证书中国钓鱼网站

中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn1中国金融认证中心全球信任体系电子认证业务规则(CertificationPracticeStatementOfCFCAGlobal-TrustSystem)V3.
3版权归属中金金融认证中心有限公司(任何单位和个人不得擅自翻印)2017年09月中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn2版本控制表版本修改状态修改说明修改人审核人/批准人生效期1.
0形成版本并审核通过CFCA安委会2011年06月2.
0添加增加了EV系统、OCA21的相关描述及要求,增加了证书类型描述及证书密钥等描述,将版本升级为2.
0,形成初稿赵改侠修改根据2013年4月7日安委会评审结论修改相关内容赵改侠CFCA安委会2013年4月2.
1修改依据BR的补充相关条款赵改侠CFCA安委会2014年3月3.
0修订发布了GT系统sha1密码算法的策略,增加了EVcodesignOCA系统、OVOCA、OVCodeSignOCA系统证书策略张翼、赵改侠CFCA安委会2015年8月3.
1修订更改EVCodeSign,OVSSL,OVCodeSign证书策略OID张翼CFCA安委会2015年8月3.
2修订根据2016年6月24日安委会评审结论修改相关内容赵烨昕CFCA安委会2016年6月3.
3修订删除CFCAGTCA及OCA2、OCA21等系统及所发放证书的相关内容,,CFCAGTOCA2在2016年1月1日后不再签发证书,CFCAOCA2的业务将由CFCAOVOCA承接.
CFCAOCA21在CFCA电子认证业务规则中描述;增加CAA查询的声明.
更正了版本信息孙圣男CFCA安委会2017年9月中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn3目录1概括性描述.
101.
1概述.
101.
2文档名称与相关标识.
111.
3电子认证活动参与者.
121.
3.
1电子认证服务机构.
121.
3.
2注册机构.
121.
3.
3订户131.
3.
4依赖方131.
3.
5其它参与者.
131.
3.
6受益者及责任.
131.
4证书应用.
141.
4.
1CFCA证书类型及适合的证书应用.
141.
4.
2受限的证书应用.
171.
4.
3禁止的证书应用.
171.
5策略管理.
171.
5.
1策略文档管理机构.
171.
5.
2联系方式.
181.
5.
3决定CPS符合策略的机构.
181.
5.
4CPS批准程序.
181.
6定义和缩写.
192信息发布与信息管理.
192.
1信息库.
192.
2认证信息的发布.
202.
3发布的时间或频率.
202.
4高风险信息库.
202.
5信息库访问控制.
213身份识别与鉴别213.
1命名.
213.
1.
1名称类型.
213.
1.
2对名称意义化的要求.
213.
1.
3订户的匿名或伪名.
223.
1.
4解释不同名称形式的规则.
223.
1.
5名称的唯一性.
223.
1.
6商标的识别、鉴别和角色.
223.
2初始身份确认.
233.
2.
1证明拥有私钥的方法.
233.
2.
2订户身份的鉴别.
233.
2.
3没有验证的订户信息.
393.
2.
4授权确认.
393.
2.
5互操作准则.
39中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn43.
3密钥更新请求的标识与鉴别403.
3.
1常规密钥更新的标识与鉴别.
413.
3.
2吊销后密钥更新的标识与鉴别.
413.
4证书变更.
413.
5吊销请求的标识与鉴别.
414证书生命周期操作要求.
424.
1证书申请.
424.
1.
1证书申请实体.
424.
1.
2注册过程与责任.
424.
2证书申请处理.
434.
2.
1执行识别与鉴别功能.
434.
2.
2证书申请批准和拒绝.
444.
2.
3处理证书申请的时间.
444.
3证书签发.
444.
3.
1证书签发中注册机构和电子认证服务机构的行为444.
3.
2电子认证服务机构和注册机构对订户的通告.
454.
4证书接受.
454.
4.
1构成接受证书的行为.
454.
4.
2电子认证服务机构对证书的发布.
454.
4.
3电子认证服务机构对其他实体的通告.
454.
5密钥对和证书的使用.
464.
5.
1订户私钥和证书的使用.
464.
5.
2依赖方对公钥和证书的使用.
474.
6证书密钥更新.
474.
6.
1证书密钥更新的情形.
474.
6.
2请求证书密钥更新的实体.
474.
6.
3证书密钥更新请求的处理.
484.
6.
4颁发更新证书时对订户的通告.
484.
6.
5构成接受密钥更新证书的行为.
484.
6.
6电子认证服务机构对密钥更新证书的发布.
484.
6.
7电子认证服务机构对其他实体的通告.
484.
7证书变更.
484.
8证书吊销和挂起.
484.
8.
1证书吊销的情形.
484.
8.
2请求证书吊销的实体.
504.
8.
3请求吊销的流程.
504.
8.
4吊销请求宽限期.
514.
8.
5CFCA处理吊销请求的时限514.
8.
6依赖方检查证书吊销的要求.
524.
8.
7CRL发布频率.
524.
8.
8CRL发布的最大滞后时间524.
8.
9在线证书状态查询的可用性.
524.
8.
10吊销信息的其他发布形式.
54中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn54.
8.
11对密钥遭受安全威胁的特别处理要求.
544.
8.
12证书挂起.
544.
8.
13EV代码签名证书的吊销信息保存.
544.
8.
14代码签名证书吊销后果.
544.
9证书状态服务.
554.
9.
1操作特征.
554.
9.
2服务可用性.
554.
10订购结束.
554.
11密钥生成、备份与恢复.
555认证机构设施、管理和操作控制.
565.
1物理控制.
565.
1.
1场地位置与建筑.
565.
1.
2物理访问.
565.
1.
3电力与空调.
575.
1.
4水患防治.
575.
1.
5火灾防护.
575.
1.
6介质存储.
575.
1.
7废物处理.
585.
1.
8数据备份.
585.
1.
9时间戳服务器证书物理控制.
585.
2程序控制.
585.
2.
1可信角色.
585.
2.
2每项任务需要的人数.
595.
2.
3每个角色的识别与鉴别.
595.
2.
4需要职责分割的角色.
595.
3人员控制.
605.
3.
1资格、经历和无过失要求.
605.
3.
2背景审查程序.
605.
3.
3培训要求.
615.
3.
4再培训周期和要求.
615.
3.
5工作岗位轮换周期和顺序.
625.
3.
6未授权行为的处罚.
625.
3.
7独立和约人的要求.
625.
3.
8提供给员工的文档.
625.
4审计日志程序.
625.
4.
1记录事件的类型.
625.
4.
2处理日志的周期.
635.
4.
3审计日志的保存期限.
635.
4.
4审计日志的保护.
635.
4.
5审计日志备份程序.
635.
4.
6审计收集系统.
645.
4.
7对导致事件主体的通告.
645.
4.
8脆弱性评估.
64中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn65.
5记录归档.
645.
5.
1归档记录的类型.
645.
5.
2归档记录的保存期限.
645.
5.
3归档文件的保护.
655.
5.
4归档文件的备份程序.
655.
5.
5记录的时间戳要求.
665.
5.
6归档收集系统.
665.
5.
7获得和检验归档信息的程序.
665.
6电子认证服务机构密钥更替665.
7损坏与灾难恢复.
675.
7.
1事故和损害处理流程.
675.
7.
2计算资源、软件和/或数据的损坏.
685.
7.
3实体私钥损害处理程序.
695.
7.
4灾难后的业务连续性能力.
695.
8电子认证服务机构或注册机构的终止696认证系统技术安全控制.
706.
1密钥对的生成和安装.
706.
1.
1密钥对的生成.
706.
1.
2私钥传送给订户.
716.
1.
3公钥传送给证书签发机构.
726.
1.
4电子认证服务机构公钥传送给依赖方.
726.
1.
5密钥的长度.
726.
1.
6公钥参数的生成和质量检查.
726.
1.
7密钥使用目的.
736.
2私钥保护和密码模块工程控制746.
2.
1密码模块标准和控制.
746.
2.
2私钥多人控制.
756.
2.
3私钥托管.
756.
2.
4私钥备份.
756.
2.
5私钥归档.
756.
2.
6私钥导入、导出密码模块.
766.
2.
7私钥在密码模块的存储.
766.
2.
8激活私钥的方法.
766.
2.
9解除私钥激活状态的方法.
776.
2.
10销毁私钥的方法.
776.
2.
11密码模块的评估.
776.
3密钥对管理的其它方面.
776.
3.
1公钥归档.
776.
3.
2证书操作期和密钥对使用期限.
786.
4激活数据.
786.
4.
1激活数据的产生和安装.
786.
4.
2激活数据的保护.
796.
4.
3激活数据的其他方面.
79中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn76.
5数据安全控制.
806.
5.
1制定安全方案确保数据安全目标.
806.
5.
2安全方案定期风险评估.
806.
5.
3安全计划.
806.
6计算机安全控制.
816.
6.
1特别的计算机安全技术要求.
816.
6.
2计算机安全评估.
816.
7生命周期技术控制.
816.
7.
1根密钥控制.
816.
7.
2系统开发控制.
826.
7.
3安全管理控制.
826.
7.
4生命期的安全控制.
826.
8网络的安全控制.
836.
9时间信息.
837证书、证书吊销列表和在线证书状态协议837.
1证书.
837.
1.
1版本号847.
1.
2证书扩展项.
847.
1.
3算法对象标识符.
867.
1.
4主题名称.
867.
1.
5名称限制.
877.
1.
6证书策略及对象标识符.
877.
1.
7策略限制扩展项的用法.
887.
1.
8策略限定符的语法和语义.
887.
1.
9关键证书策略扩展项的处理规则.
887.
2CRL.
897.
2.
1版本号897.
2.
2CRL和CRL条目扩展项897.
3在线证书状态协议.
898认证机构审计和其它评估908.
1评估的频率或情形.
908.
2评估者的资质.
908.
3评估者与被评估者的关系918.
4评估内容.
918.
5对问题与不足采取的措施918.
6评估结果的传达与发布.
928.
7其他评估.
929法律责任和其他业务条款929.
1费用.
929.
1.
1证书签发和更新费用.
929.
1.
2证书查询费用.
939.
1.
3证书吊销或状态信息的查询费用.
93中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn89.
1.
4其它服务费用.
939.
1.
5退款策略.
939.
2财务责任.
939.
2.
1保险范围.
939.
2.
2其它资产.
949.
2.
3对最终实体的保险或担保范围.
949.
3业务信息保密.
949.
3.
1保密信息范围.
949.
3.
2不属于保密的信息.
949.
3.
3保护机密信息的责任.
959.
4个人信息私密性.
959.
4.
1隐私保密方案.
959.
4.
2作为隐私处理的信息.
959.
4.
3不被视作隐私的信息.
969.
4.
4保护隐私的责任.
969.
4.
5使用隐私信息的告知与同意.
969.
4.
6依法律或行政程序的信息披露.
969.
4.
7其它信息披露情形.
979.
5知识产权.
979.
6陈述与担保.
979.
6.
1电子认证服务机构的陈述与担保.
979.
6.
2注册机构的陈述与担保.
989.
6.
3订户的陈述与担保.
999.
6.
4依赖方的陈述与担保.
1019.
6.
5其它参与者的陈述与担保.
1019.
7担保免责.
1019.
8有限责任.
1029.
9CFCA承担赔偿责任的限制.
1029.
10有效期限与终止.
1039.
10.
1有效期限.
1039.
10.
2终止1049.
10.
3终止后的存续条款.
1049.
11对参与者的个别通告与沟通1049.
12修订.
1049.
12.
1修订程序.
1049.
12.
2通知机制和期限.
1059.
12.
3必须修改业务规则的情形.
1059.
13争议解决.
1059.
14管辖法律.
1069.
15与适用法律的符合性.
1069.
16一般条款.
1079.
16.
1本CPS的完整性1079.
16.
2转让1079.
16.
3分割性107中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn99.
16.
4强制执行.
1079.
16.
5不可抗力.
1079.
17其它条款.
108中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn101概括性描述1.
1概述中国金融认证中心,即中金金融认证中心有限公司(ChinaFinancialCertificationAuthority,英文简称CFCA),是由中国人民银行于1998年牵头组建、经国家信息安全管理机构批准成立的国家级权威安全认证机构,是国家重要的金融信息安全基础设施之一,也是《中华人民共和国电子签名法》颁布后,国内首批获得电子认证服务许可资质的电子认证服务机构之一.
电子认证业务规则(CPS,CertificationPracticeStatement)是关于认证机构(CA,CertificationAuthority)在全部数字证书(以下简称证书)服务生命周期(如签发、吊销、更新)中的业务实践所遵循规范的详细描述和声明,是对相关业务、技术和法律责任方面细节的描述.
本CPS是CFCA全球信任体系下的业务规则.
CFCA的全球信任体系结构如下图所示.
CFCA的所有CA,包含子CA均由CFCA所有,由CFCA完全直接控制.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn11由于SHA1密码算法被评估为有安全受破解威胁的算法,CFCA决定于2016年1月1日起,GT下CFCAOCA2停止签发带有SHA1密码算法的SSL服务器证书和代码签名证书,已签发的使用SHA1密码算法的有效期超过2017年1月1日的证书,CFCA将协助用户更换为SHA256密码算法的证书.
根据业务规则标准的调整,CFCAOCA21的声明调整至CFCA电子认证业务规则中.
本文档的编写遵从IETFRFC3647(InternetX.
509PublicKeyInfrastructureCertificatePolicyandCertificationPracticesFramework,公钥基础设施证书策略和证书运行框架)、十届全国人大常委会表决通过的并于2005年4月1日正式实施的《中华人民共和国电子签名法》、国家密码管理局颁布的《证书认证系统密码及相关安全技术规范》、《电子认证服务密码管理办法》、中华人民共和国工业和信息化部颁布的《电子认证服务管理办法》、《电子认证业务规则规范(试行)》,以及最新的《webtrust》、《EV证书指导准则》、《EV代码签名证书指导准则》、《Baseline-Requirements》及CA的一般运作规范.
CFCA遵循WebTrust相关要求,并通过外部审计师审计;CFCA获取了主管单位中华人民共和国工业和信息化部颁发的电子认证服务许可等资质,并处于资质有效期内.
1.
2文档名称与相关标识此文档的名称为《CFCA全球信任体系电子认证业务规则(CFCAGlobal-TrustCPS)》.
CFCA向国家OID注册管理中心注册了相应的对象标识符(OID),本文档的OID为:2.
16.
156.
112554.
2.
本文档涉及到的证书OID如下:中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn12OCA2签发的SSL服务器证书定义了OID为2.
16.
156.
112554.
2.
1;EVSSL服务器证书定义的OID为2.
16.
156.
112554.
3;EVCodeSign证书的OID为2.
16.
156.
112554.
3.
2;OVSSL服务器证书的OID为2.
16.
156.
112554.
4.
1;OVCodeSign证书的OID为2.
16.
156.
112554.
4.
2.
1.
3电子认证活动参与者本文中所包含的电子认证活动参与者有:电子认证服务机构、注册机构、订户、依赖方以及其它参与者,下面将分别进行描述.
1.
3.
1电子认证服务机构电子认证服务机构CA(CertificationAuthority)承担证书签发、更新、吊销、密钥管理、证书查询、证书黑名单(又称证书吊销列表或CRL)发布、政策制定等工作.
1.
3.
2注册机构注册机构RA(RegistrationAuthority)负责订户证书的申请受理、审批和管理,直接面向证书订户,并负责在订户和CA之间传递证书管理信息.
CFCA全球信任体系下的EVOCA、EVCodeSignOCA、OVOCA、OVCodeSignOCA的注册机构设在CFCA内部,由CFCA本身承担RA职责,不委托其它机构行使此职责.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn131.
3.
3订户订户是指向CFCA申请证书的实体.
需要明确的是,证书订户与证书主体是两个不同的概念.
"证书订户"是指向CFCA申请证书的实体,通常为个人或机构;"证书主体"是指与证书信息绑定的实体,服务器证书中的"证书主体"通常是指受信任的服务器或用于确保与某一机构安全通信的其它设施.
证书订户需要承担相应的责任与义务,而证书主体则是证书所要证明的可信赖方.
1.
3.
4依赖方依赖方是指信赖于证书所证明的基础信任关系并依此进行业务活动的实体.
1.
3.
5其它参与者除电子认证服务机构(CFCA)、订户和依赖方以外的参与者称为其它参与者.
1.
3.
6受益者及责任CFCA全球信任体系证书相关联的参与者均为受益者.
1.
受益方CFCA全球信任体系下的证书可以为下述机构提供信赖保证:(1)所有提交订户协议的订户(2)获取证书的申请者中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn14(3)获取证书的软件供应商(4)证书在生效期间的信赖方2.
全球信任体系下的证书可提供的保证(1)证书拥有者的合法存在性(2)证书拥有者的身份经过有效识别(3)证书拥有者对域名的所有权/唯一使用权(4)证书拥有者获取了CA授权,证书中所有区域均经过验证.
(5)证书中关于证书拥有者信息的准确性(6)提交订户协议(7)证书状态7*24小时可查询(8)CA根据CPS规则,废止不符合生效条件的证书1.
4证书应用1.
4.
