证书中移动否认限制号

中移动否认限制号  时间:2021-04-16  阅读:()
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn1中国金融认证中心IdentityCA体系电子认证业务规则V1.
4版权归属中金金融认证中心有限公司(任何单位和个人不得擅自翻印)2020年07月中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn2版本控制表版本修改状态修改说明修改人审核人/批准人生效期1.
0形成版本并审核通过孙圣男CFCA安委会2015年07月1.
1修订修改4类模板相关内容张翼CFCA安委会2016年06月1.
2修订删除试用证书服务的内容,策略文档管理机构由业务部修改为风险管理与合规部孙圣男CFCA安委会2017年09月1.
3修订增加关于OU2的说明,修订文本错误孙圣男CFCA安委会2019年07月1.
4修订策略文档管理机构由风险管理与合规部修改为战略发展部,删除SM2算法相关内容,审核员角色由风险管理与合规部修改为运营中心毕鑫龙中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn3目录1概括性描述.
91.
1概述.
91.
2文档名称与相关标识.
101.
3电子认证活动参与者.
101.
3.
1电子认证服务机构111.
3.
2注册机构111.
3.
3订户111.
3.
4依赖方111.
3.
5其它参与者121.
3.
6受益者及责任121.
4证书应用.
121.
4.
1证书类型及适合的证书应用.
121.
4.
2受限的证书应用131.
4.
3禁止的证书应用131.
5策略管理.
131.
5.
1策略文档管理机构131.
5.
2联系方式141.
5.
3决定CPS符合策略的机构.
141.
5.
4CPS批准程序.
141.
6定义和缩写.
152信息发布与信息管理.
152.
1信息库.
152.
2认证信息的发布.
152.
3发布的时间或频率.
162.
4信息库访问控制.
163身份识别与鉴别163.
1命名.
163.
1.
1名称类型163.
1.
2对名称意义化的要求.
173.
1.
3订户的匿名或伪名173.
1.
4解释不同名称形式的规则.
173.
1.
5名称的唯一性173.
1.
6商标的识别、鉴别和角色.
173.
2初始身份确认.
183.
2.
1证明拥有私钥的方法.
183.
2.
2订户身份的鉴别183.
2.
3没有验证的订户信息.
203.
2.
4授权确认203.
2.
5互操作准则203.
3密钥更新请求的标识与鉴别.
20中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn43.
3.
1常规密钥更新的标识与鉴别.
213.
3.
2吊销后密钥更新的标识与鉴别.
213.
4证书变更.
223.
5吊销请求的标识与鉴别.
224证书生命周期操作要求224.
1证书申请.
224.
1.
1证书申请实体224.
1.
2注册过程与责任224.
2证书申请处理.
234.
2.
1执行识别与鉴别功能.
234.
2.
2证书申请批准和拒绝.
244.
2.
3处理证书申请的时间.
244.
3证书签发.
244.
3.
1证书签发中注册机构和电子认证服务机构的行为.
244.
3.
2电子认证服务机构和注册机构对订户的通告.
254.
4证书接受.
254.
4.
1构成接受证书的行为.
254.
4.
2电子认证服务机构对证书的发布.
254.
4.
3电子认证服务机构对其他实体的通告.
254.
5密钥对和证书的使用.
264.
5.
1订户私钥和证书的使用.
264.
5.
2依赖方对公钥和证书的使用.
274.
6证书密钥更新.
274.
6.
1证书密钥更新的情形.
274.
6.
2请求证书密钥更新的实体.
274.
6.
3证书密钥更新请求的处理.
284.
6.
4颁发更新证书时对订户的通告.
284.
6.
5构成接受密钥更新证书的行为.
284.
6.
6电子认证服务机构对密钥更新证书的发布.
284.
6.
7电子认证服务机构对其他实体的通告.
284.
7证书变更.
284.
8证书吊销和挂起.
284.
8.
1证书吊销的情形284.
8.
2请求证书吊销的实体.
304.
8.
3请求吊销的流程304.
8.
4吊销请求宽限期314.
8.
5CFCA处理吊销请求的时限314.
8.
6依赖方检查证书吊销的要求.
314.
8.
7CRL发布频率.
314.
8.
8CRL发布的最大滞后时间.
324.
8.
9在线证书状态查询的可用性.
324.
8.
10吊销信息的其他发布形式.
334.
8.
11对密钥遭受安全威胁的特别处理要求.
33中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn54.
8.
12证书挂起334.
9证书状态服务.
334.
9.
1操作特征334.
9.
2服务可用性344.
10订购结束344.
11密钥生成、备份与恢复.
345认证机构设施、管理和操作控制345.
1物理控制.
345.
1.
1场地位置与建筑355.
1.
2物理访问355.
1.
3电力与空调355.
1.
4水患防治365.
1.
5火灾防护365.
1.
6介质存储365.
1.
7废物处理365.
1.
8数据备份375.
2程序控制.
375.
2.
1可信角色375.
2.
2每项任务需要的人数.
375.
2.
3每个角色的识别与鉴别.
375.
2.
4需要职责分割的角色.
385.
3人员控制.
385.
3.
1资格、经历和无过失要求.
385.
3.
2背景审查程序385.
3.
3培训要求395.
3.
4再培训周期和要求405.
3.
5未授权行为的处罚405.
3.
6独立和约人的要求405.
3.
7提供给员工的文档405.
4审计日志程序.
405.
4.
1记录事件的类型405.
4.
2处理日志的周期415.
4.
3审计日志的保存期限.
415.
4.
4审计日志的保护415.
4.
5审计日志备份程序425.
4.
6审计收集系统425.
4.
7对导致事件主体的通告.
425.
4.
8脆弱性评估425.
5记录归档.
425.
5.
1归档记录的类型425.
5.
2归档记录的保存期限.
435.
5.
3归档文件的保护435.
5.
4归档文件的备份程序.
43中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn65.
5.
5记录的时间戳要求445.
5.
6归档收集系统445.
5.
7获得和检验归档信息的程序.
445.
6电子认证服务机构密钥更替.
445.
7损坏与灾难恢复.
455.
7.
1事故和损害处理流程.
455.
7.
2计算资源、软件和/或数据的损坏465.
7.
3实体私钥损害处理程序.
475.
7.
4灾难后的业务连续性能力.
475.
8电子认证服务机构或注册机构的终止.
476认证系统技术安全控制486.
1密钥对的生成和安装.
486.
1.
1密钥对的生成486.
1.
2私钥传送给订户496.
1.
3电子认证服务机构公钥传送给依赖方.
496.
1.
4密钥的长度496.
1.
5公钥参数的生成和质量检查.
506.
1.
6密钥使用目的506.
2私钥保护和密码模块工程控制.
516.
2.
1密码模块标准和控制.
516.
2.
2私钥多人控制516.
2.
3私钥托管516.
2.
4私钥备份526.
2.
5私钥归档526.
2.
6私钥导入、导出密码模块.
526.
2.
7私钥在密码模块的存储.
536.
2.
8激活私钥的方法536.
2.
9解除私钥激活状态的方法.
536.
2.
10销毁私钥的方法536.
2.
11密码模块的评估546.
3密钥对管理的其它方面.
546.
3.
1公钥归档546.
3.
2证书操作期和密钥对使用期限.
546.
4激活数据.
556.
4.
1激活数据的产生和安装.
556.
4.
2激活数据的保护556.
4.
3激活数据的其他方面.
556.
5数据安全控制.
566.
5.
1制定安全方案确保数据安全目标.
566.
5.
2安全方案定期风险评估.
566.
5.
3安全计划576.
6计算机安全控制.
576.
6.
1特别的计算机安全技术要求.
57中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn76.
6.
2计算机安全评估586.
7生命周期技术控制.
586.
7.
1根密钥控制586.
7.
2系统开发控制586.
7.
3安全管理控制586.
7.
4生命期的安全控制596.
8网络的安全控制.
596.
9时间信息.
597证书、证书吊销列表和在线证书状态协议607.
1证书.
607.
1.
1版本号607.
1.
2证书扩展项607.
1.
3算法对象标识符627.
1.
4主题名称627.
1.
5名称限制637.
1.
6证书策略及对象标识符.
647.
1.
7策略限制扩展项的用法.
647.
1.
8策略限定符的语法和语义.
647.
1.
9关键证书策略扩展项的处理规则.
647.
2CRL.
647.
2.
1版本号647.
2.
2CRL和CRL条目扩展项.
647.
3在线证书状态协议.
658认证机构审计和其它评估658.
1评估的频率或情形.
658.
2评估者的资质.
668.
3评估者与被评估者的关系.
668.
4评估内容.
668.
5对问题与不足采取的措施.
678.
6评估结果的传达与发布.
678.
7其他评估.
679法律责任和其他业务条款689.
1费用.
689.
1.
1证书签发和更新费用.
689.
1.
2证书查询费用689.
1.
3证书吊销或状态信息的查询费用.
689.
1.
4其它服务费用689.
1.
5退款策略689.
2财务责任.
699.
2.
1保险范围699.
2.
2其它资产699.
2.
3对最终实体的保险或担保范围.
69中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn89.
3业务信息保密.
699.
3.
1保密信息范围699.
3.
2不属于保密的信息709.
3.
3保护机密信息的责任.
709.
4个人信息私密性.
709.
4.
1隐私保密方案709.
4.
2作为隐私处理的信息.
719.
4.
3不被视作隐私的信息.
719.
4.
4保护隐私的责任719.
4.
5使用隐私信息的告知与同意.
719.
4.
6依法律或行政程序的信息披露.
729.
4.
7其它信息披露情形729.
5知识产权.
729.
6陈述与担保.
729.
6.
1电子认证服务机构的陈述与担保.
729.
6.
2注册机构的陈述与担保.
739.
6.
3订户的陈述与担保749.
6.
4依赖方的陈述与担保.
759.
6.
5其它参与者的陈述与担保.
769.
7担保免责.
769.
8有限责任.
779.
9CFCA承担赔偿责任的限制.
779.
10有效期限与终止.
789.
10.
1有效期限789.
10.
2终止789.
10.
3效力的终止与保留789.
11对参与者的个别通告与沟通.
789.
12修订799.
12.
1修订程序799.
12.
2通知机制和期限799.
12.
3必须修改业务规则的情形.
799.
13争议处理799.
14管辖法律809.
15与适用法律的符合性.
819.
16一般条款819.
16.
1本CPS的完整性819.
16.
2转让819.
16.
3分割性819.
16.
4强制执行819.
16.
5不可抗力829.
17其它条款82中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn91概括性描述1.
1概述中国金融认证中心,即中金金融认证中心有限公司(ChinaFinancialCertificationAuthority,英文简称CFCA),于2000年6月29日正式挂牌成立,是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一,也是《中华人民共和国电子签名法》颁布后,国内首批获得电子认证服务许可资质的电子认证服务机构之一.
电子认证业务规则(CPS,CertificationPracticeStatement)是关于认证机构(CA,CertificationAuthority)在全部数字证书(以下简称证书)服务生命周期(如签发、吊销、更新)中的业务实践所遵循规范的详细描述和声明,是对相关业务、技术和法律责任方面细节的描述.
本CPS是CFCAIdentityCA体系下的业务规则.
CFCA的IdentityCA体系下包括一个根CA和一个子CA系统,体系结构见附录D.
CFCA的所有CA,包含子CA均由CFCA所有,由CFCA完全直接控制.
本文档的编写遵从IETFRFC3647(InternetX.
509PublicKeyInfrastructureCertificatePolicyandCertificationPracticesFramework,公钥基础设施证书策略和证书运行框架)、十届全国人大常委会表决通过的并于2005年4月1日正式实施的《中华人民共和国电子签名法》、国家密码管理局颁布的《证书认证系统密码及相关安全技术规范》、《电子认证服务中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn10密码管理办法》、中华人民共和国工业和信息化部颁布的《电子认证服务管理办法》、《电子认证业务规则规范(试行)》,以及最新的《WebTrust电子认证资格原则及规范》及CA的一般运作规范.
CFCA遵循WebTrust相关要求,并通过外部审计师审计;CFCA获取了主管单位中华人民共和国工业和信息化部颁发的电子认证服务许可等资质,并处于资质有效期内.
1.
2文档名称与相关标识此文档的名称为《CFCAIdentityCA体系电子认证业务规则(CFCAIdentityCASystemCPS)》.
CFCA向国家OID注册管理中心注册了相应的对象标识符(OID),本文档中涉及的OID包括:序号对象标识符种类对象标识符描述1文档标识2.
16.
156.
112554.
5CFCAIdentityCA体系电子认证业务规则1.
3电子认证活动参与者本文中所包含的电子认证活动参与者有:电子认证服务机构、注册机构、订户、依赖方以及其它参与者,下面将分别进行描述.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn111.
3.
1电子认证服务机构电子认证服务机构CA(CertificationAuthority)承担证书签发、更新、吊销、密钥管理、证书查询、证书黑名单(又称证书吊销列表或CRL)发布、政策制定等工作.
1.
3.
2注册机构注册机构RA(RegistrationAuthority)负责订户证书的申请受理、审批和管理,直接面向证书订户,并负责在订户和CA之间传递证书管理信息.
CFCAIdentityCA体系下的文档签名CA的注册机构设在CFCA内部,由CFCA本身承担RA职责,不委托其它机构行使此职责.
1.
3.
3订户订户是指向CFCA申请证书的实体.
需要明确的是,证书订户与证书主体是两个不同的概念.
