.
xxx.
xxx,CN=b.
xxx.
xxx,CN=c.
xxx.
xxx",SAN扩展中包含这多个域名CNNIC可信网络服务中心颁发的快速域名证书仅限于域名证书,保证网站与客户端之间的信息传输加密,不能用于其他用途.
1.
3.
5证书有效期根据本证书业务规则发出的新申请人的证书,其有效期可以为1至3年.
CNNIC可信网络服务中心证书业务规则51.
3.
6从CNNIC可信网络服务中心申请证书所有首次申请及证书废止或到期后的申请,申请人须依据本CPS规定的程序递交申请.
1.
4联络方式邮寄地址:北京349信箱6分箱CNNIC邮政编码:100190电话:86-10-58813000传真:86-10-58812666电子邮件地址:service@cnnic.
cn网址:http://www.
cnnic.
cn中文域名:http://中国互联网络信息中心.
CN通用网址:中国互联网络信息中心:CNNIC1.
5处理投诉程序CNNIC可信网络服务中心工作人员会尽快处理所有以书面及口头形式发起的投诉,不包括证书吊销类投诉,并在五个工作日内给予详细的答复.
若五个工作日内不能给予详细的答复,会向投诉人做出简要回复.
在可行范围内,CNNIC可信网络服务中心人员会在收到投诉后尽快以电话、电子邮件或信件与投诉人联络确认收到有关投诉并做出回复.
2总则2.
1义务CNNIC可信网络服务中心对证书持有者的义务由本CPS及与证书持有者达成的证书持有者协议进行约定.
对于非证书持有者的证书信赖方,CNNIC可信网络服务中心仅承诺采取合理技术避免根据本CPS签发、废止证书时对证书信CNNIC可信网络服务中心证书业务规则6赖方造成若干类型的损失及损害,并就责任做出限定.
2.
1.
1CNNIC可信网络服务中心认证中心(CA)义务根据条例,CNNIC可信网络服务中心为受认可的证书认证机构,负责使用稳定系统签发、废止证书及利用公开储存库发布证书撤销列表等信息.
根据本CPS,CNNIC可信网络服务中心所属认证中心有下述义务:a)接收注册中心的请求及时签发证书b)废止证书并及时发布证书废止列表(CRL)(见第4.
5节)c)定期查看来自CABForum的SSLBaselineRequirement基线要求的更新内容,并承诺将根据基线要求的内容进行CA系统及业务逻辑内容的升级调整,保证对服务器证书的签发及管理符合最新版本的SSLBaselineRequirement要求.
2.
1.
2CNNIC可信网络服务中心注册中心(RA)义务注册中心系统负责证书申请者证书的申请和审批及证书管理,并将证书申请信息传递到认证中心.
注册中心有下述义务:a)根据本CPS第3、4章规定,验证申请人所提交信息的准确性和真实性,并使验证通过的证书申请生效,将其安全传递给认证中心(CA),证书申请包括证书注册、补发、续费、废止、多域名修改等类型申请b)通知申请人有关已批准或被拒绝的证书申请(见第4.
1、4.
2、4.
3及4.
4节)c)通知证书持有者有关已废止的证书(见第4.
5.
1,4.
5.
2及4.
5.
3节)CNNIC可信网络服务中心仅有一个注册中心,设在CNNIC.
CNNIC可信网络服务中心确认LRA的身份,并授权LRA进行证书申请者注册的资料收集工作.
LRA有义务在证书申请者进行证书注册、补发、续费、废止、多域名修改时负责收集相关信息并初步验证这些信息的正确性.
2.
1.
3储存库义务CNNIC可信网络服务中心储存库应根据自己制定的策略,及时公布证书废止CNNIC可信网络服务中心证书业务规则7列表(CRL)及其他内容.
2.
1.
4证书持有者义务证书持有者负责:a)适当完成申请程序并在适当表格内签署或确定接受证书持有者协议;履行该协议规定其应承担的义务并确保在申请证书时所作的陈述准确无误.
b)准确地遵守本CPS所描述的关于完成证书的程序.
c)承诺使用合理预防措施来保护其证书私人密钥的机密性(即对其保密)及完整性以防丢失、泄露或未经授权使用.
d)发现其证书的私人密钥丢失或泄漏时,立即向CNNIC可信网络服务中心报告丢失或泄漏.
e)及时将证书持有者证书资料的任何变动通知给CNNIC可信网络服务中心.
f)出现下文4.
5.
1节所规定的废止证书的情形时,立即通知给CNNIC可信网络服务中心.
g)向CNNIC可信网络服务中心保证,并向所有证书信赖方表明,在证书的有效期内,以上第1.
3.
2.
1节所描述的事实真实.
h)在明知CNNIC可信网络服务中心根据本CPS可能废止证书的情况下,或证书持有者已提出废止申请,或CNNIC可信网络服务中心拟根据本CPS废止证书并通知证书持有者后,均不得在交易中使用证书.
i)在明知CNNIC可信网络服务中心根据本CPS可能废止证书的情况下,或证书持有者提出废止申请,或CNNIC可信网络服务中心拟根据本CPS废止证书并通知证书持有者后,须立即通知从事当时仍有待完成的任何交易的证书信赖方,并明确说明,用于该交易的证书需要废止(由CNNIC可信网络服务中心或经证书持有者申请),证书信赖方不得在交易中信任此证书.
j)证书的使用仅限于合法目的,并且符合相关的证书策略和本CPS(或其他公布的商业事项).
如果注册者有理由相信与证书所用的公钥相对应的CNNIC可信网络服务中心证书业务规则8私钥有泄密的危险,那么应及时通知CNNIC可信网络服务中心废止证书.
k)证书持有者承认,如其未能按照上述条款的规定履行其义务,则其应对可能造成的CNNIC可信网络服务中心或其信赖方的损失承担赔偿责任.
2.
1.
5信赖方义务信任CNNIC可信网络服务中心数字证书的证书信赖方负责:a)证书信赖方考虑过所有因素后并确信信任证书实属合理时,方可信任该证书.
b)在信任该证书前,确定使用证书是适合本CPS规定的用途,即仅信任CNNIC可信网络服务中心的证书用作域名证书.
c)在信任证书前查核证书废止列表(CRL)上的证书状态.
d)执行所有适当证书路径验证程序.
e)一旦信任了该证书,即表明同意接受本CPS所规定的责任限制的条款.
2.
2其它2.
2.
1合理技术及免责条款CNNIC可信网络服务中心将根据本CPS采取合理的技术及管理措施,向各证书持有者和信赖方行使其权利并履行其义务.
CNNIC可信网络服务中心不保证根据本CPS提供的服务不中断或无错误.
也就是说,尽管CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心根据CPS行使应有的权利及义务时采取合理的技术及管理措施,若证书持有者或信赖方遭受出自CPS中描述的公开密钥基础设施或与之相关的任何性质的债务、损失或损害,各证书持有者同意CNNIC可信网络服务中心及其注册中心无需承担任何责任、损失或损害.
CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心已采取合理程度的技术及管理措施的前提下,若证书持有者因信任另一证书持有者由CNNIC可信网络服务中心所发出的证书支持的虚假或伪造的数字签名而蒙受损失或损害,CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中CNNIC可信网络服务中心证书业务规则9心概不负责.
在CNNIC可信网络服务中心已采取合理的技术或管理手段以避免或减轻无法控制事件后果的前提下,若证书持有者因CNNIC可信网络服务中心不能控制的情况遭受不良影响,CNNIC可信网络服务中心概不负责.
CNNIC可信网络服务中心控制以外的情况包括但不限于互联网或电信或其它基础设施系统的不可用,或天灾、战争、军事行动、国家紧急状态、疫症、火灾、水灾、地震、罢工或暴乱或其它证书持有者或其它第三者的疏忽或蓄意不当行为.
2.
2.
2责任限制2.
2.
2.
1限制的合理性各证书持有者或信赖方必须同意,CNNIC可信网络服务中心按证书持有者协议及本CPS所列条件限制其法律责任实属合理.
2.
2.
2.
2可追讨损失种类的限制CNNIC可信网络服务中心若违反《证书持有者协议》或者出现任何职务职责的情况下,而造成证书持有者或信赖方遭受损失及损害的,CNNIC可信网络服务中心不负责下述原因造成的损失及损害的赔偿:a)任何直接或间接利润或收入损失、信誉或商誉损失或伤害、任何商机损失、失去项目、或失去或无法使用任何数据、设备或软件;b)任何间接、相应而生或附带引起的损失或损害.
2.
2.
2.
3限额即使是CNNIC可信网络服务中心违反《证书持有者协议》或者负有任何职务职责的情况下,而造成证书持有者或信赖方蒙受损失及损害,对于任何证书持有者、或任何信赖方,CNNIC可信网络服务中心所负法律责任限于在任何情况下每张域名证书不得超过证书购买价格的10倍.
CNNIC可信网络服务中心证书业务规则102.
2.
2.
4提出赔偿的时限证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.
2.
2.
2.
5故意不当行为的责任任何因欺诈或故意不当行为的责任均不在本CPS、证书持有者协议或CNNIC可信网络服务中心签发的证书的任何限制或除外规定范围内.
2.
2.
2.
6证书责任限制通知CNNIC可信网络服务中心签发证书已经作出如下责任限制通知:"CNNIC可信网络服务中心职员按CNNIC可信网络服务中心签署的证书业务规则所载条款,在条件适用于本证书的情况下,根据相关规定作为证书认证机构签发本证书.
因此,任何人士信任本证书前均应阅读适用于域名证书的证书业务规则(可浏览http://tns.
cnnic.
cn).
中华人民共和国法律适用于本证书,信赖方须承认因信任本证书而引致的任何争议或问题属于中华人民共和国法律管辖.
如果信赖方不接受本证书用来签发的条款及条件,则不应信任本证书.
CNNIC可信网络服务中心签发本证书,但无须对信赖方承担任何责任或职务职责.
信赖方信任本证书前确保信任行为公平合理无恶意,方可信任本证书;信任本证书前,确定证书的使用就CPS规定的用途而言实属适当;信任本证书前,根据证书废止列表(CRL)检查本证书的状态,并履行所有适当证书路径验证程序.
尽管CNNIC可信网络服务中心已采取合理技术及管理措施,若本证书仍在任何方面存在不准确或误导,则CNNIC可信网络服务中心对信赖方的任何损失CNNIC可信网络服务中心证书业务规则11或损害不承担任何责任.