1CFCA全球信任证书类型及适合的证书应用服务器证书代码签名证书EVOCA√(EVSSL全球服务器证书EVCodeSignOCA√(EV代码签名证书)OVOCA√(OVSSL全球服务器证书)OVCodeSignOCA√(OV代码签名证书)CFCAEVROOT仅用于签发下级CA证书,不签发最终订户证书.
1.
4.
1.
1CFCAOVSSL全球服务器证书CFCAOVSSL全球服务器证书:该类证书包含通配符证书、多域名证书类型.
该类证书适合应用在网上银行、电子商务、电子政务、企业信息化以及公中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn15共服务等各领域,用于在订户浏览器与Web服务器之间建立安全通道,实现数据信息在客户端与服务器之间的加密传输,防止数据信息的泄露;订户或依赖方可以通过服务器证书验证所访问的网站是否真实可靠,实现网站身份的真实性确认,为建设网络信任环境提供基础性信任服务.
CFCAOVSSL服务器证书由CFCAGTOCA2签发SHA1算法证书(在2016年1月1日后不再签发证书,CFCAGTOCA2的业务将由CFCAOVOCA承接,CFCAGTOCA21的CPS在CFCA电子认证业务规则中描述),由CFCAOVOCA签发SHA256证书,密钥长度为RSA-2048或者SM2-256.
CFCA提供OVSSL全球服务器证书试用服务,用户可通过CFCA证书试用平台申请OVSSL全球服务器证书试用证书,试用证书有效期1个月.
试用证书的审核流程与正式申请流程一样.
1.
4.
1.
2CFCAEVSSL全球服务器证书CFCAEVSSL全球服务器证书是经过严格的身份验证后签发的用于确保网站与客户之间安全的信息传输,提供更加详细的认证信息的一种服务器证书.
CFCA签发的EVSSL全球服务器证书的目的如下:1.
主要目的:(1)确保用户访问网站的真实性和可靠性:如用户访问的网站使用了CFCA签发的EVSSL服务器证书,即表明了该网站是由合法的实体控制,其名称、地址、注册信息等内容已经通过有效的验证,其网站内容真实可靠.
(2)实现数据信息在客户端与服务器之间的加密传输:通过密钥交换,中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn16确保用户在浏览器与网站之间数据加密传输.
2.
次要目的:(1)EV证书比普通证书申请时验证的信息更详细、签发的门槛更高,可以有效防止钓鱼网站或其他欺诈网站取得认证.
(2)为用户提供信赖程度更高的标识,识别出他们真正要访问的网站,避免访问钓鱼网站、欺诈网站.
(3)CFCA记录有签发证书的申请者的真实信息,可以协助司法调查,识别、发现钓鱼网站、欺诈网站.
3.
其他EV证书只针对申请机构的身份进行识别,并提供合理保证;申请机构获取EV证书并不意味其业务行为合规,EV证书也不针对申请机构业务行为提供任何保证,例如:(1)获取EV证书的机构能否持续经营(2)获取EV证书的机构业务行为是否合法(3)获取EV证书的机构是否在交易中诚信、是否拥有良好的口碑(4)与获取EV证书的机构交易是否安全CFCAEVSSL全球服务器证书由CFCAEVOCA签发.
1.
4.
1.
3代码签名证书对代码拥有者的身份进行标识,用于代码发行中的签名,以保护代码的完整性和安全性.
代码签名证书分普通代码签名证书和EV代码签名证书,普通代码签名证书由OVCodeSignOCA签发;EV代码签名证书,由EVCodeSign中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn17OCA签发.
CFCA自该CPS发布起不再签发SHA1密码算法的代码签名证书.
EV代码签名证书安全程度进一步增强,密钥必须保存在安全介质如加密机或者U盾中,EV代码签名必须强制使用时间戳服务.
1.
4.
2受限的证书应用CFCA全球信任体系下的证书根据其类型在功能上有所限制,比如CFCAEVSSL服务器证书只能用于经过严格认证的WEB服务器.
各类证书的密钥用法在订户证书中的扩展项中进行了限制.
然而基于证书扩展项限制的有效性取决于应用软件,如果参与方不遵守相关约定,其对证书的应用超出本CPS限定的应用范围,将不受CFCA的保护.
1.
4.
3禁止的证书应用CFCA全球信任体系下签发的证书不能在如下领域使用:任何与国家或地方法律、法规规定相违背的应用系统.
1.
5策略管理1.
5.
1策略文档管理机构本CPS的策略文档管理机构为CFCA风险管理与合规部.
当需要编写或修订本CPS时,由风险管理与合规部牵头组织相关人员成"CPS编写组",总经理也可以根据需要临时设立"CPS编写组",并指定编写组负责人.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn181.
5.
2联系方式如对本CPS有任何疑问,请与CFCA风险管理与合规部联系:电话:010-50955020传真:010-63555032邮件:cps@cfca.
com.
cn地址:中国北京西城区菜市口南大街平原里20-31.
5.
3决定CPS符合策略的机构"CPS编写组"拟定初稿或修订稿后,交由公司"安全管理委员会"审议,"安委会"将负责评估CPS是否符合相关要求,如果符合,将报总经理审批.
总经理审批同意后,本CPS方可对外发布,并自发布之日起20天内向行业主管部门报备.
1.
5.
4CPS批准程序"CPS编写组"负责起草CPS形成讨论稿,并征求公司领导和各部门负责人意见,经讨论、修改达成一致意见后形成送审稿.
"CPS编写组"负责将CPS送审稿提交公司"安委会"审阅.
在取得"安委会"评审意见后,"CPS编写组"据此进行修改并提交风险管理与合规部,由风险管理与合规部确定CPS文本格式和版本号,形成定稿.
CPS定稿经公司各部门负责人及分管领导审阅后,报总经理审批.
总经理审批同意后,方可对外发布CPS.
发布形式应符合行业主管部门等相关主管部门要求,包括但不限于公司网站(http://www.
cfca.
com.
cn)公布和向客户或合作对中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn19象书面提交.
发布工作由风险管理与合规部协调相关部门完成.
CPS的网上发布遵照《CFCA网站管理办法》执行.
自CPS发布之日起,所有以各种形式对外提供的CPS必须与网站公布的CPS保持一致.
风险管理与合规部负责自发布之日起20天内向行业主管部门报备.
风险管理与合规部定期对CPS的内容进行审查(通常为一年一次),以确定是否需要进行修订.
各部门也可根据业务发展变化需要及时向风险管理与合规部提出修订申请.
本CPS也可以根据所遵循标准的要求,提出修订申请.
当修订内容具有重大变更时,CFCA将按照与初次编写相同的流程进行;当修订内容变动较小时,由风险管理与合规部修订完成后报各部门负责人及公司领导审阅,并经总经理审批同意后立即在公司网站上发布.
每次修订完成后均需由风险管理与合规部自发布之日起20日内向行业主管部门报备.
1.
6定义和缩写见附录《定义和缩写》2信息发布与信息管理2.
1信息库CFCA信息库面向订户及证书应用依赖方提供信息服务.
CFCA信息库包括但不限于以下内容:证书、CRL、CPS、CP、证书服务协议、技术支持手册、CFCA网站信息以及CFCA不定期发布的信息.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn202.
2认证信息的发布CFCA的CPS、CP以及相关的技术支持信息等在CFCA网站上发布.
用户证书可通过CFCA证书下载平台获取,本CPS管理的证书原则上不公开发布,仅在数据库中发布;已被吊销了的证书的信息可从CRL站点查获,证书的状态(有效、吊销)可通过OCSP服务获得.
2.
3发布的时间或频率CPS、CP以及相关业务规则在完成1.
5.
4所述的批准流程后的15个工作日内发布到CFCA网站上,并可确保7X24小时可访问;CRL信息将在24小时内更新;订户有特殊要求的,将根据订户的需求,适当更新CRL发布的频率.
CFCA签发的CRL信息,根据需要,也可以人工方式实时发布.
2.
4高风险信息库CFCA将维护内部数据记录,用于记录所有曾经因为网络钓鱼可疑或可能被其他欺诈手段利用的原因被吊销或拒绝申请的证书信息(包括EV证书),这些证书的申请机构在今后的身份验证中标识为可能的高风险证书申请.
在进行身份验证时CFCA将申请机构与一些高风险机构名单进行比对,主要是指最有可能成为网络钓鱼或其他身份欺诈目标的组织机构,自动在申请阶段将其标记为"高风险申请者",确保证书在签发前申请机构的身份得到充分验证.
这些组织名单有:1)参考国际反钓鱼工作组(APWG)及中国反钓鱼联盟(APAC)公布的中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn21钓鱼目标名单;2)CFCA将因为可能遭到网络钓鱼或其他身份欺诈攻击而吊销其OVSSL全球服务器、EVSSL全球服务器证书,CFCA将把这些被拒绝的申请者的组织机构标记为"高风险申请者",并且作为今后识别高风险申请机构的依据.
CFCA将拒绝处于高风险信息库中的证书申请.
2.
5信息库访问控制CFCA的安全访问控制机制确保只有经过授权的人员才能编写和修改信息库中的信息,但不限制对这些信息的阅读权.
3身份识别与鉴别3.
1命名3.
1.
1名称类型CFCA全球信任体系下签发的证书根据证书类别的不同,签发的证书主体名字可能是个人名称、组织机构名称、部门名称、组织机构信息与个人信息组合体,域名、设备名称等,命名符合X.
500定义的甄别名规范.
DN的详细说明见本CPS的7.
1.
4.
3.
1.
2对名称意义化的要求DN(DistinguishedName):唯一甄别名,在数字证书的主体名称域中,用于唯一标识证书主体的X.
500名称.
此域需要填写反映证书主体真实身份的、中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn22具有实际意义的、与法律不冲突的内容.
EVSSL全球服务器证书的甄别名称中的通用名只能是订户机构所拥有的域名,结合该订户机构的其他信息一起被鉴别和认证.
OVSSL全球服务器证书的甄别名称中的通用名可以是订户所拥有的域名或者外网IP,结合该订户的其他信息一起被鉴别和认证.
代码签名证书的甄别名称中的组织机构名称必须是证书订户的真实名称,通用名称必须是有效证件上的真实名称.
CFCA将对有效证件进行鉴别.
3.
1.
3订户的匿名或伪名使用匿名的订户提交的证书申请材料不符合CFCA的审核要求,将无法通过审核,也无法获得证书和服务.
使用伪名或伪造材料申请的证书无效,一经证实立即予以吊销.
3.
1.
4解释不同名称形式的规则DN的命名规则由CFCA定义,详见本CPS7.
1.
4的说明.
3.
1.
5名称的唯一性CFCA保证其签发的证书,其主题甄别名,在CFCA的信任域内是唯一的.
3.
1.
6商标的识别、鉴别和角色CFCA签发的证书不包含任何商标或者可能对其他机构构成侵权的信息.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn233.
2初始身份确认3.
2.
1证明拥有私钥的方法证明订户拥有私钥的方法是通过pkcs#10所包含的的数字签名来完成的.
CFCA在为订户签发证书前,系统将自动使用订户的公钥验证其私钥签名的有效性和申请数据的完整性,以此来判断订户拥有私钥.
3.
2.
2订户身份的鉴别订户在申请CFCA全球信任体系签发的证书前应指定并书面授权证书的申请代表,提供有效身份证明文件、证书申请文件,并接受证书申请的有关条款,同意承担相应的责任.
CFCA或者CFCA授权的代理机构接受订户的证书申请后,应对订户的身份真实性进行审核,并按照双方的约定妥善保存订户申请材料.
3.
2.
2.
1OVSSL全球服务器证书订户身份的鉴别订户如需要申请OVSSL全球服务器证书,可以向CFCA或者CFCA授权的代理机构提交申请,CFCA可以受理机构订户、个人订户的申请.
OVSSL全球服务器证书可以包含多域名、通配符证书.
订户申请OVSSL全球服务器证书时,应提交如下材料:1、证书申请表2、至少一种机构身份证件(个人订户不适用)3、申请人的个人身份证件中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn244、机构授予申请人的授权证明(个人订户不适用)5、拥有公网IP的证明(域名型的不需要)6、证书申请CSR文件CFCA除对申请者的身份、地址信息、国家信息等进行鉴别外,还要对域名(ip)及CSR合规性进行鉴别.
其鉴别流程方法如下.
通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
如域名申请者与在(whois)查询到的结果不一致,则订户可提供授权证明或者CFCA采取邮件方式询问是否授权给证书申请者使用.
对于公网IP的鉴别,订户可提供ISP商分配IP的纸质盖章证明材料或者ISP的邮件证明材料.
如果申请通配符域名证书,CFCA将鉴别其拥有的二级域名.
对于多域名证书,CFCA将对所有列举的域名进行鉴别.
对于CSR文件的鉴别主要包含,CSR中的信息是否与申请表中的申请信息一致,是否符合相关规范,比如DN的顺序等,并验证其是否拥有私钥.
对于中国大陆境内的个人网站经营者,当申请CFCAOVSSL证书时,除提交以上材料外,还需提供个人网站运营许可的相关证明.
3.
2.
2.
2EVSSL全球服务器证书订户身份的鉴别订户如需要申请EVSSL全球服务器证书,可以向CFCA或者CFCA授权的代理机构提交申请.
申请信息只能是web服务器的域名,并且域名不能包含通配符*,不受理IP地址的申请,EVSSL全球服务器证书可以是多域名证书;中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn25申请者只能是企业、事业单位、组织社团、政府机构等机构订户.
且申请机构需要满足如下条件:1、企业:比如上市公司、个体企业、国有企业等应满足如下条件(1)获得当地监管机构承认的合法组织,或获得当地政府的特许;(2)组织/注册监管机构认定的注册代表处或注册公司;(3)不在组织/监管机构的"停业"、"无效"、"过期"名单之列;(4)至少有一个合法有效的授权代表;(5)在订户申请材料中必须明确单位的授权代表;(6)拥有固定的营业场所;(7)公司注册地,营业执照,营业场所所在地法律允许CA签发证书的国家;(8)不在中国的政府黑名单之列.
2.
事业单位:比如医院、学校等,应满足以下条件:(1)在当地注册机构注册的按照相关手续合法成立的组织,可以在注册机构查询到其信息;(2)拥有固定的营业场所;(3)使用的常用名要可以代表该单位;(4)至少有一个合法有效的授权代表;(5)在订户申请材料中必须明确单位的授权代表;(6)所在国家允许CFCA签发证书;中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn26(7)不在中国的政府黑名单之列.
3.
组织社团:比如社会团体、民办非企业单位和基金会等,应满足以下条件:(1)至少由国家政府授权特许或商定的国际组织;(2)所在地必须是允许CA签发证书的国家和地区;(3)不在中国的政府黑名单之列.
4.
政府机构:比如公安局、税务局等,应满足以下条件:(1)经由上级按照其职能批准建立;(2)所在国家允许CA签发证书;(3)不在中国的政府黑名单之列.
5.
国际组织(1)由一国政府机构签署成立的私人基金、财团或等同机构.
CAB论坛会维护可以申请EV证书的国际机构列表;(2)国际机构总部所在地必须允许CFCA从事电子认证业务或认可CFCA数字证书有效性;(3)国际机构不能在任何政府所列的禁止名单(如贸易禁运)上.
其子机构或分支机构根据准则要求也可申请EV证书.
6.
申请机构应拥有的角色申请单位需要如下的角色(需要申请单位提供授权委托书):审批人:申请单位主管人员申请人:申请单位经办人员中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn27签署人:申请的协议的签署人申请代理人:在CA与申请者是关联方,且双方有适用于EV证书的使用准则的情况下,申请者需要设定申请代理人角色,代表申请者认可证书的使用准则.
证书申请机构可授权一个人来完成所有的角色,也可以分别让多个人来完成.
EV证书的申请者必须是被授权的自然人.
申请者必须是申请单位的职员或被授权的代理人(需要有申请单位授权书或第三方的证明材料).
7.
申请机构的域名(1)申请机构拥有EV证书中的域名所有权或唯一使用权;(2)域名注册信息应公开在WHOIS数据库,包括申请机构名称、地址和联系方式;(3)申请机构需意识到对域名拥有所有权或唯一使用权.
8.
申请EVSSL证书应提交的材料订户可在CFCA网站上下载EV证书申请表,此表附带有相关协议内容及订户遵守本CPS中规定的相关内容的承诺,订户签署该表,视同签署了EVSSL服务器证书购买协议,具有法律效力.
申请CFCAEVSSL服务器证书时,订户应向CFCA提交如下材料:1)EV证书申请表:订户应按照申请表的要求,准确无误填写如下信息:法定的机构名称信息,不允许使用其他常用名称正确的域名信息证件颁发机构中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn28证件注册编码地址申请提交人与审批人机构电话机构内部的邮箱地址或者经过认证的邮件地址主管人及经办人联系信息签署人的姓名及签字2)机构身份证明证件的复印件:允许的证件类型参照3.
2.
2.
7提交3)主管人及经办人身份证件材料:1(仅事业单位需要主管人材料)经办人的身份证复印件主管人的身份证复印件,4)机构给经办人的授权文件5)律师函及律师证:法律顾问亲笔签署的企业存在证明文件,并提供法律顾问的律师证复印件6)CSR文件以上材料除5、6外均需加盖机构公章,并应承诺以下信息:(1)信息准确性(2)私钥安全性(3)证书使用恰当1主管人:是一个组织的所有者、合伙人、高管、总监或高级职员,或者是经过该组织授权的人员来执行EV证书的申请、发布与使用等相关业务操作.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn29(4)报告证书吊销(5)EV证书的验收(6)停止使用过期或吊销的证书9.