"证书订户"是指向CFCA申请证书的实体,通常为个人或机构;"证书主体"是指与证书信息绑定的实体,服务器证书中的"证书主体"通常是指受信任的服务器或用于确保与某一机构安全通信的其它设施.
证书订户需要承担相应的责任与义务,而证书主体则是证书所要证明的可信赖方.
1.
3.
4依赖方依赖方是指信赖于证书所证明的基础信任关系并依此进行业务活动的实体.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn121.
3.
5其它参与者除电子认证服务机构(CFCA)、订户和依赖方以外的参与者称为其它参与者.
1.
3.
6受益者及责任CFCAIdentityCA签发的证书相关联的参与者均为受益者.
1.
受益方CFCAIdentityCA下的证书可以为下述机构提供信赖保证:(1)所有提交订户协议的订户(2)获取证书的申请者(3)证书在生效期间的信赖方2.
CFCAIdentityCA体系下的证书可提供的保证(1)证书拥有者的合法存在性(2)证书拥有者的身份经过有效识别(3)证书中所有区域均经过验证.
(4)证书中关于证书拥有者信息的准确性(5)证书状态7*24小时可查询(6)CA根据CPS规则,废止不符合生效条件的证书1.
4证书应用1.
4.
1证书类型及适合的证书应用CFCAIdentityCA仅用于签发下级CA证书,不签发最终订户证书.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn131.
4.
1.
1CFCA文档签名证书该类证书适合对各类文档(包括但不限于AdobePDF文档、AdobePhotoshopPSD图形文件)等内容进行签名,用于验证文档签名者或发布者的身份信息,防止对文档内容进行无效修改.
CFCA文档签名证书由CFCAIdentityOCA签发,密钥长度为RSA-2048.
1.
4.
2受限的证书应用CFCAIdentityCA下的文档签名证书根据其类型在功能上有所限制,只能用于对文档内容的签名者或发布者进行身份识别及对签发文件的防篡改.
该证书的密钥用法在订户证书中的扩展项中进行了限制.
然而基于证书扩展项限制的有效性取决于应用软件,如果参与方不遵守相关约定,其对证书的应用超出本CPS限定的应用范围,将不受CFCA的保护.
1.
4.
3禁止的证书应用CFCAIdentityCA体系下签发的证书不能在如下领域使用:任何与国家或地方法律、法规规定相违背的应用系统.
1.
5策略管理1.
5.
1策略文档管理机构本CPS的策略文档管理机构为CFCA战略发展部.
当需要编写或修订本CPS时,由战略发展部牵头组织相关人员成"CPS编写组",总经理也可以根据需要临时设立"CPS编写组",并指定编写组负责人.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn141.
5.
2联系方式如对本CPS有任何疑问,请与CFCA战略发展部联系:电话:010-80864996传真:010-63555032邮件:cps@cfca.
com.
cn地址:中国北京西城区菜市口南大街平原里20-31.
5.
3决定CPS符合策略的机构"CPS编写组"拟定初稿或修订稿后,交由公司"安全管理委员会"审议,"安委会"将负责评估CPS是否符合相关要求,如果符合,将报总经理审批.
总经理审批同意后,本CPS方可对外发布,并自发布之日起20天内向行业主管部门报备.
1.
5.
4CPS批准程序"CPS编写组"负责起草CPS形成讨论稿,并征求公司领导和各部门负责人意见,经讨论、修改达成一致意见后形成送审稿.
"CPS编写组"负责将CPS送审稿提交公司"安委会"审阅.
在取得"安委会"评审意见后,"CPS编写组"据此进行修改并提交战略发展部,由战略发展部确定CPS文本格式和版本号,形成定稿.
CPS定稿经公司各部门负责人及分管领导审阅后,报总经理审批.
总经理审批同意后,方可对外发布CPS.
发布形式应符合行业主管部门等相关主管部门要求,包括但不限于公司网站(https://www.
cfca.
com.
cn)公布和向客户或合作对象书面提交.
发布工作由战略发展部协调相关部门完成.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn15CPS的网上发布遵照《CFCA网站管理办法》执行.
自CPS发布之日起,所有以各种形式对外提供的CPS必须与网站公布的CPS保持一致.
战略发展部负责自发布之日起20天内向行业主管部门报备.
战略发展部定期对CPS的内容进行审查(通常为一年一次),以确定是否需要进行修订.
各部门也可根据业务发展变化需要及时向战略发展部提出修订申请.
本CPS也可以根据所遵循标准的要求,提出修订申请.
当修订内容具有重大变更时,CFCA将按照与初次编写相同的流程进行;当修订内容变动较小时,由战略发展部修订完成后报各部门负责人及公司领导审阅,并经总经理审批同意后立即在公司网站上发布.
每次修订完成后均需由战略发展部自发布之日起20日内向行业主管部门报备.
1.
6定义和缩写见附录《定义和缩写》2信息发布与信息管理2.
1信息库CFCA信息库面向订户及证书应用依赖方提供信息服务.
CFCA信息库包括但不限于以下内容:证书、CRL、CPS、CP、证书服务协议、技术支持手册、CFCA网站信息以及CFCA不定期发布的信息.
2.
2认证信息的发布CFCA的CPS、CP以及相关的技术支持信息等在CFCA网站上发布.
用户证中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn16书可通过CFCA证书下载平台获取,CFCAIdentityOCA的证书不公开发布,仅在数据库中发布;已被吊销了的证书的信息可从CRL站点查获,证书的状态(有效、吊销、挂起)可通过OCSP服务获得.
2.
3发布的时间或频率CPS、CP以及相关业务规则在完成1.
5.
4所述的批准流程后的15个工作日内发布到CFCA网站上,并可确保7*24小时可访问;CFCAIdentityOCA签发的CRL信息将在24小时内更新;订户有特殊要求的,将根据订户的需求,适当更新CRL发布的频率.
CFCA签发的CRL信息,根据需要,也可以人工方式实时发布.
2.
4信息库访问控制CFCA的安全访问控制机制确保只有经过授权的人员才能编写和修改信息库中的信息,但不限制对这些信息的阅读权.
3身份识别与鉴别3.
1命名3.
1.
1名称类型CFCAIdentityCA体系下签发的证书主体名字可能是个人名称、组织机构名称、部门名称、组织机构信息与个人信息组合体等,命名符合X.
500定义的甄别名规范.
DN的详细说明见本CPS的7.
1.
4.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn173.
1.
2对名称意义化的要求DN(DistinguishedName):唯一甄别名,在数字证书的主体名称域中,用于唯一标识证书主体的X.
500名称.
此域需要填写反映证书主体真实身份的、具有实际意义的、与法律不冲突的内容.
对于文档签名证书主体甄别名称中的通用名通常可包含个人的真实名称或者组织机构名称,作为标识订户的关键信息被认证.
CFCA将对个人或企业提供的有效证件进行鉴别.
3.
1.
3订户的匿名或伪名使用匿名的订户提交的证书申请材料不符合CFCA的审核要求,将无法通过审核,也无法获得证书和服务.
使用伪名或伪造材料申请的证书无效,一经证实立即予以吊销.
3.
1.
4解释不同名称形式的规则DN的命名规则由CFCA定义,详见本CPS7.
1.
4的说明.
3.
1.
5名称的唯一性CFCA保证其签发的证书,其主题甄别名,在CFCA的信任域内是唯一的.
3.
1.
6商标的识别、鉴别和角色CFCA签发的文档签名证书所包含任何商标或者可能的其他机构信息,均是经过该机构正式授权使用,CFCA承诺不使用任何未授权或者可能构成侵权的信中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn18息.
3.
2初始身份确认3.
2.
1证明拥有私钥的方法证明订户拥有私钥的方法是通过pkcs#10所包含的的数字签名来完成的.
CFCA在为订户签发证书前,系统将自动使用订户的公钥验证其私钥签名的有效性和申请数据的完整性,以此来判断订户拥有私钥.
由于文档签名证书的重要性,高级版本文档签名证书必须使用安全硬件存储(满足FIPS140-2标准)并且其文档签名证书的私钥应在硬件中产生,CFCA可提供智能密码钥匙供订户选择.
3.
2.
2订户身份的鉴别订户在申请CFCAIdentityCA体系签发的证书前应指定并书面授权证书的申请代表(个人订户需为本人申请,不允许他人代理),提供有效身份证明文件、证书申请文件,并接受证书申请的有关条款,同意承担相应的责任.
CFCA接受订户的证书申请后,应对订户的身份真实性进行审核,并妥善保存订户申请材料.
CFCA对订户身份的鉴别过程如下:CFCA客户经理收集订户的申请材料,运营中心审核员对订户材料及身份进行审核,RA系统操作员录入订户申请信息、RA系统审核员审核操作员录入信息并协助订户下载证书.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn193.
2.
2.
1个人订户身份的鉴别个人订户申请CFCAIdentityCA体系证书时,应向CFCA提供真实有效的个人身份证明文件.
对于机构中的个人申请者,其申请材料中需要加盖公章或者授权等证明材料.
CFCA将对该组织机构进行鉴别.
个人应提交如下材料:1、证书申请表2、身份证复印件3、机构授权证明材料(仅机构中的个人证书申请)审核员检查订户提交材料的完整性、真实性.
并通过可信数据源验证订户身份信息、地址信息、国家信息等进行鉴别.
3.
2.
2.
2企业订户(机构订户)身份的鉴别机构订户在申请CFCAIdentityCA体系证书前应授权本机构工作人员向CFCA提出证书申请,并向CFCA提供真实有效的机构身份证明文件.
企业(机构)应提供以下证明材料:1、证书申请表(加盖公章)2、至少一种机构证明文件3、申请人的个人身份证件3.
2.
2.
3允许的证件类型个人证件类型机构证件类型居民身份证含有统一社会信用代码的营业执照、事业单位登记证书、社会团体登记证书等中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn20护照政府批文3.
2.
3没有验证的订户信息CFCA签发的证书信息没有未经过验证的信息.
3.
2.
4授权确认当申请者代表组织机构订户申请证书时,需要出示足够的证明信息以证明申请者是否已获得组织机构的授权.
CFCA有责任确认该授权信息,并将授权信息妥善保存.
3.
2.
5互操作准则对于申请CFCAIdentityCA体系下的IdentityOCA签发的文档签名证书的订户,CFCA承担对订户身份的鉴别职能,暂不委托其他机构行使此职责.
3.
3密钥更新请求的标识与鉴别证书密钥更新有两种情况:补发和换发.
1、证书补发补发是指在证书有效期内,订户更新证书的操作.
以下情况订户需要申请证书补发:(1)订户证书丢失或损坏,例如存放证书的介质损坏;(2)订户认为原有证书和密钥不安全(例如订户怀疑证书被盗用或密钥受到了攻击);中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn21(3)其他经CFCA认可的原因.
当订户需要补发证书时,应主动向CFCA提出证书补发申请.
在证书初次发放后的三个月内需进行补发的,订户无需提交身份验证材料.
CFCA仅通过订户初次申请时的信息进行身份验证即可.
超过三个月后,则需对订户身份进行重新验证.
验证流程及要求与初次申请相同.
文档签名证书补发操作成功时,旧证书立即被吊销.
新证书有效期从补发成功之日起到原证书失效日止.
2、证书换发换发是指在证书将要过期的三个月内或证书过期后,订户申请更新证书的操作.
以下情况订户需要申请证书换发:订户证书即将到期或已经过期.
在订户证书到期前的三个月内,CFCA将通过适当的方式通知用户对证书进行换发操作.
订户证书换发时,需要对订户身份进行重新验证.
文档签名证书换发操作成功时,旧证书立即被吊销.
新证书有效期将从证书换发之日起至原证书到期为止再另加一个证书有效周期(已经过期的证书换证,其有效期仅为证书有效周期).
3.
3.
1常规密钥更新的标识与鉴别同3.
3.
3.
3.
2吊销后密钥更新的标识与鉴别证书吊销后的密钥更新等同于订户重新申请证书,其要求与3.
2.
2相同.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn223.
4证书变更证书变更是指订户在不改变现有公钥的情况下重新申请一张证书.
CFCA不提供证书变更服务,即订户对证书进行更新时其密钥对必须重新生成.
3.
5吊销请求的标识与鉴别证书吊销请求的标识与鉴别流程见本CPS的4.
8.
3.
4证书生命周期操作要求4.
1证书申请4.
1.
1证书申请实体任何实体需要使用CFCAIdentityCA体系下签发的证书时,均可向CFCA提出证书申请.
4.
1.
2注册过程与责任1、最终订户最终订户即申请证书的实体,最终订户须明确表示其愿意接受本CPS及相关的CP中所规定的相关责任与义务(本CPS及相关CP公布在CFCA网站上),并需要按照3.
2.
2的要求提供真实、准确的申请信息;根据《中华人民共和国电子签名法》的规定,申请者未向CFCA提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、CFCA或者CFCA的注册机构造成损失的,订户应承担相应的法律及赔偿责任.
订户有责任保护其拥有的证书私钥安全.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn232、认证及注册机构本CPS下,CFCA既是一个CA,同时也承担了注册机构的职能,订户可以直接向CFCA申请证书,由CFCA审核订户信息并处理订户的请求.
CFCA作为电子认证机构,应妥善保管证书订户申请信息.
CFCA的注册机构应在适当时间将证书订户的信息归档在CFCA,同时应履行本CPS中所规定的相关责任与义务.
4.
2证书申请处理4.
2.
1执行识别与鉴别功能1.