若本证书在任何方面存在不准确或误导,而这种不准确或误导是因CNNIC可信网络服务中心的疏忽所导致,则CNNIC可信网络服务中心将可以因合理信任本证书中的这种不准确或误导事项而造成的经证实损失向每名信赖方支付最多为证书购买价格的10倍,只有这种损失不属于并且不包括(1)任何直接或间接损失,包括利润或收入损失、信誉或商誉损失或伤害、商机或契机损失、失去项目、失去或无法使用任何数据、设备或软件等;(2)任何间接、相应而生或偶然引起的损失或损害.
在该等情况下根据条例适用于本证书的信任额度为证书购买价格的10倍.
证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.
若本证书包含任何由CNNIC可信网络服务中心做出的故意或罔顾后果的失实陈述,则本证书并不就这类对因合理信任本证书中的失实陈述而遭受损失的信赖方所应承担的法律责任做出任何限制.
本文所描述的法律责任限制不适用于个人伤害或死亡的(不大可能发生的)情形.
"2.
2.
3CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任若证书持有者接受证书后发现,因证书包含的私人密钥或公开密钥出现差错,导致基于公开密钥基础设施的交易无法适当完成或根本无法完成,则证书持有者须将这种情况立即通知CNNIC可信网络服务中心,以便废止证书并重新签发.
或者在接受证书后三个月内发现这种情况且证书持有者不再需要证书,则在CNNIC同意的前提下,可以申请退款.
如果证书持有者在接受证书三个月后才将这类差错通知CNNIC,则将不会退还持有者已缴纳的费用.
CNNIC可信网络服务中心证书业务规则122.
2.
4证书持有者的转让证书持有者不可转让证书持有者协议或证书赋予的权利,任何转让行为均属无效.
2.
2.
5陈述权限除非获得CNNIC可信网络服务中心授权,CNNIC可信网络服务中心或注册中心的代理人或工作人员无权代表CNNIC可信网络服务中心对本CPS的含义或解释作任何陈述.
2.
2.
6更改CNNIC可信网络服务中心有权更改本CPS,更改发布之前CNNIC会审计方对修改内容沟通确认内容符合WebTrust审计标准.
证书持有者协议不得做出修改或变更,除非符合本CPS中的修改或变更规定,或获得CNNIC可信网络服务中心的明确书面同意.
2.
2.
7保留所有权根据本CPS签发的证书上所有资料的实体权利、版权及知识产权均属CNNIC可信网络服务中心所有.
2.
2.
8条款冲突若本CPS与证书持有者协议或其它规则、指引、协议有冲突,证书持有者、信赖方及CNNIC可信网络服务中心须受本CPS条款约束,除非该等条款受法律禁止.
2.
2.
9受信关系CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心并非CNNIC可信网络服务中心证书业务规则13证书持有者或信赖方的代理人或其它代表.
证书持有者及信赖方无权以协议或其它方式约束CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心承担证书持有者或信赖方的代理人或其它代表的责任.
2.
2.
10交叉认证CNNIC可信网络服务中心在所有情形下均保留与其他证书认证机构定义及确定适当理由进行相互交叉认证的权利.
通过与Entrust公司之间的协议,CNNIC可信网络服务中心中级根证书CNNICSSL同时也被Entrust公司的根证书所信任,CNNIC可信网络服务中心所发出的域名证书可以通过不同的证书路径分别从CNNIC根证书和Entrust根证书两个信任锚进行认证.
2.
3解释及执行(管辖法律)2.
3.
1管辖法律本CPS受中华人民共和国法律管辖.
2.
3.
2条款可中止性、修改若本CPS的任何条款被宣布为非法、不可执行或无效,则应删除其中任何非法的词语,直至该等条款成为合法及可执行为止,同时应保留该等条款的本意.
本CPS的任何条款的不可执行性将不损害任何其它条款的可执行性.
CNNIC可信网络服务中心拆分或合并可能导致其经营范围、管理和运营状况的改变.
这种情况下,可能也需要修改本CPS.
经营活动的改变会与CPS的修改相一致.
2.
3.
3争议解决程序若当事人之间的争议无法友好协商解决,应提交中国国际经济贸易仲裁委员会进行仲裁.
仲裁的裁决是终局性的,对当事人均有约束力.
仲裁的裁决过程采CNNIC可信网络服务中心证书业务规则14用中文记录,仲裁裁决由有管辖权的法院执行.
2.
4证书费用2.
4.
1证书标准服务器证书(包括单域名证书、通配域名证书、多域名证书)及快速域名证书(包括单域名证书、多域名证书)注册、续费、补发,以及多域名证书域名修改为收费服务,其费用根据市场和管理部门的规定自行决定.
2.
4.
2查询CNNIC可信网络服务中心证书查询现阶段为免费服务.
2.
4.
3废止CNNIC可信网络服务中心证书废止现阶段为免费服务.
2.
4.
4退款策略CNNIC可信网络服务中心证书费用在证书签发后概不退还.
2.
4.
5其他费用CNNIC可信网络服务中心除收取证书注册费、更新费(续费)、补发费、多域名证书域名修改费用外,暂不收取其他费用.
2.
5公布资料及储存库本文为CNNIC可信网络服务中心证书业务规则(CPS),在CNNIC可信网络服务中心网站发布,CNNIC可信网络服务中心网址为http://www.
cnnic.
cn,http://crl.
cnnic.
cnCNNIC可信网络服务中心维持一个储存库,包含最新的根和中级根所签发的CNNIC可信网络服务中心证书业务规则15证书废止列表(CRL)、CNNIC可信网络服务中心中级根证书和根证书、本CPS以及CNNIC可信网络服务中心证书策略(CP)文本一份以及其它相关资料.
除每周最多四小时的定期维修及紧急维修外,储存库保持每天24小时、每周7天开放.
CNNIC可信网络服务中心储存库可通过下述URL访问:http://www.
cnnic.
cn,http://crl.
cnnic.
cn公布资料和储存库允许所有互联网用户访问,但仅允许CNNIC可信网络服务中心管理员更新.
2.
5.
1证书储存库控制储存库所在位置可供在线浏览,并可防止擅自修改.
2.
5.
2证书储存库进入要求经授权的CNNIC可信网络服务中心工作人员方可进入储存库更新及修改内容.
2.
5.
3证书储存库更新周期CNNIC可信网络服务中心储存库内中级根签发的证书废止列表(CRL)每12小时更新一次.
如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
储存库中其他内容根据变更情况随时更改.
2.
6遵从规定的评估根据中华人民共和国的相关法律的规定,至少每12个月进行一次由外部独立的审计机构主持进行的规定遵从情况的评估,查清CNNIC可信网络服务中心签发、废止证书及公布证书废止列表(CRL)的系统是否严格遵守本CPS和CNNIC可信网络服务中心相关的控制措施.
CNNIC可信网络服务中心证书业务规则16审计内容包括:a)公布的商业事项b)服务的完整性(包括对密钥和证书生命周期管理的控制)c)环境控制审计结果应通报给CNNIC可信网络服务中心安全管理委员会.
由其安排CNNIC可信网络服务中心将根据具体的审计意见确定改进方案,采取改进行动.
2.
7机密性保密信息包括:a)证书持有者的签名私钥是保密的,不向CNNIC可信网络服务中心提供b)CNNIC可信网络服务中心的经营和控制专用的信息,都由CNNIC可信网络服务中心秘密保管;除非法律另有规定,否则不能对外泄漏.
c)除在证书、CRL、证书政策、CPS中公开发布的信息之外的有关证书持有者的信息,是保密信息;除非有证书政策要求,或法律另行规定,否则一律不能对外公开.
d)一般来说,每年的审计结果应该保密,除非CNNIC可信网络服务中心安全管理委员会认为有必要公布审计结果.
非保密信息包括:a)由CNNIC可信网络服务中心签发的证书以及CRL中所包括的信息是非保密信息.
b)CNNIC可信网络服务中心公布的CPS中的信息(或其他公布的商业事项)是非保密信息.
c)当CNNIC可信网络服务中心废止某一证书时,CRL中列出了证书的废止理由.
该废止理由的代码是非保密信息,所有其他证书持有者和证书信赖方都可以分享该信息.
但是,有关废止的其他细节一般不公布.
CNNIC可信网络服务中心将根据法律规定,应执法人员的执法要求公开信息.
CNNIC可信网络服务中心将根据信息持有人要求向其他方公布有关信息CNNIC可信网络服务中心证书业务规则17持有人的信息.
3鉴别及认证3.
1关于CNNICCA根证书的结构CNNICROOTCNNICSHA256SSLCNNICSSLCNNICDQSSL其中CNNICROOT为根证书,CNNICSHA256SSL为支持SHA256算法的标准证书的中级根证书,CNNICSSL为标准服务器证书的中级根证书,CNNICDQSSL为快速域名证书的中级根证书.
3.
2标准服务器证书命名及首次注册3.
2.
1名称类型根据证书对应实体的类型不同,CNNIC可信网络服务中心签发的证书的实体名字可以是单个域名或多个域名,命名符合X.
500甄别名规定.
CNNIC可信网络服务中心所发证书的签发者和主题域中包含X.
500甄别名.
CNNIC可信网络服务中心所发证书的主题甄别名由下面的内容组成:CNNIC可信网络服务中心根证书主题甄别名国家(C)=CN机构(O)=CNNIC通用名(CN)=CNNICROOTCNNIC可信网络服务中心中级根证书主题甄别名国家(C)=CN机构(O)=CNNICSHA256SSLCNNIC可信网络服务中心证书业务规则18通用名(CN)=CNNICSHA256SSLCNNIC可信网络服务中心中级根证书主题甄别名国家(C)=CN机构(O)=CNNICSSL通用名(CN)=CNNICSSL域名证书的主题域中包含一个X.
500甄别名,它由如下的内容组成:国家(C)=CN机构(O)=证书持有者名称组织单元(OU)=证书持有者或持有者下属的部门通用名(CN)=一般为网站域名或IP地址(该字段仅包含多域名中的第一个域名,所有的域名将在SubjectAlternativeName即SAN中并列显示)地区(L)=所在城市省(S)=所在身份3.
2.
2名称要求CNNIC可信网络服务中心签发的证书包含的命名应由域名、证书持有者名称与CNNIC可信网络服务中心证书固定的内容构成.
3.
2.
3申请者的匿名或伪名申请者不能使用匿名或伪名申请证书,证书中也不能使用匿名或伪名.
3.
2.
4理解不同名称形式的规则依X.
500甄别名命名规则解释.
3.
2.
5名称唯一性CNNIC可信网络服务中心签发给某个实体的证书,其主题甄别名,在CNNIC可信网络服务中心信任域内是唯一的.
CNNIC可信网络服务中心证书业务规则193.
2.
6商标的识别、鉴证和角色CNNIC可信网络服务中心签发的证书的主题甄别名只与域名、证书持有者名称相关,而与商标无关.
3.
2.