CFCA对EVSSL证书申请的鉴别过程(1)订户身份鉴别:申请机构的身份合法性关注要点企业:合法性、机构正式名称、注册编号、注册机构、EV证书负责人事业单位:合法性、机构正式名称、注册编号、EV证书负责人政府机构:合法性、机构正式名称、注册编号、EV证书负责人社团组织:合法性、机构正式名称、注册编号、EV证书负责人验证申请机构的身份合法性方法通过"全国组织机构代码管理中心"http://www.
nacao.
org.
cn/查询组织代码证真伪查询工商注册信息,验证申请机构身份信息查询税务登记信息,验证申请机构身份信息向申请机构的上级主管单位查询必须直接通过合格的独立信息来源进行验证对机构验证的内容中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn30申请机构身份信息是否存在,其固定的经营场所将通过权威的第三方来源进行验证.
申请机构身份信息是否准确,例如:名称、组成形式、注册编号、法人、注册资本、成立日期、年检时间等.
如果申请机构运行未超过三年,并且没有被列示在合格的独立信息来源(例如,组织代码证查询网站)或政府税务信息来源中(例如:税务登记证),CFCA将通过必要的手段验证其持续经营的能力.
比如申请者向CFCA提供金融机构为其提供的拥有一定金额的活期储蓄账户证明等方法.
对申请机构EV证书负责人的身份进行验证必须经过视频等面对面的方法进行验证.
两份书面身份证明材料(事业单位):一份是身份证;或者是其他证明文件,可包括电话账单、出生证明、纳税证明、社保证明、驾照、护照等.
CFCA审核员将通过公安部门的身份证查询平台进行验证身份信息或者其他第三方权威信息库查询.
申请单位出具的EV证书负责人授权文件.
CFCA通过拨打固定电话(必须是之前验证过的公司电话总机)与授权人联系确认,申请人、审批人已经获得了申请、审批EV证书申请的权力.
CFCA要通过拨打固定电话(必须是之前验证过的公司电话总机)与申请机构HR部门联系,确认申请人、审批人、授权人的名称、岗位、职务.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn31(2)域名鉴别:通过域名注册信息查询(whois)功能,得到所申请域名证书的域名注册者资料,查看域名注册者是否和域名证书申请者一致,初步审核确定域名证书申请者确实拥有此域名.
如果域名注册信息是保密的,但域名注册机构提供联系域名注册拥有者的服务,那么CFCA可以通过域名注册机构以电子邮件或书面邮件的方式与申请机构联系.
如域名申请者与在(whois)查询到的结果不一致,则订户可提供授权证明或者CFCA采取邮件方式询问是否授权给证书申请者使用.
以便确认申请人获取了域名唯一使用授权.
如申请证书的域名与知名网站域名比较相似,则CFCA会进行多层审查,并通过高风险信息库进行比对,以防止相似形欺诈域名申请证书.
(3)、CSR符合性鉴别:CFCA将验证证书订户提交的CSR内容,检查是否与申请信息一致,是否符合相关规范,并验证其是否拥有私钥.
(4)、EVSSL全球服务器证书公钥证书分发CFCA为订户签发公钥证书,并以邮件方式将签发的公钥证书交付给订户.
3.
2.
2.
3代码签名证书的身份鉴别订户如需要申请OV代码签名证书,只能向CFCA提交申请,CFCA受理个人用户和机构订户申请该类证书.
代码签名证书应提交如下材料:1、证书申请表(包含订户协议与订户遵循本CPS规定相关内容的承诺)中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn322、至少一种机构身份证件(申请企业/组织证书)(个人不需要)3、申请人的个人身份证件4、机构授予申请人的授权证明(申请企业/组织证书)5、证书申请CSR文件(证书存放在CFCA提供的智能密码钥匙中时不需要提供).
CFCA对申请者的身份、地址信息、国家信息等进行鉴别,其鉴别流程方法如下:对于CSR文件的鉴别主要包含:CSR中的信息是否与申请表中的申请信息一致,如CSR申请信息与申请表中的不一致,则以申请表为准;是否符合相关规范,比如DN的顺序等;验证其是否拥有私钥.
如果验证对象为企业,需验证用户企业的合法性、企业的实体存在和商业行为的存在(此企业有正常的商业行为),还要认证申请人是否有资格代表企业.
CFCA不对申请订户的代码进行鉴别.
订户如需要申请EV代码签名证书,只能向CFCA提交申请.
申请信息中不能包含域名或者IP,申请者只能是企业、事业单位、组织社团、政府机构等机构订户.
且申请机构需要满足如下条件:1、企业:比如上市公司、个体企业、国有企业等应满足如下条件(1)获得当地监管机构承认的合法组织,或获得当地政府的特许;(2)组织/注册监管机构认定的注册代表处或注册公司;(3)不在组织/监管机构的"停业"、"无效"、"过期"名单之列;(4)至少有一个合法有效的授权代表;中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn33(5)在订户申请材料中必须明确单位的授权代表;(6)拥有固定的营业场所;(7)公司注册地,营业执照,营业场所所在地法律允许CA签发证书的国家;(8)不在中国的政府黑名单之列.
2.
事业单位:比如医院、学校等,应满足以下条件:(1)在当地注册机构注册的按照相关手续合法成立的组织,可以在注册机构查询到其信息;(2)拥有固定的营业场所;(3)使用的常用名要可以代表该单位;(4)至少有一个合法有效的授权代表;(5)在订户申请材料中必须明确单位的授权代表;(6)所在国家允许CFCA签发证书;(7)不在中国的政府黑名单之列.
3.
组织社团:比如社会团体、民办非企业单位和基金会等,应满足以下条件:(1)至少由国家政府授权特许或商定的国际组织;(2)所在地必须是允许CA签发证书的国家和地区;(3)不在中国的政府黑名单之列.
4.
政府机构:比如公安局、税务局等,应满足以下条件:中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn34(1)经由上级按照其职能批准建立;(2)所在国家允许CA签发证书;(3)不在中国的政府黑名单之列.
5.
国际组织(1)由一国政府机构签署成立的私人基金、财团或等同机构.
CAB论坛会维护可以申请EV证书的国际机构列表;(2)国际机构总部所在地必须允许CFCA从事电子认证业务或认可CFCA数字证书有效性;(3)国际机构不能在任何政府所列的禁止名单(如贸易禁运)上.
其子机构或分支机构根据准则要求也可申请EV证书.
6.
申请机构应拥有的角色申请单位需要如下的角色(需要申请单位提供授权委托书):审批人:申请单位主管人员申请人:申请单位经办人员签署人:申请的协议的签署人申请代理人:在CA与申请者是关联方,且双方有适用于EV证书的使用准则的情况下,申请者需要设定申请代理人角色,代表申请者认可证书的使用准则.
证书申请机构可授权一个人来完成所有的角色,也可以分别让多个人来完成.
EV证书的申请者必须是被授权的自然人.
申请者必须是申请单位的职员或被授权的代理人(需要有申请单位授权书或第三方的证明材料).
7.
申请EV代码签名证书应提交的材料中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn35订户可在CFCA网站上下载EV证书申请表,此表附带有相关协议内容及订户遵守本CPS中规定的相关内容的承诺,订户签署该表,视同签署了EV证书购买协议,具有法律效力.
申请CFCAEV代码签名证书时,订户应向CFCA提交如下材料:1)EV证书申请表:订户应按照申请表的要求,准确无误填写如下信息:法定的机构名称信息,不允许使用其他常用名称正确的域名信息证件颁发机构证件注册编码地址申请提交人与审批人机构电话机构内部的邮箱地址或者经过认证的邮件地址主管人及经办人联系信息签署人的姓名及签字2)机构身份证明证件的复印件:允许的证件类型参照3.
2.
2.
7提交3)主管人及经办人身份证件材料:(仅事业单位需要主管人材料)经办人的身份证复印件主管人的身份证复印件4)机构给经办人的授权文件中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn365)律师函及律师证:法律顾问亲笔签署的企业存在证明文件,并提供法律顾问的律师证复印件6)CSR文件以上材料除5、6外均需加盖机构公章,并应承诺以下信息:(1)信息准确性(2)私钥安全性(3)证书使用恰当(4)报告证书吊销(5)EV证书的验收(6)停止使用过期或吊销的证书8.
CFCA对EV代码签名申请的鉴别过程(1)、订户身份鉴别:申请机构的身份合法性关注要点:企业:合法性、机构正式名称、注册编号、注册机构、EV证书负责人事业单位:合法性、机构正式名称、注册编号、EV证书负责人政府机构:合法性、机构正式名称、注册编号、EV证书负责人社团组织:合法性、机构正式名称、注册编号、EV证书负责人验证申请机构的身份合法性方法:通过"全国组织机构代码管理中心"http://www.
nacao.
org.
cn/查询组织代码证真伪查询工商注册信息,验证申请机构身份信息查询税务登记信息,验证申请机构身份信息中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn37向申请机构的上级主管单位查询必须直接通过合格的独立信息来源进行验证对机构验证的内容:申请机构身份信息是否存在,其固定的经营场所将通过权威的第三方来源进行验证.
申请机构身份信息是否准确,例如:名称、组成形式、注册编号、法人、注册资本、成立日期、年检时间等.
如果申请机构运行未超过三年,并且没有被列示在合格的独立信息来源(例如,组织代码证查询网站)或政府税务信息来源中(例如:税务登记证),CFCA将通过必要的手段验证其持续经营的能力.
比如申请者向CFCA提供金融机构为其提供的拥有一定金额的活期储蓄账户证明等方法.
对申请机构EV证书负责人的身份进行验证必须经过视频等面对面的方法进行验证.
两份书面身份证明材料(事业单位):一份是身份证;一份可以是出自金融机构的有效的信用卡、有效的借记卡、提供金融机构的不少于6个月的银行结单等;或者是其他证明文件,可包括电话账单、出生证明、纳税证明、社保证明、驾照、护照等.
CFCA审核员将通过公安部门的身份证查询平台进行验证身份信息或者其他第三方权威信息库查询.
申请单位出具的EV证书负责人授权文件.
CFCA通过拨打固定电话(必须是之前验证过的公司电话总机)与授权人联系确认,申请人、审批人已经获得了申请、审批EV证书申请的权力.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn38CFCA要通过拨打固定电话(必须是之前验证过的公司电话总机)与申请机构HR部门联系,确认申请人、审批人、授权人的名称、岗位、职务.
(2)、CSR符合性鉴别:CFCA将验证证书订户提交的CSR内容,检查是否与申请信息一致,是否符合相关规范,并验证其是否拥有私钥.
(3)、分发控制EV代码签名证书必须被保存在满足FIPS-140-2或相应级别的安全介质中,介质包括但不限于加密机,智能密码钥匙等,可采取的方式包括:1、证书由CFCA生成并保存在合格的智能密码钥匙中,由CFCA邮寄给客户.
2、客户自己在安全介质中生成密钥对,将生成密钥对的相关log、生成密钥对的设备具体型号、CSR文件提供给CFCA以供审核.
客户需承诺提供的信息真实可靠,如发现资料有误或者不真实,CFCA可吊销相关证书.
3.
2.
2.
4允许的证件类型个人证件类型机构证件类型居民身份证护照税务登记证军人身份证件组织机构代码证股东代码证(不建议使用)企业营业执照社会保障卡法人代码证武装警察身份证件事业单位法人证书中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn39港澳居民往来内地通行证社会团体登记证书台湾居民来往大陆通行证民办非企业登记证书户口簿外国(地区)企业常驻代表机构登记证临时居民身份证政府批文警察(警官)证其他外国人永久居留证3.
2.
3没有验证的订户信息CFCA签发的证书信息没有未经过验证的信息.
3.
2.
4授权确认当申请者代表组织机构订户申请证书时,需要出示足够的证明信息以证明申请者是否已获得组织机构的授权.
CFCA有责任确认该授权信息,并将授权信息妥善保存.
3.
2.
5互操作准则对于申请CFCA全球信任体系下的OV证书及EV证书,CFCA承担对订户身份的鉴别职能,暂不委托其他机构行使此职责.
如委托其他证书发放机构审核订户身份信息,对已经审核过的订户申请信息,CFCA将会重新进行验证;其他情况不在此规定.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn403.
3密钥更新请求的标识与鉴别证书密钥更新有两种情况:补发和换发.
1、证书补发补发是指在证书有效期内,订户更新证书的操作.
以下情况订户需要申请证书补发:(1)订户证书(文件)丢失或损坏,例如存放证书的介质损坏;(2)订户认为原有证书和密钥不安全(例如订户怀疑证书被盗用或密钥受到了攻击);(3)其他经CFCA认可的原因.
当订户需要补发证书时,应主动向CFCA或CFCA授权的代理机构提出证书补发申请.
在证书初次发放后的三个月内需进行补发的,订户无需提交身份验证材料.
CFCA仅通过订户初次申请时的信息进行身份验证即可.
同时,订户需要向CFCA重新提交CSR下载证书.
超过三个月后,则需对订户身份进行重新验证.
验证流程及要求与初次申请相同.
服务器类证书补发操作成功时,旧证书将在一个月后吊销,其他类型的证书补发时立即吊销老证书.
新证书有效期从补发成功之日起到原证书失效日止.
2、证书换发换发是指在证书将要过期的三个月内或证书过期后,订户申请更新证书的操作.
以下情况订户需要申请证书换发:订户证书即将到期或已经过期.
在订户证书到期前的三个月内,CFCA将通过适当的方式通知用户对证书进行换发操作.
OV证书、EV证书换发时需要对订户身份进行重新验证.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn41重新验证订户身份的验证流程及要求与初次申请相同.
服务器类证书换发操作成功时,旧证书将在一个月后吊销,其他类型的证书换发时立即吊销老证书.
已过期的证书换发不吊销老证书.
新证书有效期将从证书换发之日起至原证书到期为止再另加一个证书有效周期(已经过期的证书换证,其有效期仅为证书有效周期).
3.
3.
1常规密钥更新的标识与鉴别同3.
3.
3.
3.
2吊销后密钥更新的标识与鉴别证书吊销后的密钥更新等同于订户重新申请证书,其要求与3.
2.
2相同.
3.
4证书变更证书变更是指订户在不改变现有公钥的情况下重新申请一张证书.
CFCA不提供证书变更服务,即订户对证书进行更新时其密钥对必须重新生成.
3.
5吊销请求的标识与鉴别证书吊销请求的标识与鉴别流程见本CPS的4.
8.
3.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn424证书生命周期操作要求4.
1证书申请4.
1.
1证书申请实体任何实体需要使用CFCA全球信任体系下签发的证书时,均可向CFCA提出证书申请.
4.
1.
2注册过程与责任1、最终订户最终订户即申请证书的实体,最终订户须明确表示其愿意接受本CPS及相关的CP中所规定的相关责任与义务(本CPS及相关CP公布在CFCA网站上),并需要按照3.
2.
2的要求提供真实、准确的申请信息;根据《中华人民共和国电子签名法》的规定,申请者未向CFCA提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、CFCA或者CFCA授权的代理机构造成损失的,订户应承担相应的法律及赔偿责任.
订户有责任保护其拥有的证书私钥安全.
2、认证及注册机构对于全球信任体系证书,CFCA既是一个CA,同时也承担了注册机构的职能,如订户可以直接向CFCA申请证书,由CFCA审核订户信息并处理订户的请求.
注册机构对订户提供的身份信息参照3.
2.
2的要求进行鉴别,CFCA对通过鉴别后的订户签发证书.
CFCA作为电子认证机构,应妥善保管证书订户申请信息.
CFCA授权的代理机构应在适当时间将证书订户的信息归档在CFCA,中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn43同时应履行本CPS中所规定的相关责任与义务.
4.
2证书申请处理4.
2.
1执行识别与鉴别功能1.
CFCA处理证书申请至少需要设置3个可信角色:信息收集、信息验证、签发证书.
其中信息收集、信息验证可以由同一人完成;但签发证书人员需要与信息收集、信息验证职责分离.
2.
对于证书申请处理,签发证书人员需对申请机构信息做最终审核:1)对所有用以验证申请机构证书申请的信息和文件进行复核,查找冲突的信息或需要进一步验证的信息;2)如复核人提出的问题确实需要得到进一步验证,CFCA必须从申请机构、协议签署人、申请审批人或其他合格的独立信息来源取得进一步验证的资料或证据;3)CFCA必须保证已收集的与证书申请相关的信息和资料,足以确保签发的证书不包含CFCA已知或应发现的错误信息,否则CFCA将会拒绝证书的申请并通知申请机构;4)如果部分或所有的身份验证资料内容使用语言不是CFCA的官方语言,那么CFCA将会使用经过适当的培训、具备足够的经验和判断能力的人员完成最终的交叉审核和尽职调查.
CA通过以下方法执行交叉审核与尽职调查:4.
1)依赖翻译的材料内容;4.
2)依赖拥有此语言能力的代理机构完成此步骤,CFCA复核代理机构的中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn44检查结果,并且复核证书标准中的CFCA自我审核要求.
5)根据CA/BForum的相关指引,CFCA将从2017年9月1日起,在执行识别和鉴别职责时,将对客户提交的域名信息进行CAA查询,并在审核记录中体现.