CFCA处理证书申请至少需要设置3个可信角色:信息收集、信息验证、签发证书.
其中信息收集、信息验证可以由同一人完成;但签发证书人员需要与信息收集、信息验证职责分离.
2.
对于证书申请处理,签发证书人员需对申请机构信息做最终审核:1)对所有用以验证申请机构证书申请的信息和文件进行复核,查找冲突的信息或需要进一步验证的信息;2)如复核人提出的问题确实需要得到进一步验证,CFCA必须从申请机构、协议签署人、申请审批人或其他合格的独立信息来源取得进一步验证的资料或证据;3)CFCA必须保证已收集的与证书申请相关的信息和资料,足以确保签发的证书不包含CFCA已知或应发现的错误信息,否则CFCA将会拒绝证书的申请并通知申请机构或个人;4)如果部分或所有的身份验证资料内容使用语言不是CFCA的官方语言,中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn24那么CFCA将会使用经过适当的培训、具备足够的经验和判断能力的人员完成最终的交叉审核和尽职调查.
CA通过以下方法执行交叉审核与尽职调查:4.
1)依赖翻译的材料内容;4.
2)依赖拥有此语言能力的RA完成此步骤,CFCA复核RA的检查结果,并且符合证书标准中的CFCA自我审核要求.
3.
如果CFCA委托其他机构担任RA角色,对于RA验证后的申请,CFCA负责最终验证.
4.
2.
2证书申请批准和拒绝CFCA按照3.
2.
2的要求对订户提交的申请材料及其身份信息进行鉴别,经鉴别符合要求后,将批准申请.
若鉴别未通过,CFCA将拒绝其申请,及时通知申请者并告知拒绝原因.
4.
2.
3处理证书申请的时间CFCA将在合理的时间内完成证书申请处理.
在申请者提交的资料齐全且审核通过的情况下,1-3个工作日处理完成.
4.
3证书签发4.
3.
1证书签发中注册机构和电子认证服务机构的行为在订户申请通过鉴别后,RA系统操作员录入订户申请信息,并提交RA系统审核员审核;RA系统审核员审核通过后,向CA系统提交申请;CA系统向RA系统返回证书下载凭证码或证书,由CFCA下载证书后将证书发放给订户.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn254.
3.
2电子认证服务机构和注册机构对订户的通告无论是拒绝还是批准订户的证书申请,CFCA有义务告知订户申请结果.
CFCA会以电话、电子邮件或其他方式对订户进行通告.
4.
4证书接受4.
4.
1构成接受证书的行为订户填写证书申请表,同意本CPS中的约定,提供真实、准确的身份信息经CFCA审核通过后,收到CFCA签发的证书后,订户应对收到的证书与其申请信息进行核对,确认无误后方可使用.
自用户收到证书后1个工作日内无意见的即视为订户已经接受此证书.
4.
4.
2电子认证服务机构对证书的发布对于最终订户证书,CFCA将根据用户的意愿采取适当形式的发布;订户没有要求发布的,CFCA将不发布最终订户证书.
4.
4.
3电子认证服务机构对其他实体的通告对于CFCA签发的证书,CFCA不对其他实体进行通告,依赖方可以在信息库上自行查询.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn264.
5密钥对和证书的使用4.
5.
1订户私钥和证书的使用订户的私钥和证书应用于规定的、批准的用途(在本CPS1.
4.
1节定义),订户在使用证书时必须遵守本CPS的要求,妥善保存其私钥,避免他人未经本人授权而使用本人证书情形的发生,否则其应用是不受保障的.
1、证书持有者的私钥和证书使用证书持有者只能在指定的应用范围内使用私钥和证书,证书持有者只有在接受了相关证书后才能使用对应的私钥,并且在证书到期或被吊销后,须停止使用该证书及对应的私钥.
2、依赖方的公钥和证书使用当依赖方接受到签名的信息后,应该:获得对应的证书及信任链;验证证书的有效性;确认该签名对应的证书是依赖方信任的证书;证书的用途适用于对应的签名;使用证书上的公钥验证签名.
以上任何一个环节失败,依赖方应该拒绝接受签名信息.
当依赖方需要发送加密信息给接受方时,须先通过适当的途径获得接受方的加密证书,然后使用证书上的公钥对信息加密.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn274.
5.
2依赖方对公钥和证书的使用依赖方信赖CFCAIdentityCA体系签发的证书所证明的信任关系时需要:1、获取并安装该证书对应的证书链;2、在信赖证书所证明的信任关系前确认该证书为有效证书,包括:检查CFCA公布的最新CRL,确认该证书未被吊销;检查该证书路径中所有出现过的证书的可靠性;检查该证书的有效期;以及检查其他能够影响证书有效性的信息;3、在信赖证书所证明的信任关系前确认该证书记载的内容与所要证明的内容一致.
4.
6证书密钥更新证书密钥更新是指订户生成新密钥并申请为新公钥签发新证书.
4.
6.
1证书密钥更新的情形1、当订户证书即将到期或已经到期时;2、当订户证书密钥遭到损坏时;3、当订户证实或怀疑其证书密钥不安全时;4、其它可能导致密钥更新的情形.
4.
6.
2请求证书密钥更新的实体已经申请过CFCA证书的订户可申请证书密钥更新.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn284.
6.
3证书密钥更新请求的处理同3.
3.
4.
6.
4颁发更新证书时对订户的通告同4.
3.
2.
4.
6.
5构成接受密钥更新证书的行为同4.
4.
1.
4.
6.
6电子认证服务机构对密钥更新证书的发布同4.
4.
2.
4.
6.
7电子认证服务机构对其他实体的通告同4.
4.
3.
4.
7证书变更CFCA不提供证书变更服务.
4.
8证书吊销和挂起4.
8.
1证书吊销的情形如有下列情况中的任何一种情况发生,则订户的证书将被吊销:1)订户书面申请吊销数字证书;中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn292)订户通知CA最初的证书申请未经有效授权;3)订户相信或怀疑密钥泄漏或遭受攻击;或者CA有证据表明订户证书私钥泄露的情形;4)当CA有证据表明订户将证书使用于法律、行政法规定义为非法事项上,或者CA发现订户证书未恰当使用;5)当CA有证据表明订户未履行本CPS或订户协议中约定的义务;或者订户证书不符合本CPS的相关要求;6)CFCA取得了合理证据表明或意识到订户证书中的重要信息内容已经变更;7)CA正式签发时未能满足证书策略或证书标准中的要求和条件,或者证书中的任何信息不准确;8)CA认定证书中所显示的信息为不准确或具有误导性;或者订户申请证书时,提供的资料不真实;9)CFCA因某些原因停止业务,并且没有安排其他的CA提供证书吊销服务;10)当CFCA从事电子认证业务的资格被吊销后,CFCA除继续维持CRL/OCSP信息库的情况外,将吊销或终结所有已签发的证书;11)CFCA用于签发证书的CA证书私钥可能被泄露时,将根据应急预案吊销所有已签发的证书;12)CFCA取得了合理证据表明或意识到订户已经被列在相关的黑名单中,或其经营地区被CFCA所在国家的监管机构禁止;13)证书的重要参数被国际国内主流标准认为有重大风险时;14)法律、行政法规规定的其他情形.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn304.
8.
2请求证书吊销的实体已申请CFCA证书的订户可请求证书吊销.
同时,CFCA也可在4.
8.
1所述的情形下主动吊销订户的证书.
4.
8.
3请求吊销的流程吊销分为主动吊销和被动吊销.
主动吊销是指由订户提出吊销申请,由CFCA审核通过后吊销证书的情形;被动吊销是指当CFCA确认订户违反证书应用规定、约定或订户主体已经消亡等情况发生时,采取吊销证书的手段以停止对该证书的证明.
4.
8.
3.
1主动吊销订户申请吊销证书前应指定并书面授权证书吊销申请代表,提供有效身份证明文件及证书吊销申请文件,并接受证书吊销申请的有关条款,同意承担相应的责任.
CFCA7*24接受订户证书吊销申请,并处理订户证书吊销请求.
订户可通过CFCA7*24热线、CFCA在线服务等方式提出申请.
CFCA收到订户的吊销申请材料后,将查询订户需吊销的证书是否为CFCA所发放,证书是否在有效期内,吊销理由是否属实,若均通过则对证书进行吊销.
4.
8.
3.
2被动吊销当出现被动吊销的情形时,CFCA将以适当形式通知订户,告知拟吊销的证书内容、吊销原因、吊销操作时限等事项,在确认订户收到吊销通知且无异议后予以吊销.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn314.
8.
4吊销请求宽限期在主动吊销的情形下,订户一旦发现需要吊销证书,应及时向CFCA提出吊销请求.
在被动吊销的情形下,订户在收到吊销通知后的3个工作日内可向CFCA提出申辩理由,CFCA将会对申辩理由进行评估,若确认其理由正当则不予以吊销;若订户在3个工作日内未回复或回复无异议则CFCA将予以吊销.
4.
8.
5CFCA处理吊销请求的时限在主动吊销的情形下,CFCA收到吊销请求并审核完成后,24小时内吊销证书.
在被动吊销的情形下,订户在收到吊销通知后的3个工作日内可向CFCA提出申辩理由,CFCA将会对申辩理由进行评估,若确认其理由正当则不予以吊销;若订户在3个工作日内未回复或回复无异议,则CFCA将于24小时内予以吊销.
4.
8.
6依赖方检查证书吊销的要求依赖方在信任此证书前应检查证书的有效性,确认证书未被吊销.
4.
8.
7CRL发布频率CFCA将在24小时内更新CFCAIdentityCA的CRL列表,订户有特殊要求的,将根据订户的需求,适当更新CRL发布的频率.
CFCA签发的CRL信息,根据需要,也可以人工方式实时发布.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn324.
8.
8CRL发布的最大滞后时间CRL发布的最大延迟时间不超过24小时.
4.
8.
9在线证书状态查询的可用性CFCA提供OCSP查询服务,服务7*24小时可用.
信赖方是否进行在线状态查询完全取决于信赖方的安全要求.
对于安全保障要求高并且完全依赖证书进行身份鉴别与授权的应用,信赖方在信赖一个证书前可通过证书状态在线查询系统检查该证书的状态.
CFCA的OCSP响应符合RFC6960标准.
客户访问CFCA的OCSP服务,CFCA会对查询请求进行检查,检查的内容包括:u验证是否强制请求签名u用CA证书验证签名是否通过u验证证书是否生效或者已经过期u验证证书颁发者是否在信任证书列表内OCSP响应包含如下表所述基本域和内容域值或者值得限制状态响应状态,包括成功、请求格式错误、内部错误、稍候重试、请求没有签名和请求签名证书无授权,当状态为成功时必须包括以下各项.
版本V1签名算法签发OCSP的算法.
SHA1RSA、SHA256RSA、SM3SM2算法签名.
颁发者签发OCSP的实体.
签发者公钥的数据摘要值和证书甄别名.
产生时间OCSP响应的产生时间.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn33证书状态列表包括请求中所查询的证书状态列表.
每个证书状态包括证书标识、证书状态以及证书废止信息.
证书标识包括数据摘要算法、证书甄别名数据摘要值、证书公钥数据摘要值和证书序列号.
证书状态证书的最新状态,包括有效、吊销和未知.
证书废止信息当返回证书状态为废止时包含废止时间和废止原因.
OCSP的扩展信息与RFC6960一致.
CFCA的OCSP信息的更新频率不超过24小时,OCSP服务响应最大时间不超过10秒,OCSP服务响应信息最大有效期不超过7天.
4.
8.
10吊销信息的其他发布形式证书吊销信息可以通过CRL或者OCSP服务获得.
订户可通过证书扩展域中的CRL地址获得CRL信息.
4.
8.
11对密钥遭受安全威胁的特别处理要求当订户发现、或有充足的理由发现其密钥遭受安全威胁时,应及时提出证书吊销请求.
4.
8.
12证书挂起对于CFCAIdentityCA体系下颁发的证书,CFCA目前暂不提供此业务.
4.
9证书状态服务4.
9.
1操作特征证书状态可以通过CFCA提供的OCSP服务获得.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn344.
9.
2服务可用性CFCA提供7*24小时不间断证书状态查询服务.
4.
10订购结束以下两种情形将被视为订购结束:1、证书到期后即视为订购结束.
2、证书吊销视为订购结束.
4.
11密钥生成、备份与恢复为保证订户密钥的安全性,订户应在安全的环境下独立生成密钥对,并将生产的密钥通过加密等手段存储在安全的介质中,订户应及时备份密钥,并确保备份密钥的安全性,以防密钥丢失.
在密钥丢失或可能泄漏后,需及时申请密钥更新.
在订户委托其他可信服务商代替订户生成密钥对的情况下,应要求服务商承担相应的保密责任.
5认证机构设施、管理和操作控制5.
1物理控制系统的物理安全和环境安全是整个CFCA系统安全的基础,它包括基础设施的管理、周边环境的监控、区域访问控制、设备安全及灾难预防等各方面.
为保证CFCA系统物理环境的安全可靠,CFCA系统被放置于安全稳固的建筑物内中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn35并具备独立的软硬件操作环境,充分考虑了水患、火灾、地震、电磁干扰与辐射、犯罪活动以及工业事故等的威胁.
5.
1.
1场地位置与建筑CFCACA系统的运营机房位于北京市海淀区中关村软件园区22号楼(中国银联北京信息中心楼内)内,进入机房须经过三道审核,机房电磁屏蔽效能满足GJBz20219-94标准"C"级要求.
