证书免费私人服务器

国富安CA电子认证证书策略1http://www.
gfapki.
com.
cn北京国富安电子商务安全认证有限公司证书策略(CP)版本1.
0生效日期:2009年5月12日国富安CA电子认证证书策略2http://www.
gfapki.
com.
cn声明:国富安CA证书策略(GFACP)是由国富安公司安全策略管理委员会制定并发布,版权归国富安公司所有,未经国富安公司书面同意,本文件的任何部分不得以任何方式、任何途径转载、传播、使用.
已经国富安公司授权使用的,应在授权范围内使用,并注明"来源:北京国富安电子商务安全认证有限公司".

如因作品内容、版权和其它问题需要同本公司联系的,请在30日内进行.
公司名称:北京国富安电子商务安全认证有限公司.
地址:北京经济技术开发区荣华中路11号中国国际电子商务中心709.
电话:(8610-67800320),传真:(8610-67800318),电子邮件:gfacasupport@ec.
com.
cn国富安CA证书策略北京国富安电子商务安全认证有限公司版权地址:北京经济技术开发区荣华中路11号邮编:100176电话:(8610)-67800320公司网址:www.
cacenter.
com.
cn运营网址:www.
gfapki.
com.
cn国富安CA电子认证证书策略3http://www.
gfapki.
com.
cn目目录录1.
简介141.
1概述.
1411.
1.
1证书类别.
151.
1.
1.
1第1类证书.
151.
1.
1.
2第2类证书.
151.
1.
1.
2.
1组织机构授权人证书.
151.
1.
1.
2.
2组织机构、企业法人证书.
161.
1.
1.
2.
3组织机构、企业部门证书.
161.
1.
1.
2.
4组织机构、企业身份证书.
161.
1.
1.
3第3类证书.
161.
1.
1.
3.
1个人服务器证书.
161.
1.
1.
3.
2组织机构、企业服务器证书.
171.
2文档名称与标识.
171.
3电子认证活动参与者及其职责.
1721.
3.
1认证机构(CA)1731.
3.
2注册机构(RA)1741.
3.
3订户.
1851.
3.
4依赖方.
1861.
3.
5其他参入者.
181.
4证书使用.
1871.
4.
1合适的证书应用.
181.
4.
1.
11类证书的应用.
191.
4.
1.
22类证书的应用.
191.
4.
1.
2.
12类组织机构授权人证书的应用.
191.
4.
1.
2.
22类组织机构法人证书的应用.
19国富安CA电子认证证书策略4http://www.
gfapki.
com.
cn1.
4.
1.
2.
32类组织机构部门证书的应用.
191.
4.
1.
2.
42类组织机构身份证书的应用.
201.
4.
1.
33类证书的应用.
201.
4.
1.
3.
13类个人服务器的证书应用.
201.
4.
1.
3.
23类组织机构服务器的证书应用.
2081.
4.
2受限的应用.
201.
5策略管理.
2191.
5.
1策略文档管理机构.
21101.
5.
2联系人.
21111.
5.
3决定CPS符合策略的机构.
22121.
5.
4CPS批准程序.
221.
6定义与缩写.
22131.
6.
1定义.
22141.
6.
2缩写表.
252.
信息发布与信息管理.
282.
1信息库.
282.
2认证信息的发布.
282.
3发布的时间或频率.
282.
4信息库访问控制.
283.
识别与鉴别.
293.
1名称.
29153.
1.
1名称类型.
29163.
1.
2对名称有意义的要求.
29173.
1.
3订户的匿名或伪名.
29183.
1.
4解释不同命名的规则.
29193.
1.
5名称的唯一性.
29203.
1.
6名称解析.
30213.
1.
7商标和订户的信息与鉴证.
303.
2初始身份确认.
30国富安CA电子认证证书策略5http://www.
gfapki.
com.
cn223.
2.
1证明拥有私钥的方法.
30233.
2.
2组织机构身份的鉴别.
30243.
2.
3个人身份的鉴别.
30253.
2.
4没有验证的订户信息.
31263.
2.
5互操作准则.
313.
3密钥更新请求的标识与鉴别.
31273.
3.
1常规的密钥更新的标识与鉴别.
31283.
3.
2吊销之后的密钥更新的标识与鉴别.
313.
4吊销请求的标识与鉴别.
324.
证书生命周期操作要求.
324.
1证书申请.
32294.
1.
1提交证书请求的主体.
32304.
1.
2注册过程与责任.
324.
2证书申请处理.
33314.
2.
1执行识别与鉴别功能.
33324.
2.
2证书申请批准和拒绝.
33334.
2.
3处理证书申请的时间.
334.
3证书签发.
33344.
3.
1证书签发中RA和CA的行为.
33354.
3.
2CA和RA对订户的通告.
344.
4证书接受.
34364.
4.
1构成接受证书的行为.
34374.
4.
2CA对证书的发布34384.
4.
3CA对其他实体的通告344.
5密钥对和证书使用.
34394.
5.
1订户私钥和证书使用.
34404.
5.
2信赖方公钥和证书使用.
354.
6证书更新.
35414.
6.
1证书更新的情形.
35国富安CA电子认证证书策略6http://www.
gfapki.
com.
cn424.
6.
2要求证书更新的主体.
35434.
6.
3证书更新请求的处理.
36444.
6.
4通知订户新证书的签发.
36454.
6.
5构成接受更新证书的行为.
36464.
6.
6CA对更新证书的发布36474.
6.
7CA通知其他实体证书的签发364.
7证书密钥变更.
37484.
7.
1证书密钥变更的情形.
37494.
7.
2请求证书密钥变更的实体.
37504.
7.
3证书密钥变更请求的处理.
37514.
7.
4颁发新证书对订户的通告.
37524.
7.
5构成接受密钥变更证书的行为.
37534.
7.
6CA对密钥变更证书的发布38544.
7.
7CA对其他实体的通告384.
8证书吊销和挂起.
38554.
8.
1证书吊销的情形.
38564.
9.
2请求证书吊销实体.
38574.
9.
3吊销请求的流程.
39584.
9.
4吊销请求的宽限期.
39594.
9.
5CA处理吊销请求的时限39604.
9.
6依赖方检查证书吊销的要求.
39614.
9.
7CRL发布频率.
40624.
9.
8CRL发布的最大滞后时间.
40634.
9.
9在线状态查询的可用性.
40644.
9.
10在线状态查询要求.
40654.
9.
11吊销信息的其他发布形式.
40664.
9.
12密钥损害的特别要求.
40674.
9.
13证书挂起的情形.
40684.
9.
14请求证书挂起的实体.
41国富安CA电子认证证书策略7http://www.
gfapki.
com.
cn694.
9.
15挂起请求的流程.
41704.
9.
16挂起的期限限制.
414.
10证书状态服务.
41714.
10.
1操作特征.
41724.
10.
2服务可用性.
41734.
10.
3可选特征.
414.
11订购结束.
424.
12密钥生成、备份与恢复.
42744.
12.
1密钥生成、备份与恢复的策略与行为.
42754.
12.
2会话密钥的封装与恢复的策略与行为.
425.
设施、管理和操作控制.
425.
1物理控制.
42765.
1.
1场地位置与控制.
43775.
1.
2物理访问控制.
43785.
1.
3电力与空调.
43795.
1.
4防水.
43805.
1.
5火灾防护.
44815.
1.
6存储介质存放.
44825.
1.
7废物处理.
44835.
1.
8异地备份.
445.
2操作过程控制.
44845.
2.
1可信角色.
445.
2.
1.
1CA系统管理人员445.
2.
1.
2运营安全管理小组.
45855.
2.
2每项任务需要的人数.
45865.
2.
3每个角色的识别与鉴别.
45875.
2.
4需要职责分割的角色.
45885.
2.
5安全令牌控制.
465.
3人员控制.
46国富安CA电子认证证书策略8http://www.
gfapki.
com.
cn895.
3.
1资格、经历和无过错要求.
46905.
3.
2背景审查程序.
46915.
3.
3培训要求.
46925.
3.
4继续培训的周期和要求.
47935.
3.
5岗位分离.
47945.
3.
6工作岗位轮换的周期和顺序.
47955.
3.
7未授权行为的制裁.
47965.
3.
8系统抢修的要求.
47975.
3.
9独立合约人的要求.
47985.
3.
10提供给员工的文档.
485.
4审计日志程序.
48995.
4.
1记录事件的类型.
481005.
4.
2处理或归档日志的周期.
481015.
4.
3审计日志保存的期限.
481025.
4.
4审计日志的保护.
481035.
4.
5审计日志备份程序.
481045.
4.
6审计收集系统.
481055.
4.
7对导致事件主体的通知.
491065.
4.
8脆弱性评估.
495.
5记录归档.
491075.
5.
1归档记录的类型.
491085.
5.
2归档记录的保存期限.
491095.
5.
3归档文件的保护.
501105.
5.
4归档文件的备份.
501115.
5.
5记录时间戳要求.
501125.
5.
6归档收集系统.
501135.
5.
7验证归档文件信息.
505.
6密钥变更.
501145.
6.
1密钥有效期.
50国富安CA电子认证证书策略9http://www.
gfapki.
com.
cn1155.
6.
2密钥变更说明.
515.
7损害与灾难恢复.
511165.
7.
1事故和损害处理程序.
511175.
7.
2实体公钥被撤销处理程序.
511185.
7.
3实体私钥损害处理程序.
511195.
7.
4灾难后的业务存续能力.
525.
8CA终止服务.
526.
技术安全控制.
526.
1密钥对的产生和安装.
521206.
1.
1密钥对的产生.
526.
1.
1.
1CA密钥对的产生526.
1.
1.
2最终订户密钥对的产生.
531216.
1.
2私钥传输给订户.
531226.
1.
3公钥传输给证书签发机构.
531236.
1.
4CA公钥传输给依赖方531246.
1.
5密钥的长度.
541256.
1.
6公钥参数的生成和质量检查.
541266.
1.
7密钥使用目的.
546.
2私钥保护和密码模块工程控制.
541276.
2.
1密码模块的标准和控制.
541286.
2.
2私钥多人控制.
541296.
2.
3私钥托管.
551306.
2.
4私钥备份.
551316.
2.
5私钥归档.
551326.
2.
6私钥导入、导出密码模块.
551336.
2.
7私钥在密码模块的存储.
561346.
2.
8激活私钥的方法.
566.
2.
8.
1最终订户私钥.
566.
2.
8.
1.
11类证书私钥激活.
56国富安CA电子认证证书策略10http://www.
gfapki.
com.
cn6.
2.
8.
1.
22类证书私钥激活.
566.
2.
8.
1.
33类证书私钥激活.
566.
2.
8.
1.
44类证书私钥激活.
576.
2.
8.
1.
55类证书私钥激活.
576.
2.
8.
2CA私钥.
571356.
2.
9解除私钥激活状态的方法.
571366.
2.
10销毁私钥的方法.
581376.
2.
11密码模块的评估.
586.
3密钥对管理的其他方面.
581386.
3.
1公钥归档.
581396.
3.
2证书操作期和密钥对使用期限.
586.
4激活数据.
591406.
4.
1激活数据的产生和安装.
591416.
4.
2激活数据的保护.
591426.
4.
3激活数据的其他方面.
606.
4.
3.
1激活数据的传送.
606.
4.
3.
2激活数据的销毁.
606.
5计算机安全控制.
601436.
5.
1特别的计算机安全技术要求.
601446.
5.
2计算机安全评估.
606.
6生命周期技术控制.
611456.
6.
1系统开发控制.
611466.
6.
2安全管理控制.
611476.
6.
3生命期的安全控制.
616.
7网络的安全控制.
616.
8时间戳.
617.
有关证书、证书吊销列表和在线证书状态协议.
627.
1证书.
621487.
1.
1版本号.
62国富安CA电子认证证书策略11http://www.
gfapki.
com.
cn1497.
1.
2证书扩展项.
627.
1.
2.
1密钥用法(KeyUsage)627.
1.
2.
2证书策略扩展项(CertificatePolicies)627.
1.
2.
3主体备用名(subjectAltName)627.
1.
2.
4基本限制扩展项(BasicConstraints)627.
1.
2.
5扩展的密钥用法(ExtendedKeyUsage)637.
1.
2.
6CRL的分发点(cRLDistributionPoints)637.
1.
2.
7签发CA密钥标识符637.
1.
2.
8主题密钥标识符.
631507.
1.
3证书格式.
631517.
1.
4名称形式.
681527.
1.
5名称限制.
691537.
1.
6算法对象标识符.
697.
2证书吊销列表.
691547.
2.
1版本号.
691557.
2.
2CRL和CRL条目扩展项697.
3在线证书状态协议.
701567.
3.
1版本号.
701577.
3.
2OCSP基本域.
701587.
3.
3OCSP扩展项.
718.
认证机构审计和其他评估.
718.
1评估的频率和情形.
718.
2评估者的资格.
718.
3评估者与被评估者之间的关系.
718.
4评估的内容.
718.
5对问题与不足采取的措施.
728.
6评估结果的传达与发布.
728.
7其他评估.
729.
法律责任和其他业务条款.
72国富安CA电子认证证书策略12http://www.
gfapki.
com.
cn9.
1费用.
721599.
1.
1证书签发和更新费用.
721609.
1.
2证书查询的费用.
721619.
1.
3证书吊销或状态信息的查询费用.
721629.
1.
4其他服务费用.
731639.
1.
5退款策略.
739.
2财务责任.
731649.
2.
1保险范围.
731659.
2.
2其他财产.
731669.
2.
3对最终实体的保险或担保.
739.
3业务信息保密.
731679.
3.
1保密信息范围.
741689.
3.
2不属于保密的信息.
741699.
3.
3保护保密信息的责任.
749.
4个人隐私保密.
741709.
4.
1隐私保密计划.
741719.
4.
2作为隐私处理的信息.
741729.
4.
3不被视为隐私的信息.
741739.
4.
4保护隐私的责任.
751749.
4.
5使用隐私信息的告知与同意.
751759.
4.
6依法律或行政程序的信息披露.
751769.
4.
7其他信息披露情形.
759.
5知识产权.
751779.
5.
1知识产权.
751789.
5.
2CRL中的知识产权.
751799.
5.
3CP及CPS中的知识产权.
761809.
5.
4命名中的知识产权.
761819.
5.
5密钥和密钥材料的知识产权.
769.
6陈述与担保.
76国富安CA电子认证证书策略13http://www.
gfapki.
com.
cn1829.
6.
1CA的陈述与担保761839.
6.
2RA的陈述与担保771849.
6.
3订户的陈述与担保.
771859.
6.
4依赖方的陈述与担保.
771869.
6.
5其他参与者的陈述与担保.
779.
7担保免责.
779.
8有限责任.
789.
9赔偿.
789.
10有效期限与终止.
781879.
10.
1有效期限.
781889.
10.
2终止.
781899.
10.
3效力的终止与保留.
799.
11对参与者个别通告与沟通.
799.
12修订.
791909.
12.
1修订程序.
791919.
12.
2通知机制与期限.
791929.
12.
3必须修改的情形.
809.
13争议解决.
809.
14管辖法律.
809.
15一般条款.
801939.
15.
1完整协议.
801949.
15.
2分割性.
811959.
15.
4强制执行.
811969.
15.
5不可抗力.
819.
16其他条款.
81国富安CA电子认证证书策略14http://www.
gfapki.
com.
cn1.
简介北京国富安电子商务安全认证有限公司成立于1998年12月,简称"国富安CA".
国富安CA是在公众网络(例如CHINANET、CIETNET等,以下简称公网)上进行电子商务活动的安全基础设施.
该体系和与之配套的安全技术在整个公众电子商务平台中处于基础结构地位.
本文件是国富安CA证书策略(CP).
本CP是一个以公钥基础设施(PublicKeyInfrastructure,PKI)为基础的证书策略,它制定了各种应用的数字证书的策略,适合于广大的、对通信和信息安全方面有各种各样的需求的公众用户.

