中国互联网络信息中心(CNNIC)

可信网络服务中心证书策略版本号:3.
04有效期:2014-07-01至2015-7-1中国互联网络信息中心(CNNIC)CNNIC可信网络服务中心证书策略CNNIC可信网络服务中心证书策略版本控制表版本号主要修改说明完成时间V1.
00初次审核通过2007年5月15日V2.
00进行年审修改后,延长CP有效期一年2008年4月8日V2.
011、域名证书密钥对要求2048位2、赔付金额进行修改3、联络方式中的邮编修改4、年审完成,延长CP有效期一年2009年3月19日V2.
021、证书主题中O项值修改2、多域名证书主题中CN项值修改3、证书申请所提交材料调整4、证书结构中证书项说明调整,与所发证书一致2009年4月14日V2.
031、对CP进行检查,修改文字和格式问题,以使CP便于对外发布2、CP改为在储存库中公开发布2009年6月18日V2.
041、增加对根签发的证书废止列表的说明,相应对其他相关部分文字进行调整2010年2月2日V3.
01、根据EVCA和DQCA上线后的实际情况对本CP进行修改,以符合EVCA和DQCA的实际情况2、修改安全管理委员会会议或文件会签频率2010年5月20日V3.
011、对高级证书与EV证书的名字进行调整2012年4月05日V3.
021、人员控制中增加说明工作人员包括外包人员2、对国防类域名的申请做特殊说明3、根据实际情况调整参考号/授权码的发送方式2013年5月14日V3.
031、在灾难恢复计划中加入了CA服务在灾难情况下系统停机时间,恢复时间内容.
2013年6月24日V3.
041.
停止提供多域名证书域名修改服务.
2.
CNNIC将定期检查CABForum的SSLBaselineRequirement要求并承诺证书管理及签发符合该要求.
3.
CNNICCA加入24*7的应急处理机制.
2014年4月25日CNNIC可信网络服务中心证书策略目录1引言11.
1概述11.
2角色与责任11.
2.
1安全管理委员会11.
2.
2首席安全管理员21.
3适应性21.
3.
1CNNIC可信网络服务中心认证中心31.
3.
2最终实体41.
3.
3证书期限41.
4证书策略管理41.
4.
1安全管理架构41.
4.
2联络方式61.
4.
3证书策略变更流程61.
4.
4证书策略审批流程61.
4.
5证书策略发布71.
4.
6适应性和变更效力72总则72.
1义务72.
1.
1CNNIC可信网络服务中心认证中心义务72.
1.
2CNNIC可信网络服务中心注册中心义务82.
1.
3储存库义务92.
1.
4证书持有者义务92.
1.
5信赖方义务92.
2责任92.
3解释与执行92.
3.
1管辖法律92.
3.
2条款可中止性、修改102.
3.
3争端解决程序102.
4证书费用102.
4.
1数字证书(域名证书)费用102.
5发布资料和储存库102.
5.
1CNNIC可信网络服务中心信息的发布10ICNNIC可信网络服务中心证书策略2.
5.
2发布频率112.
5.
3储存库访问控制112.
6一致性审计112.
6.
1一致性审计112.
6.
2审计员的身份与资质112.
6.
3审计机构与被审计者的关系122.
6.
4审计项目122.
6.
5对审计中不足问题的处理122.
6.
6结果通报122.
7机密性122.
7.
1机密信息类型132.
7.
2非机密信息类型132.
7.
3证书废止信息批露132.
7.
4披露给执法官员132.
8知识产权142.
8.
1证书和废止信息的拥有权142.
8.
2证书策略的拥有权142.
8.
3名称拥有权142.
8.
4密钥和密钥设备拥有权143鉴别与认证153.
1首次申请153.
1.
1名称类型153.
1.
2名称含义153.
1.
3各个名称的解释规则153.
1.
4名称唯一性153.
1.
5名称争端解决程序163.
1.
6不侵权承诺163.
1.
7证书申请者身份认证163.
1.
8证书申请渠道163.
1.
9密钥对确认164操作规范174.
1证书申请174.
1.
1域名证书174.
2证书签发174.
3证书接受184.
4证书废止18IICNNIC可信网络服务中心证书策略4.
4.
1废止情况184.
4.
2废止程序184.
4.
3废止请求处理时限194.
4.
4废止效力194.
4.
5服务承诺194.
4.
6CRL更新频率204.
4.
7证书续费214.
5密钥变更214.
6密钥泄漏及灾难恢复程序214.
6.
1灾难恢复计划214.
6.
2密钥泄漏恢复计划224.
7CNNIC可信网络服务中心终止服务224.
8RA终止服务224.
9CNNIC可信网络服务中心CA私钥归档234.
10CNNIC可信网络服务中心应急机制235实体、程序和人员的安全控制245.
1实体安全245.
2过程控制245.
3人员控制245.
4计算机安全审计程序245.
4.
1记录事件类型245.
4.
2处理记录的次数255.
4.
3审计追踪记录的保护255.
4.
4审计追踪记录备份程序255.
4.
5审计资料收集系统255.
4.
6安全主体向CNNIC可信网络服务中心发出通知255.
4.
7脆弱性评估265.
5记录归档265.
5.
1归档记录类型265.
5.
2归档保存期限265.
5.
3归档保护265.
5.
4归档备份程序275.
5.
5时间戳276技术安全控制276.
1密钥的生成和安装276.
1.
1密钥对的生成276.
1.
2公钥传送给证书签发机构28IIICNNIC可信网络服务中心证书策略6.
1.
3CNNIC可信网络服务中心CA公钥传送给信赖方286.
1.
4密钥的长度286.
1.
5密码模块标准286.
1.
6密钥用途286.
2私钥保护和密码模块工程控制286.
3密钥对管理296.
4计算机安全控制296.
5生命周期技术安全控制296.
6网络安全控制306.
7密码模块工程控制307证书和CRL结构307.
1证书结构307.
1.
1版本号307.
1.
2证书项说明307.
1.
3算法对象标识符327.
1.
4名称限制327.
1.
5证书策略对象标识符337.
1.
6策略限制扩展项的用法337.
1.
7策略限定符的语法和语义337.
1.
8关键证书策略扩展项的处理规则337.
2证书废止列表结构347.
2.
1版本号347.
2.
2CRL项34CRL的签发者(ISSUER)347.
3OCSP.
347.
3.
1版本号357.
3.
2OCSP扩展项357.
3.
3OCSP请求357.
3.
4OCSP响应368其他商业与法律事项368.
1法律责任368.
1.
1法律责任限制368.
1.
2CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任388.
1.
3证书持有者的转让388.
1.
4陈述权限388.
1.
5更改39IVCNNIC可信网络服务中心证书策略8.
1.
6保留所有权398.
1.
7条款冲突398.
1.
8受信关系398.
2财务责任398.
2.
1限额398.
2.
2提出赔偿的时限409附录40附录A词汇41CA证书CA-CERTIFICATE.
41CPS摘要CPSSUMMARYORCPSABSTRACT42PKI信息公开声明(PDS)PKIDISCLOSURESTATEMENT42附录BCNNIC可信网络服务中心域名证书格式45附录CCNNIC可信网络服务中心证书废止列表(CRL)格式47附录D缩略语48VCNNIC可信网络服务中心证书策略1引言1.
1概述本证书策略(CertificatePolicy,CP,"策略")详细说明了中国互联网络信息中心(CNNIC)可信网络服务中心(以下简称"CNNIC可信网络服务中心")签发和管理证书的规则和需求,并将用来验证CNNIC可信网络服务中心公开密钥基础设施(PKI)的数字签名策略.
本证书策略说明了有关CNNIC可信网络服务中心的下列信息:对本策略中定义和管理的认证中心、注册中心、证书持有者和信赖方进行授权;由本策略对各方的主要职责进行管理;按照证书发行和管理的最基本要求,确保为用于校验数字签名或保证通信的机密性而提到的适当申请与本策略中的适应性相一致.
为了下面提到的目的和应用,要求证书对本策略提供支持,每个信赖方都已确定通过该证书对特定交易的发起人进行认证是合适的并可充分信任.

1.
2角色与责任1.
2.
1安全管理委员会CNNIC可信网络服务中心安全管理委员会负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构.