机房具备抗震、防火、防水、恒湿温控、独立供电、备用发电、门禁控制、视频监控等功能,可保证认证服务的连续性和可靠性.
5.
1.
2物理访问外来人员进入楼内,需经过中国银联北京信息中心、CFCA两道的审核,进入CFCA办公区域要经过两道门禁系统,需要有CFCA工作人员陪同进入.
操作人员进入CFCA综合机房,须经过指纹认证加门禁授权卡身份认证,并有24小时视频监控设备进行监控.
操作人员进入安全区机房,须经过三道门禁系统,其中两道是双人指纹加门禁卡认证,一道是双人门禁卡认证,并且所有门禁的进出信息都会在监控室的安保系统中记录.
5.
1.
3电力与空调CFCA机房采用UPS供电,由两组每组三台UPS线路供电,任何一台UPS出现故障,均能保证系统供电持续运行30分钟以上.
为了保证系统的可靠运行,中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn36还备有柴油发电机,当外部供电中断时,能够继续对UPS实施供电.
CFCA机房采用多台中央空调和新风设备,保证机房内温度和湿度达到国家标准(GBJ19-87《采暖通风与空气调节设计规范》、GB50174-93《电子计算机机房设计规范》).
5.
1.
4水患防治CFCA有专门的技术措施防止、检测漏水的出现,并能够在出现漏水时最大程度地减小漏水对认证系统的影响.
5.
1.
5火灾防护CFCA机房采用防火材料建设,安装有中央防火监控和自动气体消防系统,并通过了国家权威部门的消防功能验收,能有效地避免火灾威胁.
5.
1.
6介质存储对于存放重要数据的存储介质,CFCA制订了专门的管理控制制度,以防止重要信息的泄露与人为故意产生的危害和破坏.
5.
1.
7废物处理敏感的文件资料(包括纸介质、光盘或软盘废物等)抛弃前要进行粉碎处理;对于存储或传输信息的介质,在抛弃前要做不可读取处理;涉密介质在抛弃前要根据生产商的指导做归零处理.
加密机等重要设备废弃根据加密机管理办法销毁.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn375.
1.
8数据备份目前CFCA已对核心数据建立同城数据备份机制.
5.
2程序控制5.
2.
1可信角色CFCA的可信角色包括:客户服务人员安全管理人员密钥与密码设备管理人员加密设备操作人员系统管理人员人力资源管理人员5.
2.
2每项任务需要的人数CFCA制定了规范的策略,严格控制任务和职责的分割,对于最敏感的操作,例如访问和管理CA的加密设备及其密钥,需要3个可信角色.
其它操作,例如发放证书,需要至少2个可信角色.
CFCA对于人员有明确的分工,贯彻互相牵制、互相监督的安全机制.
5.
2.
3每个角色的识别与鉴别CFCA在雇佣一个可信角色之前将会按照本CPS第5.
3.
2节的规定对其进行背景审查.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn38对于物理访问控制,CFCA通过门禁磁卡、指纹识别鉴别不同人员,并确定相应的权限.
CFCA使用数字认证和订户名/口令方式对可信角色进行识别与鉴别,系统将独立完整地记录所有操作行为.
5.
2.
4需要职责分割的角色要求职责分割的角色包括(但不限于)以下几种:安全管理员、系统管理员、网络管理员、操作员订户信息收集人员、订户身份及信息审核人员、RA录入人员、RA审核制证人员.
5.
3人员控制CFCA及其注册机构应按照以下要求进行人员管理及控制.
5.
3.
1资格、经历和无过失要求成为CFCA可信角色的人员必须提供相关的背景、资历证明,并具有足以胜任其工作的相关经验,且没有相关的不良记录.
5.
3.
2背景审查程序CFCA在开始一个可信任角色的雇佣关系前会依据以下流程对其进行审查:(1)应聘者应提交的个人资料履历、最高学历毕业证书、学位证书、资格证及身份证等相关的有效证明.
(2)应聘者个人身份的确认中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn39CFCA人力资源部门通过电话、信函、网络、走访、调阅档案等形式对其提供材料的真实性进行鉴定.
(3)三个月的试用期考核通过现场考试、日常观察、情景考验等方式对其考察.
以上三方面的审查结果必须符合第5.
3.
1节中规定的要求.
(4)签署保密协议与到岗人员签署保密协议.
(5)上岗工作5.
3.
3培训要求CFCA对录用人员按照其岗位和角色安排培训.
培训内容有:PKI的相关知识、岗位职责、内部规章制度、认证系统软件、相关应用软件、操作系统与网络、ISO9000质量控制体系、ISO27001信息安全管理体系、CPS等.
CFCA处理证书业务相关的员工必须接受下列培训:1)向所有负责信息身份验证的职员("验证专家")提供技能培训.
培训内容包括基础PKI知识、审核与验证制度和流程、对验证过程的主要威胁因素(如,网络钓鱼及其他社会工程学策略)以及相关证书标准;2)保留人员培训记录,并且确保"验证专家"能够胜任身份信息验证工作的技术要求;3)验证专家必须按其不同的技术水平等级被授予不同的签发证书权限,技术水平分级标准应与培训内容以及业绩考核标准一致;4)确保为验证专家分配签发证书权限前,不同技术水平等级的验证专家都具中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn40有足够的胜任能力;5)要求所有的验证专家通过关于证书标准中身份验证要求的CA内部考试.
5.
3.
4再培训周期和要求CFCA每年至少向员工提供一次业务培训机会以不断提高其职业技能,以保持其完成工作所需要的职业水平.
同时,当CA系统更新升级时也会对其员工进行相应的培训.
5.
3.
5未授权行为的处罚员工一旦被发现执行了未经授权的操作时,将被立即中止工作并受到纪律惩罚,其处理办法根据CFCA相关的管理规范执行.
5.
3.
6独立和约人的要求CFCA在雇用独立和约人时,会要求提供身份证、学历证书、资格证书等有效证明,并需与CFCA签署保密协议.
5.
3.
7提供给员工的文档CFCA向其员工提供完成其工作所必须的文档.
5.
4审计日志程序5.
4.
1记录事件的类型CFCA记录的日志信息包括但不限于以下类型:中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn411、CA密钥生命周期内的管理事件,包括密钥生成、备份、恢复、归档和销毁.
2、RA系统记录的证书订户身份信息.
3、证书生命周期中的各项操作,包括证书申请、证书密钥更新、证书吊销等事件;4、系统、网络安全记录,包括入侵检测系统的记录、系统日常运行产生的日志文件、系统故障处理工单、系统变更工单等;5、人员访问控制记录;6、系统巡检记录.
上述日志信息包括记录时间、序列号、记录的实体身份、日志种类等.
5.
4.
2处理日志的周期CFCA对上条中1类日志由密钥管理员收集并管理;2、3类日志由数据库保存,并每天进行一次增量备份,每周进行一次全备份;4类日志每天自动保存在备份设备上.
5类日志每季度进行一次审计;6类日志每天进行一次检查.
5.
4.
3审计日志的保存期限与证书相关的审计日志至少保存到证书失效后七年.
5.
4.
4审计日志的保护CFCA建立了相应的管理制度,并采取物理和逻辑的控制方法确保只有经CFCA授权的人员才能对审计日志进行操作.
审计日志处于严格的保护状态,严中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn42禁未经授权的任何操作.
5.
4.
5审计日志备份程序对于系统日志、数据库日志和相关业务日志,CFCA将按照其《日志管理办法》及《数据备份管理办法》执行备份操作.
5.
4.
6审计收集系统应用程序、网络和操作系统等都会自动生成审计数据和记录信息.
5.
4.
7对导致事件主体的通告对于审计收集系统中记录的事件,对导致该事件的个人、机构等主体,CFCA不进行通告.
5.
4.
8脆弱性评估根据审计记录,CFCA定期进行系统、物理设施、运营管理、人事管理等方面的安全脆弱性评估,并根据评估报告采取措施.
5.
5记录归档5.
5.
1归档记录的类型CFCA归档记录的类型除了本CPS的第5.
4.
1节内容外,还包括以下信息:1、证书申请资料、身份验证资料、与证书订户的协议、订户证书等;2、电子认证业务规则、证书策略、管理制度等;中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn433、员工资料,包括员工信息、背景调查、培训、录用离职等资料;4、各类外部、内容审查评估文档.
5.
5.
2归档记录的保存期限CFCA针对归档记录将保存至证书失效后七年.
如果法律需要,CFCA将延长记录保存期限.
CRL或OCSP中的证书吊销记录在此证书的有效期内不会被删除.
5.
5.
3归档文件的保护CFCA对归档文件有相应的保存制度.
对于电子形式的归档记录文件,确保只有被授权的可信任人员才允许访问存档数据,并通过适当的物理和逻辑访问控制防止对电子归档记录进行未授权的访问、修改、删除或其它操作.
CFCA将使用可靠的归档数据存储介质和归档数据处理应用软件,确保归档数据在其归档期限内只有被授权的可信任人员才能成功访问.
对于书面形式的归档记录文件,CFCA制定了相应的档案管理办法,并设有专门的档案管理人员对书面档案进行妥善保存,并有相应的查阅制度确保只有经批准的人员方可访问书面归档记录.
5.
5.
4归档文件的备份程序归档文件的备份内容包括:数据库的备份、操作系统的备份及日志的备份.
数据库备份:采用本地备份和异地备份、增量备份与全部备份相结合的方中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn44式进行备份.
操作系统的备份:系统初次上线后进行一次备份,在系统有调整时进行备份.
5.
5.
5记录的时间戳要求归档的记录都需要标注时间;系统产生的记录按照要求添加时间标识.
5.
5.
6归档收集系统CFCA有自动的电子归档信息的存放系统.
5.
5.
7获得和检验归档信息的程序只有被授权的可信人员才能获得归档信息.
当归档信息被恢复后会对其完整性进行检验.
5.
6电子认证服务机构密钥更替当CA密钥对的累计寿命超过第6.
3.
2中规定的最大有效期时,CFCA将启动密钥更新流程,替换已经过期的CA密钥对.
CFCA密钥变更按如下方式进行:一个上级CA应不迟于其私钥到期之前60天停止签发新的下级CA证书("停止签发日期").
产生新的密钥对,签发新的上级CA证书.
在"停止签发证书的日期"之后,对于批准的下级CA(或最终订户)的证书请求,将采用新的CA密钥签发证书.
上级CA将继续利用原来的CA私钥签发CRL直到利用原私钥签发的最后的中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn45证书过期为止.
5.
7损坏与灾难恢复5.
7.
1事故和损害处理流程当CFCA遭到攻击、发生通讯网络故障、计算机设备不能正常提供服务、软件遭破坏、数据库被篡改等情况时,CFCA将根据其制订的业务持续计划等相关规章制度采取合理措施.
业务持续计划由"CFCA运营安全管理委员会"(以下简称安委会)总负责,其职能包括指导和管理信息安全工作,批准、发布业务持续计划,根据实际情况决定启动灾难恢复等各项职能.
安委会的成员包括公司领导与各部门负责人,负责人为总经理.
业务中断事件分紧急事件和灾难事件.
当服务中断发生后,该中断对客户服务产生重大影响,但恢复服务不受外界因素的影响,短时间内即可恢复服务,这类事件称为紧急事件;当服务中断因不可抗力因素造成,比如自然灾害、传染病、政治暴动等因素引起的事件称为灾难事件.
CFCA针对不同事件制定了相应的应急处理机制.
当发生紧急事件后,安委会负责人召集安委会成员举行会议,对事件进行评估.
运行部按照确定的处理机制进行处理,市场部、技术支持部根据实际情况,针对受影响客户进行妥善处理.
在紧急事件应急处置后,CFCA将评估已有风险防范措施的有效性并加以改进.
当发生灾难事件时,按照5.
7.
4的规定进行.
对于一般故障,CFCA将在2小时内解决;对于紧急事件,CFCA在24小时中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn46内解决;对于灾难性事件,在主运营场地出现灾难事故或不可抗力事故而不能正常运营时,CFCA将在48小时内,利用备份数据和设备在数据备份中心恢复电子认证服务.
对于CFCAIdentityCA体系下的证书,CFCA还具有专门的问题报告和响应能力:1)CFCA向订户、依赖方、软件开发商和其他的第三方提供了清晰指引,说明如何向CFCA报告证书的投诉、私钥泄漏、证书使用不当、或其他形式的欺诈、泄漏、使用不当或行为不当.
CFCA设置了7*24服务热线(400-880-9888),有能力提供7X24小时接受和认可此类报告的服务.
2)CFCA将在问题报告的24小时内开始进行调查,并至少根据以下的条件来判断是否采取吊销或其它相应手段:问题的性质;收到的对特定证书或网站问题报告数量;投诉人的身份;相关的法规.
3)CFCA可确保全天候(7*24小时)对高优先级的问题报告首先在CA内部进行响应.
然后,在有必要时将这些问题提交给法律机构或执行证书的吊销.
5.
7.
2计算资源、软件和/或数据的损坏当计算资源、软件和/或数据受到破坏后,将依据5.
7.
1中的规定区分是紧急事件还是灾难事件,按照不同的事件分类根据相应的处理流程进行处理.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn475.
7.
3实体私钥损害处理程序CFCA制定了根私钥泄露的应急预案,其中明确规定了根私钥泄露的内部处理流程、人员分工及对外通知处理流程.
当CFCA证实根私钥发生泄露时,将会立即上报行业主管部门,说明发生根私钥泄露的时间、原因以及采取的应急处理措施.