7名称争端解决名称争端由CNNIC可信网络服务中心根据具体情况进行最终裁决.
3.
2.
8标准服务器证书首次注册3.
2.
8.
1单域名,通配域名证书1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书注册申请书原件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
证书申请人为自然人时,还需提交证明其所在地址的资料.
2.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
3.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
CNNIC可信网络服务中心证书业务规则204.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人.
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
3.
2.
8.
2多域名证书1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书注册申请书原件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
2.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到多域名证书的所有域名注册者资料,查看这些域名注册者是否分别和域名证书申请者一致,初步审核确定各域名证书申请者确实拥有此域名.
3.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
初步审核不通过,即某域名证书申请者与域名注册者不一致,则要求此域名证书申请者修改域名注册者资料,然后受托机构才能再次前来申请多域名证书,或者在此多域名证书内去掉资料不一致的域名.
4.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whoisCNNIC可信网络服务中心证书业务规则21功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人,.
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
3.
2.
8.
3证书主题中包含IP地址当申请人提交的证书申请中包含IP地址时,在提交3.
2.
8.
1中申请资料的同时,还有如下要求:1.
确认该IP地址不能被IANA标记为ReservedIP地址;2.
CNNIC将要求申请人提交证明资料确认其拥有该IP的使用权,方式可以是提供IP地址分配机构出具的证明资料,或者通过要求申请人在该IP地址的网站添加特定信息的方式进行证明.
.
3.
2.
8.
4国防类域名申请注册标准服务器证书由于国防类单位无组织机构代码证和营业执照,CNNIC将授权由本地受理点"北京神州长城通信技术发展中心域名注册服务机构"对申请单位进行审核,并出具证明函.
"中国长城互联网络信息中心"(又称:北京神州长城通信技术发展中心域名注册服务机构),是由中国工业和信息化部授权唯一一家负责国防类域名的注册管理和注册服务机构,该机构将负责对所有申请服务器证书的国防类机构和申请人员进行严格审核和保证.
证书申请需提交如下资料:证书申请书原件(加盖公章)国防类单位申请标准服务器证书证明函原件(加盖公章)申请经办人的身份证复印件收到申请资料后的审核流程如下:1.
本地受理点审核人员对申请人资料进行审核,通过国防类域名whois专用系统,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证CNNIC可信网络服务中心证书业务规则22书申请者一致,审核确定域名证书申请者确实拥有此域名.
2.
本地受理点审核人员通过电话与经办人进行确认.
3.
本地受理点要求申请单位填写国防类域名申请标准服务器证书证明函(需申请单位和本地受理点同时加盖公章).
4.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
5.
CNNIC审核员与申请单位进行电话确认.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人.
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
3.
3快速域名证书命名及首次注册3.
3.
1名称类型根据证书对应域名所属的安装方式不同,CNNIC可信网络服务中心签发的证书分为单个域名或多个域名,命名符合X.
500甄别名规定.
CNNIC可信网络服务中心所发证书的签发者和主题域中包含X.
500甄别名.
CNNIC可信网络服务中心所发证书的主题甄别名由下面的内容组成:CNNIC可信网络服务中心根证书主题甄别名国家(C)=CN机构(O)=CNNIC通用名(CN)=CNNICROOTCNNIC可信网络服务中心快速域名证书的中级根证书主题甄别名通用名(CN)=CNNICDQSSL机构(O)=CNNIC国家(C)=CNCNNIC可信网络服务中心证书业务规则23快速域名证书的主题域中包含一个X.
500甄别名,它由如下的内容组成:国家(C)=CN机构(O)=这个属性包括单个域名(单域名证书的域名字段或多域名证书的第一个域名字段通用名(CN)=这个属性包括单个域名(单域名证书)或多域名的并列(多域名证书)3.
3.
2名称要求CNNIC可信网络服务中心签发的快速域名证书包含的命名应由域名与CNNIC可信网络服务中心证书固有的内容构成.
3.
3.
3申请者的匿名或伪名申请者不能使用匿名或伪名申请证书,证书中也不能使用匿名或伪名,证书中仅对申请的域名进行体现.
3.
3.
4理解不同名称形式的规则依X.
500甄别名命名规则解释.
3.
3.
5名称唯一性CNNIC可信网络服务中心签发给某个实体的证书,其主题甄别名,在CNNIC可信网络服务中心信任域内是唯一的.
3.
3.
6商标的识别、鉴证和角色CNNIC可信网络服务中心签发的证书的主题甄别名只与域名相关,而与商标无关.
CNNIC可信网络服务中心证书业务规则243.
3.
7名称争端解决名称争端由CNNIC可信网络服务中心根据具体情况进行最终裁决.
3.
3.
8快速域名证书首次注册3.
3.
8.
1单域名证书、多域名证书A、证书申请经办人提交申请资料给本地受理点(LRA)录入员,如果申请者为经过CNNIC域名注册审核过的CN域名或"中国"域名用户时,域名注册申请资料视同于快速域名证书申请资料,域名经过CNNIC实名制审核视同于符合快速域名申请资料审核.
CNNIC审核CN域名或"中国"域名注册申请时,会审核申请经办人的身份证明、营业执照或组织机构代码证.
1.
证书申请人需要提交以下内容给受理点:电子申请确认函的确认,其中包括申请协议;2.
用户提交申请后,本地受理点(LRA)将对用户提交资料做初次审核,然后将用户申请信息在CNNICWebRA系统中提交,系统自动判断申请域名是否为CN域名或"中国"域名并判断如下内容,域名持有人是否通过联系人实名认证,即是否在白名单;域名是否通过审核;申请的公司名称和返回的域名的公司名称是否一致;域名注册时的电话和白名单返回是否一致3.
当上述4点要求同时确认通过,将认可此次申请;4.
当系统认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
5.
经办人通过证书注册链接登录后,需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
B、如果申请者为未经过CNNIC实名认证过的CN域名或"中国"域名及其他类型域名时,则按以下流程进行进行.
CNNIC可信网络服务中心证书业务规则251.
证书申请人需要提交以下内容给受理点:电子申请确认函的确认,其中包括申请协议;申请经办人的身份证明复印件;营业执照复印件(加盖公章)或组织机构代码证复印件(加盖公章).
2.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
3.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
本地受理点初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
4.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
5.
当审核员认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
6.
经办人通过证书注册链接登录后,系统需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
3.
4证明拥有私钥的方法CNNIC可信网络服务中心通过使用附带数字签名的PKCS#10格式的证书请求,验证证书申请者拥有与证书公钥对应的私钥.
4操作规范4.
1关于CNNICROOT证书链下的证书签发在CNNICROOT证书链下签发的证书,当前分为两种类型,一种为标准服务器证书CNNIC可信网络服务中心证书业务规则26一种为快速域名证书,在证书冻结、证书更新及证书发布环节两种证书在CNNICCA中心有着相同的业务处理流程,其他环节中标准服务器证书与快速域名证书有着不同,现以不同的章节进行体现.
4.
2标准服务器证书申请、签发、接受、废止及发布4.
2.
1证书申请4.
2.
1.
1处理申请申请标准服务器证书的经办人必须到CNNIC指定的CNNIC可信网络服务中心本地受理点处递交申请.
CNNIC可信网络服务中心(包括注册中心)不直接面对申请者接受申请.
4.
2.
1.
2身份审核用以证明证书持有者机构、经办人及经办人身份的文件,在本CPS第3.
2节说明,申请者需要按照本CPS第3.
2节进行申请操作.
CNNIC可信网络服务中心注册中心完成核对身份手续后,将下载证书所必须的参考号、授权码发送给证书申请经办人.
4.
2.
2签发、接受证书4.
2.
2.
1单域名,通配域名证书单域名及通配域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信CNNIC可信网络服务中心证书业务规则27网络服务中心的服务.
4.
2.
2.
2多域名证书多域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信网络服务中心的服务.
4.
2.
3证书发布CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息.
4.
2.
4标准服务器证书补发在CNNIC可信网络服务中心的证书体系中,证书补发需要重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件.
新证书补发后,原证书立即作废,新证书截至有效期与原证书相同.
4.
2.
4.
1单域名,通配域名证书补发1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书补发申请书原件.
证书申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
CNNIC可信网络服务中心证书业务规则282.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人.
如果未确认通过,则拒绝证书补发,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请补发.
6.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
4.
2.
4.
2多域名证书补发1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书补发申请书原件.
证书申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人,.
如果未确认通过,则拒绝证书补发,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请补发.
CNNIC可信网络服务中心证书业务规则296.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
4.
2.
5标准服务器证书续费及年检在证书持有者证书到期前,证书持有者需要获得新的证书以保持证书使用的连续性.
证书持有者产生一个新的密钥对代替过期的密钥对,称作"密钥更新".
然而,在某些情况下,证书持有者希望为一个现存的密钥对申请一个新证书,称作"证书更新".
在CNNIC可信网络服务中心的证书体系中,证书续费需要证书持有者重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求证书持有者使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件CSR(即必须进行"密钥更新").
证书续费期为当前证书失效前3个月内,在此之前或之后CNNIC可信网络服务中心将拒绝续费申请.
续费之后,新的证书下载后应该立即安装.
续费的有效期顺延:新证书失效期=当前时间+新购证书的时间长度+当前证书剩余的时间长度.
4.
2.
5.
1单域名,通配域名证书续费1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
CNNIC可信网络服务中心证书业务规则30证书续费申请书原件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人,.
如果未确认通过,则拒绝证书续费,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请续费.
6.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
4.
2.
5.
2多域名证书续费1.
证书申请经办人提交申请资料给本地受理点(LRA)录入员:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
证书续费申请书原件.
证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
CNNIC可信网络服务中心证书业务规则312.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码发送给证书申请经办人,.
如果未确认通过,则拒绝证书续费,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请续费.
6.
证书申请经办人在Web服务器中生成证书请求CSR.
7.
证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由证书申请经办人安装.
4.
2.
5.
3关于各类型证书年检证书的年检是指为了确保用户信息的有效性,对于申请年限多余1年的证书将实行年检制度.
即每年审核员将进行用户信息有效性的年检,年检流程同于申请流程,只是无需用户再提交资料,而是由CNNIC可信网络服务中心自行发起到第三方进行年检.
4.
2.
6多域名证书域名修改不适用.
CNNIC可信网络服务中心停止提供多域名证书域名修改服务.
如用户的多域名证书中域名需要变更,请参照证书的首次申请流程进行办理.
CNNIC可信网络服务中心证书业务规则324.
2.
7证书废止4.
2.
7.