安全管理委员会的职责包括:收集与协调安全管理方面的问题和建议,达成一致意见;制定并维护CNNIC可信网络服务中心的证书策略文件(CP);对CPS进行审核,以确保CPS与CP文件一致.
安全管理委员会应保证每年至少召开1次会议或进行1次文件会签,以对CNNICCA中心相关制度规定进行检查修改和批准续期,并对CNNICCA中心运行状况进行通报.
此外,在有其他重要变更时,安全管理委员会应根据实际情况及时通过会议或文件会签的方式对重要事项进行讨论和审批.
安全管理委员1CNNIC可信网络服务中心证书策略会成员由来自于CNNIC的领导层、人力资源、财务、法律事务、安全管理等方面的代表组成.
1.
2.
2首席安全管理员首席安全管理员将全面负责CNNIC可信网络服务中心日常的各项安全事务,由CNNIC可信网络服务中心安全管理委员会授权,首席安全管理员可以执行变更CNNIC可信网络服务中心的安全策略,对全CNNIC可信网络服务中心的安全管理进行定期的检查和评估,保持CNNIC可信网络服务中心的安全管理始终处在一个较先进的水平,具有较高的安全性和可信度.
随时追踪有关安全管理的最新动态,确保安全体系的先进性.
为保障CNNIC可信网络服务中心的安全、可靠运营,CNNIC可信网络服务中心首席安全管理员重点关注以下三个关键领域:开发安全策略,并协助程序开发和执行;维护安全策略和程序,使之保持完备性;审计安全策略及其实际执行情况的一致性.
CNNIC可信网络服务中心首席安全管理员拥有以下职责:经授权后建立和变更CNNIC可信网络服务中心安全策略和规范;增加和减免其他安全管理员,管理员及CNNIC可信网络服务中心工作人员;对于敏感操作的授权,诸如增加和减免安全管理员及管理员;管理交叉认证,发布CNNIC可信网络服务中心交叉认证协议,更新及撤消交叉认证;处理审计日志.
1.
3适应性随着CNNIC可信网络服务中心业务的进展,本策略文档将进行修订以反映其新的和扩大的责任.
在CNNIC可信网络服务中心现阶段的授权实体为PKI服务提供者和最终实体:PKI服务提供者:2CNNIC可信网络服务中心证书策略认证中心(CertificationAuthority,CA);注册中心(RegistrationAuthority,RA)本地受理点(LocalRA,LRA)最终实体:证书申请者或证书持有者("证书申请者"在获取证书后变为"证书持有者")信赖方.
本策略受CNNIC可信网络服务中心制约,CNNIC可信网络服务中心依据本策略监督与CNNIC可信网络服务中心签发证书有关的所有部门的行为.
证书申请者和信赖方使用符合本策略签发的证书应参照相关的CPS,以获得进一步的细节,即CNNIC可信网络服务中心是如何实施该项策略的.
1.
3.
1CNNIC可信网络服务中心认证中心CNNIC可信网络服务中心认证中心为两层CA结构.
第一层CA叫做根CA,制定CNNIC可信网络服务中心的整体策略,并可用于同其它CA进行交叉认证,CNNIC可信网络服务中心当前包括CNNICROOT和ChinaInternetNetworkInformationCenterEVCertificatesRoot(以下简称CNNICEVROOT)两个根CA;第二层叫做中级根CA,也就是实际签发用户证书的CA,用于CNNIC可信网络服务中心证书业务的日常运营,CNNIC可信网络服务中心当前包括CNNICSSL、CNNICDQSSL、CNNICEVSSL三个中级根CA,其中CNNICSSL和CNNICDQSSL由CNNICROOT签发,CNNICEVSSL由CNNICEVROOT签发.
CNNIC可信网络服务中心CA执行的职能有:创建证书并对它们进行签名、将证书分发至证书申请者、废止证书及分发证书废止列表(CRL).
CNNIC可信网络服务中心CA对公钥证书和CRL的储存库进行维护并以安全的方式加以使用.
CNNIC可信网络服务中心的证书业务规则("CPS")文件副本也应在CNNIC可信网络服务中心的网站中公开.
本策略受CNNIC可信网络服务中心制约,并监督与CNNIC可信网络服务中心签发证书有关的所有部门的行为.
如CNNIC可信网络服务中心认为证书申请符合证书业务规则所包含的操作程3CNNIC可信网络服务中心证书策略序,则CNNIC可信网络服务中心可签发证书.
1.
3.
2最终实体CNNIC可信网络服务中心体系中的最终实体包括两部分:证书持有者和信赖方.
1.
3.
2.
1证书持有者CNNIC可信网络服务中心的证书持有者除了CNNIC可信网络服务中心的系统用户以外,主要是拥有因特网域名的用户,这些用户可以是法人或自然人,同时希望获得为该机构所拥有的域名发出的证书.
1.
3.
2.
2信赖方指信任CNNIC可信网络服务中心签发证书的最终实体,包括:最终用户、服务器等.
1.
3.
3证书期限CNNIC可信网络服务中心的数字证书根证书有效期为20年,中级根证书有效期为10年.
CNNIC可信网络服务中心域名证书有效期最长为3年.
在接近过期日时有一段时间可以进行更新,证书内会注明其有效期.
1.
4证书策略管理1.
4.
1安全管理架构CNNIC可信网络服务中心的安全管理构架分为两层,其一为安全管理委员会,负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构,其二为安全管理人员,负责执行安全管理委员会的决定,并对CNNIC可4CNNIC可信网络服务中心证书策略信网络服务中心的安全工作进行日常管理,CNNIC可信网络服务中心的日常安全管理工作由首席安全管理员负责.
1.
4.
1.
1安全管理委员会CNNIC可信网络服务中心安全管理委员会负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构.
安全管理委员会授权首席安全管理员及其团队实施其决定.
1.
4.
1.
2首席安全管理员首席安全管理员全面负责CNNIC可信网络服务中心日常的各项安全事务.
由CNNIC可信网络服务中心安全管理委员会授权,首席安全管理员可以执行变更CNNIC可信网络服务中心的安全策略,对全CNNIC可信网络服务中心的安全管理进行定期的检查和评估,保持CNNIC可信网络服务中心的安全管理始终处在一个较先进的水平,具有较高的安全性和可信度.
随时追踪有关安全管理的最新动态,确保安全体系的先进性.
为保障CNNIC可信网络服务中心的安全、可靠运营,CNNIC可信网络服务中心首席安全管理员重点关注以下三个关键领域:开发安全策略,并协助程序开发和执行;维护安全策略和程序,使之保持完备性;审计安全策略及其实际执行情况的一致性.
1.
4.
1.
2.
1维护、执行安全策略和程序CNNIC可信网络服务中心首席安全管理员负责所有安全策略和程序的日常维持和执行工作.
通过使用抽样调查、对问题做出反应,以及采取事先主动的检查行为和程序等方式做好此项工作.
1.
4.
1.
2.
2审计一致性CNNIC可信网络服务中心首席安全管理员是所有外部审计要求的联系人和协调者,同时还要确定内部安全策略和程序,并且提供外部审计使用的资料.

5CNNIC可信网络服务中心证书策略1.
4.
2联络方式邮寄地址:北京349信箱6分箱CNNIC邮政编码:100190电话:86-10-58813000传真:86-10-58812666电子邮件地址:service@cnnic.
cn网址:http://www.
cnnic.
cn中文域名:http://中国互联网络信息中心.
CN通用网址:中国互联网络信息中心:CNNIC1.
4.
3证书策略变更流程在CNNIC可信网络服务中心的CP做出任何变动之前,CNNIC可信网络服务中心将对变动的条款进行研究,做出变更的决定.
在征求CNNIC可信网络服务中心律师有关法律上的意见后,安全管理委员会形成决议并签署同意.
CNNIC可信网络服务中心形成决议后,根据变动的具体情况,决定是否将此决议通知用户.
如果变动不会影响用户的使用,则不会通知用户,如果CNNIC可信网络服务中心安全管理委员会认为这些变动会影响到用户使用,则会通过CNNIC可信网络服务中心的网站通知用户此次策略变更.
CNNIC可信网络服务中心将对CP进行严格的版本控制.
1.
4.
4证书策略审批流程批准流程是:CP编写组编写或修订CP.