CFCA一旦证实根私钥泄露时,会立即通知订户及依赖方,对所有证书进行吊销,并不再签发新的证书.
5.
7.
4灾难后的业务连续性能力CFCA建有数据备份中心,有相应的业务持续计划,可确保灾难后的业务连续性能力.
在主运营场地出现灾难事故或不可抗力事故而不能正常运营时,CFCA将在48小时内,利用备份数据和设备在数据备份中心恢复电子认证服务.
5.
8电子认证服务机构或注册机构的终止CFCA拟终止电子认证服务时,将在终止服务六十日前向行业主管部门报告,并办理电子认证服务资质的注销手续.
CFCA拟暂停或者终止电子认证服务的,将在暂停或者终止电子认证服务九十日前,就业务承接及其他有关事项通知注册机构、订户、依赖方等有关各方,并依据与注册机构签署的合作协议向注册机构进行赔偿,依据对订户和依赖方的数字证书服务协议向订户和依赖方进行赔偿;向电子认证业务承接方提供认证相关信息,包括但不限于:证书办理资料、证书信息库、最新的证书状态资中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn48料等.
CFCA将在暂停或者终止电子认证服务六十日前向行业主管部门报告,并与其他电子认证服务机构就业务承接进行协商,作出妥善安排.
若CFCA未能就业务承接事项与其他电子认证服务机构达成协议的,将申请行业主管部门安排其他电子认证服务机构承接相关业务.
行业主管部门对此有其他相关要求的,CFCA将严格按照行业主管部门的要求进行.
6认证系统技术安全控制6.
1密钥对的生成和安装6.
1.
1密钥对的生成1、CA签名密钥的生成CA的签名密钥在加密机内部产生,加密机具有国家密码主管部门的相应资质.
加密机采用密钥分割或秘密共享机制进行备份.
在生成CA密钥对时,CFCA按照加密机密钥管理办法,执行详细的操作流程控制计划,选定并授权5个密钥管理员,密钥管理员凭借口令和智能IC卡对密钥进行控制.
在第三方审计人员的监督下,由5名中的3名具有密钥管理及操作权限的人员同时到达CFCA最安全区同时进行操作,产生CA密钥.
CA密钥的生成、保存和密码模块符合国家密码主管部门的要求,并具有国家密码主管部门的相应资质.
2、RA密钥的生成RA的签名私钥在安全控制下产生,RA证书由CFCA签发.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn493、订户密钥的生成订户密钥的生成由订户负责,订户应确保其密钥产生的可靠性,并负有保护其私钥安全的责任和义务,并承担由此带来的法律责任.
除订户以外的其他机构不应当存档订户私钥.
如果CFCA或其注册机构RA获知订户私钥交予了未授权人员或不与订户关联的组织,CFCA将按照相关标准要求撤销该私钥所对应得公钥证书.
CFCA有义务指导订户按照正确的流程生成密钥,CFCA将拒绝弱密钥申请数字证书,并可在订户需要时提供相应的技术支持人员帮助订户生成正确的密钥.
6.
1.
2私钥传送给订户订户的私钥是由订户自己生成时不会进行传送.
6.
1.
3电子认证服务机构公钥传送给依赖方用于验证CFCA签名的验证公钥(证书链)可从CFCA的信息库获得.
6.
1.
4密钥的长度CFCA遵从国家法律法规、政府主管机构等对密钥长度的明确规定和要求,目前:CFCAIdentityCA体系下的CA签名密钥长度及算法如下:CFCAIdentityCA---RSA-4096/SHA-256CFCAIdentityOCA—RSA-2048/SHA-1订户密钥的长度为RSA-2048.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn506.
1.
5公钥参数的生成和质量检查公钥参数由国家密码主管部门许可的加密设备生成,CFCA在采购这些设备时要求其必须具有国家密码主管部门的相应资质,并遵从国家密码主管部门发布的《证书认证系统密码及相关安全技术规范》以及其他相关规范和标准要求,如对生成的公钥参数的质量检查标准,这些设备内置的协议、算法等均已达到足够的安全等级要求等.
6.
1.
6密钥使用目的CA私钥用于签发自身证书、下级CA证书、订户证书和CRL,CA的公钥用于验证私钥签名.
订户证书密钥的使用策略如下:证书类型算法密钥长度证书最长有效期(年)密钥用法增强密钥用法策略OID个人高级文档签名证书RSA-2048/SHA256RSA-2048、3数字签名不可否认Email保护文档签名Adobe文档签名2.
16.
156.
112554.
5.
1企业高级文档签名证书RSA-2048/SHA256RSA-2048、3数字签名不可否认Email保护文档签名Adobe文档签名2.
16.
156.
112554.
5.
1个人普通文档签名证书RSA-2048/SHA256RSA-2048、3数字签名不可否认Email保护文档签名2.
16.
156.
112554.
5.
1企业普通文档签名证书RSA-2048/SHA256RSA-2048、3数字签名不可否认Email保护文档签名2.
16.
156.
112554.
5.
1中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn516.
2私钥保护和密码模块工程控制6.
2.
1密码模块标准和控制CFCACA系统生成密钥的密码模块(加密机)安置在CFCA核心区域,使用通过国家密码主管部门鉴定并批准使用的具有完全自主知识产权的高速主机设备,支持RSA、DSADiffeHellman等公钥算法,RSA模长可选2048、4096比特;支持SDBI、DES、TRIPLE-DES、IDEA、RC2、RC4、RC5等对称算法,支持128比特高强度加密;支持MD2、MD5、SHA1、SDHI、SHA256等HASH算法.
CFCAIdentityCA体系使用的加密机其公钥算法为RSA-2048、RSA-4096,HASH算法为SHA-256,具有国家密码主管部门颁发的产品资质证书.
CFCA制定有专门的加密机管理办法,从采购、验收、进入机房、初始化、激活使用、备份、维护、销毁等环节进行了规范化审批管理.
加密机仅与对应系统直连,并存放在屏蔽机房内.
6.
2.
2私钥多人控制CFCACA密钥存放在加密机中,加密机的管理密钥被分割保存在5张IC卡中,IC可分别由5位经过授权的安全管理员掌握,并保存在屏蔽机房中的最安全区内的保险箱中.
当激活CA私钥时,必须由5个管理员中的3个管理员同时在场才能完成,从技术及制度上保证了敏感的加密操作的安全性.
6.
2.
3私钥托管对于CA私钥,CFCA无托管业务.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn526.
2.
4私钥备份CA的私钥由加密机产生,加密机有双机备份,并保存在防高温、防潮湿及防磁场影响的环境中,对加密机的备份操作须3人以上(包括3人)才可完成.
订户的私钥由订户产生,建议订户自行备份,并对备份的私钥采用口令或其他访问控制机制保护,防止非授权的修改或泄漏.
6.
2.
5私钥归档当CFCA的CA密钥对到期后,这些密钥对将被归档保存至少10年.
归档的CA密钥对保存在本CPS6.
2.
1所述的硬件密码模块中,并且CFCA的密钥管理策略和流程都确保了归档后的CA密钥对不会再被用于生产系统中.
当归档CA密钥对达到归档保存期限之后,CFCA将按照本CPS6.
2.
10所述的方法进行安全地销毁.
CFCA基于PKI理论为订户产生的加密私钥的归档参照CA的密钥归档方法进行归档.
6.
2.
6私钥导入、导出密码模块CFCA通过硬件模块生成CA密钥对,部署了备份加密设备,CA密钥对在备份传递时以离线加密方式进行.
通过硬件产生的订户私钥不能导出密码模块.
其他方法产生的订户私钥在导出时应采取加密的方式进行.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn536.
2.
7私钥在密码模块的存储私钥以密文的方式分段加密存放在硬件加密模块中.
6.
2.
8激活私钥的方法1、激活订户私钥当订户使用硬件密码模块产生、保存私钥时,订户使用硬件密码模块口令(或pin码)保护私钥,硬件加密模块被加载,密码模块验证口令完成后,私钥被激活.
2、激活CA私钥CFCA采用硬件设备(加密机)产生、保存CA私钥,其激活数据按照本CPS6.
2.
2要求进行分割.
一旦CA私钥被激活,激活状态将保持到CA离线.
6.
2.
9解除私钥激活状态的方法对于订户私钥,当服务程序被停止、系统注销或系统断电后私钥进入非激活状态.
对于CA私钥,当硬件密码模块断电、重新初始化时,私钥进入非激活状态.
6.
2.
10销毁私钥的方法当CA的生命周期结束后,CFCA将根据本CPS6.
2.
5之相关规定将CA私钥进行归档,其它的CA私钥备份将被安全销毁.
归档的私钥在其归档期结束后,需要在3名以上可信人员参与下进行安全地销毁.
订户私钥的销毁须经授权后安全地销毁.
密钥生命周期最后,销毁所有订中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn54户密钥的副本和碎片.
6.
2.
11密码模块的评估CFCA使用国家密码主管部门鉴定并批准使用的具有自主知识产权的高速主机加密设备,接受其颁布的各类标准、规范、评估结果等各类要求.
6.
3密钥对管理的其它方面6.
3.
1公钥归档公钥归档的保存期限、保存机制、安全措施等与证书保持一致.
归档要求参照本CPS5.
5的相关规定.
6.
3.
2证书操作期和密钥对使用期限CA证书的有效期不超过25年,CFCA的IdentityOCA签发的证书有效期为1-3年.
CA密钥对使用期限和CA证书的有效期保持一致.
订户证书的密钥对使用期限和订户证书的有效期保持一致.
特殊情况下,对于签名类证书,为了验证在证书有效期内签名的信息,与之对应的公钥可以在证书的有效期限以外使用,直到私钥受到损害或密钥对存在被破解的风险,如加密算法被破解.
对于加密类证书,为了保证在证书有效期内加密的信息可以解开,私钥的使用期限可以在证书的有效期限以外.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn556.
4激活数据6.
4.
1激活数据的产生和安装1、CFCA的CA私钥产生遵循本CPS6.
2.
2中的要求.
2、对于订户,激活数据是保护私钥的密码,CFCA推荐订户使用强口令来保证私钥的安全性,该口令需要:l至少为8位数字l建议订户不要使用生日、简单重复的数字等容易被人猜中或破解的信息做为口令6.
4.
2激活数据的保护1、CFCA的密钥管理者须保护他们所维护的秘密份额,并且须签署协议来承诺所承担的责任.
2、注册机构必须将管理员和注册机构的私钥以加密的形式保存,并使用口令保护.
3、订户必须以加密的形式保存私钥,建议使用双因素认证(如硬件设备加强口令)来保护其私钥.
6.
4.
3激活数据的其他方面6.
4.
3.
1激活数据的传输存有CA私钥的加密设备和相关IC卡,通常被保存在CFCA最安全区机房,不能携带离开CFCA.
如在某种特殊情况下需要进行传输时(如建设灾备系统时),中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn56其传送过程需要在CFCA安全管理人员和密钥管理人员共同监督的情况下进行.
对于证书订户,通过网络传输用于激活私钥的口令时,需要采取加密等保护措施,以防丢失.
6.
4.
3.
2激活数据的销毁CFCA通过对设备初始化的方式来销毁CA私钥的激活数据.
订户私钥的激活数据在不需要时由订户自行销毁,订户应确保他人无法通过残余信息、存储介质直接或间接地恢复激活数据.
6.
5数据安全控制6.
5.
1制定安全方案确保数据安全目标1、CFCA将采取授权访问的策略和加密签名的手段,确保对CA的控制和证书申请等相关数据以及证书的相关流程的机密性、完整性和可用性,确保其不受到未经授权或非法的访问、使用、披露、修改或销毁,保护其不受到意外的丢失、销毁或损坏;以及不受到可预见的威胁和破坏;2、确保验证"证书数据"、签发证书、维护信息库和吊销证书的密钥、软件和流程的机密性、完整性和可用性;3、CFCA将确保其维护的数据符合相应法律规定的其他安全要求.
6.
5.
2安全方案定期风险评估1、CFCA采取定期的风险评估策略,识别可预见的使"证书数据"和"证书流程"受到未经授权的访问、错误使用、披露、修改或销毁的内部/外部威胁;中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn572、风险评估将根据"证书数据"和"证书流程"的敏感程度评估所识别威胁因素发生的可能性和发生后预计造成的破坏程度;3、每年将定期评估CA用于控制这些风险的制度、流程、信息系统、技术或其他因素是否足够.
6.
5.
3安全计划CFCA将根据风险评估结果制定安全计划,内容包括制定、实施并维护安全流程、措施以及为数据安全设计的产品.
根据"证书数据"和"证书流程"的敏感程度以及操作流程的复杂程度和范围,合理的管理和控制所识别的风险.
安全计划包括与CA业务、"证书数据"和"证书流程"的规模、复杂程度、性质和范围相适应的行政、组织架构、技术和物理环境的安全控制措施.
制定安全控制措施时,考虑今后可用的技术和相应的成本;安全控制措施程度必须与缺失该控制可能造成的破坏以及该控制所保护数据的性质相符合.
6.
6计算机安全控制根据系统安全管理的相关规定,CFCA要求CA与RA系统采用可信安全操作系统对外提供服务.
企业客户也必须使用可信任操作系统.
6.
6.
1特别的计算机安全技术要求CFCA的信息安全管理符合国家相关规定,主要安全技术和控制措施包括:采用安全可信任的操作系统、严格的身份识别和人员访问控制制度、多层防火墙设置、人员职责分割、内部操作控制、业务持续计划等各方面.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn586.