本CP是管辖国富安CA所有证书的主要策略说明.
它严格按照《中华人民共和国电子签名法》和《电子认证服务管理办法》的要求,以及相关管理规定,为批准、签发、管理、使用、吊销和更新证书和相关的可信服务制定商务、法律和技术上的规范.
这些规范应用于所有PKI参与者,保护证书的安全性和完整性,遵循本CP的认证机构应根据本CP制定认证业务声明(CertificationPracticesStatement),及其他的管理规范和辅助协议.
北京国富安电子商务安全认证有限公司安全策略管理委员会PMA负责CP的修改、更新、及评述整理工作.
PMA还负责检查CP要求的遵守情况.
本文档的编写遵从《中华人民共和国电子签名法》、《电子认证业务管理办法》等法律和行政法规、以及IETFRFC3647(InternetX.
509PublicKeyInfrastructureCertificatePolicyandCertificationPracticesFramework,公钥基础设施证书策略和证书运行框架)标准.
1.
1概述本证书策略为整个国富安CA签发的证书制定了要求,参与国富安CA证书活动的当事人以及第三方均在其合理合法的管辖范围内.
本证书策略默认使用证书当事人及其第三方熟知《中华人民共和国电子签名法》及《电子认证业务规则》,如欲了解相关知识可在http://www.
gfapki.
com.
cn获得.
国富安CA电子认证证书策略15http://www.
gfapki.
com.
cn11.
1.
1证书类别1.
1.
1.
1第1类证书在国富安CA信任域中,第1类证书是个人证书,提供较低级的安全保证,国富安CA签发的这类证书在满足《中华人民共和国电子签名法》及其他规定要求下,由其产生的电子签名符合《中华人民共和国电子签名法》的要求.
个人证书,提供基本的安全保障,与个人在社会中的职务与地位没有关系,如同公安局发的身份证一样;只承担由个人行为所引发的责任.
依据订户的要求,该类证书可以与自然人的电子名章相对应.
自然人证书里可以包含职业资格要素,增加国家法定承认的职业资格鉴定.
第1类证书申请的验证过程是基于在国富安CA信任域中订户甄别名的唯一性和确定性,它们主要用于个人证书的数字签名、加密、非商业性的访问控制或无需提供身份证明的低额交易.
1.
1.
1.
2第2类证书国富安CA签发的第2类证书在满足《中华人民共和国电子签名法》的其他规定要求下,由其产生的电子签名符合《中华人民共和国电子签名法》的要求.
第2类证书包括组织机构、企业授权人证书;组织机构、企业法人证书;组织机构、企业部门证书;组织机构、企业身份证书.
1.
1.
1.
2.
1组织机构授权人证书组织机构、企业授权人证书,提供比自然人证书更高一级的安全保障,代表个人在组织机构、企业中的职务和地位,每一个人在不同的组织机构、企业中可以拥有不同的授权人证书,承担与所代表组织、机构内相应的责任.
此证书的验证过程除了第1类证书的验证过程外,还必须将证书申请者提交的信息与商业记录或数据库中的信息、或国富安CA批准的第三方身份验证服务数据库中的信息进行比较.
国富安CA电子认证证书策略16http://www.
gfapki.
com.
cn1.
1.
1.
2.
2组织机构、企业法人证书组织机构、企业法人证书,该证书代表组织机构、企业的注册法人,与组织机构、企业的唯一身份证书具有相同的用途,承担相同的责任与义务,依据订户的要求,该类证书可以与组织机构、企业的法人名章相对应.
此证书的验证过程除了第1类证书的验证过程外,还必须将证书申请者提交的信息与商业记录或数据库中的信息、或国富安批准的第三方身份验证服务数据库中的信息进行比较.

1.
1.
1.
2.
3组织机构、企业部门证书组织机构、企业部门证书,由组织机构、企业授权的部门,承担其所在部门内的责任和义务.
依据订户的要求,该类证书可以与相应部门的电子业务章相对应.
此证书的验证过程除了第1类证书的验证过程外,还必须将证书申请者提交的信息与商业记录或数据库中的信息、或国富安批准的第三方身份验证服务数据库中的信息进行比较.
1.
1.
1.
2.
4组织机构、企业身份证书组织机构、企业身份证书,代表组织机构在中华人民共和国境内网络身份,直接或间接(通过委托授权人证书)承担企业网上行为责任.
依据订户的要求,该类证书可以与组织机构、企业的电子公章或合同章相对应.
此证书的验证过程除了第1类证书的验证过程外,还必须将证书申请者提交的信息与商业记录或数据库中的信息、或国富安批准的第三方身份验证服务数据库中的信息进行比较.

1.
1.
1.
3第3类证书第3类证书包括个人服务器证书和组织机构、企业服务器证书.
1.
1.
1.
3.
1个人服务器证书个人服务器证书使浏览器可以鉴别个人网站服务器的身份,并创建SSL加国富安CA电子认证证书策略17http://www.
gfapki.
com.
cn密通道以使双方进行加密会话.
个人服务器证书是一种加强了的服务器证书,提供128位SSL会话加密强度.
1.
1.
1.
3.
2组织机构、企业服务器证书组织机构服务器证书使浏览器可以鉴别组织机构服务器的身份,并创建SSL加密通道以使双方进行加密会话.
组织机构服务器证书是一种加强了的服务器证书,提供128位SSL会话加密强度.
1.
2文档名称与标识本文档称为国富安CA证书策略(GFACP),此为一个覆盖了三类数字证书的证书策略.
目前版本号为V1.
0,在国富安CA运营网站发布,网站地址为www.
gfapki.
com.
cn.
1.
3电子认证活动参与者及其职责21.
3.
1认证机构(CA)认证机构(CertificationAuthority,简称CA)作为可信第三方,对个人、实体及设备进行主题信息及其它属性与公钥绑定的确认.
系统承担证书签发、审批、吊销、查询、证书及黑名单发布、密钥和证书管理、政策制定等工作,设在国富安CA北京经济技术开发区运营主机房,不直接面对用户证书,采用两层结构,第一层为根CA,负责制定国富安CA电子认证总体政策与策略,为下级运营CA签发并管理CA证书,负责与其他CA信任体系进行交叉认证.
第二层为运营CA,直接为用户签发并管理数字证书,该层CA可以根据用户证书策略不同分为多个运营CA.