CP编写或修订完成后提交给CNNIC可信网络服务中心首席安全管理员组织相关人员审议,并给出与CPS的一致性报告.
审议通过后的CP和一致性报告一同递交CNNIC可信网络服务中心安全管理委员会审议.
CNNIC可信网络服务中心安全管理委员会最终确定CP与CPS的一致性.
6CNNIC可信网络服务中心证书策略CNNIC可信网络服务中心安全管理委员会审议通过后,CP的正式版本由CNNIC可信网络服务中心安全管理委员会签署.
1.
4.
5证书策略发布CNNIC可信网络服务中心证书策略经批准后会及时对外进行发布.
用户可以访问以下网址获取最新版本的证书策略(CP)文档:http://tns.
cnnic.
cn1.
4.
6适应性和变更效力如果在进行证书策略的变更时CNNIC可信网络服务中心安全管理委员会认为会影响用户的使用,而通过CNNIC可信网络服务中心的网站通知用户此次策略变更的具体内容,则此次变更在发布30天后生效.
证书持有者和合格信赖方有责任定期访问网站查看本策略的最新变更通知.
使用或者信任证书的宽限期为30天,宽限期后视为接受修订条款.
2总则2.
1义务2.
1.
1CNNIC可信网络服务中心认证中心义务根据条例,CNNIC可信网络服务中心为受认可的证书认证机构,负责使用稳定系统签发、废止证书及利用公开储存库发布证书撤销列表等信息.
根据本策略,CNNIC可信网络服务中心所属认证中心(CA)有下述义务:a)接收注册中心(RA)的请求及时签发证书b)废止证书并及时发布证书废止列表c)定期查看来自CABForum的SSLBaselineRequirement基线要求的更新内容,并承诺将根据基线要求的内容进行CA系统及业务逻辑内容的升级调整,保证对服务器证书的签发及管理符合最新版本的SSLBaseline7CNNIC可信网络服务中心证书策略Requirement要求2.
1.
1.
1CNNIC可信网络服务中心认证中心陈述通过给一个证书申请者签发一张证书,CNNIC可信网络服务中心认证中心(CA)向证书申请者保证所有合格的信赖方能够合理地在有效期内根据本策略信任证书中的信息,并且:CNNIC可信网络服务中心CA根据本策略签发证书,在必要时可废止该证书;CNNIC可信网络服务中心CA在签发证书时已确认证书申请者的身份满足本策略的要求和CPS的要求;在CNNIC可信网络服务中心CA的证书中没有已知的错误,而且CNNIC可信网络服务中心CA已经采取合理的做法确保证书中信息的正确性;在证书申请中由证书申请者提供的信息已被准确应用到证书中;该证书满足本策略和CNNIC可信网络服务中心的CPS的所有具体要求;该证书申请者的公钥和私钥为匹配的密钥对;在证书中定义的证书申请者拥有与证书中所列公钥相对应的私钥;CNNIC可信网络服务中心CA已使用一套可信的系统去产生和签发该证书.
2.
1.
2CNNIC可信网络服务中心注册中心义务注册中心(RA,RegistrationAuthority)系统负责证书的申请和审批及证书管理,并将证书申请信息传递到认证中心(CA).
注册中心有下述义务:a)验证申请人所提交信息的准确性和真实性,并使验证通过的证书申请生效,将其安全传递给认证中心(CA),证书申请包括证书注册、补发、续费、废止等类型申请b)通知申请人有关已批准或被拒绝的证书申请c)通知证书持有者有关已废止的证书CNNIC可信网络服务中心仅有一个RA,设在CNNIC.
CNNIC可信网络服务中心确认LRA的身份,并授权LRA进行用户注册的资料收集工作.
LRA有义务在用户进行证书注册、补发、续费、废止时负责收集相8CNNIC可信网络服务中心证书策略关信息并验证这些信息的正确性.
2.
1.
3储存库义务CNNIC可信网络服务中心储存库被用来发布CA证书、CPS、CP和证书废止信息等内容.
CNNIC可信网络服务中心支持储存库,并利用定义在CPS中的技术实现有效发布.
2.
1.
4证书持有者义务证书持有者代表着证书公钥所绑定的唯一实体,拥有与证书公钥唯一对应的私钥的最终控制权.
证书持有者应在本CP和CPS的范围内使用证书,愿意并能够承担在本CP和CPS中约定的义务.
2.
1.
5信赖方义务要信任或验证一张证书,信赖方必须验证证书的废止信息.
信赖方应在经过合理的审核后才能够信任一张证书.
2.
2责任CNNIC可信网络服务中心与证书持有者间的责任将在证书持有者协议中约定.
CNNIC可信网络服务中心与LRA间的责任将在相应的LRA协议中约定.
2.
3解释与执行2.
3.
1管辖法律本策略受中华人民共和国法律管辖.
9CNNIC可信网络服务中心证书策略2.
3.
2条款可中止性、修改若本证书策略的任何条款被宣布为非法、不可执行或无效,则应删除其中任何非法的词语,直至该等条款成为合法及可执行为止,同时应保留该等条款的本意.
本证书策略的任何条款的不可执行性将不损害任何其它条款的可执行性.
CNNIC可信网络服务中心拆分或合并可能导致其经营范围、管理和运营状况的改变.
这种情况下,可能也需要修改本证书策略.
经营活动的改变会与证书策略的修改相一致.
2.
3.
3争端解决程序若当事人之间的争议无法友好协商解决,应提交中国国际经济贸易仲裁委员会进行仲裁.
仲裁的裁决是终局性的,对当事人均有约束力.
仲裁的裁决过程采用中文记录,仲裁裁决由有管辖权的法院执行.
2.
4证书费用2.
4.
1数字证书(域名证书)费用证书费用由可信网络服务中心根据市场和管理部门的规定自行决定.
2.
5发布资料和储存库2.
5.
1CNNIC可信网络服务中心信息的发布CNNIC可信网络服务中心将在储存库中发布下列信息:(1)CA证书;(2)证书废止信息;10CNNIC可信网络服务中心证书策略(3)CPS和CP的拷贝(4)其它相关信息.
2.
5.
2发布频率所有需要发布在储存器中的信息都应及时发布.
有关证书废止的相关信息将根据第4.
4节相关规定进行发布.
2.
5.
3储存库访问控制储存库在合理的维护下可供RA、合格信赖方、证书持有者每周7天,每天24小时使用.
2.
6一致性审计2.
6.
1一致性审计由CNNIC可信网络服务中心或法律主管部门指定的审计机构对CNNIC可信网络服务中心进行审计.
年度审计次数由CNNIC可信网络服务中心决定或者由法律指定的监管机构决定.
2.
6.
2审计员的身份与资质对CNNIC可信网络服务中心实施审计的审计者所具有的资质和经验必须符合监管法律和行业准则规定的要求,包括:必须是经许可的、有营业执照的公共会计师或者是经许可的商业评估机构,在业内享有良好的声誉;了解计算机安全体系、网络通信安全要求、PKI技术、标准和操作;具备检查系统运行状况的专业技术和工具.
11CNNIC可信网络服务中心证书策略2.
6.
3审计机构与被审计者的关系审计机构必须是独立于CNNIC可信网络服务中心的实体.
2.
6.
4审计项目对CNNIC可信网络服务中心规范审计应包括但不限于:CNNIC可信网络服务中心支持的证书操作规程是否完整地在CPS中表述,包括CNNIC可信网络服务中心的技术、手续和员工的相关管理政策和操作规范;CNNIC可信网络服务中心是否实施了必要的技术、管理、相关政策和操作规范.
2.
6.
5对审计中不足问题的处理如果在审计过程中发现执行规范有不足之处,CNNIC可信网络服务中心将根据审计报告的内容,以最快的速度准备一份解决方案以完善不足之处.
2.
6.
6结果通报除非法律明确要求,CNNIC可信网络服务中心一般不公开审计结果.
2.
7机密性在执行与CNNIC可信网络服务中心签发、废止证书的有关任务时,可取阅任何记录、书刊、记录册、登记册、通讯、信息、文件或其它资料的CNNIC可信网络服务中心认证中心(CA)、注册中心(RA)及任何CNNIC可信网络服务中心外包商的人员,不得向他人披露该等记录、书刊、记录册、登记册、通讯、信息、文件或资料.