6.
2计算机安全评估CFCA全球信任证书认证系统已通过国家密码管理局等有关部门的安全性审查.
6.
7生命周期技术控制6.
7.
1根密钥控制对于证书根密钥生成需要有证书审核从业者的现场参加,从业者通过现场查看CA根密钥生成的过程,对以下内容发表意见.
1)制定根密钥生成计划描述详细的根密钥生成流程和步骤;2)根密钥生成和密钥安全保护流程符合CPS和CP的要求;3)根密钥生成过程中执行了计划要求的所有流程和步骤;4)根密钥的生成过程需要用录像记录,作为今后的审核依据.
其他CA的密钥控制参照上述要求进行.
6.
7.
2系统开发控制CFCA的系统由符合国家相关安全标准和具有商用密码产品生产资质的可靠开发商开发,其开发过程符合国家密码主管部门的相关要求.
6.
7.
3安全管理控制CFCA认证服务系统的信息安全管理,严格遵循行业主管部门的规范进行操作,系统的任何变更都经过严格的测试验证后才能进行安装和使用.
同时,按照ISO9000质量管理体系标准建立了严格的管理制度.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn596.
7.
4生命期的安全控制CFCA的系统由符合国家相关安全标准和具有商用密码产品生产资质的可靠开发商开发,其开发过程符合国家密码主管部门的相关要求,其产品源代码在国家密码主管部门处留有备份,以保证系统的延续性.
6.
8网络的安全控制CFCA认证系统通过以下手段来防止网络受到未授权的访问和抵御恶意攻击:1、由防火墙对来自外部的访问信息进行过滤控制;2、将功能独立的服务器放置在不同的网段;3、多级防火墙划分不同网段,并采用了完善的访问控制技术;4、通过验证和存取访问权限控制进行数据保护;5、在网络系统中,采用入侵检测产品,从检测与监听等多方面对网络系统进行防护,及时发现入侵者并报警,并实施事件响应;6、所有终端安装防病毒软件,并定期升级;7、提供冗余设计.
6.
9时间信息证书、CRL、OCSP、电子认证服务系统日志均包含时间信息,该时间信息来源于国家的标准时间源.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn607证书、证书吊销列表和在线证书状态协议7.
1证书CFCA签发的证书格式符合GM/T0015-2012数字证书格式规范,包含如下证书域.
7.
1.
1版本号CFCA签发的证书格式符合X.
509V3标准,这一版本信息包含在证书版本属性内.
7.
1.
2证书扩展项证书扩展项是一个或多个证书扩展的序列,针对某种证书类型或者特定用户,CFCA签发的证书将包含私有扩展项,私有扩展项将被设置为非关键性扩展.
对于根CA证书的证书扩展项,除4个扩展项:基本限制(Basicconstraints),密钥用法(Keyusage),证书策略(CertificatePolicies),扩展密钥用法(extendedKeyUsage),其他扩展项遵循RFC5280标准.
7.
1.
2.
1颁发机构密钥标识符CFCA订户证书及CA证书中包含颁发机构密钥标识符扩展项,此扩展项用于识别与证书签名私钥相对应的公钥,可辨别同一CA使用的不同密钥.
该扩展项为非关键项.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn617.
1.
2.
2主题密钥标识符订户证书中包含主题密钥标识符扩展项,它标识了被认证的公钥,可用于区分同一主体使用的不同密钥(如证书密钥更新时).
其值从公钥中或者生成唯一值的方法导出.
该扩展项为非关键项.
7.
1.
2.
3密钥用法密钥用法指明已认证的公开密钥用于何种用途.
对于CA证书的密钥用法,该项为关键扩展.
密钥用法包含证书签名、CRL签发,其他密钥用法不能出现.
对于订户证书,该项为非关键扩展,其密钥用法参见6.
1.
7.
7.
1.
2.
4基本限制基本限制项用来标识证书的主体是否是一个CA,通过该CA可能存在的认证路径有多长,该项定义遵照RFC3280之规定.
针对CA证书,该项为关键扩展,针对订户证书,该扩展项为非关键项.
7.
1.
2.
5增强型密钥用法本项指明已验证的公钥可用于一种或多种用途,可作为对密钥用法扩展项中指明的基本用途的补充或替代.
该扩展项为非关键项.
针对文档签名证书,此项为客户端身份验证、代码签名、安全电子邮件、时间戳中的一种或者多种.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn627.
1.
2.
6CRL分布点系统签发的证书包含CRL的分发点扩展项,依赖方可根据该扩展项提供的地址和协议下载CRL.
该扩展项为非关键项.
7.
1.
2.
7主题备用名称主题备用名称包含一个或多个可选替换名(可使用多种名称形式中的任一个)供实体使用,CA把该实体与认证的公开密钥绑定在一起.
该扩展项的使用符合RFC3280及RFC2459之规定.
处于该域中的任何信息必须全部经过审核.
7.
1.
3算法对象标识符CFCAIdentityCA体系签发的证书符合RFC3280标准,采用RSA-2048/SHA-256、RSA-4096/SHA-256算法签名.
7.
1.
4主题名称本项用于描述与主题公钥项中的公钥对应的实体的情况.
CFCA签发证书的甄别名符合X.
500关于甄别名的规定,CFCA保证签发的证书每个主题实体的甄别名称是唯一的.
为了确保甄别名称的唯一性,CFCA制定了《CFCA数字证书DN规则》.
IdentityOCA签发的证书DN可以包含以下部分:1、CN部分:订户的法定真实名称.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn632、OU部分:该部分为可选部分,可以表示实体的部门名称及经客户确认的有效信息,若该部分存在,CFCA将对该部分进行鉴别.
3、OU2部分:该部分为可选部分,仅当证书中其他信息组成的DN无法满足唯一性时,由CFCA与客户协商填入验证的信息.
4、O部分:用于表示申请者的法定真实名称.
5、L部分:用于表示注册地址或运营地址所在城市或同等级别行政区域.
6、ST部分:用于表示注册地址或运营地址所在省或同等级别行政区域.
7、C部分:用于表示证书申请者所在国家或地区的英文简称,全部大写,如中国订户标识为:C=CN.
DN中包含的国家、省市级名称必须使用权威部门颁发的标准名称(例如:ISO3166Codesfortherepresentationofnamesofcountriesandtheirsubdivisions--Part1:Countrycodes).
对于文档签名证书,必须包含以上各项,且CN部分必须是订户的真实名称,CFCA建议订户在申请证书前,按照此要求生成证书签名请求文件(CSR,CertificateSignatureRequest),经CFCA审核通过后由CFCA据此签发证书,文档签名证书格式参见附录B.
7.
1.
5名称限制CFCAIdentityCA体系下签发的证书,其实体名称不允许为匿名或者伪名,必须是有明确含义的识别名称,使用英文名称时应能正确表达实体名称.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn647.
1.
6证书策略及对象标识符CA证书的证书策略扩展项中,certificatePolicies:policyIdentifier设置为anyPolicy;订户证书策略对象标识符如下:2.
16.
156.
112554.
5.
17.
1.
7策略限制扩展项的用法未使用本扩展域.
7.
1.
8策略限定符的语法和语义未使用本扩展域.
7.
1.
9关键证书策略扩展项的处理规则未使用本扩展域.
7.
2CRL7.
2.
1版本号CFCA目前使用的是X.
509V2版本的CRL.
7.
2.
2CRL和CRL条目扩展项CRL数据定义如下:1、版本(Version)显示CRL的版本号.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn652、CRL的签发者(Issuer)指明签发CRL的CA的甄别名.
3、CRL发布时间(thisUpdate)4、预计下一个CRL更新时间(nextupdate)5、签名算法6、列出吊销的证书,包括吊销证书的序列号和吊销日期.
7.
3在线证书状态协议CFCA提供在线证书状态查询服务.
其他系统根据业务需要提供该项服务.
在正常的网络状态下,CFCA可确保有足够的资源使CRL和OCSP服务在合理的时间内向用户反馈查询结果.
8认证机构审计和其它评估8.
1评估的频率或情形CFCA在如下情形中进行评估:1、根据《中华人民共和国电子签名法》、《电子认证服务管理办法》《电子认证服务密码管理办法》规定,接受主管部门的评估和检查.
2、接受外部审计机构的定期评估.
3、接受第三方审计公司的Webtrust审计.
评估的频率为:1、年度评估:接受主管部门对CFCA进行的年度检查;中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn662、运营前评估:在新系统向公众提供服务之前由行业主管部门对新系统进行评估,评估合格后方可正式运营;3、定期评估:按照国际及国内相关标准要求接受外部审计机构的定期评估.
4、CFCA将每年进行Webtrust评估审计,且审计报告发布日期不得晚于审计期间结束后三个月.
8.
2评估者的资质若需邀请外部审计机构对CFCA进行评估,CFCA将选择熟悉IT运营管理、具有多年审计经验的审计机构对CFCA的运营管理进行一致性审计.
在进行审计前,审计机构必须熟悉公钥基础设施技术及相关的法律法规、标准规范要求.
对于外部审计师的要求如下:从业者必须是具有提供与信息科技、信息安全、PKI和系统审计有关的第三方认证服务资质的独立会计师事务所;从业者在提供服务时,其Webtrust审核服务资质必须是有效的;从业者必须是AICPA或其他具有明确成员资质标准的协会成员.
8.
3评估者与被评估者的关系评估者与CFCA应无任何业务、财务往来或其它足以影响评估客观性的利害关系.
8.
4评估内容评估的内容包括但不限于以下方面:中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn671、CA物理环境和控制2、密钥管理操作3、基础CA控制4、证书生命周期管理5、CA业务规则8.
5对问题与不足采取的措施CFCA管理层将对审计报告进行评估,对在审计中发现的重大意外或不作为采取行动.
从完成审计到采取行动纠正问题的时间不超过20天.
8.
6评估结果的传达与发布当CFCA接受行业主管部门的检查或评估后,行业主管部门会向公众发布对CFCA的检查或评估结果.
当CFCA接受外部审计机构的审计后,CFCA会在公司网站上公布外部审计结果.
当CFCA进行内部审计后,审计结果将只在公司内部进行传达.
8.
7其他评估CFCA将进行持续的自我审核,至少每季度进行一次自我审核,以对自身的服务质量进行控制.
自我审核通过对上次审核期间末至本次审核期间初这段期间内的电子认证活动是否符合相关约定.
CFCA对自身的电子认证活动进行抽样审查,样本量不得少于此期间内签发证书总数的百分之三.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn689法律责任和其他业务条款9.
1费用9.
1.
1证书签发和更新费用根据市场和管理部门的规定,CFCA将收取合理的费用,并在订户向CFCA订购证书时,提前告知证书的签发与更新费用.
9.
1.
2证书查询费用CFCA暂不收取此项收费,但保留对此项服务收费的权利.
9.
1.
3证书吊销或状态信息的查询费用CFCA暂不收取此项收费,但保留对此项服务收费的权利.
9.
1.
4其它服务费用CFCA保留收取其他服务费的权利.
9.
1.
5退款策略除非CFCA违背了本CPS所规定的责任与义务,订户可以要求退款.
否则,CFCA对订户收取的费用均不退还.
订户应当提供符合CFCA要求的完整、真实、准确的证书申请信息,否则CFCA对此造成的损失和后果不承担任何责任.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn699.
2财务责任9.
2.
1保险范围CFCA根据业务发展情况和国内保险公司的业务开展情况决定其投保策略.
9.
2.
2其它资产CFCA确保具有足够的财务实力来维持其正常经营并保证相应义务的履行,并合理地承担对订户及对依赖方的责任.
此要求对证书订户同样适用.
9.
2.
3对最终实体的保险或担保范围如果CFCA根据本CPS或任何法律规定,以及司法判定须承担赔偿和/或补偿责任的,CFCA将按照相关法律法规的规定、仲裁机构的裁定或法院的判决承担相应的赔偿责任.
9.
3业务信息保密9.
3.
1保密信息范围保密信息包括但不限于以下内容1、CFCA与订户之间的协议、资料中未公开的内容等属于保密信息.
除非法律明文规定或政府、执法机关等的要求,CFCA承诺不对外公布或透露订户证书信息以外的任何其它隐私信息.
2、订户私钥属于机密信息,订户应当根据本CPS的规定妥善保管,如因订中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn70户自己泄漏私钥造成的损失,订户应自行承担.
9.
3.
2不属于保密的信息不属于保密的信息包括:1、CA系统签发的证书信息和CRL中的信息.
2、在提供方披露数据和信息之前,已被接受方所持有的数据和信息.
3、在提供方披露数据和信息时或在披露数据和信息之后,非由于接受方的原因而被披露的信息.
4、经公开或通过其他途径成为公众领域的一部分数据和信息.
5、有权披露的第三方披露给接受方的数据和信息.
6、其他可以通过公共、公开渠道获得的信息.
9.
3.
3保护机密信息的责任CFCA有各种严格的管理制度、流程和技术手段来保护机密信息,包括但不限于商业机密、客户信息等.
CFCA的每个员工都要接受信息保密方面的培训.
9.
4个人信息私密性9.
4.
1隐私保密方案CFCA尊重所有订户和他们的隐私,个人隐私信息保密方案遵守现行法律和政策规定.
任何订户选择使用CFCA的证书服务,就表明已经同意接受CFCA的隐私保护制度.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn719.
4.