31.
3.
2注册机构(RA)注册机构(RegistrationAuthority,简称RA)为CA建立起注册过程,确认证书申请者的身份,批准或拒绝证书申请者.
在用户获得证书前,它必须以申请者的身份来注册证书.
证书申请者必须从CA或RA建立的注册过程来完成注国富安CA电子认证证书策略18http://www.
gfapki.
com.
cn册,并将注册信息提交给CA或RA.
CA或RA将对申请者的身份及其它属性进行确认,然后决定是签发还是拒绝该请求.
如果签发证书,则证书将被发送给申请者.
RA还可以根据用户需要吊销证书,尽管是CA的系统完成最终的吊销工作,并将证书加入到证书吊销列表(CRL)中去,或是在CA信息库中显示证书已吊销.
41.
3.
3订户从电子认证服务机构接收证书的实体.
在电子签名应用中,订户即为电子签名人.
51.
3.
4依赖方信赖方指为某一应用而使用、信任其他方证书的个人或组织.
在电子签名应用中,即为电子签名依赖方.
依赖方可以是、也可以不是一个订户.
61.
3.
5其他参入者其他参与者指为国富安CA提供相关服务的其它实体,如提供第三方身份鉴定的机构和组织.
1.
4证书使用71.
4.
1合适的证书应用本CP描述了在国富安CA信任域中规范使用1-5类证书的行为,每一类证书通常适用的应用.
通过合同或在法律允许的范围内,PKI参与者可以将证书用于比本CP描述的应用安全高的应用,但是任何这种用法,必须仅限于这些实体,并且这些实体须为这种用法带来的任何伤害和赔偿承担唯一的责任.
国富安CA证书允许信赖方验证数字签名,签名信息验证通过则标明该签名操作是合法的,并且不受签名操作或订户所处地理位置的限制.
国富安CA电子认证证书策略19http://www.
gfapki.
com.
cn1.
4.
1.
11类证书的应用一类证书是个人证书,提供基本的安全保障,它主要用于提供个人的身份证明,能够用于数字签名、加密和访问控制.
可应用于网上银行、电子支付、安全邮件、SSL安全代理等应用.
1.
4.
1.
22类证书的应用1.
4.
1.
2.
12类组织机构授权人证书的应用组织机构授权人证书提供的订户身份保证是基于必须确认:订户组织机构确实存在,该组织机构授权证书申请,并且订户提交证书申请的人获得授权这么做.
组织机构授权人证书适用于各类应用,包括但不限于代表组织机构进行网上交易、网上业务申报等,提供中高等担保级别的保证.
组织机构授权人证书还适用于客户端的鉴别,可以提供诸如数据库或网站的访问控制,以及提供电子邮件的签名加密.
1.
4.
1.
2.
22类组织机构法人证书的应用组织机构法人证书提供的订户身份保证是基于必须确认:订户组织机构确实存在,该组织机构法人信息真实.
组织机构法人证书适用于各类应用,包括但不限于代表组织机构进行网上交易、网上业务申报、签署文件等,提供高等担保级别的保证.
组织机构法人证书还适用于客户端的鉴别,可以提供诸如数据库或网站的访问控制,以及提供电子邮件的签名加密.
1.
4.
1.
2.
32类组织机构部门证书的应用组织机构部门证书提供的订户身份保证是基于必须确认:订户组织机构确实存在,该组织机构部门的授权证书申请,并且提交证书申请的人获得授权这么做.
组织机构部门证书适用于各类应用,包括但不限于代表组织机构进行网上交易、网上业务申报、签署业务受理文件等,提供高等担保级别的保证.
组织机构部门国富安CA电子认证证书策略20http://www.
gfapki.
com.
cn证书还适用于客户端的鉴别,可以提供诸如数据库或网站的访问控制.
1.
4.
1.
2.
42类组织机构身份证书的应用组织机构身份证书提供的订户身份保证是基于必须确认:订户组织机构确实存在,并且提交证书申请的人获得授权这么做.
组织机构身份证书适用于各类应用,包括但不限于代表组织机构进行网上交易、网上业务申报、签署文件、协议、合同等,提供高等担保级别的保证.
组织机构证书还适用于客户端的鉴别,可以提供诸如数据库或网站的访问控制.
1.
4.
1.
33类证书的应用1.
4.
1.
3.
13类个人服务器的证书应用个人服务器证书代表以个人申请的域名或其他设备证书,由于该域名或设备为个人拥有,根据法律不能从事经营活动,所以不承担由此引发的责任,该证书仅保障该域名或设备的身份,负责建立安全对话连接和身份证明.
1.
4.
1.
3.
23类组织机构服务器的证书应用组织机构、企业服务器证书,代表由组织机构、企业申请的域名或设备证书,由于该域名为企业拥有,代表组织机构、企业从事电子商务和其他经营活动,所以承担由此引发的责任.
服务器证书使浏览器可以鉴别网站服务器的身份,并创建SSL加密通道以使双方进行加密会话.
服务器证书是一种加强了的服务器证书,提供128位SSL会话加密强度.
81.
4.
2受限的应用一般而言,国富安CA证书是一般性目的的证书.
国富安CA证书可以在全球范围内使用,并且可以和不同的信赖方之间相互操作.
国富安CA证书的使用通常不只限于特定的商业环境,如导航、金融服务系统、行业市场环境或虚拟商场.
尽国富安CA电子认证证书策略21http://www.
gfapki.
com.
cn管如此,证书的受限使用是允许的,在他们自己环境中使用证书的客户可以对证书在这些环境中的使用增加更加严格的限制.
但是认证机构不对实施这些环境中的这种限制负责.
国富安CA不适用于下列情况:(1)订立或执行遗嘱;(2)商业票据;(3)创设、行使或执行一项契据、信托声明或除法定信托或推定信托以外的代理授权书;(4)任何用于买卖不动产或其他方式处分不动产的契约及不动产下所发生利益的契约;(5)不动产转移或不动产利益的转让;(6)产权证书;(7)其它任何危害国家,社会及他人人身与财产安全的范围1.
5策略管理91.
5.
1策略文档管理机构管理本CP的机构是国富安CA安全策略管理委员会,由国富安CA安全策略管理委员会负责对本CP的制定、发布、更新等事宜.
其联系地址如下:北京国富安电子商务安全认证有限公司北京经济技术开发区荣华中路11号中国国际电子商务大厦7层部门:CA运营部电话号码:010-67800320传真号码:010-67800318邮箱地址:cabpm@ec.
com.
cn101.
5.
2联系人本CP在国富安CA网站发布,对具体个人不另行通知.
网址:http://www.
gfapki.
com.
cn国富安CA电子认证证书策略22http://www.
gfapki.
com.
cn邮箱:cabpm@ec.
com.
cn联系地址:北京经济技术开发区荣华中路11号中国国际电子商务大厦7层邮编:100176联系电话:010-67800320传真:010-67800318111.
5.
3决定CPS符合策略的机构本CP由国富安CA安全策略管理委员会制定并执行.
121.
5.
4CPS批准程序国富安CA安全策略管理委员会负责CP和CPS的管理.
国富安CA安全策略管理委员会对CP和CPS草案进行评审,如果符合证书策略,将批准CPS,之后在国富安CA网站上对外公布.
从对外公布之日起三十个工作日之内向信息产业部备案.
1.
6定义与缩写131.
6.
1定义激活数据不同于密钥的数据值(如PIN,验证短语,biometric或是人工掌握的密钥份额),用来操作加密模块,须被保护鉴定核实实体(如个人,公司,或机构)所声称的身份证书是一种信息,包含的基本信息有:签发证书的认证中心,用户的名称,用户的公钥,证书的操作期,及签发证书的认证中心的数字签名.
证书策略(CP)一套命名的规则,指定了证书对于特定群体的适用性和/或有共同安全要求的应用等级.
国富安CA电子认证证书策略23http://www.
gfapki.
com.
cn证书的密钥更新(Re-key)有现成密钥对和证书的用户在新的密钥对产生之后接收了新的证书从而得到新的公钥.
证书的更新用户得到了现有证书的一段新的有效期限证书请求RA向CA呈交的确认的注册请求,注册证书中用户的公钥.
证书撤消列表(CRL)被撤消的证书列表,由发证CA数字签名认证中心(CA)制作并签名证书的并被一个或多个依赖方信任的机构,CA可取消它所制作并签发的证书.
认证实施声明(CPS)认证机构应用于签发证书的实施声明.
认证实施声明定义了CA为满足所支持的证书政策规定的要求而采用的设置,政策和程序.
损害对安全系统的违反,因而可能导致敏感信息的未授权的泄露,修改,置换或使用加密硬件(加密装置)硬件加密模块加密模块一套硬件,软件,韧件或某种结合,在其中可执行密码逻辑,包括加密算法.
一种可以实行密码功能(如加密,鉴定,密钥生成)的装置.
数字签名数据的密码转换,当与数据单位相连时,提供鉴定起源,使数据完整和防止签名者抵赖的服务.
事件日志(审计日志或审计记录)按照时间顺序对系统活动的记录,可以再现,评估和检查从事项的开始到最后结果的输出中每一事件周围的或导致每一事件的环境和活动序列.
密钥托管私钥交由第三方保管,任何对被托管的密钥的访问,如法律实施官员的访问,都应符合事先定义的条件.
国富安CA电子认证证书策略24http://www.
gfapki.
com.
cn密钥恢复当实体的私钥或对称的加密密钥丢失,被破坏,或不能获得时,从安全的存储库中恢复这些密钥能力.
目标重用对包含一个或多个目标的介质主体(如页帧,磁盘扇区,磁带)的重新赋值.
为安全的分配,该介质不应包含原先目标的剩余数据.
在线证书状态查询协议(OCSP)可取代或补充定期的CRL的确定证书的当前状态的协议.
该协议说明了检查证书状态的应用和提供该状态的服务器之间应交换的数据.
政策中心政策中心有制定维护它自己的和下级机构操作的政策的职责.
公钥基础设施(PKI)为了推动拥有非对称公钥的公共成分与拥有对应私钥的特定用户之间可证实的联系,采用数字签名技术的硬件,软件,人员,程序和政策的结构.
公钥可被用来证实数字签名,鉴定通讯对话中的主体,和/或,交换或流通信息加密密钥.
注册中心(RA)负责辨认和证明证书主体的实体,它不是CA因此不能签名或签发证书.
RA可以协助证书的申请,撤消或两者.
注册请求某实体向RA(或CA)注册该实体在证书中的公钥的申请注册回应由RA(或CA)发出的回应注册申请的信息.
依赖方证书的接受者,他信任证书中的信息或发证CA公布的其他信息,如CRL(注:在此文件中,术语"证书使用者"和"依赖方"可互用.
资源库分布或使证书或证书状态信息可利用的方法(如数据库或X.
500目录)根认证机构(根CA)CA等级中地位最高的CA用户公钥被公钥证书证实的实体国富安CA电子认证证书策略25http://www.
gfapki.
com.
cn可信的计算系统(TCB)计算机系统中的全体保护装置——包括硬件,韧件和软件——它们的结合负责执行安全政策.
TCB由一个或多个共同执行某个产品或系统的安全政策的成分组成.
TCB正确执行安全政策的能力完全由TCB内的装置和系统管理人员对安全政策的参数的正确输入所决定.
可信路径终端人员可直接与可信的计算系统通信的机制.
该机制只能由该人员或可信计算系统所激活,且不能被非置信的软件所效仿.
验证(Validation)依赖方检查证书状态的过程.
确认(Verification)为专有通信比较两种层次的系统规格的过程(如有最高规格的安全政策,有源码的TLS,或有目标码的源码).
查证(Verify)是与数字签名相关的一种方法,为准确地确定:(1)数字签名是在有效证书的操作期内由对应于证书公钥的私钥制作的;(2)数字签名被制作后信息没有被改变.
141.
6.
2缩写表CA安全认证机构(Certificationauthority)CPS认证业务声明(Certificationpracticestatement)CRL证书黑名单(Certificaterevocationlist)CSR证书签名请求(CertificateSigningRequest)国富安CA电子认证证书策略26http://www.
gfapki.
com.
cnDAM修改草本(ISO标准)(draftamendment(toanISOstandard))FIPS联邦信息处理标准(FederalInformationProcessingStandard)FTP文件传输协议(FileTransferProtocol)GFACA北京国富安电子商务安全认证有限公司(BeijingGuoFuAnSecurityElectronicCommerceCACo.
,Ltd.
)GMT格林威治标准时间(GreenwichMeanTime)HTTP超文本传输协议(HypertextTransferProtocol)HTTPS安全套接层下的超文本传输协议(HypertextTransferProtocolwithSSL)LRA地方注册机构(Localregistrationauthority)LRAA地方注册机构管理员(Localregistrationauthorityadministrator)NSI未经证实的用户信息(Nonverifiedsubscriberinformation)OCA操作CA(OperationCertificationAuthority)PCA政策CA(Policycertificationauthority)PCS公共认证服务(Publiccertificationservices)PIN个人识别码(Personalidentificationnumber)国富安CA电子认证证书策略27http://www.
gfapki.
com.
cnPKCS公钥加密标准(PublicKeyCryptographyStandards)PKI公钥基础设施(PublickeyinfrastrUCTure)RCA根CA(RootCertificationAuthority)RDN相关区别名称(RelativeDistinguishedName)RPA信赖方协议(RelyingPartyAgreement)RSA一种加密算法(见定义)(acryptographicsystem(seedefinitions))SET安全电子交易(SecureElectronicTransaction)S/MIME安全的多用途网络邮件延伸格式(SecureMultipurposeInternetMailExtensions)SSL安全协议层(SecureSocketsLayer)URL单一资源地址(uniformresourcelocator)WWWorWeb万维网(WorldWideWeb)X.
509国际电信联盟认证体系的证书标准(theITU-Tstandardforcertificatesandtheircorrespondingauthenticationframework)国富安CA电子认证证书策略28http://www.
gfapki.
com.
cn2.
信息发布与信息管理2.
1信息库认证机构应有信息库用于各类信息的发布,如证书策略、认证业务声明、协议、证书、证书吊销列表.
认证机构应在其认证业务声明、信赖方协议等中指明有关信息发布、获取的位置.
2.
2认证信息的发布认证机构需发布的认证信息包括,证书策略、认证业务声明、订户协议、信赖方协议、证书及证书状态.
2.
3发布的时间或频率国富安CA的CP、CPS、订户协议、依赖方协议,通过信息库7X24可获得.
国富安CA签发的订户证书一经签发即发布到LDAP服务器供用户下载,同时订户可通过证书服务站点获得已签发的证书.
通过OCSP对证书状态的查询是及时的.
国富安CA对每个证书签发CA发布一个证书吊销列表,发布该CA签发的证书中的已吊销了的证书.
证书吊销列表一般是每24小时更新一次.
2.
4信息库访问控制在国富安CA网站或者目录服务器公布的信息属于公开信息,任何人可以免费查阅这些信息.
国富安CA要求访问CP、证书、证书状态、CRL等信息的任何人必须遵守本CP、依赖方协议和CRL使用协议.
这里的一个例外是OCSP,允许OCSP作为一种付费服务.
国富安CA电子认证证书策略29http://www.
gfapki.
com.
cn3.
识别与鉴别3.
1名称153.
1.
1名称类型根据实体的类型不同,实体名字可以是姓名、组织机构、企业名称、部门名称、域名、商标名、IP地址等或其相应的身份证号码和组织机构代码.
国富安CA最终订户证书的主题域中包含一个X.
500甄别名(遵从关于X.
500标准,并用X.
501PrintableString格式).
163.
1.
2对名称有意义的要求主题和签发者的DN遵循PKIX标准,并且在证书中标明.
最终订户证书包含的命名应具有通常理解的语义,用它可以确定证书主体中的个人、机构或设备的身份不允许使用假名或伪名.
173.
1.
3订户的匿名或伪名在国富安CA证书服务体系中,订户不能使用匿名、伪名或虚拟名申请证书.
183.
1.
4解释不同命名的规则依X.
500甄别名命名规则解释.
193.
1.
5名称的唯一性认证机构应保证签发给某个实体的证书,其主题甄别名,在CA信任域内是唯一的.
国富安CA电子认证证书策略30http://www.
gfapki.
com.
cn203.
1.
6名称解析国富安CA免费向所有依赖方组织或个人、应用提供方提供证书解析字符串和解析方法.
213.
1.
7商标和订户的信息与鉴证国富安CA签发的证书的主题甄别名中可以包含商标名或订户签名信息.
3.
2初始身份确认223.
2.
1证明拥有私钥的方法国富安CA通过使用经数字签名的PKCS#10格式的证书请求,或其它相当的密码格式,或其他国富安CA批准的方法,验证证书申请者拥有私钥.
233.
2.
2组织机构身份的鉴别在把证书签发给一个组织机构、组织机构拥有的设备或组织机构的代表人时,认证机构须对订户所在组织机构进行身份鉴别.
对组织机构身份鉴别应该包括如下两个内容:(1)确认组织机构是确实存在的、合法的实体.
确认的方式可以是,政府签发的组织机构成立的有效文件,如营业执照、组织机构代码证,或通过权威的第三方数据库确认.
(2)确认该组织机构知晓并授权证书申请,代表组织机构提交证书申请的人是经过授权的,如提交证书申请授权书,或者确认的方式可以是通过可靠的第三方实现.
对于特殊情况,国富安CA可以采用其他方式追加组织机构身份鉴证的权利.