CNNIC可信网络服务中心会确保其CA、RA及任何CNNIC可信网络服务中心外包商的人员均会遵循此限制事项.
作为根据本CP申请数字证书的组成部分而提交的证书持有者资料,只会用于收集资料的目的并以机密方式保存,CNNIC可信网络服务中心需根据本CP履12CNNIC可信网络服务中心证书策略行其责任的情况除外.
除非经法庭发出的传票或命令,或中华人民共和国法律法规另有规定,未经证书持有者事先同意,不得将这些资料对外发布.
2.
7.
1机密信息类型各最终实体的签名私钥是该用户的机密信息,CNNIC可信网络服务中心CA和RA不得访问此类私钥.
对CNNIC可信网络服务中心的审计信息,考虑到其安全性,除法律要求外,不得对外公开.
由CNNIC可信网络服务中心CA和RA保存的个人和公司信息,除了被明确需要发布在证书、CRL、证书策略或CPS中的部分外,除非由法律要求,不得公开.
2.
7.
2非机密信息类型包含在证书和CRL中,由CNNIC可信网络服务中心发布的信息不是机密信息.
CPS和CP中公布的信息不是机密信息,但策略要求它只可用于本PKI体系内的用户.
CPS的部分内容可在更广泛的范围内使用.
2.
7.
3证书废止信息批露当证书由CNNIC可信网络服务中心废止时,在CRL条目中包含被废止证书的废止原因代码.
这个废止原因代码不是机密信息,可与所有其它证书持有者和信赖方分享.
其它关于废止的细节不被透露.
废止代码列表和一个简短的描述将发布在储存库.
2.
7.
4披露给执法官员和CNNIC的其它服务一样,根据策略,CNNIC可信网络服务中心将遵照法律规定披露信息给执法官员.
13CNNIC可信网络服务中心证书策略2.
8知识产权CNNIC可信网络服务中心享有并保留对证书及CNNIC可信网络服务中心提供的全部软件的一切知识产权,包括所有权、名称权和利益分享权等.
2.
8.
1证书和废止信息的拥有权所有CNNIC可信网络服务中心颁发的证书、证书废止信息和CNNIC可信网络服务中心提供的软件中使用、体现的一切版权、商标和其他知识产权均属于CNNIC可信网络服务中心,这些知识产权包括所有相关的文件和使用手册.
2.
8.
2证书策略的拥有权CNNIC可信网络服务中心拥有本策略的所有知识产权.
2.
8.
3名称拥有权在没有CNNIC可信网络服务中心预先书面同意的情况下,使用者不得在证书到期、废止之后,使用任何CNNIC可信网络服务中心使用的名称、商标或可能与之相混淆的名称、商标.
2.
8.
4密钥和密钥设备拥有权由最终用户自己保管的密钥对的知识产权,属于用户自己.
CNNIC可信网络服务中心的CA公钥和CA私钥,包括所有CNNIC可信网络服务中心所使用的公钥和证书都是CNNIC可信网络服务中心的资产.
CNNIC可信网络服务中心准许软件和硬件制造商在生产时将根证书安装在可信的硬件设备或软件中.
14CNNIC可信网络服务中心证书策略3鉴别与认证3.
1首次申请域名证书的申请,证书申请者或其经办人必须亲自到CNNIC可信网络服务中心指定的机构地点,并出示第3.
1.
7节所述身份证明.
证书申请者须向CNNIC可信网络服务中心本地受理点递交一份填好的申请表.
对于单位申请者,域名证书的申请须由申请单位的经办人和主管人填好并签名,并加盖申请单位公章,其中,国防类域名单位还必须提交标准服务器证书证明函,并由申请单位和本地受理点同时加盖公章;对于自然人申请者,域名证书的申请须由本人填好并签名.
申请批准后,CNNIC可信网络服务中心即准备好证书并发布给证书申请者,而证书申请者也将成为证书持有者.
3.
1.
1名称类型通过证书上的主题名称(于附录B内指明)可识别证书持有者的身份,该名称包括证书持有者机构所拥有服务器(包括网络域名)的名称.
3.
1.
2名称含义所采用名称的语义必须为一般人所能理解,方便辨识证书持有者身分.
证书DN中的CommonName或者SubjectAltName为实际申请Web服务器的域名.
3.
1.
3各个名称的解释规则CNNIC可信网络服务中心数字证书会包含的证书持有者名称(主题名称)类型见第3.
1.
1节.
有关CNNIC可信网络服务中心数字证书主题名称的诠释,请参照附录B.
3.
1.
4名称唯一性对证书持有者而言,主题名称(于附录B内指明)应无歧义而且具有唯一15CNNIC可信网络服务中心证书策略性.
3.
1.
5名称争端解决程序名称争端由CNNIC可信网络服务中心根据具体情况进行最终裁决.
3.
1.
6不侵权承诺证书申请者或证书持有者向CNNIC可信网络服务中心保证并向证书信赖方声明:申请证书过程提供的资料没有以侵犯第三者的商标权、商号或其他知识产权.
3.
1.
7证书申请者身份认证证书申请者应依据《CNNIC可信网络服务中心证书业务规则》(CPS)相关规定,在进行证书申请时提交身份证明材料,CNNIC可信网络服务中心应履行对证书申请者进行身份认证的职责.
3.
1.
8证书申请渠道CNNIC可信网络服务中心的证书申请一律通过本地受理点(LRA)进行,CNNIC可信网络服务中心不直接受理申请.
3.
1.
9密钥对确认CNNIC可信网络服务中心在获取到证书申请者的签发证书请求(CSR)后,将验证证书请求的签名和其他相关信息,以确认证书申请者拥有相应的密钥对.

16CNNIC可信网络服务中心证书策略4操作规范4.
1证书申请4.
1.
1域名证书4.
1.
1.
1处理申请域名证书的申请者必须到CNNIC可信网络服务中心指定的受理点递交申请.
4.
1.
1.
2身份审核对于证书申请者,用以证明其身份所需的文件,在本策略第3.
1.
7节中说明.
完成核对身份手续后,数字证书会以安全方式送递申请者.
4.
2证书签发在核对身份手续后,CNNIC可信网络服务中心会以电子邮件和电话通知证书申请者其申请已被接纳,并发送证书"参考号/授权码".
发出数字证书的过程如下:证书申请者在其设备上自行产生私人密钥及公开密钥.
证书申请者在其设备上自行产生包含其公开密钥的"签发证书请求"(CertificateSigningRequest,CSR),并将"签发证书请求"经由指定的CNNIC可信网络服务中心网页传送给CNNIC可信网络服务中心.
在收到"签发证书请求"后,CNNIC可信网络服务中心系统会自动查证包含公开密钥资料的"签发证书请求"上的数字签名,以核对证书申请者是持有配对的私人密钥.
CNNIC可信网络服务中心并不会持有证书申请者的私钥.
在核对证书申请者是持有配对的私钥后,CNNIC可信网络服务中心会产生载有证书申请者公开密钥的数字证书.
证书申请者可在指定的CNNIC可信网络服务中心网页核对数字证书的内容及确认接受该数字证书.
17CNNIC可信网络服务中心证书策略4.
3证书接受下载证书即构成证书持有者的证书接受.
4.
4证书废止4.
4.
1废止情况如果出现下列情况,CNNIC可信网络服务中心有权废止所签发的域名证书:1.
事后检查发现证书持有者申请域名证书时提供的资料存在虚假信息;2.
证书持有者未履行证书持有者协议所约定的义务;3.
证书持有者要求废止域名证书;4.
证书持有者主体消亡;5.
证书持有者变更域名证书的用途;6.
法律或法规要求的其他情况.
4.
4.
2废止程序如出现本文第4.
4.
1节规定的除第3条外的情况,CNNIC可信网络服务中心将主动废止域名证书并通知证书持有者.
证书持有者也有权自行通过本地受理点提出废止证书要求,废止申请具体流程请参考CPS.
CNNIC可信网络服务中心的注册中心(RA)收到申请,并和申请者确认废止证书后,该证书即会废止且永久失效.
废止证书申请表格可从CNNIC可信网络服务中心网页http://tns.
cnnic.
cn下载.
所有废止证书的有关资料(包括表明废止证书的原因代码)将包含在废止证书列表(CRL)内.
(见第7.