1废止的情形以下情况,CNNIC将在24小时之内吊销该证书:d)订户书面要求吊销该证书;e)订户通知CNNIC原始的证书请求未得到授权且不会被追朔给予授权;f)CNNIC得到证据订户的密钥对泄露或者是一个弱的密钥对;g)CNNIC得到证据订户的证书被错误使用;h)CNNIC发现证书订户违反了与CNNIC之间的用户协议;i)CNNIC发现任何指示证书中的域名或IP地址已不允许被合法使用(包括法庭或仲裁吊销了域名注册人使用域名的权利,或者域名注册人与注册机构之间的协议到期,或者域名注册人没有续注)j)CNNIC发现通配证书被用来验证一个欺骗性的子域名网站;k)CNNIC发现证书中信息已经发生了变更的资料;l)CNNIC发现该证书没有符合CP或CPS中的要求进行签发;m)CNNIC发现该证书中有任何不准确的或有错误导向的信息;n)CNNICCA系统停止运营,且没有安排其他的CA机构对该证书提供吊销支持;o)CNNIC发现签发该证书的二级根的私钥可能发生了泄露;p)根据CNNIC的CP或CPS要求进行吊销或者1.
证书的格式或者技术参数对于应用软件提供商或其他依赖方呈现出不可接受的风险.
(例如证书中使用的签名算法,或者算法长度已经不安全).
4.
2.
7.
2废止程序如出现本文第4.
5.
1节规定的除第3条外的情况,CNNIC可信网络服务中心将主动废止域名证书并通知证书持有者.
证书持有者也有权自行申请废止证书,申请废止的流程如下:CNNIC可信网络服务中心证书业务规则334.
2.
7.
3单域名,通配域名证书废止1.
证书持有者提交证书废止申请资料的电子扫描件给本地受理点(LRA)录入员.
证书废止申请书原件.
申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与经办人进行确认.
5.
如果审核通过,RA审核员直接废止此域名证书.
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和经办人者联系交涉,按照拒绝原因进行相应修改,重新申请废止.
4.
2.
7.
4多域名证书废止1.
证书持有者提交证书废止申请资料的电子扫描件给本地受理点(LRA)录入员.
证书废止申请书原件.
申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息CNNIC可信网络服务中心证书业务规则34对比.
通过电话与经办人进行确认.
5.
如果审核通过,RA审核员直接废止此域名证书.
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和证书申请者联系交涉,按照拒绝原因进行相应修改,重新申请废止.
4.
2.
7.
5废止效力CNNIC可信网络服务中心把废止状态发布到证书废止列表(CRL)中,即终止某一证书的使用效力.
4.
2.
7.
6请求证书废止的实体CNNIC可信网络服务中心或证书持有者可以在CPS第4.
5.
1节所述情形下要求废止一个证书.
4.
2.
7.
7废止请求的流程当CNNIC可信网络服务中心有充分的理由相信需要废止证书时,CNNIC可信网络服务中心认证中心或注册中心的有关人员可以通过内部确定的流程提交废止证书的请求.
在证书废止后,CNNIC可信网络服务中心将通过适当的方式,包括邮件、传真等,通知证书持有者证书已被废止及被废止的理由.
证书持有者也可以通过废止程序自行要求废止自己的证书.
在证书持有者提交废止请求时,需同时提供证书申请时提供的资料作为身份鉴别的信息.
4.
2.
7.
8废止请求提出时限当发现出现CPS第4.
5.
1节中的情况时,从发现需要废止证书到提出废止请求的时间间隔,不应超过24小时.
CNNIC可信网络服务中心证书业务规则354.
2.
7.
9CNNIC可信网络服务中心处理废止请求的时限CNNIC可信网络服务中心注册中心(RA)从接到废止请求(包括资料的电子扫描件)到完成处理请求的时间,不能超过两个工作日.
CNNIC可信网络服务中心工作日不包括周末和国家法定假日.
4.
2.
7.
10信赖方检查证书废止的要求信赖方是否检查证书废止完全取决于信赖方的安全要求.
4.
2.
7.
11CRL发布频率CNNIC可信网络服务中心中级根每隔12个小时签发一次证书废止列表(CRL).
4.
2.
7.
12如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
CRL发布的最大滞后时间一个域名证书从它被废止到它被发布到CRL上的滞后时间不超过12小时.
如果中级根被废止,根签发的CRL则立即发布.
4.
2.
7.
13在线状态查询的可用性CNNIC可信网络服务中心提供证书状态的在线查询服务(OCSP),每周除最多四小时的定期维修及紧急维修外,该服务7*24小时可用.
4.
2.
7.
14在线状态查询要求信赖方是否进行在线状态查询完全取决于信赖方的安全要求.
对于安全保障要求高并且完全依赖证书进行身份鉴别与授权的应用,信赖方在信赖一个证书前CNNIC可信网络服务中心证书业务规则36可通过证书状态在线查询系统检查该证书的状态.
4.
2.
7.
15废止信息的其他发布形式CNNIC可信网络服务中心目前只提供OCSP查询,以及通过LDAP目录服务和HTTP服务提供CRL查询.
4.
2.
7.
16密钥损害的特别要求无论是证书持有者还是CNNIC可信网络服务中心,发现证书密钥受到安全损害时应立即废止证书.
4.
2.
8国防类域名标准服务器证书的申请,补发,续费,变更及废止.
国防类域名使用标准服务器证书的申请,补发,续费,变更及废止和本文3.
2.
8.
3章节中申请证书时提供的审核资料和审核流程保持一致.
4.
3快速域名证书申请、签发、接受、废止及发布4.
3.
1证书申请4.
3.
1.
1处理申请如通过其他业务进行快速域名证书的申请者,必须到指定地点提交相应的证明材料,必须到指定的URL地址提交申请,CNNIC可信网络服务中心(包括注册中心)不直接面对申请者接受申请.
4.
3.
1.
2身份审核用以证明证书持有者机构、经办人及经办人身份的文件,在本CPS第3.
3节说明,申请者需要按照本CPS第3.
3节进行申请操作.
在完成身份核对手续后,CNNIC可信网络服务中心证书业务规则37将由用户直接下载证书.
4.
3.
2签发、接受证书4.
3.
2.
1单域名证书单域名及通配域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成,即表明申请者接受CNNIC可信网络服务中心的服务.
4.
3.
2.
2多域名证书多域名证书的签发、接受的步骤如下:1.
证书申请经办人在Web服务器中生成证书请求CSR.
2.
证书申请经办人访问CNNIC证书下载页面,提交CSR.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发证书完成即表明申请者接受CNNIC可信网络服务中心的服务.
4.
3.
3证书发布CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息.
4.
3.
4快速域名证书补发在CNNIC可信网络服务中心的证书体系中,在CNNIC可信网络服务中心的CNNIC可信网络服务中心证书业务规则38证书体系中,证书补发分为如下两种情况,1,用户证书文件未安装就丢失;2,用户的私钥泄漏;这2种情况下,证书补发都需要重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件.
新证书补发后,原证书立即作废,新证书截至有效期与原证书相同.
限制条件:用户进行证书自助补发,每个月补发证书最多为3次.
4.
3.
4.
1单域名域名证书补发如通过其他业务进行快速域名证书的申请者:1.
申请人经过CNNIC指定的URL地址,填写申请信息并提交申请.
2.
在证书有效期内,用户提交申请后,系统将自动检测所提交信息是否为正确信息,如果申请信息与原来信息一致(主要是经办人信息、公司信息等),将认可此次补发申请,如果该证书的有效期为大于一年期的申请,将在年检时一并进行严格审核;3.
CNNIC可信网络服务中心签发证书,并由证书申请经办人安装.
4.
3.
4.
2多域名证书补发如通过其他业务进行快速域名证书的申请者:1.
申请人经过CNNIC指定的URL地址,填写申请信息并提交申请.
2.
在证书有效期内,用户提交申请后,系统将自动检测所提交信息是否为正确信息,如果申请信息与原来信息一致(主要是经办人信息、公司信息等),将认可此次补发申请,如果该证书的有效期为大于一年期的申请,将在年检时一并进行严格审核;3.
CNNIC可信网络服务中心签发证书,并由证书申请经办人安装.
CNNIC可信网络服务中心证书业务规则394.
3.
5快速域名证书的续费及年检在证书持有者证书到期前,证书持有者需要获得新的证书以保持证书使用的连续性.
证书持有者产生一个新的密钥对代替过期的密钥对,称作"密钥更新".
然而,在某些情况下,证书持有者希望为一个现存的密钥对申请一个新证书,称作"证书更新".
在CNNIC可信网络服务中心的证书体系中,证书续费需要证书持有者重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求证书持有者使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件CSR(即必须进行"密钥更新").
证书续费期为当前证书失效前3个月内,在此之前或之后CNNIC可信网络服务中心将拒绝续费申请.
续费之后,新的证书下载后应该立即安装.
续费的有效期顺延:新证书失效期=当前时间+新购证书的时间长度+当前证书剩余的时间长度.
4.
3.
5.
1单域名证书续费如通过其他业务进行快速域名证书的申请者:1.
经CNNIC实名注册的CN域名或"中国"域名用户可以直接登录CNNIC制定的URL地址,进行证书更新.
2.
非经CNNIC实名注册的CN域名或"中国"域名以外的域名用户证书申请人需要提交以下资料给受理点:电子申请确认函的确认,其中包括申请协议;申请经办人的身份证明复印件;营业执照复印件(加盖公章)或组织机构代码证复印件(加盖公章).
3.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
4.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申CNNIC可信网络服务中心证书业务规则40请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
本地受理点初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
5.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
6.
当审核员认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
7.
经办人通过证书注册链接登录后,系统需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
4.
3.
5.
2多域名证书续费1.
经CNNIC实名注册的CN域名或"中国"域名用户可以直接登录CNNIC制定的URL地址,进行证书更新.
2.
非经CNNIC实名注册的CN域名或"中国"域名以外的域名用户证书申请人需要提交以下资料给受理点:电子申请确认函的确认,其中包括申请协议;申请经办人的身份证明复印件;营业执照复印件(加盖公章)或组织机构代码证复印件(加盖公章).
3.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
4.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部申请资料的电子扫描件通过安全方式递交给CNNIC注册中心的RA审核员.
本地受理点初步审核不通过,则要求域名证书申请者修改域名注册者资料后再前来申请证书.
CNNIC可信网络服务中心证书业务规则415.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话与经办人进行确认.
6.
当审核员认可此次申请后,系统将发送快速证书注册链接给经办人,如果系统审核未确认通过,则拒绝证书注册申请,回复用户拒绝的理由.
7.
经办人通过证书注册链接登录后,系统需要验证域名持有权;系统会发送一封验证邮件到域名持有人的邮箱,用户点击邮件中的链接即可验证.