243.
2.
3个人身份的鉴别对于个人证书的鉴别,需通过审核个人身份的真实性:证明证书申请者个人国富安CA电子认证证书策略31http://www.
gfapki.
com.
cn身份确实存在,如出示个人身份证,如果非本人申请需出具委托函和委托人个人证件,也可以采用其他第三方数据库或有效手段进行验证.
对于特殊情况,国富安CA可以采用其他方式追加个人身份鉴证的权利.
253.
2.
4没有验证的订户信息用户提交鉴定文件以外的信息为没有验证的订户信息.
263.
2.
5互操作准则安全互操作性要求不同机构间使用不同的安全产品时,它们之间仍可以建立起信任关系.
在本CP互操作准则中依据全球惯行的"功能等同原则"和"技术中立原则",对符合上述原则的证书均采取相应合理的认证措施以保证证书间的可操作性.
3.
3密钥更新请求的标识与鉴别273.
3.
1常规的密钥更新的标识与鉴别对于根密钥,国富安CA系统需要定期在有效期即将结束时或怀疑密钥遭到攻击的情况下进行密钥更新工作,并严格按照密钥管理程序进行.
对于一般正常情况下的密钥更新申请,订户须提交能够识别原证书的足够信息,如订户甄别名、证书序列号等,使用更新前的私钥对包含新公钥的申请信息签名.
对申请的鉴别须基于以下几个方面:(1)确认申请更新对应的原证书存在并且由认证机构签发.
(2)使用原证书上的订户公钥对申请的签名进行验证.
(3)基于原注册信息进行身份鉴别.
283.
3.
2吊销之后的密钥更新的标识与鉴别国富安CA不对吊销后的密钥进行更新.
国富安CA电子认证证书策略32http://www.
gfapki.
com.
cn3.
4吊销请求的标识与鉴别证书吊销请求可以来自订户,也可以来自认证机构、注册机构.
证书吊销的方式可以是订户自己吊销,也可以订户要求认证机构、注册机构吊销.
批准证书申请的实体(即认证机构、注册机构),在认为必须的时候,有权发起吊销订户证书.
在订户自己吊销时,可接受的鉴别过程如下:订户在申请证书时需提交一个申请请求,在吊销证书时需提交一个吊销请求,如果请求相匹配,证书吊销自动完成.
订户通过认证机构、注册机构吊销时,可接受的鉴别过程如下:订户通过一定的方式,如邮件、传真、电话等,向认证机构、注册机构提交请求,认证机构、注册机构通过与证书保障级别相应的通讯方式与订户联系,确认要吊销证书的人或组织确实是订户本人.
依据不同的环境,通讯方式可以采用下面的一种或几种:电话、传真、e-mail、邮寄或快递服务.
4.
证书生命周期操作要求4.
1证书申请294.
1.
1提交证书请求的主体证书请求可由证书拥有实体或相应的授权人提交.
304.
1.
2注册过程与责任认证机构必须设定安全可靠的合法的证书申请方式和程序.
注册过程必须做到:(1)提供必需的信息.
(2)保证订户信息不被篡改、私密信息不被泄漏.
(3)注册过程必须保证所有订户必须明确同意相关的订户协议,才能完成注册国富安CA电子认证证书策略33http://www.
gfapki.
com.
cn过程.
(4)按CP§3.
2.
1规定的产生一个密钥对,并将公钥传给认证机构、注册机构.
国富安CA必须严格按照操作流程进行身份鉴别和证书申请,并承担由此引发的责任和义务;另一方面申请者未向国富安CA提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、国富安CA造成损失的,应承担相应的法律责任和经济赔偿.
4.
2证书申请处理314.
2.
1执行识别与鉴别功能当认证机构、注册机构接受到订户的证书申请后,应按CP§3.
2的要求,对订户进行身份识别与鉴别.
324.
2.
2证书申请批准和拒绝认证机构、注册机构应在鉴证的基础上,批准或拒绝申请.
如果拒绝申请,则应该通过适当的方式、在合理的时间内通知证书申请者.
334.
2.
3处理证书申请的时间认证机构的认证业务声明和其他业务规范应规定合理的证书请求处理时间.

4.
3证书签发344.
3.
1证书签发中RA和CA的行为在证书的签发过程中,国富安CA可以直接确认用户信息身份签发证书;或国富安CA得到RA通过安全方式传来的用户信息身份,证书签发系统在获得RA的证书签发请求后,对来自RA的信息进行鉴别与解密,对于有效的证书签发请求,证书签发系统签发证书.
国富安CA电子认证证书策略34http://www.
gfapki.
com.
cn354.
3.
2CA和RA对订户的通告无论是拒绝还是批准订户的证书申请,CA或RA须通过适当的方式通知订户.

4.
4证书接受364.
4.
1构成接受证书的行为订户接受证书的方式可以有如下几种:(1)订户访问专门的证书下载服务站点将证书下载到本地存放介质,如本地计算机硬盘、USBKEY、智能卡(2)通过面对面的提交,订户接受载有证书和私钥的介质.
完成以上行为表明订户接受证书.
另外,在订户接受到证书后,应立即对证书进行检查和测试.
374.
4.
2CA对证书的发布对于订户证书,国富安CA根据用户的意愿将证书发布到目录系统上,或者不进行发布.
384.
4.
3CA对其他实体的通告除证书订户和RA外,国富安CA不需要通知其他实体证书的签发.
4.
5密钥对和证书使用订户密钥对和证书须用于其规定的、批准的用途.
否则,其应用是不受相关法律和国富安CA策略保障的.
394.
5.
1订户私钥和证书使用订户在接受了国富安CA所签发的证书后,即视为已经同意遵守与国富安CA、国富安CA电子认证证书策略35http://www.
gfapki.
com.
cn依赖方有关的权利和义务条款.
证书持有人应妥善保管其证书私钥.
订户只能在指定的应用范围内使用证书和私钥,订户只能在接受了相关的证书之后才能使用对应的私钥,并且在证书到期或被吊销后停止使用该证书对应的私钥.
404.
5.
2信赖方公钥和证书使用当信赖方接受到签名的信息后,应该:(1)获得对应的证书及信任链;(2)确认该签名对应的证书是信赖方信任的证书;(3)证书的用途适用于相应的签名.
(4)使用证书上的公钥验证签名.
以上任何一个环节失败,信赖方应该拒绝接受签名信息.
当信赖方需要发送加密信息给接受方时,须先通过适当的途径获得接受方的加密证书,然后使用证书上的公钥对信息加密.
信赖方应将加密证书连同加密信息一起发送给接受方.
4.
6证书更新414.
6.
1证书更新的情形每个证书都有其有效期,在一个订户的证书到期前30天内或已到期后30天内,如果订户的注册信息没有改变,订户可以申请证书更新,若证书已到期,但策略允许继续使用相同的密钥对,国富安CA将对其证书进行更新.
424.
6.
2要求证书更新的主体证书订户、证书订户的授权代表(组织机构证书)或证书对应实体的拥有者(比如服务器证书的拥有者)可以要求更新证书.
同时,RA或CA可以依情况自动更新订户证书.
国富安CA电子认证证书策略36http://www.
gfapki.
com.
cn434.
6.
3证书更新请求的处理处理证书更新请求的过程,包括申请验证、鉴别、签发证书.
对申请的验证和鉴别完成以下几个方面后才可签发证书:①申请对应的原证书存在并且由认证机构签发.
②证书更新请求在允许的期限.
③用原证书上的订户公钥对更新申请的签名进行验证.
444.
6.
4通知订户新证书的签发无论是拒绝还是批准订户的证书申请,CA或RA须通过适当的方式通知订户.

454.
6.
5构成接受更新证书的行为订户接受证书的方式可以有如下几种:(1)CA可以将证书发布到X.
500或LDAP证书库;(2)CA可能发送证书到RA,由RA发送给接受方;(3)通过面对面的提交,订户接受载有证书和私钥的介质.
464.
6.
6CA对更新证书的发布对于订户证书,CA根据用户的意愿将证书发布到目录系统上,或者不进行发布.
474.
6.
7CA通知其他实体证书的签发除证书订户和RA外,CA不需要通知其他实体证书的签发.
国富安CA电子认证证书策略37http://www.
gfapki.
com.
cn4.
7证书密钥变更484.
7.
1证书密钥变更的情形证书申请订户关键信息有变更,导致证书内容有变化,但密钥对保持不变的情况,订户可以申请证书密钥变更;或私钥泄漏而吊销证书之后,订户可以申请证书密钥变更.
494.
7.
2请求证书密钥变更的实体可以请求证书密钥更新的实体,如订户,RA或CA.
504.
7.
3证书密钥变更请求的处理处理步骤为:①由证书持有者本人持有效证件到申请证书的分支机构RA(包括受理点)提出证书修改请求;②RA(包括受理点)对有效证件进行审核;③审核通过后在RA服务器的数据库中根据客户信息进行查询;④RA修改本地审核数据库中的记录并发给国富安CA证书数据库.
对于非面对面申请证书变更的用户,国富安CA可以制定其他处理流程.
514.
7.
4颁发新证书对订户的通告同CPS§4.
3.
2.
524.
7.
5构成接受密钥变更证书的行为同CPS§4.
4.
1.
国富安CA电子认证证书策略38http://www.
gfapki.
com.
cn534.
7.
6CA对密钥变更证书的发布同CPS§4.
4.
2.
544.
7.
7CA对其他实体的通告同CPS§4.
4.
3.
4.
8证书吊销和挂起554.
8.
1证书吊销的情形出现以下情况,最终订户证书必须吊销:(1)认证机构、注册机构或最终订户有理由相信或强烈的怀疑一个订户的私钥安全已经受到损害.
(2)认证机构或注册机构有理由相信订户违背了订户协议下的义务、陈述或担保.
(3)和订户达成的订户协议已经终止.
(4)认证机构或注册机构有理由相信证书签发时没有依据CP规定的有关程序,证书签发给了非证书主题的人员(1类证书除外)或没有鉴证该人员在证书主题中的命名就签发了证书(1类证书除外).
(5)认证机构或注册机构有理由相信证书申请中的信息有违背事实的错误.