2节)CNNIC可信网络服务中心处理废止证书请求的时间为每工作日上午九时至下午五时.
18CNNIC可信网络服务中心证书策略4.
4.
3废止请求处理时限在CNNIC可信网络服务中心所发布的操作时段内,废止请求应在CNNIC可信网络服务中心接收到正式申请资料后两个工作日内处理完成.
4.
4.
4废止效力CNNIC可信网络服务中心把废止状态发布到证书废止列表中,即终止某一证书的使用效力.
4.
4.
5服务承诺CNNIC可信网络服务中心将做出合理努力,确保在(1)CNNIC可信网络服务中心从证书持有者处收到废止申请或(2)在无此申请之情况下,CNNIC可信网络服务中心决定废止证书,两个工作日内,将该废止证书数据在证书废止列表发布.
然而,证书废止列表并不会在各证书废止后随即在公众目录中发布.
只有在下一张证书废止列表更新时一并发布,证书废止列表届时才会显示该证书已废止的状态.
CNNICSSL中级根(签发标准服务器证书)以及CNNICEVSSL中级根(签发EV高级服务器证书)签发的证书废止列表每12小时发布一次,CNNICDQSSL中级根(签发快速证书)签发的证书废止列表每7天(168小时)发布一次;如果没有进行中级根的废止,CNNICROOT及CNNICEVROOT根签发的证书废止列表(CRL)每6个月(182天)更新一次,如果进行中级根的废止,根签发的证书废止列表(CRL)会立即更新.
CNNIC可信网络服务中心在处理证书废止时,会以合理的方式与证书持有者保持联系(例如电话),进行确认.
在证书持有者明知CNNIC可信网络服务中心根据CPS条款可能据以废止证书的任何事项的情况下,或证书持有者已做出废止申请,或经CNNIC可信网络服务中心通知拟根据本CP条款废止证书后,证书持有者均须立刻停止在交易中使用证书.
倘若证书持有者无视本条所述的规定,仍在交易中使用证书,则CNNIC可信网络服务中心毋须就任何此类交易向证书持有者或证书信赖方承担19CNNIC可信网络服务中心证书策略责任.
此外,在证书持有者明知CNNIC可信网络服务中心根据CP条款可能据以废止证书的任何事项的情况下,或证书持有者已做出废止申请,或经CNNIC可信网络服务中心通知拟根据CP条款废止证书后,均须立即通知从事当时仍有待完成的任何交易的证书信赖方,用于该交易的证书须予废止(由CNNIC可信网络服务中心或经证书持有者申请),并明确说明,故证书信赖方不得在交易中继续信任该证书.
若证书持有者未能通知证书信赖方,则CNNIC可信网络服务中心无须就此类交易向证书持有者承担责任,并无须向虽已收到通知但仍完成交易的证书信赖方承担责任.
除非CNNIC可信网络服务中心未能行使合理技术且证书持有者未能按此等规定的要求通知证书信赖方,否则,CNNIC可信网络服务中心无须就CNNIC可信网络服务中心做出废止证书(根据申请或其它原因)的决定与此信息出现在证书废止列表之间的时间内进行的交易承担责任.
任何这类责任均仅限于本CP其它部分规定的范畴内.
在任何情况下,注册中心自身无须对证书信赖方承担独立责任.
因此,即使出现疏忽,注册中心也无须对证书信赖方负责.
数字证书的证书废止列表会依据在附录C内指明的格式更新.
有关CNNIC可信网络服务中心对于证书信赖方暂时未能获取已废止的证书资料时的政策,己列于本CP第2.
1.
5节(证书信赖方的义务)中.
4.
4.
6CRL更新频率CNNIC可信网络服务中心应以尽可能快的速度签发一个最新的CRL并在储存库中发布:CNNICSSL中级根(签发标准服务器证书)以及CNNICEVSSL中级根(签发EV高级服务器证书)签发的证书废止列表每12小时发布一次,即标准服务器证书和EV高级服务器证书的CRL不晚于正确的域名证书废止请求被处理完成后12小时后发布;CNNICDQSSL中级根(签发快速证书)签发的证书废止列表每7天(168小时)发布一次,即快速证书的CRL不晚于正确的域名证书废止请求被处理完成后168小时后发布.
.
如果没有进行中级根的废止,CNNICROOT及CNNICEVROOT根签发的证书废止列表(CRL)每6个月(182天)更新一次,如果进行中级根的废止,根签发20CNNIC可信网络服务中心证书策略的证书废止列表(CRL)则立即更新.
4.
4.
7证书续费CNNIC可信网络服务中心会于证书的有效期届满前,以电子邮件或信件等方式向域名证书的证书持有者发出续费通知.
证书持有者可依据CNNIC可信网络服务中心的流程从本地受理点处更新证书.
4.
5密钥变更由CNNIC可信网络服务中心认证中心产生,并用以签发、认证本中心所发出的证书的认证中心根密钥及证书寿命为期不超过二十年.
CNNIC可信网络服务中心证书认证机构密钥及证书在期满前至少三个月会进行更新.
更新为新根密钥后,相关的根证书也会公布供大众取用.
原先的根密钥则保留一定的时限,以供核对用原根密钥签名的证书.
4.
6密钥泄漏及灾难恢复程序4.
6.
1灾难恢复计划CNNIC可信网络服务中心应有妥善的业务连续性计划,包括每天备份主要业务信息和认证中心系统数据,并适当地备份认证中心系统的软件,以维持主要业务持续运营,保障在严重故障或灾难影响下仍可继续提供服务或在最短时间内恢复提供服务.
每年需要对业务连续性计划进行复查,并严格执行.
CNNIC可信网络服务中心应在异地设有灾难恢复基地.
如发生严重故障或灾难,CNNIC可信网络服务中心应及时通知政府部门,并公布运营由生产基地转至灾难恢复基地.
为保证CNNICCA中心在市场上的竞争力,并保证在所确定的系统中断时间内,CA中心可能遭受的损失相对较低,风险相对较小,同时建设成本和管理成本也比较适合,CNNICCA中心最终确认:21CNNIC可信网络服务中心证书策略1.
对于证书注册服务,在一般灾难情况下CNNICCA中心会使用合理的商业手段在24小时内予以恢复,并在48小时内完全恢复全面注册服务功能.
如不可抗力灾难(例如战争、地震、洪水、火灾等)造成CNNICCA中心出现大面积硬件、设备、人员损失,可以在向公众通告具体情况,保证信息公开的基础上,延长注册服务系统中断时间.
2.
对于包括CRL下载服务在内的储存库服务,在灾难情况(包括不可抗力灾难)下,CNNICCA中心会使用合理的商业手段在4小时内予以恢复,并在8小时内完全恢复储存库服务.
4.
6.
2密钥泄漏恢复计划业务连续性计划应包含处理密钥泄漏的应对计划.
这些计划每年均会进行复检.
如用来签发域名证书的CNNIC可信网络服务中心根证书或中级根证书私钥信息泄漏,CNNIC可信网络服务中心应及时进行公布.
CNNIC可信网络服务中心的根证书或中级根证书私钥信息一旦泄漏,CNNIC可信网络服务中心应及时废止由此私钥签发的证书,然后签发新证书取代.
4.
7CNNIC可信网络服务中心终止服务如CNNIC可信网络服务中心停止担任证书认证机构的职能,即按CNNIC可信网络服务中心终止服务计划所定程序通知政府部门并做出公布.
在终止服务后,CNNIC可信网络服务中心会将证书认证机构的记录适当地存盘10年(由终止服务日起计);这类记录包括根证书和中级根证书、已发出的域名证书、证书业务规则及证书废止列表(CRL).
4.
8RA终止服务如注册中心(RA)根据注册中心协议或因注册中心终止服务停止担任注册中心的职能,且其代表CNNIC可信网络服务中心行使的授权已予以收回,由此注册中心申请的证书仍会按其条款和有效期继续有效.
22CNNIC可信网络服务中心证书策略4.
9CNNIC可信网络服务中心CA私钥归档当CNNIC可信网络服务中心的CA密钥对到期后,这些CA密钥对将归档保存至少10年.
归档CA密钥对保存在CPS所述的硬件密码模块中,并且CNNIC可信网络服务中心的密钥管理策略和流程阻止归档CA密钥对返回到生产系统中.