只有该验证成功后可下载证书,如验证未通过,则证书不会被签发.
4.
3.
5.
3关于各类型证书年检证书的年检是指为了确保用户信息的有效性,对于申请年限多余1年的证书将实行年检制度.
即每年审核员将进行用户信息有效性的年检,年检流程同于申请流程,只是无需用户再提交资料,而是由CNNIC可信网络服务中心自行发起到第三方进行年检.
4.
3.
6证书废止4.
3.
6.
1废止的情形如果出现下列情况,CNNIC可信网络服务中心有权废止所签发的域名证书:1.
事后检查发现证书持有者申请域名证书时提供的资料存在虚假信息;2.
证书持有者未履行证书持有者协议所约定的义务;3.
证书持有者要求废止域名证书;4.
证书持有者主体消亡;5.
证书持有者变更域名证书的用途;6.
法律或法规要求的其他情况.
CNNIC可信网络服务中心证书业务规则424.
3.
6.
2废止程序如出现本文第4.
3.
6.
1节规定的除第3条外的情况,CNNIC可信网络服务中心将主动废止域名证书并通知证书持有者.
证书持有者也有权自行申请废止证书,申请废止的流程如下:4.
3.
6.
3单域名,多域名证书废止如通过其他业务进行快速域名证书的申请者:1.
证书持有者提交电子版证书废止申请资料给本地受理点(LRA)录入员.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与、经办人进行确认.
5.
如果审核通过,RA审核员直接废止此域名证书.
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和经办人者联系交涉,按照拒绝原因进行相应修改,重新申请废止.
6.
系统将发布CRL公示该证书已经吊销、吊销时间及原因等.
4.
3.
6.
4废止效力CNNIC可信网络服务中心把废止状态发布到证书废止列表(CRL)中,即终止某一证书的使用效力.
4.
3.
6.
5请求证书废止的实体CNNIC可信网络服务中心或证书持有者可以在CPS第4.
3.
6.
1节所述情形下要求废止一个证书.
CNNIC可信网络服务中心证书业务规则434.
3.
6.
6废止请求的流程当CNNIC可信网络服务中心有充分的理由相信需要废止证书时,CNNIC可信网络服务中心认证中心或注册中心的有关人员可以通过内部确定的流程提交废止证书的请求.
在证书废止后,CNNIC可信网络服务中心将通过适当的方式,包括邮件、传真等,通知证书持有者证书已被废止及被废止的理由.
证书持有者也可以通过废止程序自行要求废止自己的证书.
在证书持有者提交废止请求时,需同时提供证书申请时提供的资料作为身份鉴别的信息.
4.
3.
6.
7废止请求提出时限当发现出现CPS第4.
3.
6.
1节中的情况时,从发现需要废止证书到提出废止请求的时间间隔,不应超过24小时.
4.
3.
6.
8CNNIC可信网络服务中心处理废止请求的时限CNNIC可信网络服务中心注册中心(RA)从接到废止请求(包括资料的电子扫描件)到完成处理请求的时间,不能超过两个工作日.
CNNIC可信网络服务中心工作日不包括周末和国家法定假日.
4.
3.
6.
9信赖方检查证书废止的要求信赖方是否检查证书废止完全取决于信赖方的安全要求.
4.
3.
6.
10CRL发布频率CNNIC可信网络服务中心中级根每隔7天签发一次证书废止列表(CRL).
如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
CNNIC可信网络服务中心证书业务规则444.
3.
6.
11CRL发布的最大滞后时间一个域名证书从它被废止到它被发布到CRL上的滞后时间不超过168个小时.
如果中级根被废止,根签发的CRL则立即发布.
4.
3.
6.
12在线状态查询的可用性CNNIC可信网络服务中心提供证书状态的在线查询服务(OCSP),每周除最多四小时的定期维修及紧急维修外,该服务7*24小时可用.
4.
3.
6.
13废止信息的其他发布形式CNNIC可信网络服务中心目前提供HTTP服务的CRL查询.
4.
3.
6.
14密钥损害的特别要求无论是证书持有者还是CNNIC可信网络服务中心,发现证书密钥受到安全损害时应立即废止证书.
4.
4证书冻结不适用.
CNNIC可信网络服务中心不支持证书冻结.
4.
5证书更新不适用.
CNNIC可信网络服务中心不支持密钥不更换的情况下的证书更新.
4.
6证书发布CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息.
CNNIC可信网络服务中心证书业务规则454.
7计算机安全审计程序4.
7.
1记录事件类型CNNIC可信网络服务中心的重要安全事件,均以人工或自动记录在受保护的审计追踪记录内.
这类事件包括但不限于以下内容:可疑网络活动多次试图进入而不能访问与安装设备或软件、修改及配置CNNIC可信网络服务中心系统的有关事件相关人员访问CNNIC可信网络服务中心各组成部分的过程定期管理证书的操作同样也包括在审计追踪记录中,这些操作包括但不限于以下内容:处理废止证书的请求实际发出(包括证书注册、续费、补发等)、废止证书更新储存库资料汇编证书废止列表(CRL)并刊登新数据证书认证中心密钥转换档案备份紧急密钥恢复4.
7.
2处理记录的次数CNNIC可信网络服务中心每周均会处理审计追踪记录,用以审计追踪有关CNNIC可信网络服务中心行动、交易及程序.
4.
7.
3审计追踪记录保存期限存盘审计追踪记录文件的保存期为10年.
CNNIC可信网络服务中心证书业务规则464.
7.
4审计追踪记录保护CNNIC可信网络服务中心处理审计追踪记录时实施多人式控制,可提供足够保护,避免有关记录意外受损或被人蓄意修改.
4.
7.
5审计追踪记录备份CNNIC可信网络服务中心每周均会按照预定程序为审计追踪记录作适当备份.
备份会另行离机储存,并获足够保护,以免被盗用、损毁及媒体衰变.
4.
7.
6审计追踪记录收集系统无4.
7.
7安全事件通知CNNIC可信网络服务中心拥有自动监控系统,可向CNNIC可信网络服务中心适当人士或系统报告重要安全事件.
4.
7.
8脆弱性评估脆弱性评估是CNNIC可信网络服务中心风险评估的一部份:根据审计记录,CNNIC可信网络服务中心定期进行技术安全、管理安全方面的脆弱性评估,并根据评估报告采取加固措施.
4.
8记录归档4.
8.
1归档记录类型CNNIC可信网络服务中心须确保归档记录包括足够资料,从而确定证书是否有效以及以往是否运行妥当.
CNNIC可信网络服务中心应保存有以下数据:系统设备结构档案CNNIC可信网络服务中心证书业务规则47评估结果及设备合格复查记录证书业务规则所有版本对CNNIC可信网络服务中心具约束力的协议所有发出的证书及证书废止列表(CRL)定期事件记录其它用以核实归档内容的工作日志4.
8.
2归档保存期限上述归档记录至少妥善保存10年.
审计跟踪文档以CNNIC可信网络服务中心视为适当的方式存放.
4.
8.
3归档保护CNNIC可信网络服务中心保存的归档介质受各种实体或加密措施保护,可避免未经授权进入.
保护措施用以保护归档介质免受温度、湿度及磁场等环境侵害.
4.
8.
4归档备份程序制作并保存归档的副本.
4.
8.
5时间戳归档资料均注明归档项目的开始时间及日期.
CNNIC可信网络服务中心利用控制措施防止擅自调校系统时钟.
4.
9密钥变更由CNNIC可信网络服务中心认证中心产生,并用以证明根据本CPS发出的证书的认证中心根密钥及证书寿命为期不超过二十年.
CNNIC可信网络服务中心证书认证机构密钥及证书在期满前至少三个月会进行更新.
更新为新根密钥后,相关的根证书也会公布供大众取用.
原先的根密钥则保留至第4.
8.
2节指定CNNIC可信网络服务中心证书业务规则48的最短的时限,以供核对用原根密钥签名的证书.
4.
10CNNIC可信网络服务中心服务终止在CNNIC可信网络服务中心服务终止的情况下,CNNIC可信网络服务中心将废止所有由CNNIC可信网络服务中心发布的证书.
并将CNNIC可信网络服务中心的归档记录移交给法律法规规定的机构.
在终止服务后,CNNIC可信网络服务中心会将证书认证机构的记录存盘10年(由终止服务日起计);这些记录包括根证书和中级根证书、已发出的域名证书、证书业务规则及证书废止列表(CRL).
4.
11灾难恢复及密钥泄漏计划4.
11.
1灾难恢复计划CNNIC可信网络服务中心已经准备了妥善的业务连续性计划,包括每天备份主要业务信息和认证中心系统数据,并适当地备份认证中心系统的软件,以维持主要业务持续运营,保障在严重故障或灾难影响下仍可继续提供服务或在最短时间内恢复提供服务.
每年都会对业务连续性计划进行复查,并严格执行.
CNNIC可信网络服务中心在异地设有一个灾难恢复基地.
如发生严重故障或灾难,CNNIC可信网络服务中心会及时通知政府部门,并公布运营由生产基地转至灾难恢复基地.
在发生灾难后但稳妥可靠的环境尚未重新确立前:敏感性材料或仪器会安全地锁在设施内;若不能将敏感性材料或仪器安全地锁在设施内或这些物资或仪器有受损毁的风险,这些材料或仪器会移离设施并锁在其它临时设施内;设施的出入会实行访问控制,以防范盗窃或被人擅自访问.
为保证CNNICCA中心在市场上的竞争力,并保证在所确定的系统中断时间内,CA中心可能遭受的损失相对较低,风险相对较小,同时建设成本和管理成本也比较适合,CNNICCA中心最终确认:CNNIC可信网络服务中心证书业务规则491.
对于证书注册服务,在一般灾难情况下CNNICCA中心会使用合理的商业手段在24小时内予以恢复,并在48小时内完全恢复全面注册服务功能.
如不可抗力灾难(例如战争、地震、洪水、火灾等)造成CNNICCA中心出现大面积硬件、设备、人员损失,可以在向公众通告具体情况,保证信息公开的基础上,延长注册服务系统中断时间.
2.
对于包括CRL下载服务在内的储存库服务,在灾难情况(包括不可抗力灾难)下,CNNICCA中心会使用合理的商业手段在4小时内予以恢复,并在8小时内完全恢复储存库服务.
4.
11.
2密钥泄漏应对计划业务连续性计划包含处理密钥泄漏的应对计划.
这些计划每年均会进行复检.
如根据本CPS用来签发域名证书的CNNIC可信网络服务中心根证书或中级根证书私钥信息泄漏,CNNIC可信网络服务中心会及时进行公布.
CNNIC可信网络服务中心的根证书或中级根证书私钥信息一旦泄漏,CNNIC可信网络服务中心会及时废止由此私钥签发的证书,然后签发新证书取代.