(6)认证机构或注册机构确定证书签发的一个必要前提条件既没有满足又没有豁免.
(7)对于2类证书,订户的组织机构名改变了.
(8)除了未经鉴证的订户信息外,包含在证书中的信息不正确或已经改变.
(9)订户请求吊销证书.
564.
9.
2请求证书吊销实体可以请求吊销证书的实体,例如对最终用户证书而言,可能是订户、国富安CA电子认证证书策略39http://www.
gfapki.
com.
cn注册机构或电子认证服务机构.
574.
9.
3吊销请求的流程订户可以通过各种方式要求吊销自己的证书,包括:(1)证书用户向国富安CA及RA(包括受理点)当面提出申请,要求作废其证书;(2)证书订户在线访问国富安CA系统,根据证书申请时的保护密码进行在线吊销申请;(3)证书订户通过电话或其他渠道通知国富安CA或RA(包括受理点)需要吊销证书,国富安CA或RA(包括受理点)需通过可靠方式核实请求确实来自最终订户.
认证机构确信出现CP§4.
9.
1中的情况而需要立即吊销证书时,可立即吊销证书.
在撤销证书时,除特殊情况之外认证机构应立即通知登记人.
584.
9.
4吊销请求的宽限期订户必须在合理的时间内提出吊销请求:(1)对于第2、3类证书不得超过8小时提出;(2)其他证书不得超过24小时提出.
594.
9.
5CA处理吊销请求的时限国富安CA从接到吊销请求到完成处理请求需要一定的合理的时间,一般在批准后24小时后生效,特殊紧急情况下可以立即生效.
604.
9.
6依赖方检查证书吊销的要求依赖方是否检查证书吊销完全取决于应用的安全要求.
对于安全保障要求比较高并且完全依赖证书进行身份鉴别与授权的应用,依赖方在信赖一个证书前必须查询证书吊销列表确认该证书的状态.
国富安CA电子认证证书策略40http://www.
gfapki.
com.
cn614.
9.
7CRL发布频率认证机构须定时发布最新的证书吊销列表.
证书吊销列表更新的时间间隔不能超过24小时.
624.
9.
8CRL发布的最大滞后时间一个证书从它被吊销到它被发布到CRL上的滞后时间不能超过24小时.
634.
9.
9在线状态查询的可用性认证机构须提供供证书状态的在线查询服务(OCSP),以供安全保障要求高的应用使用.
644.
9.
10在线状态查询要求基于合同的自愿原则,依赖方在信赖一个证书前必须通过证书状态在线查询检查该证书的状态.
654.
9.
11吊销信息的其他发布形式除了CRL、OCSP外,认证机构可以提供其他形式的吊销信息发布,但这不是必须的.
664.
9.
12密钥损害的特别要求无论是最终订户还是国富安CA、注册机构,发现证书密钥受到安全损害时应立即吊销证书.
674.
9.
13证书挂起的情形无规定.
国富安CA电子认证证书策略41http://www.
gfapki.
com.
cn684.
9.
14请求证书挂起的实体无规定.
694.
9.
15挂起请求的流程无规定.
704.
9.
16挂起的期限限制无规定.
4.
10证书状态服务认证机构应该通过CRL、OCSP、LDAP提供证书状态服务.
714.
10.
1操作特征认证机构提供的证书状态查询必须以网络服务的形式,让信赖方能够随时查询、下载.
CRL的发布频率和延迟必须符合CP§4.
9.
7、4.
9.
8.
OCSP应能立即反映证书的当前状态.
证书状态服务的提供应该使标准、通用的方式.
对服务请求应该有合理的响应时间和并发处理能力.
724.
10.
2服务可用性国富安CA的CRL、OCSP证书状态服务须保证7X24可用,并且采用了冗余技术.
734.
10.
3可选特征无规定.
国富安CA电子认证证书策略42http://www.
gfapki.
com.
cn4.
11订购结束当证书到期或证书被吊销或挂起则认证机构与订户关系结束.
4.
12密钥生成、备份与恢复国富安CA依据国家管理规定或行业规则,提供加密证书密钥的集中管理和恢复.
744.
12.
1密钥生成、备份与恢复的策略与行为订户加密证书密钥对可以由国富安CA的密钥管理中心系统集中安全产生和保存,密钥恢复是一种严格受控的过程,只有在如下情况下才允许进行密钥恢复:1)证书持有人提出申请;2)国家执法、司法机构因执法、司法的需要;3)国家其他管理部门管理需要.
密钥恢复只有在必须的情况下才进行,并且申请要提出充分的理由和提供有关文件、资料.
754.
12.
2会话密钥的封装与恢复的策略与行为会话密钥根据其特性并依照国富安CPS§4.
12规定对其进行合理的操作.
5.
设施、管理和操作控制5.
1物理控制国富安CA有详细的文件,描述CA和RA需遵守的物理控制和安全策略.
对这些策略的符合性要求,在国富安CPS第五章中有详细的规定.
国富安CA电子认证证书策略43http://www.
gfapki.
com.
cn765.
1.
1场地位置与控制国富安CA中的所有CA和RA都将在物理上受保护的环境中运营,该环境能够防止、检测并阻止非授权的访问、使用或披露敏感信息和系统.
物理安全是基于物理层级的保护,每一物理层就是一个屏障,需要设置可以控制进出的带锁的门来控制每个人进出每一个区域.
每一层区域必须有非常严格的控制方法防止未经授权的物理访问.
而且要求每一个物理安全层在物理上必须能完全包含下一个物理安全层,而且要求内部的安全层不能与外部的安全层使用一样外部墙体,最外层的安全层应该是整个建筑物的外墙.
证书的认证等级决定了CA或RA的物理安全最小安全级别,例如:国富安CA签发了各类证书,因此他们运营在很高安全级别的系统环境下,CA或RA机构的证书管理签发程序被要求在相应的证书安全策略指导下,CA或RA机构需要在他们的CPS中详细描述物理和环境的一些细节,其中包括:(1)参照标准要求:(2)机房设计指标的要求:(3)机房区域划分.
775.
1.
2物理访问控制进出每一个物理安全层的行为都需要被记录、审计和控制,这样才可以保证进出每一个物理安全层的人都是经过授权的.
785.
1.
3电力与空调认证机构和注册机构须有安全、可靠的电力供电系统及电力备用系统以确保系统7X24小时正常供电及在出现供电系统出现供电中断是能够提供正常的服务.
认证机构应该有加热/通风/空调系统控制温度和湿度.
795.
1.
4防水认证机构和注册机构应采取预防措施以最大程度地减小水灾或其他水泄漏国富安CA电子认证证书策略44http://www.
gfapki.
com.
cn对认证系统的影响和破坏.
805.
1.
5火灾防护认证机构和注册机构应采取预防措施,并制定相应的程序来消除和防止火灾的发生,这些防护方法应符合当地管理部门或机构的安全要求.
815.
1.
6存储介质存放储存产品软件和数据、归档、审计或备份信息的介质要保存在安全设施中,这些设施受到适当的物理和逻辑访问控制的保护,只允许授权人员的访问,并防止这些介质受到意外损坏(如水、火灾和电磁).
825.
1.
7废物处理认证机构和注册机构应执行废物处理程序(如纸、电子介质或其他敏感信息)来控制未经授权的使用和访问,防止通过废物泄漏重要的公司商业信息和客户隐私信息.
835.
1.
8异地备份认证机构和注册机构应对关键系统数据、审计日志数据和其他敏感信息要进行日常备份和维护,这些备份信息要保存在安全的地方.
5.
2操作过程控制845.
2.
1可信角色5.
2.
1.
1CA系统管理人员国富安CA系统管理人员负责CA系统的初始化、管理、审计等工作.
国富安CA电子认证证书策略45http://www.
gfapki.
com.
cn5.
2.
1.
2运营安全管理小组根据安全管理策略和规范要求,安全管理小组由国富安CA领导和相关安全专家和顾问组成,安全官员对安全的三个关键领域负有全面的责任,即:开发与执行安全策略,维护与完善安全策略,保持安全审计的一致性.
855.
2.
2每项任务需要的人数认证机构和注册机构应建立、维护相应的策略和严格的控制程序,以保障敏感的操作进行了职责分工,确保多名可信人员共同参与完成一些敏感的任务.

职责分割的策略和控制程序是基于实际工作职责的要求.
对于认证业务来讲,最敏感的任务是访问和管理CA密码设备(如根密钥和加密卡)和涉及密码的相关材料,这些工作要求多名可信人员共同参与.
一些敏感的内部控制流程要求至少有两名可信人员参与,要求他们有各自独立的物理或逻辑控制设施,关于CA的密钥设备的生命周期过程被严格的要求多名可信人员共同参加.
关键的控制要进行物理和逻辑上的分割,如掌握关键设备的物理权限的人员不能再持有逻辑权限分割权力,反之易然.
其他的一些主要操作,如2类3类证书的鉴证和签发不能自动签发,要求至少2个可信人员的参与.
865.
2.
3每个角色的识别与鉴别认证机构和注册机构必须通过适当的方式,对有关人员的角色进行鉴别,并确认其可信,并且根据这些可信员工不同的权限功能要求定义不同鉴别方式;给与这些可信员工CA和RA系统相应的管理权限.
875.
2.
4需要职责分割的角色所谓职责分割,是指如果一个人担任了完成某一职能的角色,就不能再担任完成另一特定职能的角色,但不限于国富安CA根据业务需要不限制的角色.

国富安CA电子认证证书策略46http://www.
gfapki.
com.
cn885.
2.
5安全令牌控制所有国富安CA的在职人员,对于使用安全令牌的员工,根据其权限发放相应的安全令牌,并且CA系统将独立完整地记录其所有的操作行为.
5.
3人员控制895.
3.
1资格、经历和无过错要求认证机构和注册机构要求确认可信人员的程序需要有必备的背景调查.

包括资格审查、工作经历调查、违法犯罪记录调查,确保这些人员能够胜任其工作.

905.
3.
2背景审查程序认证机构和注册机构应制定可信人员调查程序,调查程序必须符合我国的法律法规要求,关于人员的背景审查还要服从人员所在地域的政府或管理机构的要求.
背景审查的主要因素包括却不限于以下内容:(1)身份证明,如个人身份证、护照、户口本等;(2)学历、学位及其他资格证书;(3)个人简历,包括教育、培训经历,工作经历及相关的证明人;(4)无犯罪证明材料;(5)是否有金融信贷不良记录;(6)其他有关人员背景资料.
915.
3.
3培训要求为了使认证机构和注册机构的人员能胜任其承担的工作,认证机构应该提供岗前培训和必要的工作培训,和周期性的再培训.
国富安CA电子认证证书策略47http://www.
gfapki.
com.
cn925.
3.
4继续培训的周期和要求认证机构和注册机构应根据需要安排周期性的培训,以保证关键岗位的职员保持熟练的工作水平,顺利的完成其工作职责.
935.
3.
5岗位分离国富安CA的运行员工和负责CA设计开发维护的员工承担不同的职责,双方的岗位互相分离,为了保证安全,后者不能成为前者,即开发员工和运行员工分离的原则.
945.
3.
6工作岗位轮换的周期和顺序对于可替换角色,国富安CA将根据业务的安排进行工作轮换.
轮换的周期和顺序,视业务的具体情况而定.
955.
3.
7未授权行为的制裁认证机构和注册机构应建立并维护一套管理办法来保障对于未授权行为或其他对认证机构及注册机构策略和程序的破坏行为应采取适当的纪律处罚.