4.
2.
2证书申请批准和拒绝CFCA按照3.
2.
2的要求对订户提交的申请材料及其身份信息进行鉴别,经鉴别符合要求后,将批准申请.
若鉴别未通过,CFCA将拒绝其申请,及时通知申请者并告知拒绝原因.
4.
2.
3处理证书申请的时间CFCA将在合理的时间内完成证书申请处理.
在申请者提交的资料齐全且审核通过的情况下,1-3个工作日处理完成.
EVSSL全球服务器证书处理证书申请时间不超过5个工作日,特殊情况最长不超过10个工作日.
4.
3证书签发4.
3.
1证书签发中注册机构和电子认证服务机构的行为在订户申请通过鉴别后,RA系统操作员录入订户申请信息,并提交RA系统审核员审核;RA系统审核员审核通过后,向CA系统提交申请;CA系统向RA系统返回证书,由CA以安全的形式将证书反馈给订户.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn454.
3.
2电子认证服务机构和注册机构对订户的通告无论是拒绝还是批准订户的证书申请,CFCA有义务告知订户申请结果.
CFCA会以电话、电子邮件或其他方式对订户进行通告.
4.
4证书接受4.
4.
1构成接受证书的行为订户填写证书申请表,同意本CPS中的约定,提供真实、准确的身份信息经CFCA审核通过后,收到CFCA签发的证书后,订户应对收到的证书与其申请信息进行核对,确认无误后方可使用.
自用户收到证书后1个工作日内无意见的即视为订户已经接受此证书.
4.
4.
2电子认证服务机构对证书的发布对于最终订户证书,CFCA将根据用户的意愿采取适当形式的发布;订户没有要求发布的,CFCA将不发布最终订户证书.
4.
4.
3电子认证服务机构对其他实体的通告对于CFCA签发的证书,CFCA不对其他实体进行通告,依赖方可以在信息库上自行查询.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn464.
5密钥对和证书的使用4.
5.
1订户私钥和证书的使用订户的私钥和证书应用于规定的、批准的用途(在本CPS1.
4.
1节定义),订户在使用证书时必须遵守本CPS的要求,妥善保存其私钥,避免他人未经本人授权而使用本人证书情形的发生,否则其应用是不受保障的.
1、证书持有者的私钥和证书使用证书持有者只能在指定的应用范围内使用私钥和证书,证书持有者只有在接受了相关证书后才能使用对应的私钥,并且在证书到期或被吊销后,须停止使用该证书及对应的私钥.
预植证书及对应的私钥只有在该证书被绑定激活后才能使用.
2、依赖方的公钥和证书使用当依赖方接受到签名的信息后,应该:获得对应的证书及信任链;验证证书的有效性;确认该签名对应的证书是依赖方信任的证书;证书的用途适用于对应的签名;使用证书上的公钥验证签名.
以上任何一个环节失败,依赖方应该拒绝接受签名信息.
当依赖方需要发送加密信息给接受方时,须先通过适当的途径获得接受方的加密证书,然后使用证书上的公钥对信息加密.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn474.
5.
2依赖方对公钥和证书的使用依赖方信赖CFCA全球信任体系签发的证书所证明的信任关系时需要:1、获取并安装该证书对应的证书链;2、在信赖证书所证明的信任关系前确认该证书为有效证书,包括:检查CFCA公布的最新CRL,或者通过CFCA提供的OCSP服务确认该证书未被吊销;检查该证书路径中所有出现过的证书的可靠性;检查该证书的有效期;以及检查其他能够影响证书有效性的信息;3、在信赖证书所证明的信任关系前确认该证书记载的内容与所要证明的内容一致.
4.
6证书密钥更新证书密钥更新是指订户生成新密钥并申请为新公钥签发新证书.
4.
6.
1证书密钥更新的情形1、当订户证书即将到期或已经到期时;2、当订户证书密钥遭到损坏时;3、当订户证实或怀疑其证书密钥不安全时;4、其它可能导致密钥更新的情形.
4.
6.
2请求证书密钥更新的实体已经申请过CFCA证书的订户可申请证书密钥更新.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn484.
6.
3证书密钥更新请求的处理同3.
3.
4.
6.
4颁发更新证书时对订户的通告同4.
3.
2.
4.
6.
5构成接受密钥更新证书的行为同4.
4.
1.
4.
6.
6电子认证服务机构对密钥更新证书的发布同4.
4.
2.
4.
6.
7电子认证服务机构对其他实体的通告同4.
4.
3.
4.
7证书变更CFCA不提供证书变更服务.
4.
8证书吊销和挂起4.
8.
1证书吊销的情形如有下列情况中的任何一种情况发生,则订户的证书将被吊销:1)订户书面申请吊销数字证书;中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn492)订户通知CA最初的证书申请未经有效授权;3)订户相信或怀疑密钥泄漏或遭受攻击,存放证书的服务器损坏或被锁定等情形;或者CA有证据表明订户证书私钥泄露的情形;4)当CA有证据表明订户将证书使用于法律、行政法规定义为非法事项上,或者CA发现订户证书未恰当使用;5)当CA有证据表明订户未履行本CPS或订户协议中约定的义务;或者订户证书不符合本CPS的相关要求;6)当CA有证据表明订户已丧失证书中域名的使用权,或订户未能更新其域名使用权;7)CA获知通配符证书被用于验证具有欺诈误导性质的域名;8)CFCA取得了合理证据表明或意识到订户证书中的重要信息内容已经变更;9)CA正式签发时未能满足证书策略或证书标准中的要求和条件,或者证书中的任何信息不准确;10)CA认定证书中所显示的信息为不准确或具有误导性;或者订户申请证书时,提供的资料不真实;11)CFCA因某些原因停止业务,并且没有安排其他的CA提供证书吊销服务;12)当CFCA从事电子认证业务的资格被吊销后,CFCA除继续维持CRL/OCSP信息库的情况外,将吊销或终结所有已签发的证书;13)CFCA用于签发证书的CA证书私钥可能被泄露时,将根据应急预案吊销所有已签发的证书;中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn5014)CFCA取得了合理证据表明或意识到订户已经被列在相关的黑名单中,或其经营地区被CFCA所在国家的监管机构禁止;15)证书的重要参数被国际国内主流标准认为有重大风险时;16)法律、行政法规规定的其他情形.
在此基础上,代码签名证书额外情形如下:发现代码签名的内容中包含了有嫌疑的代码,包括但不限于病毒,木马,监听控件,恶意软件,以及其他任何不符合当地法律的代码.
4.
8.
2请求证书吊销的实体已申请CFCA证书的订户可请求证书吊销.
同时,CFCA也可在4.
8.
1所述的情形下主动吊销订户的证书.
4.
8.
3请求吊销的流程吊销分为主动吊销和被动吊销.
主动吊销是指由订户提出吊销申请,由CFCA审核通过后吊销证书的情形;被动吊销是指当CFCA确认订户违反证书应用规定、约定或订户主体已经消亡等情况发生时,采取吊销证书的手段以停止对该证书的证明,CFCA也接受任何实体提供的举报材料,如果发现CFCA签发的代码签名证书被发现有违规签名嫌疑代码的行为,则将相关证书吊销.
4.
8.
3.
1主动吊销订户申请吊销证书前应指定并书面授权证书吊销申请代表,提供有效身份证明文件及证书吊销申请文件,并接受证书吊销申请的有关条款,同意承担相应的责任.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn51CFCA7X24接受订户证书吊销申请,并处理订户证书吊销请求.
订户可通过CFCA7X24热线、CFCA在线服务等方式提出申请.
CFCA收到订户的吊销申请材料后,将查询订户需吊销的证书是否为CFCA所发放,证书是否在有效期内,吊销理由是否属实,若均通过则对证书进行吊销.
4.
8.
3.
2被动吊销当出现被动吊销的情形时,CFCA将以适当形式通知订户,告知拟吊销的证书内容、吊销原因、吊销操作时限等事项,在确认订户收到吊销通知且无异议后予以吊销.
4.
8.
4吊销请求宽限期在主动吊销的情形下,订户一旦发现需要吊销证书,应及时向CFCA提出吊销请求.
在被动吊销的情形下,订户在收到吊销通知后的3个工作日内可向CFCA提出申辩理由,CFCA将会对申辩理由进行评估,若确认其理由正当则不予以吊销;若订户在3个工作日内未回复或回复无异议则CFCA将予以吊销.
4.
8.
5CFCA处理吊销请求的时限在主动吊销的情形下,CFCA收到吊销请求并审核完成后,24小时内吊销证书.
在被动吊销的情形下,订户在收到吊销通知后的3个工作日内可向CFCA提出申辩理由,CFCA将会对申辩理由进行评估,若确认其理由正当则不予以中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn52吊销;若订户在3个工作日内未回复或回复无异议,则CFCA将于24小时内予以吊销.
4.
8.
6依赖方检查证书吊销的要求依赖方在信任此证书前应检查证书的有效性,确认证书未被吊销.
4.
8.
7CRL发布频率CFCA针对不同系统签发的证书区别更新CRL信息,对于EVOCA、EVCodeSign,OVOCA,OVCodeSign系统,将在24小时内更新CRL列表;订户有特殊要求的,将根据订户的需求,适当更新CRL发布的频率.
CFCA签发的CRL信息,根据需要,也可以人工方式实时发布.
4.
8.
8CRL发布的最大滞后时间CRL发布的最大延迟时间不超过24小时.
4.
8.
9在线证书状态查询的可用性CFCA提供OCSP查询服务,服务7X24小时可用.
信赖方是否进行在线状态查询完全取决于信赖方的安全要求.
对于安全保障要求高并且完全依赖证书进行身份鉴别与授权的应用,信赖方在信赖一个证书前可通过证书状态在线查询系统检查该证书的状态.
CFCA的OCSP响应符合RFC6960标准.
客户通过http协议访问CFCA的OCSP服务,CFCA会对查询请求进行检查,检查的内容包括:中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn53验证是否强制请求签名用CA证书验证签名是否通过验证证书是否生效或者已经过期验证证书颁发者是否在信任证书列表内OCSP响应包含如下表所述基本域和内容域值或者值的限制状态响应状态,包括成功、请求格式错误、内部错误、稍候重试、请求没有签名和请求签名证书无授权,当状态为成功时必须包括以下各项.
版本V1签名算法签发OCSP的算法.
SHA1RSA、SHA256RSA、SM3SM2算法签名.
颁发者签发OCSP的实体.
签发者公钥的数据摘要值和证书甄别名.
产生时间OCSP响应的产生时间.
证书状态列表包括请求中所查询的证书状态列表.
每个证书状态包括证书标识、证书状态以及证书废止信息.
证书标识包括数据摘要算法、证书甄别名数据摘要值、证书公钥数据摘要值和证书序列号.
证书状态证书的最新状态,包括有效、吊销和未知.
证书废止信息当返回证书状态为废止时包含废止时间和废止原因.
OCSP的扩展信息与RFC6960一致.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn54CFCA的OCSP信息的更新频率不超过24小时,OCSP服务响应最大时间不超过10秒,OCSP服务响应信息最大有效期不超过7天.
4.
8.
10吊销信息的其他发布形式证书吊销信息可以通过CRL或者OCSP服务获得.
订户可通过证书扩展域中的CRL地址获得CRL信息.
4.
8.
11对密钥遭受安全威胁的特别处理要求当订户发现、或有充足的理由发现其密钥遭受安全威胁时,应及时提出证书吊销请求.
4.
8.
12证书挂起对于全球信任体系下颁发的证书,CFCA目前暂不提供此业务.
4.
8.
13EV代码签名证书的吊销信息保存在证书过期后1年内,CFCA应保存EV代码签名证书的吊销信息.
4.
8.
14代码签名证书吊销后果EV代码签名证书被吊销时,如果其仅用于单个软件的认证,则只有此软件上的签名受影响,不再被信任.
如果此代码签名证书和多个软件相关,则所有软件上的签名都将不被信任,即便有些软件是没有任何问题的.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn554.
9证书状态服务4.
9.
1操作特征证书状态可以通过CFCA提供的OCSP服务获得.
4.
9.
2服务可用性CFCA提供7X24小时不间断证书状态查询服务.
4.
10订购结束以下两种情形将被视为订购结束:1、证书到期后即视为订购结束.
2、证书吊销视为订购结束.
4.
11密钥生成、备份与恢复为保证订户密钥的安全性,订户应在安全的环境下独立生成密钥对,并将生产的密钥通过加密等手段存储在安全的介质中,订户应及时备份密钥,并确保备份密钥的安全性,以防密钥丢失.
在生成密钥对之后与安装服务器证书之前的时期内不应更改服务器的任何配置,以防密钥丢失.
在密钥丢失或可能泄漏后,需及时申请密钥更新.
在订户委托其他可信服务商代替订户生成密钥对的情况下,应要求服务商承担相应的保密责任.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn565认证机构设施、管理和操作控制5.
1物理控制系统的物理安全和环境安全是整个CFCA系统安全的基础,它包括基础设施的管理、周边环境的监控、区域访问控制、设备安全及灾难预防等各方面.
为保证CFCA系统物理环境的安全可靠,CFCA系统被放置于安全稳固的建筑物内并具备独立的软硬件操作环境,充分考虑了水患、火灾、地震、电磁干扰与辐射、犯罪活动以及工业事故等的威胁.
5.
1.
1场地位置与建筑CFCACA系统的运营机房位于北京市海淀区中关村软件园区22号楼(中国银联北京信息中心楼内)内,进入机房须经过三道审核,机房电磁屏蔽效能满足GJBz20219-94标准"C"级要求.
机房具备抗震、防火、防水、恒湿温控、独立供电、备用发电、门禁控制、视频监控等功能,可保证认证服务的连续性和可靠性.
5.
1.
2物理访问外来人员进入楼内,需经过中国银联北京信息中心、CFCA两道的审核,进入CFCA办公区域要经过两道门禁系统,需要有CFCA工作人员陪同进入.
操作人员进入CFCA综合机房,须经过指纹认证加门禁授权卡身份认证,并有24小时视频监控设备进行监控.
操作人员进入安全区机房,须经过三道门禁系统,其中两道是双人指纹加中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn57门禁卡认证,一道是双人门禁卡认证,并且所有门禁的进出信息都会在监控室的安保系统中记录.
5.
1.
3电力与空调CFCA机房采用UPS供电,由两组每组三台UPS线路供电,任何一台UPS出现故障,均能保证系统供电持续运行30分钟以上.
为了保证系统的可靠运行,还备有柴油发电机,当外部供电中断时,能够继续对UPS实施供电.
CFCA机房采用多台中央空调和新风设备,保证机房内温度和湿度达到国家标准(GBJ19-87《采暖通风与空气调节设计规范》、GB50174-93《电子计算机机房设计规范》).
5.
1.
4水患防治CFCA有专门的技术措施防止、检测漏水的出现,并能够在出现漏水时最大程度地减小漏水对认证系统的影响.
5.
1.
5火灾防护CFCA机房采用防火材料建设,安装有中央防火监控和自动气体消防系统,并通过了国家权威部门的消防功能验收,能有效地避免火灾威胁.
5.
1.
6介质存储对于存放重要数据的存储介质,CFCA制订了专门的管理控制制度,以防止重要信息的泄露与人为故意产生的危害和破坏.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn585.
1.
7废物处理敏感的文件资料(包括纸介质、光盘或软盘废物等)抛弃前要进行粉碎处理;对于存储或传输信息的介质,在抛弃前要做不可读取处理;涉密介质在抛弃前要根据生产商的指导做归零处理.
加密机等重要设备废弃根据加密机管理办法销毁.
5.
1.
8数据备份目前CFCA已对核心数据建立同城数据备份机制.
5.
1.
9时间戳服务器证书物理控制CFCA独立控制并运营时间戳服务器,其密钥保存在加密机中,CFCA确保时间戳服务使用的私钥被保存在符合FIPS-140-2级别或者更高级别的加密机中,CFCA时间戳服务提供的时间源为北斗时,溯源自中国科学院国家授时中心协调时间时UTC.
5.
2程序控制5.
2.
1可信角色CFCA的可信角色包括:客户服务人员安全管理人员密钥与密码设备管理人员加密设备操作人员中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn59系统管理人员人力资源管理人员5.
2.
2每项任务需要的人数CFCA制定了规范的策略,严格控制任务和职责的分割,对于最敏感的操作,例如访问和管理CA的加密设备及其密钥,需要3个可信角色.
其它操作,例如发放证书,需要至少2个可信角色.
CFCA对于人员有明确的分工,贯彻互相牵制、互相监督的安全机制.
5.
2.
3每个角色的识别与鉴别CFCA在雇佣一个可信角色之前将会按照本CPS第5.
3.
2节的规定对其进行背景审查.
对于物理访问控制,CFCA通过门禁磁卡、指纹识别鉴别不同人员,并确定相应的权限.
CFCA使用数字认证和订户名/口令方式对可信角色进行识别与鉴别,系统将独立完整地记录所有操作行为.
5.
2.
4需要职责分割的角色要求职责分割的角色包括(但不限于)以下几种:安全管理员、系统管理员、网络管理员、操作员订户信息收集人员、订户身份及信息审核人员、RA录入人员、RA审核制证人员.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn605.