对归档私钥到了归档保存期,CNNIC可信网络服务中心将按CPS所述进行销毁.
CNNIC可信网络服务中心CA私钥归档的具体步骤如下:1.
加密机管理员到业务内审员处领申请表单2.
业务内审员签字3.
首席安全管理员签字4.
通知CA系统管理员等相关人员5.
进入相应加密机区域进行密钥复制到归档密钥空间6.
操作结束填写维护表单7.
参与操作相关人员签字确认(加密机管理员、业务内审员和CA系统管理员)8.
首席安全管理员签字9.
业务内审员归档4.
10CNNIC可信网络服务中心应急机制CNNIC可信网络服务中心将提供24*7的应急机制,在如下所述的情况下,可以通过010-58813000联系CNNIC可信网络服务中心,进行紧急事件的处理:1.
CNNICCA中心将在24小时之内完成证书废止的申请,在如下情况:当签发的证书在技术内容和格式上存在不可接受的风险时;当证书申请者不是有效的授权者,或授权已过期;当CNNICCA中心确认证书申请者的使用有危害的密钥申请了证书时;当CNNICCA中心发现申请者使用的不再是一个有效的全域名时;当申请人违反了申请协议或应组遵守的义务时;当证书出现问题的时候(技术问题,外界因素等),CNNICCA中心可以及时处理并在24小时之内对高优先级的证书问题发起调查.
23CNNIC可信网络服务中心证书策略5实体、程序和人员的安全控制5.
1实体安全CNNIC可信网络服务中心应通过有效的物理控制来确保实体安全,具体措施可参考CPS.
5.
2过程控制CNNIC可信网络服务中心应建设、维护和执行完备的管理制度和流程来对人员以及人员操作进行控制,从而确保CNNIC可信网络服务中心的安全.
5.
3人员控制CNNIC可信网络服务中心应对工作人员的背景、资历、经验等情况都进行核实和审查,通过管理制度对其行为进行约束,并对其进行持续的培训,确保其可信程度及胜任程度,并确保他们履行职责.
工作人员包括CNNIC正式员工以及外包人员.
5.
4计算机安全审计程序5.
4.
1记录事件类型CNNIC可信网络服务中心的重要安全事件,均以人工或自动记录在受保护的审计追踪记录内.
这类事件包括但不限于以下内容:可疑网络活动多次试图进入而不能访问与安装设备或软件、修改及配置CNNIC可信网络服务中心系统的有关事件相关人员访问CNNIC可信网络服务中心各组成部分的过程定期管理证书的操作同样也包括在审计追踪记录中,这些操作包括但不限24CNNIC可信网络服务中心证书策略于以下内容:处理废止证书的请求实际发出(包括证书注册、续费、补办等)、废止证书更新储存库资料汇编证书废止列表并刊登新数据证书认证中心密钥转换档案备份紧急密钥恢复5.
4.
2处理记录的次数CNNIC可信网络服务中心每周均会处理及复查审计追踪记录,用以审计追踪有关CNNIC可信网络服务中心行动、交易及程序.
5.
4.
3审计追踪记录的保护CNNIC可信网络服务中心处理审计追踪记录时实施多人式控制,可提供足够保护,避免有关记录意外受损或被人蓄意修改.
5.
4.
4审计追踪记录备份程序CNNIC可信网络服务中心每日均会按照预先界定程序为审计追踪记录作适当备份.
备份会另行离机储存,并获足够保护,以免被盗用、损毁及媒体衰变.

5.
4.
5审计资料收集系统无5.
4.
6安全主体向CNNIC可信网络服务中心发出通知CNNIC可信网络服务中心拥有自动监控系统,可向CNNIC可信网络服务中心适当人士或系统报告重要安全事件.
25CNNIC可信网络服务中心证书策略5.
4.
7脆弱性评估脆弱性评估是CNNIC可信网络服务中心风险评估的一部份:根据审计记录,CNNIC可信网络服务中心定期进行技术安全、管理安全方面的脆弱性评估,并根据评估报告采取措施.
5.
5记录归档5.
5.
1归档记录类型CNNIC可信网络服务中心须确保归档记录包括足够资料,从而确定证书是否有效以及以往是否运行妥当.
CNNIC可信网络服务中心应保存有以下数据:系统设备结构档案评估结果及设备合格复查记录证书业务规则所有版本对CNNIC可信网络服务中心具约束力的协议所有发出的证书及证书废止列表(CRL)定期事件记录其它用以核实归档内容的工作日志5.
5.
2归档保存期限上述归档记录至少妥为保存10年.
审计跟踪文档须以CNNIC可信网络服务中心视为适当的方式存放.
5.
5.
3归档保护CNNIC可信网络服务中心保存的归档介质受各种实体或加密措施保护,可避免未经授权进入.
保护措施用以保护归档介质免受温度、湿度及磁场等环境侵害.
26CNNIC可信网络服务中心证书策略5.
5.
4归档备份程序制作并保存归档的副本.
5.
5.
5时间戳归档资料均注明归档项目的开始时间及日期.
CNNIC可信网络服务中心利用控制措施防止擅自调校系统时钟.
6技术安全控制6.
1密钥的生成和安装6.
1.
1密钥对的生成根CA:根CA的根密钥对由硬件加密设备直接产生,并且直接保存在该硬件加密设备中,CNNIC可信网络服务中心使用的是国家商业密码管理委员会鉴定通过的加密硬件设备.
产生密钥的时候,必须由三个加密机管理员(共计五个加密机管理员)同时登录后由加密硬件设备产生,任何单独的一个人均没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
子CA:子CA的CA密钥对在本地的硬件加密设备上产生(硬件加密设备使用的是国家商业密码管理委员会鉴定通过的加密硬件设备),私钥不能出此加密硬件设备.
产生密钥的时候,必须由三个加密机管理员(共计五个加密机管理员)同时登录后由加密硬件设备产生,任何单独的一个人没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
证书申请者:签名密钥对在客户端产生,具有严密且安全的控制措施,可采用智能IC卡、其它硬件加密设备或加密软件生成.
27CNNIC可信网络服务中心证书策略6.
1.
2公钥传送给证书签发机构证书申请者使用安全软件把公钥发给CNNIC可信网络服务中心由CNNIC可信网络服务中心生成证书.
6.
1.
3CNNIC可信网络服务中心CA公钥传送给信赖方CNNIC可信网络服务中心会把自己的CA公钥证书发布在自己的网站上,以便最终实体获取.
6.
1.
4密钥的长度CNNIC可信网络服务中心的CNNICROOT及CNNICEVROOT根密钥和CNNICSSL、CNNICEVSSL、CNNICDQSSL等中级根密钥对为2048位RSA.
证书持有者密钥对也要求为2048位RSA.
6.
1.
5密码模块标准产生签名密钥、存储及签名操作在硬件密码模块进行.
硬件密码模块是由中国国家密码主管机构审查通过的安全产品,符合国家的相关规定.
6.
1.
6密钥用途CNNIC可信网络服务中心域名证书使用的密钥可用于加密通讯.
CNNIC可信网络服务中心的根密钥只用于签发证书及证书废止列表.
6.
2私钥保护和密码模块工程控制CNNIC可信网络服务中心应根据本策略条款规定采取相应的步骤保护自己的CA私钥.
CNNIC可信网络服务中心CA的签名私钥不能泄露.
如果证书到期或被废止,或者签名私钥的使用终结,那么,所有私钥的复制都要被安全地毁掉.

私钥不再使用、不需要保存时,应该将私钥销毁,从而避免丢失、偷窃、泄28CNNIC可信网络服务中心证书策略露或非授使用.
CNNIC可信网络服务中心签发的最终用户签名私钥,在其生命周结束后,无需再保存,可以通过私钥的删除、系统或密码模块的初始化来销毁.
在CNNIC可信网络服务中心的CA私钥生命周期结束后,CNNIC可信网络服务中心应将CA私钥继续保存在一个硬件密码模块中,并进行归档,其他的CA私钥备份被安全销毁.
归档的CA私钥在其归档期结束后,需在多名可信人员参与的情况下安全销毁.
CA私钥的销毁将确保CA私钥从件密码模块中彻底删除,不留有任何残余信息.
具体实施细节参见CPS中相关的内容.
6.