这些纪律处罚包含的措施包括中止员工相应工作并解除相应员工的劳动合同,纪律处罚程度与未经授权行为的频度和严重性相关.
965.
3.
8系统抢修的要求国富安CA系统需要抢修时,抢修人员需经过授权并由安全事务专员的陪同下进行,所有操作都要有记录.
975.
3.
9独立合约人的要求在有限制的情况下,独立合约人或顾问可以担任可信职位.
任何合约人或顾问在某一职务的职能和安全标准应与相应职位的认证机构雇员一样.
国富安CA电子认证证书策略48http://www.
gfapki.
com.
cn985.
3.
10提供给员工的文档提供给认证机构和注册机构内部员工的文件应包括培训材料和与员工工作相关文档.
5.
4审计日志程序995.
4.
1记录事件的类型认证机构和注册机构的审计日志和事件记录不管采用是电子的还是手动生成的,都应该记录事件相关信息及其他必要的信息.
1005.
4.
2处理或归档日志的周期国富安CA定期对日志进行审查,对发现的安全事件采取相应的措施,并对审查日志的行为进行备案.
1015.
4.
3审计日志保存的期限国富安CA在数据库保存审计日志至少两个月,离线保存至少为十年.
1025.
4.
4审计日志的保护国富安CA将通过物理和逻辑的访问控制方法,防止未经授权而浏览、修改、删除或其他方式篡改电子或纸质审计日志文件.
1035.
4.
5审计日志备份程序认证机构对审计日志应定期进行备份.
1045.
4.
6审计收集系统审计日志收集系统涉及:国富安CA电子认证证书策略49http://www.
gfapki.
com.
cn①证书管理系统;②证书签发系统;③证书目录系统;④远程通信系统;⑤证书受理系统;⑥访问控制系统;⑦网站、数据库安全管理系统;⑧其他需要审计的系统.
国富安CA使用审计工具满足对上述系统审计的各项要求.
1055.
4.
7对导致事件主体的通知审计日志报告一个事件时,应及时通知引起该事件的主体.
1065.
4.
8脆弱性评估根据审计记录,认证机构应定期进行安全脆弱性评估,并根据评估报告采取措施.
5.
5记录归档1075.
5.
1归档记录的类型需要归档记录的类型如国富安CP§5.
4.
1,除此之外,存档的内容还包括国富安CA发行的证书和CRL、审计数据记录、证书申请审批资料等.
1085.
5.
2归档记录的保存期限存档期限一般规定为七年.
国富安CA电子认证证书策略50http://www.
gfapki.
com.
cn1095.
5.
3归档文件的保护国富安CA将通过适当的访问控制方法保护归档数据,只有授权的可信人员允许访问归档数据,国富安CA对任何未经授权的浏览、修改、删除或其它的篡改行为给予禁止访问的措施.
1105.
5.
4归档文件的备份认证机构对归档文件应定期进行备份.
1115.
5.
5记录时间戳要求每项记录必须有时间标识即时间戳,但这个证书时间戳不需要是基于密码技术的.
1125.
5.
6归档收集系统各自实体应在内部建设归档收集系统,包括认证机构和外部独立实体的注册机构.
1135.
5.
7验证归档文件信息只有可信人员才可以查看和获得归档信息,这些信息被归还时必须得到验证.
5.
6密钥变更1145.
6.
1密钥有效期国富安CA的密钥和所有终端用户的密钥对都有一个最终的生命期,当密钥对期满,旧密钥就应当自动撤销而使用新密钥,密钥的有效期根据安全级别的程度不同,有效期也有不同,但有效期都等于或大于一年.
国富安CA电子认证证书策略51http://www.
gfapki.
com.
cn1155.
6.
2密钥变更说明国富安CA密钥对由加密机产生.
证书到期更换密钥时将签发3张证书.
①使用旧的私钥对新的公钥及信息签名生成证书;②使用新的私钥对旧的公钥及信息签名生成证书;③使用新的私钥对新的公钥及信息签名生成证书.
④通过以上3张证书达到密钥更换的目的,使新旧证书之间互相认证、信任.
新的国富安CA将继续使用旧的CA私钥签发的CRL,直到由旧的CA私钥签发的证书到期为止.
5.
7损害与灾难恢复认证机构必须通过实施物理和过程控制等有效的综合方案将密钥损害或其他灾难造成的风险和潜在影响降到最小.
此外,认证机构必须建立灾难恢复方案和程序,并且在合理的期限内恢复业务运作.
1165.
7.
1事故和损害处理程序国富安CA遭到攻击,发生通信网络资源毁坏、计算机设备系统不能提供正常服务、软件被破坏、数据库被篡改等现象或因不可抗力造成灾难,国富安CA将按照灾难恢复计划实施修复.
具体由国富安CA灾难恢复计划决定.
1175.
7.
2实体公钥被撤销处理程序当国富安CA证书被撤销时,国富安CA将通知证书用户,证书将被撤销.
1185.
7.
3实体私钥损害处理程序当证书订户发现其私钥损害时,订户应立即通知认证机构吊销其证书,并尽可能地通知信赖方;认证机构应及时吊销订户证书并按CP4.
9发布证书吊销信息.
国富安CA电子认证证书策略52http://www.
gfapki.
com.
cn当CA证书出现私钥损害时,认证机构应立即吊销CA证书并及时通过广达的途径通知信赖方,然后生成新的CA密钥对、签发新的CA证书.
1195.
7.
4灾难后的业务存续能力认证机构和注册机构在发生灾难后,按照国富安CA灾难恢复计划实施保证业务的正常运行.
应有如下几个方面的业务存续能力:(1)在尽可能短的时间内恢复业务系统,最多不超过24小时.
(2)能够恢复客户信息.
(3)能够保证恢复后的运营场地符合安全要求.
(4)能够恢复对老客户、新客户的服务.
(5)有足够的人有继续业务并且不违反职责分割的要求5.
8CA终止服务当国富安CA将要终止提供服务的情况下,国富安CA会在终止提供服务前一个合理的的时间内给RA(包括受理点)和证书用户书面通知,并会按照相关的法律规定的步骤进行操作.
6.
技术安全控制6.
1密钥对的产生和安装1206.
1.
1密钥对的产生6.
1.
1.
1CA密钥对的产生国富安CA拥有签名密钥对,国富安CA密钥生成、保存的密码模块符合国家密码主管部门的要求,并通过国家密码主管部门的鉴定.
CA密钥对的产生,必须由若干名接受过相关培训的可信雇员在密钥生成室按照严格的安全过程,在能够生成有足够安全强度密钥的可信系统上操作完成.

国富安CA电子认证证书策略53http://www.
gfapki.
com.
cn用于此类密钥生成的密码模块需通过国家密码主管部门鉴定、认证.
对于CA密钥对的产生,认证机构应该有严格的密钥生成流程.
6.
1.
1.
2最终订户密钥对的产生国富安CA证书订户签名密钥对的产生遵循国家的法律,签名密钥对的产生即可在本地产生,也可以在受理点产生.
不管何种类型,都必须保证签名密钥对产生的安全性,保护证书申请者的密钥的安全,要求不允许泄露申请者的私钥.
国富安CA在技术、业务、流程和管理上已经实施了安全保密的措施.
对于特殊的应用,在依赖方许可的前提下,国富安CA在不损害本CP的前提下制定符合其应用的特殊证书策略.
1216.
1.
2私钥传输给订户CA的私钥是在系统的初始阶段产生的,它保留在CA的系统中,不允许传送.

根据订户的要求,国富安CA证书服务体系支持在线传送加密密钥对给证书用户,并且保证传输的安全性.
对于订户的签名密钥对,必须在订户本地或受理点产生,不允许网络传送.

1226.
1.
3公钥传输给证书签发机构最终订户的签名证书公钥从RA到CA传递,以及最终订户的加密证书公钥从KMC到CA的传递过程中,采用国家密码管理局许可的通讯协议及密钥算法,保证证书传输过程中的安全性,完整性和可信性.
1236.
1.
4CA公钥传输给依赖方认证机构应该通过安全可靠的途径将CA公钥传给信赖方,包括从安全站点下载、面对面的提交、软件及操作系统预埋等方式.
国富安CA电子认证证书策略54http://www.
gfapki.
com.
cn1246.
1.
5密钥的长度国富安CA用于加密和签名的非对称密钥对的模长是1024比特.
1256.
1.
6公钥参数的生成和质量检查国富安CA公钥采用国家密码管理局许可的标准生成并检查证书的质量.
1266.
1.
7密钥使用目的在国富安CA证书服务体系中的密钥使用与证书的种类有关.
①国富安CA证书服务体系确保CA的签名私钥用于签发下级证书和所辖的黑名单CRL.
②签名密钥可以用于提供安全服务,例如,身份认证不可抵赖和信息的完整性等.
③加密密钥可以用于信息加密时使用.
6.
2私钥保护和密码模块工程控制认证机构必须通过物理、逻辑和过程控制的综合实现来确保CA私钥的安全.
订户合同会要求证书订户采取必要的预防措施防止私钥的丢失、泄露、更改或未经授权的使用.
1276.
2.
1密码模块的标准和控制认证机构必须使用国家密码管理部门认可、批准的硬件密码模块生成根CA、签发证书的CA和其他CA密钥对,并存储相关CA私钥.
1286.
2.
2私钥多人控制认证机构必须通过技术及过程上的控制机制来实现多名可信人员共同参与CA加密设备的操作.
国富安CA电子认证证书策略55http://www.
gfapki.
com.
cnCA私钥采用多人控制的策略(即m取n策略,m>n,n3),需要三个或三个以上的专员来共同完成生成程序.
国富安CA的CA系统在技术上已经建立了相应安全机制,对生成操作进行限制.
证书申请者可以使用国富安CA认可的软硬件产生自己的私钥.
1296.
2.
3私钥托管一般情况下,国富安CA不向证书订户提供签名私钥托管服务.
根据有法律规定或者双方约定的情况,国富安CA提供证书订户加密密钥对的托管服务,并且承诺、从技术上保证不泄漏托管的加密密钥对.
1306.
2.
4私钥备份为了常规恢复和灾难恢复目的,认证机构必须创建CA私钥的备份.
这种私钥备份以加密的形式保存在硬件密码模块中.
存储CA私钥的密码模块应符合CP§6.
2.
1的要求.
CA私钥复制到备份硬件密码模块中要符合CP§6.
2.
6的要求.
备份的私钥要避免通过物理或加密方式进行的非授权的修改或泄露.

订户的签名密钥国富安CA和KMC都不备份.
加密私钥由KMC备份,备份数据以密文形式存在.
1316.
2.
5私钥归档当认证机构的CA密钥对到期后,这些CA密钥对将会被使用满足CP§6.
2.
1要求的硬件密码模块安全存储设备保存一定合理的时间.
用户密钥对的归档是将已过生命周期或决定暂不使用的加密密钥以密文形式保存在数据库中并备份后归档保存,需提供查询或恢复服务.
国富安CA提供过期的托管加密密钥的归档服务.
1326.
2.
6私钥导入、导出密码模块认证机构必须在硬件密码模块上生成CA密钥对,该密钥对将在这个模块中使用,私钥无法从硬件密码模块中导出.
国富安CA电子认证证书策略56http://www.
gfapki.
com.
cn1336.
2.
7私钥在密码模块的存储CA私钥必须存放在硬件密码模块中.
1类2类证书私钥在硬件密码模块(如USBKey、SmartCard)中存储和使用.
3类服务器证书私钥可以存放在服务器程序特定的软件密码模块中,但最好使用带有硬件密码模块的加速卡.
1346.
2.
8激活私钥的方法6.
2.
8.
1最终订户私钥6.
2.
8.
1.
11类证书私钥激活1类证书建议将私钥存放在诸如USBKey和智能卡硬件密码模块中,并且私钥可以通过PIN码(口令)、指纹鉴别等保护.
如果私钥没有PIN码(口令)、指纹鉴别保护,那么,当用户计算机上安装了相应的驱动后,将USBKey和智能卡插入相应的读卡设备中,则私钥被激活可以使用.
如果私钥有PIN码(口令)、指纹鉴别保护,那么,当用户计算机上安装了相应的驱动后并将USBKey和智能卡插入相应的读卡设备后,只有输入通过相应的PIN码(口令)、指纹鉴别,私钥才激活可以使用.
6.
2.
8.
1.
22类证书私钥激活对于2类证书必须使用USBKey、智能卡等硬件密码设备存放私钥,私钥不能出卡,并且使用PIN码(口令)、指纹鉴别保护私钥.
要激活私钥,用户计算机上需安装相应的驱动后并将USBKey和智能卡插入相应的读卡设备,通过相应的PIN码(口令)、指纹鉴别,私钥才激活可以使用.
6.
2.
8.
1.
33类证书私钥激活对于3类服务器证书,如果没有使用硬件密码模块,则私钥是存放在服务程序的软件密码模块中,这时应该使用口令对私钥进行保护.
但服务程序启动,软国富安CA电子认证证书策略57http://www.
gfapki.
com.
cn件加密模块被加载,输入相应私钥保护口令后,证书私钥被激活.
如果使用硬件密码模块,则私钥需要被口令保护.
当硬件密码模块被安装到订户计算机上,服务程序启动,输入相应私钥保护口令后,证书私钥被激活.

6.
2.
8.
1.
44类证书私钥激活4类证书的私钥可以存放在订户计算机的软件密码模块中,这时订户应该采用合理的措施从物理上保护订户的订户计算机以防止在没有得到用户授权的情况下,其他人员使用订户的订户计算机和相关的私钥.
如果存放在软件密码模块中的私钥没有口令保护,那么,软件密码模块的加载意味着私钥的激活.
如果使用口令保护私钥,软件密码模块加载后,还需要输入口令才能激活私钥.
6.
2.
8.
1.
55类证书私钥激活5类证书的私钥激活类似于4类证书.
6.
2.
8.
2CA私钥认证机构的私钥存放在硬件密码模块中,并且其激活数据按CP6.
2.
2进行分割.
当需要使用CA私钥时,将硬件密码模块加载并按CP6.
2.
2规定的m选n的原则输入激活数据的分割.
1356.
2.
9解除私钥激活状态的方法对于存放在软件密码模块中的私钥,当软件密码模块被下载、用户退出登录状态、操作关闭或计算机断电时,私钥被解除激活状态.
对于存放在硬件密码模的私钥,当每次操作后注销计算机,或者把硬件密码模块从读卡器中取出时,私钥成为非激活状态.
对于服务器证书,当服务程序下载、系统注销或系统断电后私钥即进入非激活状态.
对于国富安CA系统私钥,当存放私钥的硬件密码模块断电或退出加密模块程国富安CA电子认证证书策略58http://www.
gfapki.
com.
cn序,私钥进入非激活状态.
1366.
2.
10销毁私钥的方法私钥不再使用、不需要保存时,应该将私钥销毁,从而避免丢失、偷窃、泄露或非授权使用.
对于最终订户加密证书私钥,在其生命周期结束后,应该妥善保存一定期限,以便于解开加密信息.
对于最终订户签名证书私钥,在其生命周期结束后,如果无需再保存,可以通过私钥的删除、系统或密码模块的初始化来销毁.
认证机构CA私钥,在生命周期结束后,需将CA私钥的一个或多个备份进行归档,其他的CA私钥备份被安全销毁.
具有销毁密钥权限的管理员使用含有自己的身份的加密IC卡登录,启动密钥管理程序,进行销毁密钥的操作,需要三名管理员同时在场.
1376.
2.
11密码模块的评估国富安CA将依据国家有关标准对密码模块进行评估.
6.
3密钥对管理的其他方面1386.
3.
1公钥归档CA和最终订户证书将被归档于国富安CA和密钥管理中心,并进行定期的整理.
1396.
3.
2证书操作期和密钥对使用期限公钥和私钥的使用期限与证书的有效期相关但却有所不同.
对于签名用途的证书,其私钥只能在证书有效期内才可以用于数字签名,私钥的使用期限不超过证书的有效期限.
但是,为了保证在证书有效期内签名的信息可以验证,公钥的使用期限可以在证书的有效期限以外.
对于加密用途的证书,其公钥只能在证书有效期内才可以用于加密信息,公国富安CA电子认证证书策略59http://www.
gfapki.
com.
cn钥的使用期限不超过证书的有效期限.
但是,为了保证在证书有效期内加密的信息可以解开,私钥的使用期限可以在证书的有效期限以外.
对于身份鉴别用途的证书,其私钥和公钥只能在证书有效期内才可以使用.