3人员控制CFCA及其注册机构应按照以下要求进行人员管理及控制.
5.
3.
1资格、经历和无过失要求成为CFCA可信角色的人员必须提供相关的背景、资历证明,并具有足以胜任其工作的相关经验,且没有相关的不良记录.
5.
3.
2背景审查程序CFCA在开始一个可信任角色的雇佣关系前会依据以下流程对其进行审查:(1)应聘者应提交的个人资料履历、最高学历毕业证书、学位证书、资格证及身份证等相关的有效证明.
(2)应聘者个人身份的确认CFCA人力资源部门通过电话、信函、网络、走访、调阅档案等形式对其提供材料的真实性进行鉴定.
(3)三个月的试用期考核通过现场考试、日常观察、情景考验等方式对其考察.
以上三方面的审查结果必须符合第5.
3.
1节中规定的要求.
(4)签署保密协议与到岗人员签署保密协议.
(5)上岗工作中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn615.
3.
3培训要求CFCA对录用人员按照其岗位和角色安排培训.
培训内容有:PKI的相关知识、岗位职责、内部规章制度、认证系统软件、相关应用软件、操作系统与网络、ISO9000质量控制体系、CPS等.
CFCA处理证书业务相关的员工必须接受下列培训:1)向所有负责信息身份验证的职员("验证专家")提供技能培训.
培训内容包括基础PKI知识、审核与验证制度和流程、对验证过程的主要威胁因素(如,网络钓鱼及其他社会工程学策略)以及EV证书标准;2)保留人员培训记录,并且确保"验证专家"能够胜任身份信息验证工作的技术要求;3)验证专家必须按其不同的技术水平等级被授予不同的签发证书权限,技术水平分级标准应与培训内容以及业绩考核标准一致;4)确保为验证专家分配签发证书权限前,不同技术水平等级的验证专家都具有足够的胜任能力;5)要求所有的验证专家通过关于证书标准中身份验证要求的CA内部考试.
5.
3.
4再培训周期和要求CFCA每年至少向员工提供一次业务培训机会以不断提高其职业技能,以保持其完成工作所需要的职业水平.
同时,当CA系统更新升级时也会对其员工进行相应的培训.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn625.
3.
5工作岗位轮换周期和顺序CFCA根据具体工作情况安排并制定员工工作岗位的轮换周期与顺序.
5.
3.
6未授权行为的处罚员工一旦被发现执行了未经授权的操作时,将被立即中止工作并受到纪律惩罚,其处理办法根据CFCA相关的管理规范执行.
5.
3.
7独立和约人的要求CFCA在雇用独立和约人时,会要求提供身份证、学历证书、资格证书等有效证明,并需与CFCA签署保密协议.
5.
3.
8提供给员工的文档CFCA向其员工提供完成其工作所必须的文档.
5.
4审计日志程序5.
4.
1记录事件的类型CFCA记录的日志信息包括但不限于以下类型:1、CA密钥生命周期内的管理事件,包括密钥生成、备份、恢复、归档和销毁.
2、RA系统记录的证书订户身份信息.
3、证书生命周期中的各项操作,包括证书申请、证书密钥更新、证书吊销等事件;中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn634、系统、网络安全记录,包括入侵检测系统的记录、系统日常运行产生的日志文件、系统故障处理工单、系统变更工单等;5、人员访问控制记录;6、系统巡检记录.
上述日志信息包括记录时间、序列号、记录的实体身份、日志种类等.
5.
4.
2处理日志的周期CFCA对上条中1类日志由密钥管理员收集并管理;2、3类日志由数据库保存,并每天进行一次增量备份,每周进行一次全备份;4类日志每天自动保存在备份设备上.
5类日志每季度进行一次审计;6类日志每天进行一次检查.
5.
4.
3审计日志的保存期限与证书相关的审计日志至少保存到证书失效后十年.
5.
4.
4审计日志的保护CFCA建立了相应的管理制度,并采取物理和逻辑的控制方法确保只有经CFCA授权的人员才能对审计日志进行操作.
审计日志处于严格的保护状态,严禁未经授权的任何操作.
5.
4.
5审计日志备份程序对于系统日志、数据库日志和相关业务日志,CFCA将按照其《日志管理办法》及《数据备份管理办法》执行备份操作.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn645.
4.
6审计收集系统应用程序、网络和操作系统等都会自动生成审计数据和记录信息.
5.
4.
7对导致事件主体的通告对于审计收集系统中记录的事件,对导致该事件的个人、机构等主体,CFCA不进行通告.
5.
4.
8脆弱性评估根据审计记录,CFCA定期进行系统、物理设施、运营管理、人事管理等方面的安全脆弱性评估,并根据评估报告采取措施.
5.
5记录归档5.
5.
1归档记录的类型CFCA归档记录的类型除了本CPS的第5.
4.
1节内容外,还包括以下信息:1、证书申请资料、身份验证资料、与证书订户的协议、订户证书、CRL等;2、电子认证业务规则、证书策略、管理制度等;3、员工资料,包括员工信息、背景调查、培训、录用离职等资料;4、各类外部、内容审查评估文档.
5.
5.
2归档记录的保存期限CFCA针对归档记录将保存至证书失效后10年.
如果法律需要,CFCA将延长记录保存期限.
CRL或OCSP中的证书吊销中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn65记录在此证书的有效期内不会被删除.
5.
5.
3归档文件的保护CFCA对归档文件有相应的保存制度.
对于电子形式的归档记录文件,确保只有被授权的可信任人员才允许访问存档数据,并通过适当的物理和逻辑访问控制防止对电子归档记录进行未授权的访问、修改、删除或其它操作.
CFCA将使用可靠的归档数据存储介质和归档数据处理应用软件,确保归档数据在其归档期限内只有被授权的可信任人员才能成功访问.
对于书面形式的归档记录文件,CFCA制定了相应的档案管理办法,并设有专门的档案管理人员对书面档案进行妥善保存,并有相应的查阅制度确保只有经批准的人员方可访问书面归档记录.
5.
5.
4归档文件的备份程序归档文件的备份内容包括:数据库的备份、操作系统的备份、CRL文件的备份、及日志的备份.
数据库备份:采用本地备份和异地备份、增量备份与全部备份相结合的方式进行备份.
操作系统的备份:系统初次上线后进行一次备份,在系统有调整时进行备份.
CRL的备份:文件每天通过自动FTP传输到备份服务器,并由人工检查备份是否成功.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn665.
5.
5记录的时间戳要求归档的记录都需要标注时间;系统产生的记录按照要求添加时间标识.
5.
5.
6归档收集系统CFCA有自动的电子归档信息的存放系统.
5.
5.
7获得和检验归档信息的程序只有被授权的可信人员才能获得归档信息.
当归档信息被恢复后会对其完整性进行检验.
5.
6电子认证服务机构密钥更替当CA密钥对的累计寿命超过第6.
3.
2中规定的最大有效期时,CFCA将启动密钥更新流程,替换已经过期的CA密钥对.
CFCA密钥变更按如下方式进行:一个上级CA应不迟于其私钥到期之前60天停止签发新的下级CA证书("停止签发日期").
产生新的密钥对,签发新的上级CA证书.
在"停止签发证书的日期"之后,对于批准的下级CA(或最终订户)的证书请求,将采用新的CA密钥签发证书.
上级CA将继续利用原来的CA私钥签发CRL直到利用原私钥签发的最后的证书过期为止.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn675.
7损坏与灾难恢复5.
7.
1事故和损害处理流程当CFCA遭到攻击、发生通讯网络故障、计算机设备不能正常提供服务、软件遭破坏、数据库被篡改等情况时,CFCA将根据其制订的业务持续计划等相关规章制度采取合理措施.
业务持续计划由"CFCA运营安全管理委员会"(以下简称安委会)总负责,其职能包括指导和管理信息安全工作,批准、发布业务持续计划,根据实际情况决定启动灾难恢复等各项职能.
安委会的成员包括公司领导与各部门负责人,负责人为总经理.
业务中断事件分紧急事件和灾难事件.
当服务中断发生后,该中断对客户服务产生重大影响,但恢复服务不受外界因素的影响,短时间内即可恢复服务,这类事件称为紧急事件;当服务中断因不可抗力因素造成,比如自然灾害、传染病、政治暴动等因素引起的事件称为灾难事件.
CFCA针对不同事件制定了相应的应急处理机制.
当发生紧急事件后,安委会负责人召集安委会成员举行会议,对事件进行评估.
运行部按照确定的处理机制进行处理,市场部、技术支持部根据实际情况,针对受影响客户进行妥善处理.
在紧急事件应急处置后,CFCA将评估已有风险防范措施的有效性并加以改进.
当发生灾难事件时,按照5.
7.
4的规定进行.
对于一般故障,CFCA将在2小时内解决;对于紧急事件,CFCA在24小时内解决;对于灾难性事件,在主运营场地出现灾难事故或不可抗力事故而不中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn68能正常运营时,CFCA将在48小时内,利用备份数据和设备在数据备份中心恢复电子认证服务.
对于全球信任体系下的证书,CFCA还具有专门的问题报告和响应能力:1)CFCA向订户、依赖方、软件开发商和其他的第三方提供了清晰指引,说明如何向CFCA报告证书的投诉、私钥泄漏、证书使用不当、或其他形式的欺诈、泄漏、使用不当或行为不当.
CFCA设置了7X24服务热线(400-880-9888),有能力提供7X24小时接受和认可此类报告的服务.
2)CFCA将在问题报告的24小时内开始进行调查,并至少根据以下的条件来判断是否采取吊销或其它相应手段:问题的性质;收到的对特定证书或网站问题报告数量;投诉人的身份;相关的法规.
3)CFCA可确保全天候(7X24小时)对高优先级的问题报告首先在CA内部进行响应.
然后,在有必要时将这些问题提交给法律机构或执行证书的吊销.
5.
7.
2计算资源、软件和/或数据的损坏当计算资源、软件和/或数据受到破坏后,将依据5.
7.
1中的规定区分是紧急事件还是灾难事件,按照不同的事件分类根据相应的处理流程进行处理.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn695.
7.
3实体私钥损害处理程序CFCA制定了根私钥泄露的应急预案,其中明确规定了根私钥泄露的内部处理流程、人员分工及对外通知处理流程.
当CFCA证实根私钥发生泄露时,将会立即上报行业主管部门,说明发生根私钥泄露的时间、原因以及采取的应急处理措施.
CFCA一旦证实根私钥泄露时,会立即通知订户及依赖方,对所有证书进行吊销,并不再签发新的证书.
5.
7.
4灾难后的业务连续性能力CFCA建有数据备份中心,有相应的业务持续计划,可确保灾难后的业务连续性能力.
在主运营场地出现灾难事故或不可抗力事故而不能正常运营时,CFCA将在48小时内,利用备份数据和设备在数据备份中心恢复电子认证服务.
5.
8电子认证服务机构或注册机构的终止CFCA拟终止电子认证服务时,将在终止服务六十日前向行业主管部门报告,并办理电子认证服务资质的注销手续.
CFCA拟暂停或者终止电子认证服务的,将在暂停或者终止电子认证服务九十日前,就业务承接及其他有关事项通知注册机构、订户、依赖方等有关各方,并依据与注册机构签署的合作协议向注册机构进行赔偿,依据对订户和依赖方的数字证书服务协议向订户和依赖方进行赔偿;向电子认证业务承接方提供认证相关信息,包括但不限于:证书办理资料、证书信息库、最新的证书状中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn70态资料等.
CFCA将在暂停或者终止电子认证服务六十日前向行业主管部门报告,并与其他电子认证服务机构就业务承接进行协商,作出妥善安排.
若CFCA未能就业务承接事项与其他电子认证服务机构达成协议的,将申请行业主管部门安排其他电子认证服务机构承接相关业务.
行业主管部门对此有其他相关要求的,CFCA将严格按照行业主管部门的要求进行.
6认证系统技术安全控制6.
1密钥对的生成和安装6.
1.
1密钥对的生成1、CA签名密钥的生成CA的签名密钥在加密机内部产生,加密机具有国家密码主管部门的相应资质.
加密机采用密钥分割或秘密共享机制进行备份.
在生成CA密钥对时,CFCA按照加密机密钥管理办法,执行详细的操作流程控制计划,选定并授权5个密钥管理员,密钥管理员凭借口令和智能IC卡对密钥进行控制.
在第三方审计人员的监督下,由5名中的3名具有密钥管理及操作权限的人员同时到达CFCA最安全区同时进行操作,产生CA密钥.
CA密钥的生成、保存和密码模块符合国家密码主管部门的要求,并具有国家密码主管部门的相应资质.
2、RA密钥的生成RA的签名私钥在安全控制下产生,RA证书由CFCA签发.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn713、订户密钥的生成订户密钥的生成由订户负责,订户应确保其密钥产生的可靠性,并负有保护其私钥安全的责任和义务,并承担由此带来的法律责任.
只有经过授权的人员才能产生预植证书订户的密钥,CFCA制定严格的管理制度,确保预植证书交付给订户手中时密钥的安全.
除订户以外的其他机构不应当存档订户私钥.
如果CFCA或其注册机构RA获知订户私钥交予了未授权人员或不与订户关联的组织,CFCA将按照相关标准要求撤销该私钥所对应得公钥证书.
CFCA有义务指导订户按照正确的流程生成密钥,CFCA将拒绝弱密钥申请数字证书,并可在订户需要时提供相应的技术支持人员帮助订户生成正确的密钥.
6.
1.
2私钥传送给订户订户的私钥是由订户自己生成时不会进行传送.
EV代码签名证书使用CFCA智能密码钥匙时,CFCA授权使用的智能密码钥匙应取得国家密码管理局的审批,由智能密码钥匙厂商负责确保智能密码钥匙(USBKey)的逻辑安全,并不得写入任何无关的可执行代码或程序.
CFCA使用的智能密码钥匙为空白USBKey,经CFCA产生的订户私钥,在安全移交给RA机构后,由RA机构负责该证书私钥的物理安全,直到安全分发给最终的订户.
使用USBKey产生的订户私钥在技术上已保证不会被导出.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn726.
1.
3公钥传送给证书签发机构在申请服务器证书时,订户在其服务器设备上生成密钥对后,应当将包含公钥信息的证书签名请求文件(CSR)通过电子邮件的形式发送给CFCA.
6.
1.
4电子认证服务机构公钥传送给依赖方用于验证CFCA签名的验证公钥(证书链)可从CFCA的信息库获得.
6.
1.
5密钥的长度CFCA遵从国家法律法规、政府主管机构等对密钥长度的明确规定和要求,目前:CFCA全球信任体系下的CA签名密钥长度及算法如下:CFCAEVROOT—RSA-4096/SHA-256、SM2-256/SM3CFCAEVOCA-RSA-2048/SHA-256、SM2-256/SM3CFCAEVCodeSignOCA-RSA-2048/SHA-256、SM2-256/SM3CFCAOVOCA-RSA-2048/SHA-256、SM2-256/SM3.
CFCAOVCodeSignOCA-RSA-2048/SHA-256、SM2-256/SM3.
订户密钥的长度为RSA-2048或者SM2-256.
6.
1.
6公钥参数的生成和质量检查公钥参数由国家密码主管部门许可的加密设备生成,CFCA在采购这些设备时要求其必须具有国家密码主管部门的相应资质,并遵从国家密码主管部门发布的《证书认证系统密码及相关安全技术规范》以及其他相关规范和标准要中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn73求,如对生成的公钥参数的质量检查标准,这些设备内置的协议、算法等均已达到足够的安全等级要求等.
6.
1.
7密钥使用目的CA私钥用于签发自身证书、下级CA证书、订户证书和CRL,CA的公钥用于验证私钥签名.
订户证书密钥的使用策略如下:证书类型算法密钥长度证书最长有效期(年)密钥用法增强密钥用法EV-SSL服务器证书RSA-2048/SHA256SM2/SM3RSA-2048、Sm2-2562数字签名密钥加密服务端认证客户端认证EV代码签名证书RSA-2048/SHA256SM2/SM3RSA-2048、Sm2-2562数字签名不可否认代码签名OVSSL服务器证书RSA-2048/SHA256SM2/SM3RSA-2048、Sm2-2563数字签名密钥加密服务端认证客户端认证中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn74OV代码签名证书RSA-2048/SHA256SM2/SM3RSA-2048、Sm2-2563数字签名不可否认代码签名6.
2私钥保护和密码模块工程控制6.
2.
1密码模块标准和控制CFCACA系统生成密钥的密码模块(加密机)安置在CFCA核心区域,使用通过国家密码主管部门鉴定并批准使用的具有完全自主知识产权的高速主机设备,支持RSA、DSA、SM2、DiffeHellman等公钥算法,RSA模长可选2048、4096比特;支持SDBI、DES、TRIPLE-DES、IDEA、RC2、RC4、RC5、SM1、SM4等对称算法,支持128比特高强度加密;支持MD2、MD5、SHA1、SDHI、SHA256、SM3等HASH算法.
CFCA全球信任体系使用的加密机其公钥算法为RSA-2048、RSA-4096、SM2-256,HASH算法为SHA-1(于2016年1月1日停止使用)、SHA-256、SM3,具有国家密码主管部门颁发的产品资质证书.
CFCA制定有专门的加密机管理办法,从采购、验收、进入机房、初始化、激活使用、备份、维护、销毁等环节进行了规范化审批管理.