3密钥对管理CNNIC可信网络服务中心应考虑CA证书和域名证书的公私钥有效期和归档问题.
6.
4计算机安全控制CNNIC可信网络服务中心需要在安全的环境下运行,并实行分区访问权限控制.
核心系统和其它系统隔离,采用防火墙和入侵检测保证安全.
并实行:系统安全配置,关闭不必要的服务与端口.
操作系统必须安装最新的补丁程序,由专人负责最新补丁的安装.
生产系统每台机器均由专人负责,严格上机操作程序,口令逐级管理,逐级授权.
各人负责各自权限范围内的操作.
日志和操作记录的审计制度.
数据备份和恢复机制.
6.
5生命周期技术安全控制证书生命周期安全控制需要遵循WebTrust认证规范.
CNNIC可信网络服务中心所使用的系统在使用前均应经过详细测试,并在使用过程中进行不定期检查.
29CNNIC可信网络服务中心证书策略6.
6网络安全控制根据安全要求的不同,应考虑将CNNIC可信网络服务中心系统划分为不同的网段,部分高安全级系统进行离线操作.
并采用层次模型保证网络的安全性以及系统的可靠性.
6.
7密码模块工程控制CNNIC可信网络服务中心使用的密码模块必须是经过中国国家密码主管机构审查通过的加密机.
7证书和CRL结构7.
1证书结构CNNIC可信网络服务中心所签发的证书包含用来确认身份及核实这些信息是否完整的公开密钥.
CNNIC可信网络服务中心使用证书一律以X.
509第三版本的格式发出.
(见附录B).
7.
1.
1版本号CNNIC可信网络服务中心证书有广泛的通用性.
证书格式符合X.
509V3标准,可以提供支持证书扩展的能力.
7.
1.
2证书项说明域值或值的限制基本域版本V3序列号CNNIC可信网络服务中心给所发证书赋予的唯一的值签名算法用于签发证书的算法的名称30CNNIC可信网络服务中心证书策略颁发者证书颁发者的甄别名,域名证书中为CNNIC可信网络服务中心中级根证书的主题有效起始日期用来指定证书有效的起始日期,基于国际通用时间(UTC),和北京时间同步有效终止日期用来指定证书有效的终止日期,基于国际通用时间(UTC),和北京时间同步主题证书持有者的甄别名公钥证书公钥,使用RSA算法,密钥长度在CPS中要求扩展项基本限制域名证书值为:SubjectType=EndEntityPathLengthConstraint=NoneCRL分发点CNNIC可信网络服务中心签发的证书中包含CRL的分发点扩展项,依赖方可根据该扩展项提供地址和协议下载CRL,见本CPS密钥用法域名证书值为:KeyEncipherment,DigitalSignature主题密钥标识符所颁发域名证书公钥的标识颁发机构密钥标识符上级CA证书公钥的标识证书策略[1]CertificatePolicy:PolicyIdentifier=1.
3.
6.
1.
4.
1.
29836.
1.
1[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cnnic.
cn/cps/增强型密钥用法域名证书值为:服务器验证主题备用名在多域名证书中值为证书所认证的所有域名31CNNIC可信网络服务中心证书策略7.
1.
3算法对象标识符CNNIC可信网络服务中心签发证书所使用的签名算法为sha1RSA.
7.
1.
4名称限制在DN中,可以使用除专用字符和特殊字符外的所有ASCII字符.
专用字符为反斜杠("")和双引号("""),由于在DN中有特殊含义,不能用在DN中.
另外,如果在cn中包含特殊字符(","、"="、"+"、"#"、""、";"),CNNIC可信网络服务中心的CA系统会做特殊处理,即对整个cn内容加双引号,这样会导致以后实际处理上的不方便,因此不允许在cn中包含这些特殊字符.
由于存在不可见的ASCII字符,不便于用户使用,下面给出本证书策略中所有可用的ASCII字符列表(ASCII值为十进制数值):ASCII值字符032空格033!
036$038&040(041)045-046.
047/048~0570~9058:065~090A~Z091[093]32CNNIC可信网络服务中心证书策略094^095—096`097~122A~z123{125}126~7.
1.
5证书策略对象标识符证书策略由发证机构制定并对外广泛发布,同时向国际标准化组织申请标准的对象标识符(OID),从而保证与其它应用相兼容,对象标识符在通信服务中进行传递,作为该证书机构证书策略的标识,代表该认证机构提供证书服务的相关策略.
另一方面,只有用户同意该证书策略,才可以从认证机构去申请和获得数字证书.
7.
1.
6策略限制扩展项的用法规定在CA体系中的各层CA使用相同的CP以及是否和其他CA体系互相信任.
CNNIC可信网络服务中心证书不使用本扩展域.
7.
1.
7策略限定符的语法和语义对于本扩展域,X.
509V3标准没有规定格式,可以提供CPS在网上的位置说明.
CNNIC可信网络服务中心证书不使用本扩展域.
7.
1.
8关键证书策略扩展项的处理规则CNNIC可信网络服务中心证书不使用.
33CNNIC可信网络服务中心证书策略7.
2证书废止列表结构CNNIC可信网络服务中心证书废止列表的格式为X.
509第二版本(见附录C).
7.
2.
1版本号CNNIC可信网络服务中心使用的CRL符合X.
509标准,版本号为v2.
7.
2.
2CRL项CRL数据定义版本(Version)含义:显示CRL的版本号.
签名(Signature)含义:签发CRL的CA的签名.
算法标识(algorithmIdentifier)含义:定义签发CRL所使用的算法.
CRL的签发者(Issuer)含义:指明签发CRL的CA的甄别名.
CRL发布时间(thisUpdate)预计下一个CRL更新时间(nextupdate)废止证书信息目录(revokedcertificates)7.
3OCSPCNNIC可信网络服务中心CA签发的OCSP响应符合RFC2560标准.
OCSP响应至少包含如下表所述基本域和内容.
OCSP结构的基本域域值或值的限制状态响应状态,包括成功、请求格式错误、内部错误、稍候重试、请求没有签名和请求签名证书无授权,当状态为成功时必须34CNNIC可信网络服务中心证书策略包括以下各项版本V1签名算法签发OCSP的算法.
使用sha1WithRSAEncryption(OID:1.
2.
840.
113549.
1.
1.
5)算法签名.
颁发者签发OCSP的实体.
签发者公钥的SHA1数据摘要值和证书甄别名.
产生时间OCSP响应的产生时间.
证书状态列表包括请求中所查询的证书状态列表.
每个证书状态包括证书标识、证书状态以及证书废止信息.
证书标识包括数据摘要算法(SHA1,OID:1.
3.
14.
3.
2.
26)、证书甄别名数据摘要值、证书公钥数据摘要值和证书序列号.
证书状态证书的最新状态,包括有效、废止和未知.
证书废止信息当返回证书状态为废止时包含废止时间和废止原因.
7.
3.
1版本号V17.
3.
2OCSP扩展项与RFC2560一致.
7.
3.
3OCSP请求OCSP请求至少包括:协议版本服务请求目标证书标识OCSP服务器需要的扩展项35CNNIC可信网络服务中心证书策略7.
3.
4OCSP响应正确的OCSP响应须包括:响应协议的版本OCSP服务器的名称对一个请求中的每一个证书的应答(包括目标证书标识、证书状态值、有效应答的时间间隔、可选的扩展项)可选的扩展项签名计算方法OID用杂凑函数计算出的签名8其他商业与法律事项8.
1法律责任8.
1.
1法律责任限制8.
1.
1.
1限制的合理性各证书持有者或信赖方必须同意,CNNIC可信网络服务中心按证书持有者协议及本CP及CPS所列条件限制其法律责任实属合理.
8.
1.
1.
2可追讨损失种类的限制CNNIC可信网络服务中心若违反《证书持有者协议》或者出现任何职务职责的情况下,而造成证书持有者或信赖方遭受损失及损害的,CNNIC可信网络服务中心不负责下述原因造成的损失及损害的赔偿:a)任何直接或间接利润或收入损失、信誉或商誉损失或伤害、任何商机损失、失去项目、或失去或无法使用任何数据、设备或软件;b)任何间接、相应而生或附带引起的损失或损害.
36CNNIC可信网络服务中心证书策略8.
1.
1.