当一个证书有多个用途时,公钥和私钥的使用期限是以上情况的组合.
另外需注意的是无论是订户证书还是CA证书,有效期到了后,在保证安全的情况下,允许使用原密钥对对证书进行更新.
但是密钥对不能无限期使用.

6.
4激活数据1406.
4.
1激活数据的产生和安装国富安CA私钥的激活数据由硬件加密卡内部产生,并分割保存在5个IC卡中,需通过专门的读卡设备和软件读取.
如果订户证书私钥的激活数据是口令,国富安CA建议订户在使用前修改证书私钥的初始激活数据.
这些口令必须有如下条件:①至少8位字符或数字;②至少包含一个字符和一个数字;③不能包含很多相同的字符;④不能和操作员的名字相同;⑤不能包含用户名信息中的较长的子字符串.
1416.
4.
2激活数据的保护对于CA私钥的激活数据,认证机构必须通过秘密分割将分割后的激活数据由不同的可信人员掌管,而且掌管人员必须符合职责分割的要求,签署协议确认他们知悉秘密分割掌管者责任.
如果证书订户使用口令或PIN码保护私钥,订户应妥善保管好其口令或PIN码,防止泄露或窃取.
如果证书订户使用生物特征保护私钥,订户也应注意防止其生物特征被人非法获取.
国富安CA电子认证证书策略60http://www.
gfapki.
com.
cn1426.
4.
3激活数据的其他方面6.
4.
3.
1激活数据的传送当私钥的激活数据进行传送时,应保护它们在传送过程中免于丢失、偷窃、修改、非授权泄露、或非授权使用.
6.
4.
3.
2激活数据的销毁当私钥的激活数据不需要时应该销毁,并保护它们在此过程中免于丢偷窃、泄露或非授权使用,销毁的结果是无法通过残余信息、介质直接或间接获得激活数据的部分或全部.
6.
5计算机安全控制1436.
5.
1特别的计算机安全技术要求认证机构应确保包含CA软件和数据文件的系统是安全可信的系统,不会受到未经授权的访问.
此外,认证机构应只允许有工作需求的必要人访问产品服务器,一般的应用用户在产品服务器上没有账户.
认证机构的生产系统网络与其它部分逻辑分离.
这种分离可以阻止除指定的应用程序外对网络访问的访问.
认证机构使用防火墙阻止从内网和外网入侵生产系统网络,限制访问生产系统的活动.
只有认证机构系统操作与管理组中的、有必要工作需要、访问系统的可信人员可以直接访问认证系统数据库.
1446.
5.
2计算机安全评估国富安CA根据国家计算机安全等级的要求,实现CA系统的安全等级标准.
国富安CA电子认证证书策略61http://www.
gfapki.
com.
cn6.
6生命周期技术控制1456.
6.
1系统开发控制系统开发采用先进的安全控制理念,同时兼顾开发环境的安全、开发人员的安全、产品维护期的配置管理安全.
以保证系统的安全,稳定以及证书生成的完整性,可靠性.
1466.
6.
2安全管理控制认证机构依照国家计算机管理规定等,制定策略、管理制度与流程对CA运营的各方面进行安全管理.
1476.
6.
3生命期的安全控制国富安CA将依据《信息安全技术公钥基础设施特定权限管理中心技术规范》及《信息安全技术公钥基础设施时间戳规范》等规定,在证书的存续期间内保证证书的安全性以及整个系统的安全可靠.
6.
7网络的安全控制认证机构应通过防火墙、入侵检测、防病毒、安全身份认证等安全技术,确保认证系统的安全运营.
对于认证系统的网络安全,认证机构应制定专门的网络安全策略与实施方案,有关方案应符合国富安安全和审计要求指南.
6.
8时间戳认证系统的各种系统日志、操作日志应该有对应的记录时间.
国富安CA电子认证证书策略62http://www.
gfapki.
com.
cn7.
有关证书、证书吊销列表和在线证书状态协议7.
1证书1487.
1.
1版本号X.
509v3证书.
1497.
1.
2证书扩展项依本证书策略签发的X.
509v3证书的扩展项满足CP§7.
1.
2.
1-7.
1.
2.
8私有扩展项的使用是允许的,但是除非由于特别应用而包含该项,不保证私有扩展项的使用.
7.
1.
2.
1密钥用法(KeyUsage)指定证书密钥对的用法.
这个扩展项的criticality域通常设置为FALSE.
7.
1.
2.
2证书策略扩展项(CertificatePolicies)证书策略扩展项中有本CP中对应证书类的CP对象标识符及策略限定符.
这个扩展项的criticality域设置为FALSE.
7.
1.
2.
3主体备用名(subjectAltName)扩展项的使用符合RFC3280.
此扩展项的criticality项应设为FALSE.
7.
1.
2.
4基本限制扩展项(BasicConstraints)CA证书的基本限制扩展项中的主题类型被设为CA.
最终订户证书的基本限国富安CA电子认证证书策略63http://www.
gfapki.
com.
cn制扩展项的主题类型设为最终实体(End-Entity).
这个扩展项的criticality域设置为FALSE.
将来,对于其它的证书,这个扩展项的criticality域可以设置为TRUE.
CA证书的基本限制扩展项中的路径长度设定为在证书路径中该证书之后的CA级数.
对于最终订户证书签发CA,其CA证书"pathLenConstraint"域的值设为0,表示证书路径中仅有一个最终订户证书可以跟在这个CA证书后面.
7.
1.
2.
5扩展的密钥用法(ExtendedKeyUsage)对不同的证书,密钥用法根据证书安全等级不同而有所不同.
7.
1.
2.
6CRL的分发点(cRLDistributionPoints)证书中的CRL的分发点扩展项,它包含本地的一个链接,可以向信赖方提供CRL的信息以便其查询证书状态.
此扩展项的criticality项应设为FALSE.
7.
1.
2.
7签发CA密钥标识符最终订户证书及中级CA证书加入签发CA密钥标识符扩展项,当证书签发者包含主题密钥标识扩展项时,签发CA密钥标识符由160位的签发证书的CA的公钥进行SHA256散列运算后的值构成.
否则,它将包含签发CA的主题DN和序列号.
这个扩展项的criticality域设置为FALSE.
7.
1.
2.
8主题密钥标识符当证书包含主题密钥标识符扩展项时,该值由证书主题的公钥产生.
使用该扩展项时,其扩展项的criticality域设为FALSE.
1507.
1.
3证书格式①一类证书(个人证书)字段域名称描述内容国富安CA电子认证证书策略64http://www.
gfapki.
com.
cn标准域版本X.
509V3序列号[由CA系统自动产生唯一号码]签名算法IDSHA256发行者CN=ROOTCERTIFICATEFORGFATRUSTNETWORKOU=GFATRUSTNETWORKO=CIECCL=BETDAS=BEIJINGC=CN有效期不早于[国家标准时间]不迟于[国家标准时间]主题名称CN=身份证号-姓名OU(1)=无或部门名OU(2)=无或职业资格证书、个人手写签名信息等OU(3)=证书类型O=GFA或组织机构代码L=区域S=城市C=CN主题公钥信息算法ID:RSA公钥信息:密钥长度为1024位标准扩展域签发CA密钥标识符未使用主题密钥标识符未使用密钥使用数字签名、加密、不可否认(此为"关键"位)国富安CA电子认证证书策略65http://www.
gfapki.
com.
cn证书策略PolicyIdentifier=[OID]PolicyQualifierID=CPSQualifier=[cps网址]主题备用名DNS无RFC822电子邮件地址发行者其他名称未使用基本限制主体类型最终实体路径长度限制无扩展密钥用途未使用证书吊销分发点分发点名称=[分发点URL]NETSCAPE扩展位NETSCAPE证书类型SSLclient,S/MIMENETSCAPESSL服务器名称未使用NETSCAPE注释未使用②二类证书(组织机构证书)字段域名称描述内容标准域版本X.
509V3序列号[由CA系统自动产生唯一号码]签名算法IDSHA256发行者CN=ROOTCERTIFICATEFORGFATRUSTNETWORKOU=GFATRUSTNETWORKO=CIECCL=BETDAS=BEIJING国富安CA电子认证证书策略66http://www.
gfapki.
com.
cnC=CN有效期不早于[国家标准时间]不迟于[国家标准时间]主题名称CN=组织机构代码-组织机构名称OU(1)=无、上级组织机构代码或部门名OU(2)=无或企业商标名、行业资格号等OU(3)=证书类型O=组织机构代码L=区域S=城市C=CN主题公钥信息算法ID:RSA公钥信息:密钥长度为1024位标准扩展域签发CA密钥标识符未使用主题密钥标识符未使用密钥使用数字签名、加密、不可否认(此为"关键"位)证书策略PolicyIdentifier=[OID]PolicyQualifierID=CPSQualifier=[cps网址]主题备用名DNS无RFC822无发行者其他名称未使用基本限制主体类型最终实体路径长度限制无国富安CA电子认证证书策略67http://www.
gfapki.
com.
cn扩展密钥用途未使用证书吊销分发点分发点名称=[分发点URL]NETSCAPE扩展位NETSCAPE证书类型SSLclient,S/MIMENETSCAPESSL服务器名称未使用NETSCAPE注释未使用③三类证书(设备、服务器证书)字段域名称描述内容标准域版本X.
509V3序列号[由CA系统自动产生唯一号码]签名算法IDSHA256发行者CN=ROOTCERTIFICATEFORGFATRUSTNETWORKOU=GFATRUSTNETWORKO=CIECCL=BETDAS=BEIJINGC=CN有效期不早于[国家标准时间]不迟于[国家标准时间]主题名称CN=服务器名称或域名、IP地址名等OU(1)=身份证号或部门名OU(2)=无OU(3)=证书类型O=GFA或组织机构代码L=区域国富安CA电子认证证书策略68http://www.
gfapki.
com.
cnS=城市C=CN主题公钥信息算法ID:RSA公钥信息:密钥长度为1024位标准扩展域签发CA密钥标识符未使用主题密钥标识符未使用密钥使用数字签名、加密、不可否认(此为"关键"位)证书策略PolicyIdentifier=[OID]PolicyQualifierID=CPSQualifier=[cps网址]主题备用名DNS无RFC822未使用发行者其他名称未使用基本限制主体类型最终实体路径长度限制无扩展密钥用途未使用证书吊销分发点分发点名称=[分发点URL]NETSCAPE扩展位NETSCAPE证书类型SSLclient,S/MIMENETSCAPESSL服务器名称未使用NETSCAPE注释未使用1517.
1.
4名称形式依本CP签发的证书的甄别名符合X500关于目录名的规定.
对于证书主题甄国富安CA电子认证证书策略69http://www.
gfapki.
com.
cn别名,O代表证书持有者所在的组织机构,第一个OU代表所在的部门.
对于证书签发者甄别名,O代表证书签发机构,第一个OU签发机构中的部门.
甄别名可以包含不止一个的OU用于存放其他信息,如可将一个附加的组织部门(OU)域包含在最终订户证书中,该域指出证书对应的信赖方协议所在的URL.
1527.
1.
5名称限制除有特别声明外,证书中的通用名一般是不能使用假名、伪名.
1537.
1.
6算法对象标识符国富安CA的证书支持并使用下表中的算法来签名.
AlgorithmObjectIdentifierSHA256WithRSAEncryption{iso(1)member-body(2)us(840)rsadsi(113549)pkcs(1)pkcs-1(1)5}国富安CA的证书支持并使用下面的OID来识别产生主体密钥的算法.
AlgorithmObjectIdentifierRsaEncryption{iso(1)member-body(2)us(840)rsadsi(113549)pkcs(1)pkcs-1(1)1}7.
2证书吊销列表国富安CA签发的证书吊销列表符合X.
509V2格式.
遵循RFC5280标准.
1547.
2.
1版本号X.
509V2.
1557.
2.
2CRL和CRL条目扩展项与X509和PKIX规定一致.
吊销列表格式如下:国富安CA电子认证证书策略70http://www.
gfapki.
com.
cn域名称内容标准域版本V2签名算法标示SHA256发行者CN=OPERATIONCA01OU=GFATRUSTNETO=CIECCC=CN此次更新时间[国家标准时间]下次更新时间[国家标准时间]吊销证书订户证书序列号吊销日期[国家标准时间]吊销清单号吊销原因[吊销原因识别号]扩展域签发CA密钥标识符发行者序列号发行者证书序列号证书吊销清单号发行者分发点URL地址7.
3在线证书状态协议1567.
3.
1版本号OCSPv11577.
3.
2OCSP基本域在线证书状态协议(OSCP)使得应用程序可以测定所需要检测证书的(撤销)状态,一个OSCP客户端发布一个状态查询给一个OSCP响应器直到响应器提供响国富安CA电子认证证书策略71http://www.
gfapki.
com.
cn应.
这个协议描述了在应用程序检查证书状态和服务器状态之间所需要交换的数据.
1587.
3.
3OCSP扩展项无规定.
8.
认证机构审计和其他评估认证机构应定期对物理控制、密钥管理、操作控制、鉴证执行等情况进行审查,以确定实际发生情况是否与预定的标准、要求一直,并根据审查结果采取行动.
8.
1评估的频率和情形评估应该至少12个月执行一次.
8.
2评估者的资格评估者必须是:法律法规或行业规则认可的熟悉公钥基础设施技术、信息安全工具和技术、安全审计的人员;具有中华人民共和国注册会计师资格或类似资格,接受过专项培训,每年都接受了资格评估、测试、供职于权威机构和接受过持续的专业教育的人员.
8.
3评估者与被评估者之间的关系评估者必须是独立于认证机构的会计事务所(或等同组织).
8.
4评估的内容评估的内容包括:CA环境控制、密钥管理操作和CPS的执行情况等.
国富安CA电子认证证书策略72http://www.
gfapki.
com.
cn8.
5对问题与不足采取的措施若在评估当中出现重大事故或者任何实质性的问题时,采取行动的决定由认证机构管理层根据评估报告作出.
认证机构的管理层负责根据审计结果制定和实施改正计划,如果认证机构确认审计中发现的意外或不作为对证书体系的安全或完整性会造成立即威胁,则认证机构必须在一个月内制定改正行动计划,并在合理的期限内执行它.
8.
6评估结果的传达与发布国富安CA有权利决定是否将审计结果公开.
8.
7其他评估除了一致性评估外,国富安CA将对其他有关于证书的领域进行必要的评估.