加密机仅与对应系统直连,并存放在屏蔽机房内.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn756.
2.
2私钥多人控制CFCACA密钥存放在加密机中,加密机的管理密钥被分割保存在5张IC卡中,IC可分别由5位经过授权的安全管理员掌握,并保存在屏蔽机房中的最安全区内的保险箱中.
当激活CA私钥时,必须由5个管理员中的3个管理员同时在场才能完成,从技术及制度上保证了敏感的加密操作的安全性.
6.
2.
3私钥托管对于CA私钥,CFCA无托管业务.
6.
2.
4私钥备份CA的私钥由加密机产生,加密机有双机备份,并保存在防高温、防潮湿及防磁场影响的环境中,对加密机的备份操作须3人以上(包括3人)才可完成.
订户的私钥由订户产生,建议订户自行备份,并对备份的私钥采用口令或其他访问控制机制保护,防止非授权的修改或泄漏.
6.
2.
5私钥归档当CFCA的CA密钥对到期后,这些密钥对将被归档保存至少10年.
归档的CA密钥对保存在本CPS6.
2.
1所述的硬件密码模块中,并且CFCA的密钥管理策略和流程都确保了归档后的CA密钥对不会再被用于生产系统中.
当归档CA密钥对达到归档保存期限之后,CFCA将按照本CPS6.
2.
10所述的方法进行安全地销毁.
CFCA基于PKI理论为订户产生的加密私钥的归档参照CA的密钥归档方中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn76法进行归档.
6.
2.
6私钥导入、导出密码模块CFCA通过硬件模块生成CA密钥对,部署了备份加密设备,CA密钥对在备份传递时以离线加密方式进行.
通过硬件产生的订户私钥不能导出密码模块.
其他方法产生的订户私钥在导出时应采取加密的方式进行.
6.
2.
7私钥在密码模块的存储私钥以密文的方式分段加密存放在硬件加密模块中.
6.
2.
8激活私钥的方法1、激活订户私钥订户若使用软件产生、保存私钥,则私钥是保存在服务程序的软件密码模块中,这时订户使用口令保护私钥.
当服务程序启动,软件加密模块被加载,密码模块验证口令完成后,私钥被激活.
当订户使用硬件密码模块产生、保存私钥时,订户使用硬件密码模块口令(或pin码)保护私钥,硬件加密模块被加载,密码模块验证口令完成后,私钥被激活.
2、激活CA私钥CFCA采用硬件设备(加密机)产生、保存CA私钥,其激活数据按照本CPS6.
2.
2要求进行分割.
一旦CA私钥被激活,激活状态将保持到CA离线.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn776.
2.
9解除私钥激活状态的方法对于订户私钥,当服务程序被停止、系统注销或系统断电后私钥进入非激活状态.
对于CA私钥,当硬件密码模块断电、重新初始化时,私钥进入非激活状态.
6.
2.
10销毁私钥的方法当CA的生命周期结束后,CFCA将根据本CPS6.
2.
5之相关规定将CA私钥进行归档,其它的CA私钥备份将被安全销毁.
归档的私钥在其归档期结束后,需要在3名以上可信人员参与下进行安全地销毁.
订户私钥的销毁须经授权后安全地销毁.
密钥生命周期最后,销毁所有订户密钥的副本和碎片.
6.
2.
11密码模块的评估CFCA使用国家密码主管部门鉴定并批准使用的具有自主知识产权的高速主机加密设备,接受其颁布的各类标准、规范、评估结果等各类要求.
6.
3密钥对管理的其它方面6.
3.
1公钥归档公钥归档的保存期限、保存机制、安全措施等与证书保持一致.
归档要求参照本CPS5.
5的相关规定.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn786.
3.
2证书操作期和密钥对使用期限CA证书的有效期不超过30年,EVSSL证书有效期为1-2年,EV代码签名证书有效期为1-2年.
OVSSL证书有效期为1-3年,OV代码签名证书有效期为1-3年.
CA密钥对使用期限和CA证书的有效期保持一致.
订户证书的密钥对使用期限和订户证书的有效期保持一致.
特殊情况下,对于签名类证书,为了验证在证书有效期内签名的信息,与之对应的公钥可以在证书的有效期限以外使用,直到私钥受到损害或密钥对存在被破解的风险,如加密算法被破解.
对于加密类证书,为了保证在证书有效期内加密的信息可以解开,私钥的使用期限可以在证书的有效期限以外.
6.
4激活数据6.
4.
1激活数据的产生和安装1、CFCA的CA私钥产生遵循本CPS6.
2.
2中的要求.
2、对于订户,激活数据是保护私钥的密码,针对预植证书订户,其激活数据包括身份绑定信息.
CFCA推荐订户使用强口令来保证私钥的安全性,该口令需要:至少为8位数字建议订户不要使用生日、简单重复的数字等容易被人猜中或破解的信息做为口令中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn796.
4.
2激活数据的保护1、CFCA的密钥管理者须保护他们所维护的秘密份额,并且须签署协议来承诺所承担的责任.
2、注册机构必须将管理员和注册机构的私钥以加密的形式保存,并使用口令保护.
3、订户必须以加密的形式保存私钥,建议使用双因素认证(如硬件设备加强口令)来保护其私钥.
6.
4.
3激活数据的其他方面6.
4.
3.
1激活数据的传输存有CA私钥的加密设备和相关IC卡,通常被保存在CFCA最安全区机房,不能携带离开CFCA.
如在某种特殊情况下需要进行传输时(如建设灾备系统时),其传送过程需要在CFCA安全管理人员和密钥管理人员共同监督的情况下进行.
对于证书订户,通过网络传输用于激活私钥的口令时,需要采取加密等保护措施,以防丢失.
6.
4.
3.
2激活数据的销毁CFCA通过对设备初始化的方式来销毁CA私钥的激活数据.
订户私钥的激活数据在不需要时由订户自行销毁,订户应确保他人无法通过残余信息、存储介质直接或间接地恢复激活数据.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn806.
5数据安全控制6.
5.
1制定安全方案确保数据安全目标1、CFCA将采取授权访问的策略和加密签名的手段,确保对CA的控制和证书申请等相关数据以及证书的相关流程的机密性、完整性和可用性,确保其不受到未经授权或非法的访问、使用、披露、修改或销毁,保护其不受到意外的丢失、销毁或损坏;以及不受到可预见的威胁和破坏;2、确保验证"证书数据"、签发证书、维护信息库和吊销证书的密钥、软件和流程的机密性、完整性和可用性;3、CFCA将确保其维护的数据符合相应法律规定的其他安全要求.
6.
5.
2安全方案定期风险评估1、CFCA采取定期的风险评估策略,识别可预见的使"证书数据"和"证书流程"受到未经授权的访问、错误使用、披露、修改或销毁的内部/外部威胁;2、风险评估将根据"证书数据"和"证书流程"的敏感程度评估所识别威胁因素发生的可能性和发生后预计造成的破坏程度;3、每年将定期评估CA用于控制这些风险的制度、流程、信息系统、技术或其他因素是否足够.
6.
5.
3安全计划CFCA将根据风险评估结果制定安全计划,内容包括制定、实施并维护安全流程、措施以及为数据安全设计的产品.
根据"证书数据"和"证书流程"中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn81的敏感程度以及操作流程的复杂程度和范围,合理的管理和控制所识别的风险.
安全计划包括与CA业务、"证书数据"和"证书流程"的规模、复杂程度、性质和范围相适应的行政、组织架构、技术和物理环境的安全控制措施.
制定安全控制措施时,考虑今后可用的技术和相应的成本;安全控制措施程度必须与缺失该控制可能造成的破坏以及该控制所保护数据的性质相符合.
6.
6计算机安全控制根据系统安全管理的相关规定,CFCA要求CA与RA系统采用可信安全操作系统对外提供服务.
企业客户也必须使用可信任操作系统.
6.
6.
1特别的计算机安全技术要求CFCA的信息安全管理符合国家相关规定,主要安全技术和控制措施包括:采用安全可信任的操作系统、严格的身份识别和人员访问控制制度、多层防火墙设置、人员职责分割、内部操作控制、业务持续计划等各方面.
6.
6.
2计算机安全评估CFCA全球信任证书认证系统已通过国家密码管理局等有关部门的安全性审查.
6.
7生命周期技术控制6.
7.
1根密钥控制对于证书根密钥生成需要有证书审核从业者的现场参加,从业者通过现场中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn82查看CA根密钥生成的过程,对以下内容发表意见.
1)制定根密钥生成计划描述详细的根密钥生成流程和步骤;2)根密钥生成和密钥安全保护流程符合CPS和CP的要求;3)根密钥生成过程中执行了计划要求的所有流程和步骤;4)根密钥的生成过程需要用录像记录,作为今后的审核依据.
其他CA的密钥控制参照上述要求进行.
6.
7.
2系统开发控制CFCA的系统由符合国家相关安全标准和具有商用密码产品生产资质的可靠开发商开发,其开发过程符合国家密码主管部门的相关要求.
6.
7.
3安全管理控制CFCA认证服务系统的信息安全管理,严格遵循行业主管部门的规范进行操作,系统的任何变更都经过严格的测试验证后才能进行安装和使用.
同时,按照ISO9000质量管理体系标准建立了严格的管理制度.
对于核心数据,安排专人定时进行备份,每月由专人负责数据恢复,以验证数据的有效性.
6.
7.
4生命期的安全控制CFCA的系统由符合国家相关安全标准和具有商用密码产品生产资质的可靠开发商开发,其开发过程符合国家密码主管部门的相关要求,其产品源代码在国家密码主管部门处留有备份,以保证系统的延续性.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn836.
8网络的安全控制CFCA认证系统通过以下手段来防止网络受到未授权的访问和抵御恶意攻击:1、由路由器对来自外部的访问信息进行过滤控制;2、将功能独立的服务器放置在不同的网段;3、多级防火墙划分不同网段,并采用了完善的访问控制技术;4、通过验证和存取访问权限控制进行数据保护;5、在网络系统中,采用入侵检测产品,从检测与监听等多方面对网络系统进行防护,及时发现入侵者并报警,并实施事件响应;6、所有终端安装防病毒软件,并定期升级;7、提供冗余设计.
6.
9时间信息证书、CRL、OCSP、电子认证服务系统日志均包含时间信息,该时间信息来源于国家的标准时间源.
7证书、证书吊销列表和在线证书状态协议7.
1证书CFCA签发的证书格式符合GM/T0015-2012数字证书格式规范,包含如下证书域.
EVSSL全球服务器证书包含的域参见附录B.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn847.
1.
1版本号CFCA签发的证书格式符合X.
509V3标准,这一版本信息包含在证书版本属性内.
7.
1.
2证书扩展项证书扩展项是一个或多个证书扩展的序列,针对某种证书类型或者特定用户,CFCA签发的证书将包含私有扩展项,私有扩展项将被设置为非关键性扩展.
对于根CA证书的证书扩展项,除4个扩展项:基本限制(Basicconstraints),密钥用法(Keyusage),证书策略(certificatePolicies),扩展密钥用法(extendedKeyUsage),其他扩展项遵循RFC5280标准.
7.
1.
2.
1颁发机构密钥标识符CFCA订户证书及CA证书中包含颁发机构密钥标识符扩展项,此扩展项用于识别与证书签名私钥相对应的公钥,可辨别同一CA使用的不同密钥.
该扩展项为非关键项.
7.
1.
2.
2主题密钥标识符订户证书中包含主题密钥标识符扩展项,它标识了被认证的公钥,可用于区分同一主体使用的不同密钥(如证书密钥更新时).
其值从公钥中或者生成唯一值的方法导出.
该扩展项为非关键项.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn857.
1.
2.
3密钥用法密钥用法指明已认证的公开密钥用于何种用途.
对于CA证书的密钥用法,该项为关键扩展.
密钥用法包含证书签名、CRL签发,其他密钥用法不能出现.
对于订户证书,该项为非关键扩展,其密钥用法参见6.
1.
7.
7.
1.
2.
4基本限制基本限制项用来标识证书的主体是否是一个CA,通过该CA可能存在的认证路径有多长,该项定义遵照RFC3280之规定.
针对CA证书,该项为关键扩展,针对订户证书,该扩展项为非关键项.
7.
1.
2.
5增强型密钥用法本项指明已验证的公钥可用于一种或多种用途,可作为对密钥用法扩展项中指明的基本用途的补充或替代.
该扩展项为非关键项.
针对SSL全球服务器证书、EVSSL全球服务器证书此项为服务端认证.
针对代码签名证书,此项为代码签名、时间戳.
7.
1.
2.
6CRL分布点系统签发的证书包含CRL的分发点扩展项,依赖方可根据该扩展项提供的地址和协议下载CRL.
该扩展项为非关键项.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn867.
1.
2.
7主题备用名称主题备用名称包含一个或多个可选替换名(可使用多种名称形式中的任一个)供实体使用,CA把该实体与认证的公开密钥绑定在一起.
该扩展项的使用符合RFC3280及RFC2459之规定.
SSL全球服务器证书、EVSSL全球服务器证书必须包括该扩展域.
其他类型的证书该域为可选.
处于该域中的任何信息必须全部经过审核.
7.
1.
3算法对象标识符CFCA全球信任体系签发的证书符合RFC3280标准,采用RSA-2048/SHA1、RSA-4096/SHA-256算法签名或者SM2/SM3算法签名.
SM2算法其OID为:1.
2.
840.
10045.
2.
1附加参数为1.
2.
156.
10197.
1.
3017.
1.
4主题名称本项用于描述与主题公钥项中的公钥对应的实体的情况.
CFCA签发证书的甄别名符合X.
500关于甄别名的规定,CFCA保证签发的证书每个主题实体的甄别名称是唯一的.
为了确保甄别名称的唯一性,CFCA制定了《CFCA数字证书DN规则》.
CFCA参照这两个规则受理客户的申请.
OV系统签发的证书DN可以包含以下7部分:1、CN部分:一般为实体的真实名称,SSL全球服务器证书则是域名或者外网IP地址.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn872、OU部分:该部分为可选部分,可以表示实体的部门名称.
如OU表示实体的部门名称,则CFCA必须对该部分进行验证.
3、O部分:该部分为必选部分,表示实体的真实名称.
使用英文时应与实体有效证件上的真实名称意义一致,并且不能产生歧义.
4、L部分:该部分为必选部分.
用于表示营业地址所在城市或同等级别行政区域.
5、S部分:该部分为必选部分.
用于表示营业地址所在省或同等级别行政区域.
6、C部分:该部分为必选部分.
用于标识营业地址所在国家或地区.
DN中包含的国家、省市级名称必须使用权威部门颁发的标准名称(例如:ISOcountrycode).
订户在申请证书时应参照此要求生成证书签名请求文件(CSR,CertificateSignatureRequest),经CFCA审核通过后由CFCA签发证书,如CSR文件中内容与申请表内容不一致的,以申请表内容为主.
针对EVOCA、EVCodeSignOCA签发的证书DN项参见附录B7.
1.
5名称限制CFCA全球信任体系下签发的证书,其实体名称不允许为匿名或者伪名,必须是有明确含义的识别名称,使用英文名称时应能正确表达实体名称.
7.
1.
6证书策略及对象标识符CA证书的证书策略扩展项中,certificatePolicies:policyIdentifier设置为中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn88anyPolicy;订户证书策略对象标识符如下:EVSSL服务器证书策略对象标识符:2.
16.
156.
112554.
3.
EVSSL服务器证书的证书策略扩展项中标明CFCAEV证书遵循的标准为《EV证书签发及管理准则(GuidelinesForTheIssuanceAndManagementOfExtendedValidationCertificates)V1.
5》,并根据与应用软件开发商的约定,将此证书标记为EV证书.
应用程序开发商将在主数据中储存根CA的EVOID来识别可以签发EV证书的根CA.
EVCodeSign证书的OID为2.
16.
156.
112554.
3.
2;OVSSL服务器证书的OID为2.
16.
156.
112554.
4.
1;OVCodeSign证书的OID为2.
16.
156.
112554.
4.
2.
7.
1.
7策略限制扩展项的用法未使用本扩展域.
7.
1.
8策略限定符的语法和语义未使用本扩展域.
7.
1.
9关键证书策略扩展项的处理规则未使用本扩展域.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn897.
2CRL7.
2.
1版本号CFCA目前使用的是X.
509V2版本的CRL.
7.
2.
2CRL和CRL条目扩展项CRL数据定义如下:1、版本(Version)显示CRL的版本号.
2、CRL的签发者(Issuer)指明签发CRL的CA的甄别名.
3、CRL发布时间(thisUpdate)4、预计下一个CRL更新时间(nextupdate)5、签名算法6、列出吊销的证书,包括吊销证书的序列号和吊销日期.
7.
3在线证书状态协议CFCAEV系统提供在线证书状态查询服务.
其他系统根据业务需要提供该项服务.
在正常的网络状态下,CFCA可确保有足够的资源使CRL和OCSP服务在合理的时间内向用户反馈查询结果.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn908认证机构审计和其它评估8.
1评估的频率或情形CFCA在如下情形中进行评估:1、根据《中华人民共和国电子签名法》、《电子认证服务管理办法》《电子认证服务密码管理办法》规定,接受主管部门的评估和检查.
2、接受外部审计机构的定期评估.