4.
11.
3密钥的转换在密钥信息泄漏或灾难情况下,CNNIC可信网络服务中心根据本CPS签发域名证书所使用的私钥信息泄漏或遭破坏而无法复原,CNNIC可信网络服务中心会进行公布.
公布内容包括已废止证书的名单、如何为证书持有者提供新的CNNIC可信网络服务中心根证书或中级根证书公开密钥及如何向证书持有者重新颁发证书.
4.
12CNNIC可信网络服务中心应急机制CNNIC可信网络服务中心将提供24*7的应急机制,在如下所述的情况下,可以通过010-58813000联系CNNIC可信网络服务中心,进行紧急事件的处理:CNNIC可信网络服务中心证书业务规则501.
CNNICCA中心将在24小时之内完成证书废止的申请,在如下情况:CNNICCAwillrevokecertificatein24hoursinfollowingcases,当签发的证书在技术内容和格式上存在不可接受的风险时;当证书申请者不是有效的授权者,或授权已过期;当CNNICCA中心确认证书申请者的使用有危害的密钥申请了证书时;当CNNICCA中心发现申请者使用的不再是一个有效的全域名时.
当申请人违反了申请协议或应组遵守的义务时;2.
当证书出现问题的时候(技术问题,外界因素等),CNNICCA中心可以及时处理并在24小时之内对高优先级的证书问题发起调查.
5二级根授权操作规范5.
1二级根授权基本管理流程CNNIC将按照如下流程进行二级根签发:1.
二级根证书申请人提出申请.
2.
由CNNICCA中心各角色对二级根证书申请人的各项资质进行评审,详见5.
23.
CNNICCA中心通过评审及风险评估,对二级根申请合作给出评估意见;4.
CNNIC安全管理委员会对上述评估意见进行评审,决定是否进行二级根授权合作;5.
如确定合作,CNNIC与二级根申请人签署合作协议;6.
CNNIC在CPS和CP中对将要新签发的二级根证书结构和用途进行披露说明;(包括向各个浏览器及操作系统厂商进行披露,需要提前45天通知微软)7.
CNNIC启动外部授权二级根签发流程,详见5.
3.
8.
CNNIC对外公布该签发的二级根证书.
CNNIC可信网络服务中心证书业务规则51二级根签发完成并公布之后,CNNIC将按照审计周期对二级根CA的审计报告进行验证.
5.
2二级根申请人资质评审1.
申请人提供盖章签字的申请书,申请人基本资料(包括企业营业执照复印件等),申请机构在其官网发布的CP和CPS,申请机构的WebTrust审计报告,二级CA内部流程及制度相关管理文档,包括不限于如下文档:机房设计文档、机房管理制度、加密机/密钥管理制度.
2.
二级根密钥生成及管理核验A.
CNNIC安排专人负责二级根密钥生成和管理核验,其具体工作流程包括:提前研究机房设计文档、机房管理制度、加密机/密钥管理制度,同时研读其CPS和CP中机房环境、访问控制、加密机管理、密钥管理相关条款.
B.
亲自参加和见证二级根密钥生成仪式,并参观其CA中心机房.
核验如下内容:1)是否有二级根密钥生成脚本;2)二级根密钥生成脚本是否符合CPS、CP及内部制度中密钥管理相关制度要求;3)是否完全按照密钥生成脚本完成二级根密钥生成;4)生成和保管密钥的机房环境是否与CPS、CP相关条款及机房设计和管理文档内容一致;5)生成和保管密钥使用的加密机是否与CPS、CP中的说明一致,符合相关标准要求;6)生成和保管密钥是否实施了多人控制,符合CPS、CP相关条款和加密机/密钥管理制度要求;7)检查加密机日志,确认是否有本次密钥生成记录.
3.
审计报告核验CNNIC安排专人负责二级根WebTrust审计报告的定期核验,具体工作流CNNIC可信网络服务中心证书业务规则52程包括:A.
按照审计报告中的审计周期定期到WebTrust官网确认报告是否持续有效;B.
提前与审计方沟通确认审计报告中需要覆盖的点,并对报告中的关键点进行确认;C.
如二级根CA的审计报告中包含不符合项,CNNICCA会启动风险评估流程对不符合项的风险进行评估,以决定是否吊销该二级根证书或作其他处理,所有处理将及时向公众披露.
4.
风险评估收集并汇总包括不限于上述1,2,3中的资料,并由CNNICCA中心各相关角色进行风险评估准备工作,然后通过会议讨论方式进行风险评估并得出风险评估内容.
5.
3二级根证书签发及记录CNNIC将按照二级根签发记录表(见CP)中各CA角色的审批结果,进行二级根的签发,同时对二级根签发过程完整记录,并将签发的证书进行公开披露.
5.
4二级根证书吊销处理在如下情形下,CNNICCA将在7天之内吊销二级CA证书:1.
子CA书面申请吊销二级根CA可以向CNNIC提出吊销申请,原因包括不限于密钥泄露,业务合作终止等安全或商业方面的原因.
二级根CA需要提供正式的证书吊销书面申请材料,二级根CA公司证明文件,并提供至少2名联系人的身份证明文件,其中1名必须为CA产品主要负责人(CA产品总监或首席安全管理员).
CNNIC收到二级根CA的吊销请求后,将通过电话回访的方式向二级根CA公司确认2名经办人的身份(通过二级根CA的CPS中公布的联系人和联系方式进行确认),之后联系二级根CA产品主要负责人以确认二级根吊销的申请是CNNIC可信网络服务中心证书业务规则53真实有效的.
CNNIC将由2名审核员同时进行上述确认工作,并在审核验证单上个签字.
确认后CNNIC将进行二级根吊销操作,并立即更新根CRL及OCSP服务.
2.
子CA通知根CA原证书请求未经授权且没有被追溯给予授权;3.
根CA得到证据证明子CA的私钥被泄露或者不符合密钥生成的要求;4.
根CA得到证据证书属于不当签发;5.
根CA意识到二级CA进行证书签发不符合CP或CPS要求,或者是子CA没有遵守BR;6.
根CA确定证书中的信息是不准确的或者令人误解的;7.
根CA与子CA基于任何理由终止合作;8.
除非根CA能安排继续维护CRL或者OCSP证书库,否则根CA或子CA签发证书的权限应该被吊销或终止;9.
证书吊销在签发CA的CP和CPS中需要定义;10.
证书的技术细节或格式对于应用软件提供商或者可信第三方来说,表现出不可接受的风险.
(举例来说:CA/BrowserForum会指出当不宜使用的加密或签名算法或者是密钥长度已经呈现出不可接受的风险时,这种证书应该被吊销,且被CA在指定时间内替换)5.
5二级根更新5.
5.
1二级根CA可以在证书过期之前48个月之内向CNNIC提出二级根的更新申请.
5.
5.
2二级根CA需要提供二级根更新申请表(签字盖章),二级根CA公司证明文件,并提供至少2名联系人的身份证明文件,其中1名必须为CA产品主要负责人(CA产品总监或首席安全管理员).
5.
5.
3CNNIC收到二级根CA的更新请求后,将通过电话回访的方式向二级根CA公司确认2名经办人的身份(通过二级根CA的CPS中公布的联系人和联系方式进行确认),之后联系5.
5.
2中提供的二级CA产品主要负责人以确认二级根证书更新的申请真实有效的,CNNIC将由2名审核员同时进行上述确认工作,并在CNNIC可信网络服务中心证书业务规则54审核验证单上个签字.
5.
5.
4CNNIC将按照《CNNIC外部授权二级根签发记录表》中的步骤进行二级根更新的操作和记录.
5.
65.
6二级根密钥变更5.
6.
1二级根密钥变更适用范围二级根CA应该在如下情况下向CNNIC提出密钥变更的申请,A,二级根CA发现了根密钥泄露或其他导致密钥不再安全的隐患,需要向CNNIC提出密钥变更的申请.
B,根据CNNIC密钥生命周期管理要求,二级根密钥的有效期不能超过10年,二级根CA需要在密钥过期之前向CNNIC提出密钥变更的申请.
5.
6.
2二级根密钥变更申请及核验二级根CA需要提供二级根密钥变更申请表(签字盖章),二级根CA公司证明文件,并提供至少2名联系人的身份证明文件,其中1名必须为CA产品主要负责人(CA产品总监或首席安全管理员).
CNNIC收到二级根CA的更新请求后,将通过电话回访的方式向二级根CA公司确认2名经办人的身份(通过二级根CA的CPS中公布的联系人和联系方式进行确认),之后联系二级CA产品主要负责人以确认二级根密钥变更的申请是真实有效的.
CNNIC将由2名审核员同时进行上述确认工作,并在审核验证单上个签字.
5.
6.
3二级根密钥变更处理A.
如二级根密钥变更申请原因为5.
6.
1中A,则CNNIC将吊销原有密钥对应的二级根证书,并立即更新CRL和OCSP服务,按照《CNNIC外部授权二级根签发记录表》中的步骤进行二级根的签发操作和记录,并确认新签发的二级根证书密钥与原二级根证书不同.
B.
如二级根密钥变更申请原因为5.
6.
1中的B,CNNIC将按照《CNNIC外部授权二级根签发记录表》中的步骤进行二级根的签发操作和记录,并确认新签发的二级根证书密钥与原二级根证书不同,原有的二级根证书不进行作废操作,待其CNNIC可信网络服务中心证书业务规则55自然过期.
6实体、程序及人员安全控制6.
1实体安全6.
1.
1选址及建造CNNIC可信网络服务中心运行在具备合理安全条件的地点.
在场地建造过程中,CNNIC可信网络服务中心已采取适当预防措施,为CNNIC可信网络服务中心运行做好准备.
6.
1.
2进入控制CNNIC可信网络服务中心实施合理的安全控制,限制访问CNNIC可信网络服务中心所使用的硬件及软件(包括服务器、工作站及任何外部加密硬件模块).
可访问上述硬件及软件的人员只限于本CPS第5.
2.
1节所述的履行可信职责的人员.
在任何时间都对上述访问进行控制及电子监控,以防发生未经授权入侵.
6.
1.
3电力及空调CNNIC可信网络服务中心设施可获得的电力和空调资源包括专用的空调系统,不间断电力供应系统(UPS)以及租用的电力公司的发电车,以备城市电力系统发生故障时供应电力.
6.
1.
4自然灾害CNNIC可信网络服务中心设施在合理可能的限度内可免受自然灾害影响.
6.
1.
5防火及保护CNNIC可信网络服务中心已为其设施准备妥当防火计划及灭火系统.
CNNIC可信网络服务中心证书业务规则566.
1.