2作为隐私处理的信息CFCA在管理和使用订户提供的相关信息时,除了证书中已经包括的信息以及证书状态信息外,该订户的基本信息将被视为隐私处理,这些信息将只能由CFCA使用,非经订户同意或有关法律法规、公共权力部门根据合法的程序要求,CFCA不会任意公开.
9.
4.
3不被视作隐私的信息订户持有的证书信息,以及证书状态信息不被视为隐私信息.
9.
4.
4保护隐私的责任CFCA、注册机构、订户、依赖方等机构或个人都有义务按照本CPS的规定,承担相应的隐私保护责任.
在法律法规或公共权力部门通过合法程序要求下,CFCA可以向特定的对象公布隐私信息,CFCA无需承担由此造成的任何责任.
9.
4.
5使用隐私信息的告知与同意1、订户同意,CFCA在业务范围内并按照本CPS规定的隐私保护政策使用所获得的任何订户信息,无论是否涉及到隐私,CFCA均可以不用告知订户.
2、订户同意,在任何法律法规或公共权力部门要求下,CFCA向特定对象披露隐私信息时,CFCA均可以不用告知订户.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn729.
4.
6依法律或行政程序的信息披露除非符合下列条件,CFCA不会将订户的保密信息提供给其他个人或第三方机构:1、司法、行政部门或其他法律法规授权的部门依据政府法律法规、规章、决定、命令等的规定通过合法授权提出的申请.
2、订户采用书面形式的信息披露授权.
3、本CPS规定的其他可以披露的情形.
9.
4.
7其它信息披露情形CFCA、订户、注册机构、依赖方等机构或个人都有义务按照本CPS的规定,承担相应的保护隐私责任.
在法律法规或公共权力部门通过合法程序或订户书面申请授权要求下,CFCA可以向特定的对象公布隐私信息,CFCA无需承担由此造成的任何责任.
9.
5知识产权CFCA享有并保留对证书以及CFCA提供的全部软件、资料、数据等的著作权、专利申请权等知识产权;CFCA制订并发布的CPS、CP、技术支持手册、发布的证书和CRL等均为CFCA的财产,CFCA对其拥有知识产权.
9.
6陈述与担保9.
6.
1电子认证服务机构的陈述与担保CFCA采用经过国家有关管理机关审批的信息安全基础设施开展电子认证中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn73服务业务.
CFCA的运作遵守《中华人民共和国电子签名法》等法律规定,接受行业主管部门的指导,CFCA对签发的数字证书承担相应法律责任.
CFCA的运营遵守CPS并随着业务的调整对CPS进行修订.
根据《电子认证服务管理办法》要求,CFCA有责任审计其注册机构电子认证业务是否符合本CPS约定.
CFCA对注册机构的审计至少一年一次.
CFCA具有保存和使用证书持有人信息的权限和责任.
9.
6.
2注册机构的陈述与担保作为CFCA的注册机构,应遵照CFCA的CPS&CP承担电子认证业务中注册机构的职责,其电子认证业务操作受行业及CFCA的相关管理规定.
1.
注册机构根据CFCA制订的策略和运行管理规范,对订户的证书申请材料进行审核,并注册证书订户的信息.
通过安全通道将证书订户的信息传送给CFCA.
2.
如注册机构对订户的证书申请材料审查没有通过,注册机构有向订户进行告知的义务.
3.
注册机构应在合理的时间内完成证书申请处理.
在申请者提交资料齐全且符合要求的情况下,处理证书申请的时间为1-3个工作日.
4.
注册机构须对订户的信息及与认证相关的信息妥善保存,并于适当的时间转交给CFCA归档.
注册机构应根据相关协议内容配合CFCA需要的电子认证业务合规性审计.
5.
注册机构应使订户明确地知道关于使用第三方数字证书的意义、数字证中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn74书的功能、使用范围、使用方式、密钥管理以及丢失数字证书的后果和处理措施、法律责任限制,尽到对订户安全提示的义务.
6.
注册机构有义务通知订户阅读CFCA发布的CP、CPS以及其它相关规定,在订户完全知晓并同意CP、CPS和《数字证书服务协议》内容的前提下,为订户办理数字证书.
9.
6.
3订户的陈述与担保订户声明和承诺:订户确认已经阅读和理解了CPS及有关规定的全部内容,并同意受此CPS文件规定的约束.
1.
订户应遵循诚实、信用原则,在申请数字证书时,应当提供真实、完整和准确的信息和资料,并在这些信息、资料发生改变时及时通知CFCA的注册机构.
如因订户故意或过失提供的资料不真实或资料改变后未及时通知CFCA注册机构,造成的损失由订户自己承担.
2.
订户使用CFCA数字证书时应使用经合法途径获得的相关软件.
3.
订户应通过可靠方式产生密钥对,防止密钥遭受攻击丢失、泄漏和误用;订户应当妥善保管CFCA签发的数字证书的私钥和密码,不得泄漏或交付他人.
如因故意或过失导致他人知道、盗用、冒用数字证书私钥和密码时,订户应承担由此产生的责任.
4.
如订户使用的数字证书私钥和密码泄漏、丢失,或者订户不希望继续使用数字证书,或者订户主体不存在时,订户或法定权利人应当立即到原注册机构申请废止该数字证书,相关手续遵循本CPS的规定.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn755.
订户应将证书用于合法目的并符合本CPS.
6.
订户应对使用证书的行为承担责任.
由于以下情况订户损害CFCA利益的,订户须向CFCA赔偿全部损失.
这些情况是:1)订户在申请数字证书时没有提供真实、完整、准确的信息,或者在信息变更时未及时通知CFCA;2)订户知道或者应当知道自己的私钥和密码已经失密或者可能已经失密,但未及时告知有关各方且未终止使用;3)订户有其他过错或未履行双方约定.
订户有按期缴纳数字证书服务费的义务,费用标准请咨询CFCA商务人员.
随着技术的进步,CFCA有权要求订户更换数字证书.
订户在收到数字证书更换通知后,应在规定的期限内向CFCA提出更换.
因订户逾期没有更换数字证书而引起的后果,CFCA不承担责任.
9.
6.
4依赖方的陈述与担保依赖方声明和承诺:1、获取并安装该证书对应的证书链;2、在信赖证书所证明的信任关系前确认该证书为有效证书,包括:检查CFCA公布的最新CRL,确认该证书未被吊销;检查该证书路径中所有出现过的证书的可靠性;检查该证书的有效期;以及检查其他能够影响证书有效性的信息;3、在信赖证书所证明的信任关系前确认该证书记载的内容与所要证明中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn76的内容一致;4、熟悉本CPS的条款,了解证书的使用目的,只在符合本CPS规定的证书应用范围内信任该证书;5、同意CPS中关于CFCA责任限制的规定.
9.
6.
5其它参与者的陈述与担保未列明的其他参与者应遵循本CPS的规定.
9.
7担保免责1、证书申请人或订户故意或过失提供或未按照要求提供不准确和/或不真实和/或不完整的信息而获得CFCA签发的证书,订户在使用该证书时引起的纠纷,CFCA不予承担任何法律责任.
2、由于非CFCA原因造成的设备故障、网络中断导致证书报错、交易中断或其他事故造成的损失,CFCA不向任何方承担赔偿和/或补偿责任.
3、CFCA对各类证书的适用范围作了规定,若证书被超出范围使用或被用于其他未被CFCA允许的用途,CFCA不承担任何法律责任.
4、由于不可抗力因素导致CFCA暂停、终止部分或全部数字证书服务,CFCA不承担赔偿和/或补偿责任.
5、CFCA在法律许可的范围内,根据有关法律法规的要求,如实提供电子交易和网络交易中产生的数字签名的验证信息("验证服务"),对非因该验证服务而导致的任何后果,CFCA不承担任何法律责任.
6、对于明显由于CFCA的合作方的越权行为或其他过错行为所引发的违反中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn77约定义务而对订户造成的损失,CFCA不承担赔偿和/或补偿责任.
9.
8有限责任如果CFCA根据本CPS或任何法律规定,以及司法判定须承担赔偿和/或补偿责任的,CFCA将按照相关法律法规的规定、仲裁机构的裁定或法院的判决承担相应的赔偿责任.
9.
9CFCA承担赔偿责任的限制1、除非有另外的规定或约定,对于非因本CPS项下的认证服务而导致的任何损失,CFCA不向订户和/或依赖方承担任何赔偿和/或补偿责任.
2、订户或依赖方进行的民事活动因CFCA提供的认证服务而遭受的损失,CFCA将依据本CPS的相关条款给予赔偿.
但无论如何,如果CFCA能够证明其提供的服务是按照《电子签名法》、《电子认证服务管理办法》、CFCA向主管部门备案的CPS实施的,则不视为CFCA具有任何过错,也不对订户或依赖方承担任何赔偿或补偿责任.
3、无论本CPS是否有相反或不同规定,就以下损失或损害,CFCA不承担任何赔偿和/或补偿责任:(1)订户和/或依赖方的任何间接损失、直接或间接的利润或收入损失、信誉或商誉损害、任何商机或契机损失、失去项目、失去或无法使用任何数据、设备或软件;(2)由上述损失相应生成或附带引起的损失或损害.
4、无论本CPS是否有相反或不同规定,如果CFCA根据本CPS或任何法律中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn78规定,以及司法判定须承担赔偿和/或补偿责任的,CFCA将按照相关法律法规的规定、仲裁机构的裁定或法院的判决承担相应的赔偿责任.
9.
10有效期限与终止9.
10.
1有效期限本CPS自CFCA在其官方网站(https://www.
cfca.
com.
cn)公布之日起生效,除非CFCA特别声明CPS提前终止.
9.
10.
2终止CFCA有权终止本CPS(包括其修订版本),本CPS(包括其修订版本)自CFCA在其官方网站公布终止声明的30日后终止.
自新版本的CPS在CFCA官方网站公布之日起,上一版本的CPS效力将自动终止.
9.
10.
3效力的终止与保留CPS中涉及的审计、保密信息、隐私保护、知识产权等方面,以及涉及赔偿的有限责任条款,在本CPS终止后继续有效.
9.
11对参与者的个别通告与沟通参与者如需要进一步了解任何本CPS中提及的服务、规范、操作等信息,可以通过电话联系CFCA,联系电话:010-83526220.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn799.
12修订CFCA有权修订本CPS,并将修订版本在官方网站上公布.
9.
12.
1修订程序修订程序与本CPS1.
5.
4"CPS批准程序"相同.
9.
12.
2通知机制和期限CFCA有权修订本CPS中的任何术语、条款,事前无需通知任何一方,但在修订后会及时公布在CFCA网站上.
如在修订发布后7个工作日内,订户没有申请对其证书进行吊销,将被视为同意该修改.
9.
12.
3必须修改业务规则的情形当本CPS描述的规则、流程和相关技术已经不能满足CFCA电子认证业务要求或本CPS依据的法律法规和部门规章变更时,CFCA将依照有关规定修改本CPS的相关内容.
9.
13争议处理订户或依赖方在发现或怀疑由CFCA提供的认证服务造成订户的电子交易信息的泄漏和/或篡改时,应在有效期内向CFCA提出争议处理请求并通知有关各方,有效期为3个月.
争议处理流程为:1、争议解决的通知:中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn80当争议发生时,在采取任何解决途径之前,订户应首先通知CFCA.
2、争议解决的方式:如果争议在最初通知之日起10天内未被解决,CFCA将召集由3名安全认证专家组成外部专家小组.
外部专家小组以协助解决争议为目的,收集相关事实.
专家小组应在成立之日起10天内(除非当事人同意将此段时限延长至一特定时段)完成建议并向当事人传达.
专家小组的建议对当事人无约束力,但当事人一方若书面签署文件表示同意该建议,则争议的双方即按照建议的内容解决争议.
如果订户在书面签署文件同意专家小组建议后悔并将争议提交仲裁,则该建议将视为CFCA与订户之间就争议解决达成的协议且受法律保护.
3、正式争议解决:若专家小组未能在约定时限内提出有效建议,或者所提的建议不能使双方当事人就争议的解决达成一致意见,争议双方仅可以将争议提交北京仲裁委员会仲裁.
4、索赔时限任何订户或依赖方欲向CFCA提出索赔,应在知道或应当知道损失发生时起的两年内提出.
超出两年的,该索赔无效.
9.
14管辖法律CFCACPS和协议中条款的制定遵守《中华人民共和国合同法》和《中华人民共和国电子签名法》及相关法律规定.
如CPS中某项条款与上述法律条款或其可执行性发生抵触,CFCA将会对此条款进行修改,使之符合相关法律规定.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn819.
15与适用法律的符合性CFCA的各项策略均遵守并符合中华人民共和国各项法律法规和国家信息安全主管部门要求.
若本CPS的某一条款被主管部门宣布为非法、不可执行或无效时,CFCA将对该不符合性条款进行修改,直至该条款合法和可执行为止.
本CPS某一个条款的不可执行性不会导致其它条款的不可执行性.
9.
16一般条款9.
16.
1本CPS的完整性本CPS将替代所有以前的或同时期的、与相同主题相关的书面或口头解释.
CPS、CP、订户协议及依赖方协议及其补充协议构成各参与者之间的完整协议.
9.
16.
2转让CA、RA、订户及依赖方之间的权利义务不能通过任何形式转让给其他方.
9.
16.
3分割性本CPS的某一条款被主管部门宣布为非法、不可执行或无效时,CFCA将对该不符合性条款进行修改,直至该条款合法和可执行为止,但此条款的不可执行性不会影响其它条款的有效性.