3、接受第三方审计公司的Webtrust及EV审计.
评估的频率为:1、年度评估:接受主管部门对CFCA进行的年度检查;2、运营前评估:在新系统向公众提供服务之前由行业主管部门对新系统进行评估,评估合格后方可正式运营;3、定期评估:按照国际及国内相关标准要求接受外部审计机构的定期评估.
4、CFCA将每年进行Webtrust及EV评估审计,且审计报告发布日期不得晚于审计期间结束后三个月.
8.
2评估者的资质若需邀请外部审计机构对CFCA进行评估,CFCA将选择熟悉IT运营管理、具有多年审计经验的审计机构对CFCA的运营管理进行一致性审计.
在进行审计前,审计机构必须熟悉公钥基础设施技术及相关的法律法规、标准规范要求.
对于外部审计师的要求如下:中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn91从业者必须是具有提供与信息科技、信息安全、PKI和系统审计有关的第三方认证服务资质的独立会计师事务所;从业者在提供服务时,其EV证书WebTrust和普通Webtrust审核服务资质必须是有效的;从业者必须是AICPA或其他具有明确成员资质标准的协会成员.
8.
3评估者与被评估者的关系评估者与CFCA应无任何业务、财务往来或其它足以影响评估客观性的利害关系.
8.
4评估内容评估的内容包括但不限于以下方面:1、CA物理环境和控制2、密钥管理操作3、基础CA控制4、证书生命周期管理5、CA业务规则8.
5对问题与不足采取的措施CFCA管理层将对审计报告进行评估,对在审计中发现的重大意外或不作为采取行动.
从完成审计到采取行动纠正问题的时间不超过20天.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn928.
6评估结果的传达与发布当CFCA接受行业主管部门的检查或评估后,行业主管部门会向公众发布对CFCA的检查或评估结果.
当CFCA接受外部审计机构的审计后,CFCA会在公司网站上公布外部审计结果.
当CFCA进行内部审计后,审计结果将只在公司内部进行传达.
8.
7其他评估CFCA将进行持续的自我审核,至少每季度进行一次自我审核,以对自身的服务质量进行控制.
自我审核通过对上次审核期间末至本次审核期间初这段期间内的电子认证活动是否符合相关约定.
CFCA对自身的电子认证活动进行抽样审查,样本量不得少于此期间内签发证书总数的百分之三.
针对EV证书,需要检查签发的EV证书是否符合EV证书标准要求,样本量不得少于此期间内签发证书总数的百分之三.
9法律责任和其他业务条款9.
1费用9.
1.
1证书签发和更新费用根据市场和管理部门的规定,CFCA将收取合理的费用,并在订户向CFCA订购证书时,提前告知证书的签发与更新费用.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn939.
1.
2证书查询费用CFCA暂不收取此项收费,但保留对此项服务收费的权利.
9.
1.
3证书吊销或状态信息的查询费用CFCA暂不收取此项收费,但保留对此项服务收费的权利.
9.
1.
4其它服务费用CFCA保留收取其他服务费的权利.
9.
1.
5退款策略除非CFCA违背了本CPS所规定的责任与义务,订户可以要求退款.
否则,CFCA对订户收取的费用均不退还.
订户应当提供符合CFCA要求的完整、真实、准确的证书申请信息,否则CFCA对此造成的损失和后果不承担任何责任.
9.
2财务责任9.
2.
1保险范围CFCA根据业务发展情况和国内保险公司的业务开展情况决定其投保策略.
对于EV证书,CFCA通过了第三方审计公司的财务审计,为计划中的EV客户预留了相关的保险金额.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn949.
2.
2其它资产CFCA确保具有足够的财务实力来维持其正常经营并保证相应义务的履行,并合理地承担对订户及对依赖方的责任.
此要求对证书订户同样适用.
9.
2.
3对最终实体的保险或担保范围如果CFCA根据本CPS或任何法律规定,以及司法判定须承担赔偿和/或补偿责任的,CFCA将按照相关法律法规的规定、仲裁机构的裁定或法院的判决承担相应的赔偿责任.
9.
3业务信息保密9.
3.
1保密信息范围保密信息包括但不限于以下内容:1、CFCA与订户之间的协议、资料中未公开的内容等属于保密信息.
除非法律明文规定或政府、执法机关等的要求,CFCA承诺不对外公布或透露订户证书信息以外的任何其它隐私信息.
2、订户私钥属于机密信息,订户应当根据本CPS的规定妥善保管,如因订户自己泄漏私钥造成的损失,订户应自行承担.
9.
3.
2不属于保密的信息不属于保密的信息包括:1、CA系统签发的证书信息和CRL中的信息.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn952、在提供方披露数据和信息之前,已被接受方所持有的数据和信息.
3、在提供方披露数据和信息时或在披露数据和信息之后,非由于接受方的原因而被披露的信息.
4、经公开或通过其他途径成为公众领域的一部分数据和信息.
5、有权披露的第三方披露给接受方的数据和信息.
6、其他可以通过公共、公开渠道获得的信息.
9.
3.
3保护机密信息的责任CFCA有各种严格的管理制度、流程和技术手段来保护机密信息,包括但不限于商业机密、客户信息等.
CFCA的每个员工都要接受信息保密方面的培训.
9.
4个人信息私密性9.
4.
1隐私保密方案CFCA尊重所有订户和他们的隐私,个人隐私信息保密方案遵守现行法律和政策规定.
任何订户选择使用CFCA的证书服务,就表明已经同意接受CFCA的隐私保护制度.
9.
4.
2作为隐私处理的信息CFCA在管理和使用订户提供的相关信息时,除了证书中已经包括的信息以及证书状态信息外,该订户的基本信息将被视为隐私处理,这些信息将只能由CFCA使用,非经订户同意或有关法律法规、公共权力部门根据合法的程序中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn96要求,CFCA不会任意公开.
9.
4.
3不被视作隐私的信息订户持有的证书信息,以及证书状态信息不被视为隐私信息.
9.
4.
4保护隐私的责任CFCA、注册机构、订户、依赖方等机构或个人都有义务按照本CPS的规定,承担相应的隐私保护责任.
在法律法规或公共权力部门通过合法程序要求下,CFCA可以向特定的对象公布隐私信息,CFCA无需承担由此造成的任何责任.
9.
4.
5使用隐私信息的告知与同意1、订户同意,CFCA在业务范围内并按照本CPS规定的隐私保护政策使用所获得的任何订户信息,无论是否涉及到隐私,CFCA均可以不用告知订户.
2、订户同意,在任何法律法规或公共权力部门要求下,CFCA向特定对象披露隐私信息时,CFCA均可以不用告知订户.
9.
4.
6依法律或行政程序的信息披露除非符合下列条件,CFCA不会将订户的保密信息提供给其他个人或第三方机构:1、司法、行政部门或其他法律法规授权的部门依据政府法律法规、规章、决定、命令等的规定通过合法授权提出的申请.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn972、订户采用书面形式的信息披露授权.
3、本CPS规定的其他可以披露的情形.
9.
4.
7其它信息披露情形CFCA、订户、注册机构、依赖方等机构或个人都有义务按照本CPS的规定,承担相应的保护隐私责任.
在法律法规或公共权力部门通过合法程序或订户书面申请授权要求下,CFCA可以向特定的对象公布隐私信息,CFCA无需承担由此造成的任何责任.
9.
5知识产权CFCA享有并保留对证书以及CFCA提供的全部软件、资料、数据等的著作权、专利申请权等全部知识产权;CFCA制订并发布的CPS、CP、技术支持手册、发布的证书和CRL等的所有权和知识产权均归属于CFCA.
9.
6陈述与担保9.
6.
1电子认证服务机构的陈述与担保CFCA采用经过国家有关管理机关审批的信息安全基础设施开展电子认证服务业务.
CFCA的运作遵守《中华人民共和国电子签名法》等法律规定,接受行业主管部门的指导,CFCA对签发的数字证书承担相应法律责任.
CFCA的运营遵守CPS并随着业务的调整对CPS进行修订.
根据《电子认证服务管理办法》要求,CFCA有责任审计其注册机构电子中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn98认证业务是否符合本CPS约定.
CFCA对注册机构的审计至少一年一次.
CFCA具有保存和使用证书持有人信息的权限和责任.
9.
6.
2注册机构的陈述与担保作为CFCA的注册机构,应遵照CFCA的CPS与CP承担电子认证业务中注册机构的职责,其电子认证业务操作受行业及CFCA的相关管理规定约束.
1.
注册机构根据CFCA制订的策略和运行管理规范,对订户的证书申请材料进行审核,并注册证书订户的信息.
通过安全通道将证书订户的信息传送给CFCA.
2.
如注册机构对订户的证书申请材料审查没有通过,注册机构有向订户进行告知的义务.
3.
注册机构应在合理的时间内完成证书申请处理.
在申请者提交资料齐全且符合要求的情况下,处理证书申请的时间为1-3个工作日.
4.
注册机构须对订户的信息及与认证相关的信息妥善保存,并于适当的时间转交给CFCA归档.
注册机构应根据相关协议内容配合CFCA需要的电子认证业务合规性审计.
5.
注册机构应使订户明确地知道关于使用第三方数字证书的意义、数字证书的功能、使用范围、使用方式、密钥管理以及丢失数字证书的后果和处理措施、法律责任限制,尽到对订户安全提示的义务.
6.
注册机构有义务通知订户阅读CFCA发布的CP、CPS以及其它相关规定,在订户完全知晓并同意CP、CPS和《数字证书服务协议》内容的前提下,为订户办理数字证书.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn999.
6.
3订户的陈述与担保订户声明和承诺:订户确认已经阅读和理解了CPS及有关规定的全部内容,并同意受此CPS文件规定的约束.
1.
订户应遵循诚实、信用原则,在申请数字证书时,应当提供真实、完整和准确的信息和资料,并在这些信息、资料发生改变时及时通知CFCA.
如因订户故意或过失提供的资料不真实、不完整、不准确或资料改变后未及时通知CFCA,造成的损失由订户自己承担.
2.
订户使用CFCA数字证书时应使用经合法途径获得的相关软件.
3.
订户应通过可靠方式产生密钥对,防止密钥遭受攻击丢失、泄漏和误用;订户应当妥善保管CFCA签发的数字证书的私钥和密码,不得泄漏或交付他人.
如因故意或过失导致他人知道、盗用、冒用数字证书私钥和密码时,订户应承担由此产生的责任.
4.
订户应采取必要手段来保障申请证书时的密钥对中的私钥的安全存储、使用控制、与保密性(包括用于存储私钥的装置或设备),如订户使用的数字证书私钥和密码泄漏、丢失,或者订户不希望继续使用数字证书,或者订户主体不存在时,订户或法定权利人应当立即到原注册机构申请废止该数字证书,相关手续遵循本CPS的规定.
5.
订户应将证书用于合法目的并符合本CPS.
6.
订户应对使用证书的行为承担责任:①使用证书的行为应符合全部适用的法律法规.
②使用证书的行为应符合订户真实意愿或者仅为了处理已获得授权中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn100的事务.
③使用证书的行为符合用户协议约定的使用范围和条件.
7.
订户在取得证书后应确认证书信息无误.
8.
订户申请代码签名证书后,一旦发现如下情况,应当立即向CA申请吊销:①有证据表明,此代码签名证书被用于签署可疑代码,包括但不限于病毒,木马,或者其他不恰当的程序.
②证书中内容不再正确或不再准确.
③此证书私钥信息已被泄露,或者其他相关部分已被错误使用.
9.
订户保证一旦在证书被吊销后,将不能再使用该证书.
10.
订户明确了解如果CFCA发现了订户证书的不当使用,或者订户证书被用于违法甚至犯罪行为,CFCA有权直接吊销订户证书.
11.
订户损害CFCA利益的,须向CFCA赔偿全部损失.
这些情况包括但不限于:1)订户在申请数字证书时没有提供真实、完整、准确的信息,或者在信息变更时未及时通知CFCA;2)订户知道或者应当知道自己的私钥和密码已经失密或者可能已经失密,但未及时告知有关各方且未终止使用;3)订户有其他过错或未履行双方约定.
12.
订户有按期缴纳数字证书服务费的义务,费用标准请咨询CFCA商务人员.
13.
随着技术的进步,CFCA有权要求订户更换数字证书.
订户在收到数字中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn101证书更换通知后,应在规定的期限内向CFCA提出更换.
因订户逾期没有更换数字证书而引起的后果,由订户自行承担.
9.
6.
4依赖方的陈述与担保依赖方声明和承诺:1、获取并安装该证书对应的证书链;2、在信赖证书所证明的信任关系前确认该证书为有效证书,包括:检查CFCA公布的最新CRL,确认该证书未被吊销;检查该证书路径中所有出现过的证书的可靠性;检查该证书的有效期;以及检查其他能够影响证书有效性的信息;3、在信赖证书所证明的信任关系前确认该证书记载的内容与所要证明的内容一致;4、熟悉本CPS的条款,了解证书的使用目的,只在符合本CPS规定的证书应用范围内信任该证书;5、同意CPS中关于CFCA责任限制的规定.
9.
6.
5其它参与者的陈述与担保未列明的其他参与者应遵循本CPS的规定.
9.
7担保免责1、证书申请人或订户故意或过失提供或未按照要求提供不准确和/或不真实和/或不完整的信息而获得CFCA签发的证书,订户因使用该证书而产生的任中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn102何纠纷,由证书申请人或订户自行承担全部法律责任,CFCA对此不承担任何责任或后果.
2、由于非CFCA原因造成的设备故障、网络中断导致证书报错、交易中断或其他事故造成的损失,CFCA不向任何方承担赔偿和/或补偿责任.
3、CFCA对各类证书的适用范围作了规定,若证书被超出范围使用或被用于其他未被CFCA允许的用途,CFCA不承担任何法律责任.
4、由于不可抗力因素导致CFCA暂停、终止部分或全部数字证书服务,CFCA不承担赔偿和/或补偿责任.
5、CFCA在法律许可的范围内,根据有关法律法规的要求,如实提供电子交易和网络交易中产生的数字签名的验证信息("验证服务"),对非因该验证服务而导致的任何后果,CFCA不承担任何法律责任.
6、对于明显由于CFCA的合作方的越权行为或其他过错行为所引发的违反约定义务而对订户造成的损失,CFCA不承担赔偿和/或补偿责任.
9.
8有限责任如果CFCA根据本CPS或任何法律规定,以及司法判定须承担赔偿和/或补偿责任的,CFCA将按照相关法律法规的规定、仲裁机构的裁定或法院的判决承担相应的赔偿责任.
9.
9CFCA承担赔偿责任的限制1、除非有另外的规定或约定,对于非因本CPS项下的认证服务而导致的任何损失,CFCA不向订户和/或依赖方承担任何赔偿和/或补偿责任.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn1032、订户或依赖方进行的民事活动因CFCA提供的认证服务而遭受的损失,CFCA将依据本CPS的相关条款给予相应的赔偿.
但无论如何,如果CFCA能够证明其提供的服务是按照《电子签名法》、《电子认证服务管理办法》、CFCA向主管部门备案的CPS实施的,则视为CFCA不具有任何过错,CFCA将不对订户或依赖方承担任何赔偿或补偿责任.
3、无论本CPS是否有相反或不同规定,就以下损失或损害,CFCA不承担任何赔偿和/或补偿责任:(1)订户和/或依赖方的任何间接损失、直接或间接的利润或收入损失、信誉或商誉损害、任何商机或契机损失、失去项目、以及失去或无法使用任何数据、无法使用任何设备、无法使用任何软件;(2)由上述第(1)项所述的损失相应生成或附带引起的损失或损害;(3)非CFCA的行为而导致的损失;(4)因不可抗力而导致的损失,如罢工、战争、灾害、恶意代码病毒等.
4、无论本CPS是否有相反或不同规定,如果CFCA根据本CPS或任何法律规定,以及司法判定须承担赔偿和/或补偿责任的,CFCA将按照相关法律法规的规定、仲裁机构的裁定或法院的判决承担相应的赔偿责任.
9.
10有效期限与终止9.
10.
1有效期限本CPS自CFCA在其官方网站(http://www.
cfca.
com.
cn)公布之日起生效,除非CFCA特别声明CPS提前终止.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn1049.
10.
2终止CFCA有权终止本CPS(包括其修订版本),本CPS(包括其修订版本)自CFCA在其官方网站公布终止声明的30日后终止.
自新版本的CPS在CFCA官方网站公布之日起,上一版本的CPS效力将自动终止.
9.
10.
3终止后的存续条款CPS中涉及的审计、保密信息、隐私保护、知识产权等方面,以及涉及赔偿的有限责任条款,在本CPS终止后继续有效.
9.
11对参与者的个别通告与沟通参与者如需要进一步了解任何本CPS中提及的服务、规范、操作等信息,可以通过电话联系CFCA,联系电话:010-50955020.
9.
12修订CFCA有权修订本CPS,并将修订版本在官方网站上公布.
修订版本自公布之日起生效.
9.
12.
1修订程序修订程序与本CPS1.
5.
4"CPS批准程序"相同.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn1059.
12.
2通知机制和期限CFCA有权修订本CPS中的任何术语、条款,事前无需通知任何一方,但在修订后会及时公布在CFCA网站上.