6媒体介质存储媒体介质存储及处置程序已经准备妥当.
6.
1.
7场外备份CNNIC可信网络服务中心系统数据的适当备份会作场外储存,并获足够保护,以免被盗用、损毁及媒体衰变.
6.
1.
8保管印刷文件印刷文件(包括证书持有者的身份确认文件,管理文档等)由CNNIC可信网络服务中心妥为保存,只有授权人员可以取阅.
6.
1.
9废料处理根据正常的废料处理要求处理废料.
加密设备作废前根据设备生产商的指导,对其进行物理上的销毁或清零.
6.
1.
10电磁防护为防止内部信息通过电磁辐射泄漏,以及屏蔽外界的电磁干扰,CNNIC可信网络服务中心专门建设了电磁屏蔽室,并通过了军C级认证.
CNNIC可信网络服务中心的所有CA服务器、CA加密机设备均部署在电磁屏蔽室中.
6.
2过程控制6.
2.
1可信职责可进入关键区域,控制密码或其它操作程序并可能会对证书的签发、使用、废止带来重大影响的CNNIC可信网络服务中心人员,应视作承担可信职责.
此CNNIC可信网络服务中心证书业务规则57类人员包括但不限于系统管理人员、操作员、工程人员及获委派监督CNNIC可信网络服务中心运作的行政人员.
CNNIC可信网络服务中心已为所有涉及CNNIC可信网络服务中心域名证书服务而承担可信职责的人员制定了相关管理制度,包括:˙按角色及责任制定各级实体及系统的操作控制流程˙详细职责划分规定6.
2.
2CNNIC可信网络服务中心与本地受理点(LRA)之间的文件及资料传递CNNIC可信网络服务中心及其所属注册中心(RA)与本地受理点(LRA)之间的所有文件及资料的传递,均在受控制及安全的方式下进行.
6.
2.
3年度评估CNNIC可信网络服务中心每年进行一次年度评估,以确保日常运营过程符合安全策略及其他流程控制相关规定.
6.
3人员控制6.
3.
1背景及资格CNNIC可信网络服务中心工作人员的背景、资历、经验等情况都进行核实和审查.
具备忠诚、可信赖及工作热情、无影响系统运行的其它兼职工作、无同行业重大错误记录、无违法记录等.
背景:要求政治素质高、业务优秀、有非常强的责任感,原则性强,无犯罪记录和不良记录;资历:精通本岗位工作,其所受教育、培训及工作经历保证足够胜任其工作;CNNIC可信网络服务中心工作人员及管理政策可合理确保CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的LRA人员的可信程度及胜任程度,并确保他们根据本CPS履行职责.
CNNIC可信网络服务中心证书业务规则586.
3.
2背景调查CNNIC可信网络服务中心(包括注册中心)对担任可信职责的人员进行严格调查(其聘用前及其后有需要时定期进行),人员包括CNNIC正式员工以及外包人员,以根据本CPS及CNNIC可信网络服务中心的人员策略要求核实工作人员的可信程度及胜任程度.
未能通过首次及定期调查的人员不得担任或继续担任可信职责.
6.
3.
3培训要求CNNIC可信网络服务中心(包括注册中心)工作人员已接受履行其职责所需要的初步培训.
CNNIC可信网络服务中心会提供持续培训,使人员能掌握所需最新工作技能.
6.
3.
4向人员提供的文件CNNIC可信网络服务中心(包括注册中心)人员会收到指导手册,详细描述证书的注册、续费、补发及废止程序及与其职责有关的其它软件功能.
7技术安全控制7.
1密钥的生成及安装7.
1.
1密钥对的生成根CA:根CA的密钥对由硬件加密设备直接产生,并且直接保存在该硬件加密设备(加密机)中,CNNIC可信网络服务中心使用的是国家商业密码管理委员会鉴定通过的加密硬件设备.
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人均没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
CNNIC可信网络服务中心证书业务规则59运营CA:运营CA的密钥对在本地的硬件加密设备上产生(硬件加密设备使用的是国家商业密码管理委员会鉴定通过的加密硬件设备),私钥不能出此加密硬件设备.
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
证书申请者:签名密钥对在证书申请者端产生,具有严密且安全的控制措施.
CA服务器不为证书申请者提供密钥生成服务.
CNNIC可信网络服务中心不为证书申请者提供密钥介质.
7.
1.
2公钥传送给证书签发机构证书申请者使用Web服务器软件把公钥封装成PKCS#10格式的证书请求发给CNNIC可信网络服务中心由CNNIC可信网络服务中心生成证书.
CNNIC可信网络服务中心将根据证书申请者提交的证书请求验证证书请求的完整性,CNNIC可信网络服务中心只处理完整的证书请求.
7.
1.
3CNNIC可信网络服务中心公钥发布CNNIC可信网络服务中心会把自己的公钥发布在网站上,以便最终实体获取.
7.
1.
4密钥的长度CNNIC可信网络服务中心的根证书和中级根证书密钥对为2048位RSA.
证书申请者密钥对也要求为2048位RSA.
7.
1.
5密码模块标准产生签名密钥、存储及签署操作在硬件密码模块进行.
硬件密码模块是由中国国家密码主管机构审查通过的安全产品,符合国家的相关规定.
CNNIC可信网络服务中心证书业务规则607.
1.
6密钥用途CNNIC可信网络服务中心域名证书使用的密钥可用于加密通讯.
CNNIC可信网络服务中心的根证书和中级根证书密钥只用于签发证书及证书废止列表(CRL).
7.
1.
7密钥销毁CNNIC可信网络服务中心的根证书和中级根证书密钥在失效以后归档保留10年,然后通过适当方法销毁.
归档的密钥在其归档期限结束后,需在多名可信人员参与的情况下安全销毁.
密钥的销毁将确保其私钥从硬件密码模块中彻底删除,不留有任何残余信息.
证书申请者私钥存在于证书申请者端,其证书过期后,应立即销毁私钥.
7.
2私钥保护和密码模块工程控制7.
2.
1密码模块标准CNNIC可信网络服务中心采用的硬件密码模块是由中国国家密码主管机构审查通过的安全产品,符合国家的相关规定.
硬件密码模块安置在安全区域,并在有至少三名加密机管理员(密钥管理员)在场的情况下才可以访问存储在加密机中的密钥.
备份与恢复加密机时也必须同时拥有三张管理员口令卡,才能对加密机进行备份与恢复的操作.
7.
2.
2私钥多人控制在所有管理员的大多数同时在场的情况下才可以访问存储在加密机中的密钥.
采取中国国家密码主管机构审查通过的保护措施保证加密机内密钥的安全性.
具体地说,CNNIC可信网络服务中心对根证书和中级根证书私钥的保护采用CNNIC可信网络服务中心证书业务规则61五人控制,三人必须同时到场的策略.
7.
2.
3私钥托管CNNIC可信网络服务中心的根证书和中级根证书私钥不托管给其他机构,CNNIC可信网络服务中心也不接受证书申请者的签名私钥托管.
7.
2.
4CNNIC可信网络服务中心私钥备份作为灾难恢复的一项措施,需要进行密钥备份.
CNNIC可信网络服务中心采用符合国家规定的硬件密码模块对根证书和中级根证书私钥进行加密和备份,备份存储在与硬件密码模块系统独立的系统内防止被窃.
在备份密钥时,必须由密钥管理员使用口令IC卡,启动密钥管理程序,执行密钥备份指令才能完成.
证书申请者私钥存放在证书申请者端,证书申请者宜根据其具体情况采用合适的手段对其私钥进行存储、备份和恢复.
7.
3密钥对管理的其它方面7.
3.
1公钥归档由管理员操作CNNIC可信网络服务中心证书和公钥的归档.
7.
3.
2私钥归档根证书和中级根证书密钥对到期后,这些密钥对将归档保存至少10年.
归档密钥对保存在6.
2.
1所述的硬件密码模块中,并且CNNIC的密钥管理策略和流程阻止归档密钥对返回到生产系统中.
归档密钥对超过归档保存期后,CNNIC可信网络服务中心将按CPS第6.
1.
7节规定对其进行销毁.
证书申请者私钥保存在证书申请者端,因此证书申请者私钥归档不适用.
CNNIC可信网络服务中心证书业务规则627.
3.
3证书操作期和密钥对使用期限CNNIC可信网络服务中心根证书和中级根证书公钥和私钥的有效期保持一致,根证书密钥对有效期为20年,中级根证书密钥对有效期为10年.
CNNIC可信网络服务中心域名证书有效期最长为3年.
在接近过期日时有一段时间可以进行更新.
7.
4计算机安全控制CNNIC可信网络服务中心在安全的环境下运行,并实行分区访问权限控制.
核心系统和其它系统隔离,采用防火墙和入侵检测保证安全.
并实行:系统安全配置,关闭不必要的服务与端口.
操作系统必须安装最新的补丁程序,由专人负责最新补丁的安装.
生产系统每台机器均由专人负责,严格上机操作程序,口令逐级管理,逐级授权.
各人负责各自权限范围内的操作.
日志和操作记录的审计制度.
数据备份和恢复机制.
7.
5生命周期技术安全控制证书生命周期安全控制遵循WebTrust认证规范.
CNNIC可信网络服务中心所使用的系统在使用前均经过详细测试,并在使用过程中进行不定期检查.
7.
6网络安全控制根据安全要求的不同,将CNNIC可信网络服务中心系统划分为不同的网段,部分高安全级系统进行离线操作.
并采用层次模型保证网络的安全性以及系统的可靠性.
CNNIC可信网络服务中心证书业务规则637.
7密码模块工程控制CNNIC可信网络服务中心使用的密码模块是经过中国国家密码主管机构审查通过的加密机.
8证书及证书废止列表(CRL)结构8.
1证书结构本CPS提及的证书包含用来确认身份和核实这些信息是否完整的公开密钥.
本CPS提及的证书一律以X.
509第三版本的格式发出.
8.
1.
1版本号CNNIC可信网络服务中心域名证书有广泛的通用性.
证书格式符合X.
509V3标准,可以提供支持证书扩展的能力.
8.
1.