3故意不当行为的责任任何因欺诈或故意不当行为的责任均不在本CP及CPS、证书持有者协议或CNNIC可信网络服务中心签发的证书的任何限制或除外规定范围内.
8.
1.
1.
4证书责任限制通知CNNIC可信网络服务中心签发证书已经作出如下责任限制通知:"CNNIC可信网络服务中心职员按CNNIC可信网络服务中心签署的证书业务规则所载条款,在条件适用于本证书的情况下,根据相关规定作为证书认证机构签发本证书.
因此,任何人士信任本证书前均应阅读适用于数字证书的业务规则(可浏览http://tns.
cnnic.
cn).
中华人民共和国法律适用于本证书,信赖方须承认因信任本证书而引致的任何争议或问题属于中华人民共和国法庭管辖.

如果信赖方不接受本证书用来签发的条款及条件,则不应信任本证书.
CNNIC可信网络服务中心签发本证书,但无须对信赖方承担任何责任或职务职责.
信赖方信任本证书前确保信任行为公平合理无恶意,方可信任本证书;信任本证书前,确定证书的使用就CPS规定的用途而言实属适当;信任本证书前,根据证书废止列表检查本证书的状态,并履行所有适当证书路径验证程序.
尽管CNNIC可信网络服务中心已采取合理技术及管理措施,若本证书仍在任何方面存在不准确或误导,则CNNIC可信网络服务中心对信赖方的任何损失或损害概不承担任何责任.
若本证书在任何方面存在不准确或误导,而这种不准确或误导是因CNNIC可信网络服务中心的疏忽所导致,则CNNIC可信网络服务中心将可以因合理信任本证书中的这种不准确或误导事项而造成的经证实损失向每名信赖方支付最多为证书购买价格的10倍,只有这种损失不属于并且不包括(1)任何直接或间接损失,包括利润或收入损失、信誉或商誉损失或伤害、商机或契机损失、失去项目、失去或无法使用任何数据、设备或软件等;(2)任何间接、相应而37CNNIC可信网络服务中心证书策略生或偶然引起的损失或损害.
在该等情况下根据条例适用于本证书的信任额度为为证书购买价格的10倍.
证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.
若本证书包含任何由CNNIC可信网络服务中心做出的故意或罔顾后果的失实陈述,则本证书并不就这类对因合理信任本证书中的失实陈述而遭受损失的信赖方所应承担的法律责任做出任何限制.
本文所描述的法律责任限制不适用于个人伤害或死亡的(不大可能发生的)情形.
"8.
1.
2CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任若证书持有者接受证书后发现,因证书包含的私人密钥或公开密钥出现差错,导致基于公开密钥基础设施的交易无法适当完成或根本无法完成,则证书持有者须将这种情况立即通知CNNIC可信网络服务中心,以便废止证书并重新签发.
或者在接受证书后三个月内发现这种情况且证书持有者不再需要证书,则在CNNIC同意的前提下,可以申请退款.
如果证书持有者在接受证书三个月后才将这类差错通知CNNIC,则将不会退还持有者已缴纳的费用.
8.
1.
3证书持有者的转让证书持有者不可转让证书持有者协议或证书赋予的权利.
拟转让的行为均属无效.
8.
1.
4陈述权限除非获得CNNIC可信网络服务中心授权,CNNIC可信网络服务中心或注册中心的代理人或雇员无权代表CNNIC可信网络服务中心对本CP及CPS的含义38CNNIC可信网络服务中心证书策略或解释作任何陈述.
8.
1.
5更改CNNIC可信网络服务中心有权更改本证书策略,而无须发出预先通知.
证书持有者协议不得做出更改、修改或变更,除非符合本证书策略中的更改或变更规定,或获得CNNIC可信网络服务中心的明确书面同意.
8.
1.
6保留所有权根据本证书策略签发的证书上所有资料的实质权利、版权及知识产权现属CNNIC可信网络服务中心所有.
8.
1.
7条款冲突若本证书策略与证书持有者协议或其它规则、指引或合约有冲突,证书持有者、信赖方及CNNIC可信网络服务中心须受本证书策略条款约束,除非该等条款受法律禁止.
8.
1.
8受信关系CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心并非证书持有者或信赖方的代理人或其它代表.
证书持有者及信赖方无权以协议或其它方式约束CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心承担证书持有者或信赖方的代理人或其它代表的责任.
8.
2财务责任8.
2.
1限额即使是CNNIC可信网络服务中心违反《证书持有者协议》或者负有任何职务职责的情况下,而造成证书持有者或信赖方蒙受损失及损害,对于任何证书持39CNNIC可信网络服务中心证书策略有者、或任何信赖方,CNNIC可信网络服务中心所负法律责任限于在任何情况下每张域名证书不得超过证书购买价格的10倍.
8.
2.
2提出赔偿的时限证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.
9附录40CNNIC可信网络服务中心证书策略附录A词汇证书认证中心(CA)CertificationAuthority受用户信任,负责创建和分配公钥证书的权威机构.
有时,证书认证中心也可为用户创建密钥.
CA证书CA-certificate由其他CA为一个CA的公钥签发的证书.
证书认证路径CertificationPath一个有序的证书序列,连同路径中起始对象的公钥,通过处理该序列可获得路径末端对象的公钥.
公钥基础设施(PKI)PublicKeyInfrastructure(PKI)支持公钥管理体制的基础设施,提供鉴别、加密、完整性和不可否认性服务.
激活数据ActivationData用于操作密码模块所必需的、并且需要被保护的数据值(例如PIN、口令、或人工控制的密钥共享部分),而不是密钥.
鉴别Authentication确定个人、组织或事物如其所声称的人或事物的过程.
在PKI上下文中,鉴别指的是确定以某个特定名称申请或试图访问某事物的个人或组织确实为正确的个人或组织的过程.
证书策略(CP)CertificatePolicy一套命名的规则集,用以指明证书对一个特定团体和(或者)具有相同安全需求的应用类型的适用性.
例如,一个特定的CP可以指明某类证书适用于鉴41CNNIC可信网络服务中心证书策略别从事企业到企业(B-to-B)交易活动的参与方,针对给定价格范围内的产品和服务.
证书业务规则(CPS)CertificationPracticeStatement关于证书认证机构在签发、管理、废止或更新证书(或更新证书中的密钥)过程中所采纳的业务实践的声明.
CPS摘要CPSSummaryorCPSAbstract由一个CA公布的、关于其完整CPS的一个子集.
身份标识Identification建立个人或组织的身份的过程,如指明某个人或组织是特定的个人或组织.

在PKI上下文中,身份标识指代两个过程:确定某个人或组织的给定名称与真实世界中该个人或组织的身份相联系;确定在该名称之下申请或试图访问某事物的个人或组织确实为被命名的个人或组织.
寻求标识的人可能是证书申请者,或者是PKI中可信职位的申请者,或者是试图访问网络或应用软件的人(如CA管理员试图访问CA系统).
签发证书认证中心(签发CA)IssuingCertificationAuthority在特定的CA证书上下文中,签发CA是签发证书的CA(参见主体CA).
参与者Participant在一个给定PKI中扮演某一角色的个人或组织,如证书持有者、信赖方、CA、RA、证书制作机构、证书库服务提供者、或类似实体.
PKI信息公开声明(PDS)PKIDisclosureStatement关于CP或CPS的补充手段,用于公开证书策略和CA/PKI业务中的关键信息.
PDS是公开和强调信息的载体工具,这些信息通常在相关CP或CPS中作更详细描述.
因此,PDS并不能替代CP或CPS.
42CNNIC可信网络服务中心证书策略策略限定符Policyqualifier依赖于策略的信息,可能与CP标识符共同出现在X.
509证书中.
该信息中可能包含指向适用CPS或信赖方协议的URL指针,也可能包含证书使用条款的文字(或引起文字出现的数字).
注册中心(RA)RegistrationAuthority具有下列一项或多项功能的实体:标识和鉴别证书申请者,同意或拒绝证书申请,在某些环境下主动废止或挂起证书,处理证书持有者废止或挂起其证书的请求,同意或拒绝证书持有者更新其证书或密钥的请求.
但是,RA并不签发证书(即RA代表CA承担某些任务).
信赖方Relyingparty证书的接收者,他依赖于该证书和(或)可通过该证书所验证的数字签名.