如在修订发布后7个工作日内,订户没有申请对其证书进行吊销,将被视为同意该修改.
9.
12.
3必须修改业务规则的情形当本CPS描述的规则、流程和相关技术已经不能满足CFCA电子认证业务要求或本CPS依据的法律法规和部门规章变更时,CFCA将依照有关规定修改本CPS的相关内容.
9.
13争议解决订户或依赖方在发现或合理怀疑由CFCA提供的认证服务造成订户的电子交易信息的泄漏和/或篡改时,应在有效期内向CFCA提出争议处理请求并通知有关各方,有效期为3个月.
争议处理流程为:1、争议解决的通知:当争议发生时,在采取任何行动措施之前,订户应首先通知CFCA.
2、争议解决的方式:如果争议在最初通知之日起10天内未被解决,CFCA将召集由3名安全认证专家组成外部专家小组.
外部专家小组以协助解决争议为目的,收集相关事实.
专家小组应在成立之日起10天内(除非当事人同意将此段时限延长至一特定时段)完成建议并向当事人传达.
专家小组的建议对当事人无约束力,但当中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn106事人一方若书面签署文件表示同意该建议,则争议的双方即按照建议的内容解决争议.
如果订户在书面签署文件同意专家小组建议后后悔,并将争议提交仲裁,则该建议将视为CFCA与订户之间就争议解决达成的协议且受法律保护.
3、正式争议解决:若专家小组未能在约定时限内提出有效建议,或者所提的建议不能使双方当事人就争议的解决达成一致意见,争议双方仅可以将争议提交北京仲裁委员会仲裁.
4、索赔时限任何订户或依赖方欲向CFCA提出索赔,应在知道或应当知道损失发生时起的两年内提出.
超出两年的,该索赔无效.
9.
14管辖法律CFCACPS和协议中条款的制定遵守《中华人民共和国合同法》和《中华人民共和国电子签名法》及相关法律规定.
如CPS中某项条款与上述法律条款或其可执行性发生抵触,CFCA将会对此条款进行修改,使之符合相关法律规定.
9.
15与适用法律的符合性CFCA的各项策略均遵守并符合中华人民共和国各项法律法规和国家信息安全主管部门要求.
若本CPS的某一条款被主管部门宣布为非法、不可执行或无效时,CFCA将对该不符合性条款进行修改,直至该条款合法和可执行为止.
本CPS某一个条款的不可执行性不会影响其它条款的法律效力.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn1079.
16一般条款9.
16.
1本CPS的完整性本CPS将替代所有以前的或同时期的、与相同主题相关的书面或口头解释.
CPS、CP、订户协议及依赖方协议及其补充协议构成各参与者之间的完整协议.
9.
16.
2转让CA、RA、订户及依赖方之间的权利义务不能通过任何形式转让给任何人.
9.
16.
3分割性本CPS的某一条款被主管部门宣布为非法、不可执行或无效时,CFCA将对该不符合性条款进行修改,直至该条款合法和可执行为止,但此条款的不可执行性不会影响其它条款的有效性.
9.
16.
4强制执行无.
9.
16.
5不可抗力不可抗力是指不能预见、不能避免并不能克服的的客观情况.
构成不可抗力的事件包括战争、恐怖行动、罢工、自然灾害、传染性疾病、互联网或其它基础设施无法使用等.
但各方都有义务建立灾难恢复和业务连续性机制.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn1089.
17其它条款CFCA承诺遵循CA/BrowserForum(http://www.
cabforum.
org.
)发布的最新版本的《EV证书指导准则GuidelinesForTheIssuanceAndManagementOfExtendedValidationCertificates》、《EV代码签名证书指导准则GuidelinesForTheIssuanceAndManagementOfExtendedValidationCodeSigningCertificates》《公众可信证书签发和管理基线要求BaselineRequirementsfortheIssuanceandManagementofPublicly-TrustedCertificates》,若CPS与以上两个指导准则不符,以准则为准.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn109附录A定义和缩写缩写表项目缩写定义ANSI美国国家标准协会(TheAmericanNationalStandardsInstitute)CA电子认证服务机构(CertificateAuthority)RA注册机构(RegistrationAuthority)CRL证书吊销列表(CertificateRevocationList)OCSP在线证书状态协议(OnlineCertificateStatusProtocal)CP证书策略(CertificatePolicy)CPS电子认证业务规则(CertificatepracticeStatement)CSR证书签名请求(CertificateSignatureRequest)IETF互联网工程任务组(TheInternetEngineeringTaskForce)定义表项目概念定义电子认证服务机构受订户信任的,负责创建和签发、管理公钥证书的权威机构,有时也可为订户创建密钥.
注册机构面向证书订户,负责订户证书的申请、审批和证书管理工作.
数字证书经CA数字签名包含数字证书使用者身份公开信息和公开密钥的电子文件.
证书吊销列表一个严格要求进行周期性发布的列表,被CA签名,用于标记一系列不再被证书发布者所信任的证书列表.
在线证书状态协议IETF颁布的用于检查数字证书状态的协议.
证书策略一套命名的规则集,用以指明证书对一个特定团体和(或者)具有相同安全需求的应用类型的适用性.
例如,一个特定的CP可以指明某类证书适用于鉴别从事企业到企业(B-to-B)交易活动的参与方,针对给定价格范围内的产品和服务.
电子认证业务规则关于电子认证服务机构在签发、管理、吊销或更新证书(或更新证书中的密钥)过程中所采纳的业务实践的声明.
订户申请证书的实体.
依赖方依赖方是指信赖于证书所证明的基础信任关系并依此进行业务活动的个人或机构.
私钥经由数学运算产生的密钥(由持有者保管),用于制作数字签名,亦可依据运算方式,就相对应的公开密钥加密的文件或信息(以确保资料的机密性)予以解密.
中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn110公钥经由数学运算产生的密钥,可公开取得、并可用于验证由其对应的私钥所产生的数字签名.
公开密钥亦可依据其运算方式,将信息或档案加密,再以对应的私钥进行解密.
唯一甄别名在数字证书的主体名称域中,用于唯一标识证书主体的X.
500名称.
此域需要填写反映证书主体真实身份的、具有实际意义的、与法律不冲突的内容.
附录BEVSSL全球服务器证书格式证书域域值版本V3序列号包含20位的随机数签名算法SHA256RSASM2/SM3(1.
2.
156.
10197.
1.
501)颁发者CN=CFCAEVOCAO=ChinaFinancialCertificationAuthorityC=CNCN=CFCAEVSM2OCAO=ChinaFinancialCertificationAuthorityC=CN有效期起止日证书有效期时间有效期终止日证书有效期终止时间主题CN=pub.
cebnet.
com.
cn必须有、且只能是域名OU=E-bankingnetwork部门名称O=ChinaE-bankingnetwork法定的组织机构名称,如使用非官方名称,应能正确反映其组织机构名称,并且不能引起歧义.
如名称超过64字节,应使用缩写,但缩写不应引起对机构名称的歧异.
L=Beijing营业地址:包括国家、州或省、城市或乡镇、街道号码、邮编.
国家、州或省、城市或乡镇是必选项街道号码和邮编是可选项.
S=BeijingC=CN国家识别名SERIALNUMBER=110000006499259提供的证件注册码(如组织机构代码、企业营业执照代码、税务登记码等),如没有证件注册码,则以成立日期代替.
2.
5.
4.
15=PrivateOrganization业务类型:可以是下面的一种PrivateOrganizationGovernmentEntityBusinessEntityNon-CommercialEntity1.
3.
6.
1.
4.
1.
311.
60.
2.
1.
1=注册地区注册管辖区地址中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn1111.
3.
6.
1.
4.
1.
311.
60.
2.
1.
2=注册省份1.
3.
6.
1.
4.
1.
311.
60.
2.
1.
3=CN注册地所在国家代码,公钥RSA(2048)1.
2.
840.
10045.
2.
1(SM2算法标识符)颁发机构访问信息[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)AlternativeName:URL=http://ocsp.
cfca.
com.
cn/ocsp[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://gtc.
cfca.
com.
cn/evoca/evoca.
cer颁发机构密钥标识符基本限制SubjectType=EndEntityPathLengthConstraint=None证书策略[1]CertificatePolicy:PolicyIdentifier=2.
16.
156.
112554.
3[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cfca.
com.
cn/us/us-12.
htm2.
16.
156.
112554.
3为CFCA签发的EV证书标识符http://www.
cfca.
com.
cn/us/us-12.
htm为EV证书策略地址CRL分发点[1]CRLDistributionPointDistributionPointName:FullName:URL=http://crl.
cfca.
com.
cn/evoca/RSA/crl1.
crlEV证书的CRL分发点密钥用法DigitalSignature,KeyEncipherment(a0)主题密钥标识符增强密钥用法服务器验证(1.
3.
6.
1.
5.
5.
7.
3.
1)主题备用名域名EVCodeSign证书格式证书域域值版本V3序列号包含20位的随机数签名算法SHA256RSASM2/SM3(1.
2.
156.
10197.
1.
501)颁发者CN=CFCAEVCodeSignOCAO=ChinaFinancialCertificationAuthorityC=CNCN=CFCAEVSM2OCAO=ChinaFinancialCertificationAuthority中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn112C=CN有效期起止日证书有效期时间有效期终止日证书有效期终止时间主题CN=北京中金国信科技有限公司必须有,必须是订户法定名称,且不能是域名,IPOU=ITDepartment部门名称O=北京中金国信科技有限公司法定的组织机构名称,如使用非官方名称,应能正确反映其组织机构名称,并且不能引起歧义.
如名称超过64字节,应使用缩写,但缩写不应引起对机构名称的歧异.
L=xian营业地址:包括国家、州或省、城市或乡镇、街道号码、邮编.
国家、州或省、城市或乡镇是必选项街道号码和邮编是可选项.
S=shanxiC=CN国家识别名SERIALNUMBER=11000000649提供的证件注册码(如组织机构代码、企业营业执照代码、税务登记码等),如没有证件注册码,则以成立日期代替.
2.
5.
4.
15=PrivateOrganization业务类型:可以是下面的一种PrivateOrganizationGovernmentEntityBusinessEntityNon-CommercialEntity1.
3.
6.
1.
4.
1.
311.
60.
2.
1.
1=注册地区注册管辖区地址1.
3.
6.
1.
4.
1.
311.
60.
2.
1.
2=注册省份1.
3.
6.
1.
4.
1.
311.
60.
2.
1.
3=CN注册地所在国家代码公钥RSA(2048)1.
2.
840.
10045.
2.
1(SM2算法标识符)颁发机构访问信息[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)AlternativeName:URL=http://ocsp.
cfca.
com.
cn/ocsp[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://gtc.
cfca.
com.
cn/evcodesignoca/evcodesignoca.
cer颁发机构密钥标识符基本限制SubjectType=EndEntityPathLengthConstraint=None证书策略[1]CertificatePolicy:http://www.
cfca.
com.
cn/us/us-12.
htm为EV中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn113PolicyIdentifier=2.
16.
156.
112554.
3.
2[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cfca.
com.
cn/us/us-12.
htm证书策略地址CRL分发点[1]CRLDistributionPointDistributionPointName:FullName:URL=http://crl.
cfca.
com.
cn/evcodesignoca/RSA/crl1.
crlEV证书的CRL分发点密钥用法DigitalSignature,主题密钥标识符增强密钥用法代码签名主题备用名永久识别名:样例格式为:CN-BEIJING-A77925471永久识别名格式:CC-STATE(如果适用)-REGorDATE(如果有)-ORG(如果没有REG).
CC:国家名,ISO3166-2规定的国家编码(jurisdictionOfIncorporationCountryName)STATE:地区信息(subjectjurisdictionOfIncorporationLocalityName或者subject:jurisdictionofIncorporationStateorProvinceName域中展示比如省,州,城市,必须不能使用缩写)REG:注册码(serialNumber)DATE公司成立日期ORG企业名中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn114OVSSL全球服务器证书格式证书域域值版本V3序列号包含20位的随机数签名算法SHA2RSASM2/SM3(1.
2.
156.
10197.
1.
501)颁发者CN=CFCAOVOCAO=ChinaFinancialCertificationAuthorityC=CNCN=CFCAOVSM2OCAO=ChinaFinancialCertificationAuthorityC=CN有效期起止日证书有效期时间有效期终止日证书有效期终止时间主题CN=pub.
cebnet.
com.
cn必须有、且只能是域名或者外网IPOU=E-bankingnetwork部门名称(非必须)O=ChinaE-bankingnetwork法定的组织机构名称,如使用非官方名称,应能正确反映其组织机构名称,并且不能引起歧义.
如名称超过64字节,应使用缩写,但缩写不应引起对机构名称的歧异.
L=Beijing营业地址:包括国家、州或省、城市或乡镇、街道号码、邮编.
国家、州或省、城市或乡镇是必选项街道号码和邮编是可选项.
S=BeijingC=CN国家代码公钥RSA(2048)1.
2.
840.
10045.
2.
1(SM2算法标识符)颁发机构访问信息[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)AlternativeName:URL=http://ocsp.
cfca.
com.
cn/ocsp[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://gtc.
cfca.
com.
cn/ovoca/ovoca.
cer颁发机构密钥标识符基本限制SubjectType=EndEntityPathLengthConstraint=None证书策略[1]CertificatePolicy:PolicyIdentifier=2.
16.
156.
112554.
3.
2[1,1]PolicyQualifierInfo:2.
16.
156.
112554.
4.
1为CFCA签发的SSL证书标识符http://www.
cfca.
com.
cn/us/us-11.
htm为中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn115PolicyQualifierId=CPSQualifier:http://www.
cfca.
com.
cn/us/us-12.
htmSSL证书策略地址CRL分发点[1]CRLDistributionPointDistributionPointName:FullName:URL=http://crl.
cfca.
com.
cn/OVOCA/RSA/crl1.
crl证书的CRL分发点密钥用法DigitalSignature,KeyEncipherment(a0)主题密钥标识符增强密钥用法客户端验证(1.
3.
6.
1.
5.
5.
7.
3.
2)服务器验证(1.
3.
6.
1.
5.
5.
7.
3.
1)主题备用名外网ip或者域名OVCodeSign证书格式证书域域值版本V3序列号包含20位的随机数签名算法SHA2RSASM2/SM3(1.
2.
156.
10197.
1.
501)颁发者CN=CFCAOVCodeSignOCAO=ChinaFinancialCertificationAuthorityC=CNCN=CFCAOVCodeSignSM2OCAO=ChinaFinancialCertificationAuthorityC=CN有效期起止日证书有效期时间有效期终止日证书有效期终止时间主题CN=北京中金国信科技有限公司必须有,必须是订户法定名称、且不能是域名或者IPOU=E-bankingnetwork部门名称(非必须)O=ChinaE-bankingnetwork法定的组织机构名称,如使用非官方名称,应能正确反映其组织机构名称,并且不能引起歧义.
如名称超过64字节,应使用缩写,但缩写不应引起对机构名称的歧异.
L=Beijing营业地址:包括国家、州或省、城市或乡镇、街道号码、邮编.
国家、州或省、城市或乡镇是必选项街道号码和邮编是可选项.
S=BeijingC=CN国家代码公钥RSA(2048)1.
2.
840.
10045.
2.
1(SM2算法标识符)中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn116颁发机构访问信息[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)AlternativeName:URL=http://ocsp.
cfca.
com.
cn/ocsp[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://gtc.
cfca.
com.
cn/ovcodesignoca/ovcodesignoca.
cer颁发机构密钥标识符基本限制SubjectType=EndEntityPathLengthConstraint=None证书策略[1]CertificatePolicy:PolicyIdentifier=2.
16.
156.
112554.
4.
2[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cfca.
com.
cn/us/us-12.
htm2.
16.
156.
112554.
4.
2为CFCA签发的OVCodeSign证书标识符http://www.
cfca.
com.
cn/us/us-12.
htm为SSL证书策略地址CRL分发点[1]CRLDistributionPointDistributionPointName:FullName:URL=http://crl.
cfca.
com.
cn/OVCodeSignOCA/RSA/crl3.
crl证书的CRL分发点密钥用法DigitalSignature,KeyEncipherment(a0)主题密钥标识符增强密钥用法代码签名主题备用名永久识别名:样例格式为:CN-BEIJING-A77925471永久识别名格式:CC-STATE(如果适用)-REGorDATE(如果有)-ORG(如果没有REG).
CC:国家名,ISO3166-2规定的国家编码(jurisdictionOfIncorporationCountryName)中国金融认证中心ChinaFinancialCertificationAuthority中金金融认证中心有限公司(CFCA)版权所有http://www.
cfca.
com.
cn117STATE:地区信息(subjectjurisdictionOfIncorporationLocalityName或者subject:jurisdictionofIncorporationStateorProvinceName域中展示比如省,州,城市,必须不能使用缩写)REG:注册码(serialNumber)DATE公司成立日期ORG企业名附录C可靠数据源;数据源可靠性CFCA在决定一个数据源为可靠数据源之前,将对以下进行评估:1,数据提供时间,数据存在时间2,数据源更新时间、更新周期3,数据源的提供者和数据采集目的4,此数据源是否可公开访问的情况5,伪造或修改此数据源数据的难度如果数据源提供者为CFCA本身,或者CFCA的所有者,或者CFCA的下级机构,则不能作为各种身份和资质认证的可靠数据源.