2证书项说明二级根证书结构说明域值或值的限制基本域版本V3序列号CNNIC可信网络服务中心给所发证书赋予的唯一的值签名算法sha256RSA签名哈希算法sha256颁发者CN=CNNICROOTO=CNNICC=CN有效起始日期用来指定证书有效的起始日期,基于国际通用时间(UTC),和北京时间同步CNNIC可信网络服务中心证书业务规则64有效终止日期用来指定证书有效的终止日期,基于国际通用时间(UTC),和北京时间同步使用者证书持有者的甄别名公钥根据当时PKCS#10请求中产生的公钥确定,使用RSA算法,密钥长度2048bit扩展项基本限制域名证书值为:SubjectType=CAPathLengthConstraint=None(根据实际情况进行设置为0,1,2,3)CRL分发点CRLDistributionPointDistributionPointName:FullName:URL=http://crl.
cnnic.
cn/download/rootsha2crl/CRL1.
crl密钥用法CertificateSigning,Off-lineCRLSigning,CRLSigning(06)(目前只签发服务器证书,可根据签发证书类型扩展)使用者密钥标识符所颁发二级根证书公钥的标识颁发机构密钥标识符KeyID=65f231ad2af7f7dd52960ac702c10eefa6d53b11证书策略[1]CertificatePolicy:PolicyIdentifier=1.
3.
6.
1.
4.
1.
29836.
1.
6[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cnnic.
cn/cps/颁发机构信息访问[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)AlternativeName:URL=http://ocspcnnicroot.
cnnic.
cn[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://www.
cnnic.
cn/download/cert/CNNICROOT.
cer用户证书结构说明EndityCertificate域值或值的限制CNNIC可信网络服务中心证书业务规则65基本域版本V3序列号CNNIC可信网络服务中心给所发证书赋予的唯一的值签名算法用于签发证书的算法的名称,见本CPS7.
1.
3节颁发者证书颁发者的甄别名,域名证书中为CNNIC可信网络服务中心中级根证书的主题有效起始日期用来指定证书有效的起始日期,基于国际通用时间(UTC),和北京时间同步有效终止日期用来指定证书有效的终止日期,基于国际通用时间(UTC),和北京时间同步主题证书持有者的甄别名,见本CPS7.
1.
4节公钥证书公钥,使用RSA算法,密钥长度满足本CPS6.
1.
4节的要求扩展项基本限制域名证书值为:SubjectType=EndEntityPathLengthConstraint=NoneCRL分发点CNNIC可信网络服务中心签发的证书中包含CRL的分发点扩展项,依赖方可根据该扩展项提供地址和协议下载CRL,见本CPS密钥用法域名证书值为:KeyEncipherment,DigitalSignature主题密钥标识符所颁发域名证书公钥的标识颁发机构密钥标识符上级CA证书公钥的标识证书策略[1]CertificatePolicy:PolicyIdentifier=1.
3.
6.
1.
4.
1.
29836.
1.
1[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cnnic.
cn/cps/增强型密钥用法域名证书值为:服务器验证主题备用名在多域名证书中值为证书所认证的所有域名CNNIC可信网络服务中心证书业务规则668.
1.
3算法对象标识符CNNIC可信网络服务中心签发证书所使用的签名算法为sha1RSA和sha256RSA.
.
8.
1.
4名称形式CNNIC可信网络服务中心签发证书的甄别名符合X500关于甄别名的规定.
对于证书主题甄别名,C代表国家,值是CN;O代表组织,值是CNNIC或CNNICSSL或域名证书持有者名称;CN在多域名证书时是多个域名的并列,单域名证书、通配域名证书是单个域名.
8.
1.
5名称限制在DN中,可以使用除专用字符和特殊字符外的所有ASCII字符.
专用字符为反斜杠("\")和双引号("""),由于在DN中有特殊含义,不能用在DN中.
另外,如果在cn中包含特殊字符(","、"="、"+"、"#"、""、";"),CNNIC可信网络服务中心的CA系统会做特殊处理,即对整个cn内容加双引号,这样会导致以后实际处理上的不方便,因此不允许在cn中包含这些特殊字符.
由于存在不可见的ASCII字符,不便于证书申请者使用,下面给出本证书业务规则中所有可用的ASCII字符列表(ASCII值为十进制数值):ASCII值字符032空格033!
036$038&040(041)045-046.
047/048~0570~9058:065~090A~ZCNNIC可信网络服务中心证书业务规则67091[093]094^095—096`097~122A~z123{125}126~8.
1.
6证书策略对象标识符证书策略由发证机构制定并对外广泛发布,同时向国际标准化组织申请标准的对象标识符(OID),从而保证与其它应用相兼容,对象标识符在通信服务中进行传递,作为该证书机构证书策略的标识,代表该认证机构提供证书服务的相关策略.
另一方面,只有证书申请者同意该证书策略,才可以从认证中心去申请和获得数字证书.
8.
1.
7策略限制扩展项的用法规定在CA体系中的各层CA使用相同的CP以及是否和其他CA体系互相信任.
CNNIC可信网络服务中心域名证书未使用本扩展域.
8.
1.
8策略限定符的语法和语义对于本扩展域,X.
509V3标准没有规定格式,可以提供CPS在网上的位置说明.
CNNIC可信网络服务中心域名证书未使用本扩展域.
8.
1.
9关键证书策略扩展项的处理规则CNNIC可信网络服务中心域名证书未使用.
8.
2证书废止列表(CRL)结构CNNIC可信网络服务中心证书废止列表(CRL)的格式为X.
509第二版本.
CNNIC可信网络服务中心证书业务规则688.
2.
1版本号V28.
2.
2CRL项CRL数据定义版本(Version)含义:显示CRL的版本号.
签名(Signature)含义:签发CRL的CA的签名.
算法标识(algorithmIdentifier)含义:定义签发CRL所使用的算法.
CRL的签发者(Issuer)含义:指明签发CRL的CA的甄别名.
CRL发布时间(thisUpdate)预计下一个CRL更新时间(nextupdate)废止证书信息目录(revokedcertificates)8.
3OCSPCNNIC可信网络服务中心CA签发的OCSP响应符合RFC2560标准.
OCSP响应至少包含如下表所述基本域和内容.
OCSP结构的基本域域值或值的限制状态响应状态,包括成功、请求格式错误、内部错误、稍候重试、请求没有签名和请求签名证书无授权,当状态为成功时必须包括以下各项版本V1签名算法签发OCSP的算法.
使用sha1WithRSAEncryption(OID:CNNIC可信网络服务中心证书业务规则691.
2.
840.
113549.
1.
1.
5)算法签名.
颁发者签发OCSP的实体.
签发者公钥的SHA1数据摘要值和证书甄别名.
产生时间OCSP响应的产生时间.
证书状态列表包括请求中所查询的证书状态列表.
每个证书状态包括证书标识、证书状态以及证书废止信息.
证书标识包括数据摘要算法(SHA1,OID:1.
3.
14.
3.
2.
26)、证书甄别名数据摘要值、证书公钥数据摘要值和证书序列号.
证书状态证书的最新状态,包括有效、废止和未知.
证书废止信息当返回证书状态为废止时包含废止时间和废止原因.
8.
3.
1版本号V18.
3.
2OCSP扩展项与RFC2560一致.
8.
3.
3OCSP请求OCSP请求至少包括:协议版本服务请求目标证书标识OCSP服务器需要的扩展项8.
3.
4OCSP响应正确的OCSP响应须包括:响应协议的版本OCSP服务器的名称CNNIC可信网络服务中心证书业务规则70对一个请求中的每一个证书的应答(包括目标证书标识、证书状态值、有效应答的时间间隔、可选的扩展项)可选的扩展项签名计算方法OID用杂凑函数计算出的签名9CPS管理9.
1变更流程在CNNIC可信网络服务中心的CPS做出任何变动之前,CNNIC可信网络服务中心将对变动的条款进行研究,做出变更的决定.
在征求CNNIC可信网络服务中心律师法律意见后,由安全管理委员会形成决议.
CNNIC可信网络服务中心形成决议后,在CNNIC可信网络服务中心网站公布变更后的CNNIC可信网络服务中心CPS.
CNNIC可信网络服务中心将对CPS进行严格的版本控制.
9.
2公告与通知所有公告和通知将在CNNIC可信网络服务中心网站上公布(http://tns.
cnnic.
cn).
9.
3CPS批准程序批准流程是:(1)CPS编写组编写或修订CPS.
(2)CPS编写或修订完成后提交CNNIC可信网络服务中心各部门审议.
(3)审议通过后的CPS递交CNNIC可信网络服务中心安全管理委员会审议.
(4)CNNIC可信网络服务中心安全管理委员会审议通过后,CPS正式对外发布.
CNNIC可信网络服务中心证书业务规则719.
4解释CNNIC可信网络服务中心对本CPS拥有最终解释权.
pacificrack7月美国便宜支持win VPS,$19.99/年,2G内存/1核/50gSSD/1T流量
pacificrack发布了7月最新vps优惠,新款促销便宜vps采用的是魔方管理,也就是PR-M系列。提一下有意思的是这次支持Windows server 2003、2008R2、2012R2、2016、2019、Windows 7、Windows 10,当然啦,常规Linux系统是必不可少的!1Gbps带宽、KVM虚拟、纯SSD raid10、自家QN机房洛杉矶数据中心...支持PayPal、...
个人网站备案流程及注意事项(内容方向和适用主机商)
如今我们还有在做个人网站吗?随着自媒体和短视频的发展和兴起,包括我们很多WEB2.0产品的延续,当然也包括个人建站市场的低迷和用户关注的不同,有些个人已经不在做网站。但是,由于我们有些朋友出于网站的爱好或者说是有些项目还是基于PC端网站的,还是有网友抱有信心的,比如我们看到有一些老牌个人网站依旧在运行,且还有新网站的出现。今天在这篇文章中谈谈有网友问关于个人网站备案的问题。这个也是前几天有他在选择...
博鳌云¥799/月,香港110Mbps(含10M CN2)大带宽独立服务器/E3/8G内存/240G/500G SSD或1T HDD
博鳌云是一家以海外互联网基础业务为主的高新技术企业,运营全球高品质数据中心业务。自2008年开始为用户提供服务,距今11年,在国人商家中来说非常老牌。致力于为中国用户提供域名注册(国外接口)、免费虚拟主机、香港虚拟主机、VPS云主机和香港、台湾、马来西亚等地服务器租用服务,各类网络应用解決方案等领域的专业网络数据服务。商家支持支付宝、微信、银行转账等付款方式。目前香港有一款特价独立服务器正在促销,...
同ip网站查询为你推荐
-
哈利波特罗恩升级当爸哈利波特最后当了当了傲罗么 ps因为在第五部里我看到他说他要当一个傲罗云计算什么是云计算?杰景新特杰普特长笛JFL-511SCE是不是有纯银的唇口片??价格怎样??psbc.com邮政储蓄卡如何激活同一ip网站同IP的网站互相链接会被K吗?www.javmoo.comjavimdb是什么网站为什么打不开www.585ccc.com手机ccc认证查询,求网址杨丽晓博客杨丽晓今年高考了吗?kb123.net连网方式:wap和net到底有什么不一样的广告法新广告法哪些广告词不能用,广告违禁词大全