9.
16.
4强制执行无.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn829.
16.
5不可抗力不可抗力是指不能预见、不能避免并不能克服的的客观情况.
构成不可抗力的事件包括战争、恐怖行动、罢工、自然灾害、传染性疾病、互联网或其它基础设施无法使用等.
但各方都有义务建立灾难恢复和业务连续性机制.
9.
17其它条款CFCA承诺遵循《WebTrust电子认证资格原则及规范》最新标准,若CPS与该指导准则不符,以准则为准.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn83附录A定义和缩写缩写表项目缩写定义ANSI美国国家标准协会(TheAmericanNationalStandardsInstitute)CA电子认证服务机构(CertificateAuthority)RA注册机构(RegistrationAuthority)CRL证书吊销列表(CertificateRevocationList)OCSP在线证书状态协议(OnlineCertificateStatusProtocal)CP证书策略(CertificatePolicy)CPS电子认证业务规则(CertificatepracticeStatement)CSR证书签名请求(CertificateSignatureRequest)IETF互联网工程任务组(TheInternetEngineeringTaskForce)定义表项目概念定义电子认证服务机构受订户信任的,负责创建和签发、管理公钥证书的权威机构,有时也可为订户创建密钥.
注册机构面向证书订户,负责订户证书的申请、审批和证书管理工作.
数字证书经CA数字签名包含数字证书使用者身份公开信息和公开密钥的电子文件.
证书吊销列表一个严格要求进行周期性发布的列表,被CA签名,用于标记一系列不再被证书发布者所信任的证书列表.
在线证书状态协议IETF颁布的用于检查数字证书状态的协议.
证书策略一套命名的规则集,用以指明证书对一个特定团体和(或者)具有相同安全需求的应用类型的适用性.
例如,一个特定的CP可以指明某类证书适用于鉴别从事企业到企业(B-to-B)交易活动的参与方,针对给定价格范围内的产品和服务.
电子认证业务规则关于电子认证服务机构在签发、管理、吊销或更新证书(或更新证书中的密钥)过程中所采纳的业务实践的声明.
订户申请证书的实体.
依赖方依赖方是指信赖于证书所证明的基础信任关系并依此进行业务活动的个人或机构.
私钥经由数学运算产生的密钥(由持有者保管),用于制作数字签名,亦可依据运算方式,就相对应的公开密钥加密的文件或信息(以确保资料的机密性)予以解密.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn84公钥经由数学运算产生的密钥,可公开取得、并可用于验证由其对应的私钥所产生的数字签名.
公开密钥亦可依据其运算方式,将信息或档案加密,再以对应的私钥进行解密.
唯一甄别名在数字证书的主体名称域中,用于唯一标识证书主体的X.
500名称.
此域需要填写反映证书主体真实身份的、具有实际意义的、与法律不冲突的内容.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn85附录B证书格式个人高级文档签名证书证书域域值版本V3序列号包含20位的随机数签名算法SHA256RSASM2/SM3(1.
2.
156.
10197.
1.
501)颁发者CN=CFCAIdentityOCAO=ChinaFinancialCertificationAuthorityC=CNCN=CFCAIdentitySM2OCAO=ChinaFinancialCertificationAuthorityC=CN有效期起止日证书有效期时间有效期终止日证书有效期终止时间主题CN=张三必须有OU=风险管理与合规部部门名称(非必须)企业内个人需填写非企业内个人应无此区域.
O=中金金融认证中心有限公司企业内个人需填写,非企业内个人,本区域填写个人姓名L=北京个人身份ID上的市,省,国家,身份证号码S=北京C=CNSN=123456789012345678公钥RSA(2048)1.
2.
840.
10045.
2.
1(SM2算法标识符)颁发机构访问信息[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)AlternativeName:URL=http://ocsp.
cfca.
com.
cn/ocsp[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://gtc.
cfca.
com.
cn/identityoca/indentityoca.
cer颁发机构密钥标识符基本限制SubjectType=EndEntityPathLengthConstraint=None证书策略[1]CertificatePolicy:PolicyIdentifier=2.
16.
156.
112554.
5.
1[1,1]PolicyQualifierInfo:http://www.
cfca.
com.
cn/us/us-17.
htm为证书策略地址中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn86PolicyQualifierId=CPSQualifier:http://www.
cfca.
com.
cn/us/us-17.
htmCRL分发点[1]CRLDistributionPointDistributionPointName:FullName:http://crl.
cfca.
com.
cn/IdentityOCA/RSA/crl4.
crl文档签名证书的CRL分发点密钥用法数字签名不可否认主题密钥标识符增强密钥用法Email保护文档签名Adobe文档签名企业高级文档签名证书证书域域值版本V3序列号包含20位的随机数签名算法SHA256RSASM2/SM3(1.
2.
156.
10197.
1.
501)颁发者CN=CFCAIdentityOCAO=ChinaFinancialCertificationAuthorityC=CNCN=CFCAIdentitySM2OCAO=ChinaFinancialCertificationAuthorityC=CN有效期起止日证书有效期时间有效期终止日证书有效期终止时间主题CN=法定真实名称必须有OU=E-bankingnetwork部门名称(非必须)O=ChinaE-bankingnetwork法定的组织机构名称,如使用非官方名称,应能正确反映其组织机构名称,并且不能引起歧义.
如名称超过64字节,应使用缩写,但缩写不应引起对机构名称的歧异.
L=Beijing营业地址:包括国家、州或省、城市或乡镇、街道号码、邮编.
国家、州或省、城市或乡镇是必选项街道号码和邮编是可选项.
S=BeijingC=CNSN=123456789012345678证件号公钥RSA(2048)1.
2.
840.
10045.
2.
1(SM2算法标识符)颁发机构访问信息[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn87AlternativeName:URL=http://ocsp.
cfca.
com.
cn/ocsp[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://gtc.
cfca.
com.
cn/identityoca/indentityoca.
cer颁发机构密钥标识符基本限制SubjectType=EndEntityPathLengthConstraint=None证书策略[1]CertificatePolicy:PolicyIdentifier=2.
16.
156.
112554.
5.
1[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cfca.
com.
cn/us/us-17.
htmhttp://www.
cfca.
com.
cn/us/us-12.
htm为EV证书策略地址CRL分发点[1]CRLDistributionPointDistributionPointName:FullName:http://crl.
cfca.
com.
cn/IdentityOCA/RSA/crl4.
crl文档签名证书的CRL分发点密钥用法数字签名不可否认主题密钥标识符增强密钥用法Email保护文档签名Adobe文档签名中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn88个人普通文档签名证书证书域域值版本V3序列号包含20位的随机数签名算法SHA256RSASM2/SM3(1.
2.
156.
10197.
1.
501)颁发者CN=CFCAIdentityOCAO=ChinaFinancialCertificationAuthorityC=CNCN=CFCAIdentitySM2OCAO=ChinaFinancialCertificationAuthorityC=CN有效期起止日证书有效期时间有效期终止日证书有效期终止时间主题CN=张三必须有OU=风险管理与合规部部门名称(非必须)企业内个人需填写非企业内个人应无此区域.
O=中金金融认证中心有限公司企业内个人需填写,非企业内个人,本区域填写个人姓名L=北京个人身份ID上的市,省,国家,身份证号码S=北京C=CNSN=123456789012345678公钥RSA(2048)1.
2.
840.
10045.
2.
1(SM2算法标识符)颁发机构访问信息[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)AlternativeName:URL=http://ocsp.
cfca.
com.
cn/ocsp[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://gtc.
cfca.
com.
cn/identityoca/indentityoca.
cer颁发机构密钥标识符基本限制SubjectType=EndEntityPathLengthConstraint=None证书策略[1]CertificatePolicy:PolicyIdentifier=2.
16.
156.
112554.
5.
1[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cfca.
com.
cn/us/us-17.
htmhttp://www.
cfca.
com.
cn/us/us-17.
htm为证书策略地址中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn89CRL分发点[1]CRLDistributionPointDistributionPointName:FullName:http://crl.
cfca.
com.
cn/IdentityOCA/RSA/crl4.
crl文档签名证书的CRL分发点密钥用法数字签名不可否认主题密钥标识符增强密钥用法Email保护文档签名企业普通文档签名证书证书域域值版本V3序列号包含20位的随机数签名算法SHA256RSASM2/SM3(1.
2.
156.
10197.
1.
501)颁发者CN=CFCAIdentityOCAO=ChinaFinancialCertificationAuthorityC=CNCN=CFCAIdentitySM2OCAO=ChinaFinancialCertificationAuthorityC=CN有效期起止日证书有效期时间有效期终止日证书有效期终止时间主题CN=法定真实名称必须有OU=E-bankingnetwork部门名称(非必须)O=ChinaE-bankingnetwork法定的组织机构名称,如使用非官方名称,应能正确反映其组织机构名称,并且不能引起歧义.
如名称超过64字节,应使用缩写,但缩写不应引起对机构名称的歧异.
L=Beijing营业地址:包括国家、州或省、城市或乡镇、街道号码、邮编.
国家、州或省、城市或乡镇是必选项街道号码和邮编是可选项.
S=BeijingC=CNSN=123456789012345678证件号公钥RSA(2048)1.
2.
840.
10045.
2.
1(SM2算法标识符)颁发机构访问信息[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)AlternativeName:URL=http://ocsp.
cfca.
com.
cn/ocsp[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn90(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://gtc.
cfca.
com.
cn/identityoca/indentityoca.
cer颁发机构密钥标识符基本限制SubjectType=EndEntityPathLengthConstraint=None证书策略[1]CertificatePolicy:PolicyIdentifier=2.
16.
156.
112554.
5.
1[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cfca.
com.
cn/us/us-17.
htmhttp://www.
cfca.
com.
cn/us/us-12.
htm为EV证书策略地址CRL分发点[1]CRLDistributionPointDistributionPointName:FullName:http://crl.
cfca.
com.
cn/IdentityOCA/RSA/crl4.
crl文档签名证书的CRL分发点密钥用法数字签名不可否认主题密钥标识符增强密钥用法Email保护文档签名中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn91附录C可靠数据源数据源可靠性CFCA在决定一个数据源为可靠数据源之前,将对以下进行评估:1、数据提供时间,数据存在时间2、数据源更新时间、更新周期3、数据源的提供者和数据采集目的4、此数据源是否可公开访问的情况5、伪造或修改此数据源数据的难度如果数据源提供者为CFCA本身,或者CFCA的所有者,或者CFCA的下级机构,则不能作为各种身份和资质认证的可靠数据源.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有https://www.
cfca.
com.
cn92附录DCFCAIdentityCA电子认证业务规则1.
3约束CANO根CA根CA算法中级CA中级CA算法1CFCAIdentityCARSA4096/SHA256CFCAIdentityOCARSA2048/SHA256

香港云服务器 1核 1G 29元/月 快云科技

快云科技: 12.12特惠推出全场VPS 7折购 续费同价 年付仅不到五折公司介绍:快云科技是成立于2020年的新进主机商,持有IDC/ICP等证件资质齐全主营产品有:香港弹性云服务器,美国vps和日本vps,香港物理机,国内高防物理机以及美国日本高防物理机产品特色:全配置均20M带宽,架构采用KVM虚拟化技术,全盘SSD硬盘,RAID10阵列, 国内回程三网CN2 GIA,平均延迟50ms以下。...

RackNerd :美国大硬盘服务器促销/洛杉矶multacom数据中心/双路e5-2640v2/64G内存/256G SSD+160T SAS/$389/月

大硬盘服务器、存储服务器、Chia矿机。RackNerd,2019年末成立的商家,主要提供各类KVM VPS主机、独立服务器和站群服务器等。当前RackNerd正在促销旗下几款美国大硬盘服务器,位于洛杉矶multacom数据中心,亚洲优化线路,非常适合存储、数据备份等应用场景,双路e5-2640v2,64G内存,56G SSD系统盘,160T SAS数据盘,流量是每月200T,1Gbps带宽,配5...

Virmach款低价VPS可选可以选择多个机房,新增多款低价便宜VPS主机7.2美元起

Virmach商家我们是不是比较熟悉?速度一般,但是人家价格低,而且机房是比较多的。早年的时候有帮助一个有做外贸也许需要多个机房且便宜服务商的时候接触到这个商家,有曾经帮助够买过上百台这样的低价机器。这里需要提醒的,便宜但是速度一般,尤其是中文业务速度确实不快,如果是外贸业务,那肯定是没有问题。这几天,我们有看到Virmach推出了夏季优惠促销,VPS首年8折,最低年付仅7.2美元,多机房可选,如...

中移动否认限制号为你推荐
请阅读最后一页信息披露和重要声明thinkphpthinkphp与PHP的差别,怎么查看thinkphp编写的系统?centos6.5怎么用u盘安装centos6.5360arp防火墙在哪360ARP防火墙360防火墙在哪里设置360防火墙怎么开启啊 我要9.3的网站ipad购物车(淘宝)为什么推荐购物车购买,是什么意思啊?腾讯公司电话腾讯总公司服务热线是多少300051三五互联170号段和三五互联什么关系免费代理加盟哪有免费的代理可以做的?
如何注册域名 已备案域名注册 com域名抢注 krypt idc评测 阿里云os 荷兰服务器 美元争夺战 win8.1企业版升级win10 jsp空间 四核服务器 如何建立邮箱 银盘服务 闪讯官网 空间购买 登陆空间 视频服务器是什么 百度云加速 免费网络 hdsky 更多