9.
法律责任和其他业务条款9.
1费用1599.
1.
1证书签发和更新费用作为承担责任的第三方电子认证服务提供商,国富安CA有权利向证书订户收取签发证书、管理证书、更新证书的服务费用.
1609.
1.
2证书查询的费用无规定.
1619.
1.
3证书吊销或状态信息的查询费用国富安CA向公众免费提供CRL和证书状态查询服务.
但若用户要求国富安CA国富安CA电子认证证书策略73http://www.
gfapki.
com.
cn提供个性化的CRL查询、OCSP查询或其他增值服务,国富安CA将收取一定费用.

1629.
1.
4其他服务费用有关认证机构的其他相关费用,若认证机构认为必须且必要或证书签发与接收双方有约定或法律有其他规定,认证机构可以收取必要的服务费用.
1639.
1.
5退款策略证书是根据国家法律规定或者合同约定签发的,若证实接受方有证据证明证书违反法律规定或合同约定,有权向认证机构要求退款,但认证机构能够证明是第三方的过错导致或其本人导致的不承担退款义务.
9.
2财务责任1649.
2.
1保险范围国富安CA向证书订户提供证书使用保障.
如果由于其本身原因造成用户使用证书过程中遭受损失,北京国富安电子商务安全认证有限公司将向证书订户、依赖方提供赔偿.
1659.
2.
2其他财产无规定.
1669.
2.
3对最终实体的保险或担保国富安CA财政状况良好,能够有效支持国富安CA的经营运作,承担因国富安CA责任而导致的经济损失.
9.
3业务信息保密认证机构、注册机构应有专门的保密方案、计划,在符合法律的前提下,保国富安CA电子认证证书策略74http://www.
gfapki.
com.
cn护自身和客户的敏感信息、商业秘密.
1679.
3.
1保密信息范围认证机构、注册机构需要保密的信息包括但不限于系统方面、运营管理方面、客户信息等服务过程中获悉之任何信息.
1689.
3.
2不属于保密的信息证书策略、认证业务声明、信赖方协议、订户协议等.
1699.
3.
3保护保密信息的责任认证机构、注册机构须通过有效的技术手段和管理程序,保护商业的和客户的保密信息.
9.
4个人隐私保密1709.
4.
1隐私保密计划认证机构应制定隐私保密计划对证书订户的个人信息保密.
1719.
4.
2作为隐私处理的信息作为隐私处理的信息包括但不限于,最终订户注册申请证书中提交的信息;与认证机构、注册机构签订的协议.
1729.
4.
3不被视为隐私的信息不被认为是隐私信息包括但不限于,出现在证书中的信息;证书及证书状态.
国富安CA电子认证证书策略75http://www.
gfapki.
com.
cn1739.
4.
4保护隐私的责任认证机构、注册机构在没有获得客户授权的情况下,不得将客户隐私信息透露给第三方.
但不限于法律规定强制要求认证机构、注册机构提供.
1749.
4.
5使用隐私信息的告知与同意认证机构、注册机构如果需要将客户隐私信息用于双方约定的用途以外的目的,则需要事先告知客户并获得客户同意和授权,而且这种同意和授权是要用可归档的方式.
1759.
4.
6依法律或行政程序的信息披露由于法律执行、法律授权的行政执行的需要,认证机构、注册机构将有关信息在客户知晓或不知晓的情况下提供有关执法机关、行政执行机关是允许的,即使这样,认证机构、注册机构也应尽可能地保护客户隐私信息.
1769.
4.
7其他信息披露情形对其他信息的披露受制于法律、订户协议.
9.
5知识产权1779.
5.
1知识产权国富安CA对它签发的证书及其中的信息拥有知识产权,包括专利,商标.
1789.
5.
2CRL中的知识产权认证机构对证书吊销列表及其中信息的拥有知识产权.
国富安CA电子认证证书策略76http://www.
gfapki.
com.
cn1799.
5.
3CP及CPS中的知识产权认证机构对本CP及CPS拥有知识产权.
1809.
5.
4命名中的知识产权证书订户对证书注册信息及签发给他的证书中包含的商标、服务标志或商品名和甄别名拥有知识产权.
1819.
5.
5密钥和密钥材料的知识产权证书中的密钥对是证书中主题对应实体或实体拥有者的知识产权.
9.
6陈述与担保1829.
6.
1CA的陈述与担保国富安CA负责证书签发和管理的所有方面,包括控制实际的证书产生过程,证书的发布,证书的更新和吊销,负责确保根据本策略的要求说明做好与证书有关的服务、操作等各方面的工作.
国富安CA在签发证书和证书吊销列表之前,应该根据国家有关法律、主管机关的有关规定(例如电子签名法、电子认证服务管理办法)制定国富安CA总体认证政策,并受主管机关及相关法规管辖与监督.
国富安CA不负责评估证书是否被恰当使用.
订户和信赖方必须依订户协议和信赖方协议确保证书用于允许使的目的.
认证机构和订户之间的担保、免责和有限责任由他们之间的协议规定和约束.
认证机构需在下列几个方面做出声明和担保:(1)根CA的主要责任;(2)根CA不承担责任的情况:(3)运营CA的责任:国富安CA电子认证证书策略77http://www.
gfapki.
com.
cn(4)运营CA不承担责任的情况;(5)根CA的义务:(6)运营CA的义务.
1839.
6.
2RA的陈述与担保国富安CA通过RA系统为订户发放数字证书,并保证数字证书内容的真实性,RA系统通过LA最终面向订户证书申请,负责审核订户的真实身份并决定是否受理订户的申请,负责数字证书注册、审核、制证.
RA应承担自身的责任和义务,其中包括LA的义务.
1849.
6.
3订户的陈述与担保订户一旦接受国富安CA签发的证书,就被视为在证书申请时已阅读了订户协议并且同意订户协议条款,明确自身责任,防止密钥泄漏、遗失、非授权的使用,并遵循本CP与CPS的规定.
1859.
6.
4依赖方的陈述与担保在任何信赖行为发生之前,依赖方必须阅读依赖方协议,并保证证书将会被恰当的使用,同时需熟悉本CP和CPS的条款并遵循条款规定.
1869.
6.
5其他参与者的陈述与担保依据国家法律规定或双方协议约定.
9.
7担保免责在适用法律允许范围内,国富安CA不对协议中已经存在的内容和现行法律规定的内容进行担保.
国富安CA不对由于客观意外或其它不可抗力事件造成的操作失败或延迟承担任何损失损坏或赔偿责任.
国富安CA电子认证证书策略78http://www.
gfapki.
com.
cn9.
8有限责任在法律允许的范围内,认证机构订户协议、信赖方协议和其他订户协议限制认证机构承担的责任,责任限制包括排除间接的、特殊意外造成的、偶然的和后续性的损失.
9.
9赔偿认证机构对自身原因造成的订户损失对订户进行赔偿,或信赖方在履行了信赖方协议的情况下,由于认证机构或订户的原因造成的信赖方损失,认证机构对信赖方的赔偿.
订户对自身原因造成的认证机构、信赖方损失对认证机构进行赔偿.
信赖方对自身原因造成的认证机构损失对认证机构进行赔偿.
9.
10有效期限与终止1879.
10.
1有效期限作为认证机构的核心业务文件,CP和CPS在认证机构中止业务前一直有效,在发布新的CP和CPS版本后,新的CP和CPS版本将取代原CP和CPS版本.
在新CP和CPS生效日之前,认证机构已经或正在进行证书签发的,即该认证机构在生效日前发布的所有证书,如能满足新CP和CPS及有关条例的规定,则应视为由该授权认证机构按照新CP和CPS发布.
对于证书订户而言,证书签发时的CP、CPS和订户协议将起作用直到证书到期或吊销,除非法律相冲突的内容、与事实不符的错误描述.
对某一特定证书而言,在公钥的有效使用期限内,信赖方协议有效.
1889.
10.
2终止当认证机构终止业务时,CP和CPS即终止.
当证书到期或吊销后,订户协议即终止,公钥到了的有效使用期,对应的信赖方协议终止.
国富安CA电子认证证书策略79http://www.
gfapki.
com.
cn1899.
10.
3效力的终止与保留认证机构认证业务的终止,不意味着认证机构责任的终止.
认证机构在业务终止后应采取合理的措施,保证订户的利益,如证书可继续使用,对客户进行赔偿,或将认证服务转到其他认证机构.
订户证书到期、证书吊销意味着订户协议的终此,认证机构不再对证书私钥(签名)或公钥(加密)的使用承担任何责任,信赖方不应再信赖证书对应的签名私钥或加密公钥.
当由于某种原因,如内容修改、与适用法律相冲突,CP、CPS、订户协议、信赖方协议和其他协议中的某些条款失效后,不影响文件中其他条款的法律效力.
另外,各参与方需要归还或保障销毁从其他方得到的保密信息.
9.
11对参与者个别通告与沟通认证机构在必要的情况下,如主动吊销订户证书、发现订户将证书用于规定外用途及订户其他违反订户协议的行为,可通过适当方式,如电话、电邮、信函、传真等,个别通知订户、信赖方.
9.
12修订1909.
12.
1修订程序国富安CA保证本CP的稳定性和可信性,不定期地,国富安CA将对本CP进行检查、评估,当国富安CA认为应该对本CP做出修改时,国富安CA安全安全策略管理委员会将对本CP及其他相关文档、协议的修改提出建议,在征求国富安CA法律顾问有关法律上的意见并获得国富安管理层批准后,由国富安CA安全安全策略管理委员会负责组织修改.
修改后的CP及其他相关文档、协议经法律顾问及管理层批准后正式发布.
1919.
12.
2通知机制与期限国富安CA将修改了的CP通过国富安网站(http://www.
gfapki.
com.
cn)上发布,国富安CA电子认证证书策略80http://www.
gfapki.
com.
cn一般情况下不对具体个人另行通知.
对于特殊原因需要通过电子邮件、信件、媒体等方式通知的修改,国富安将在合理的时间内通知有关各方,合理的时间应保证有关方面受到的影响最小.
1929.
12.
3必须修改的情形当管辖法律、适用标准及操作规范等有重大改变时,必须修改CP.
9.
13争议解决当认证机构、订户和信赖方之间出现争议时,有关方面应依据协议通过协商解决,若协议有仲裁条款可进行仲裁裁定,否则可通过法律解决,订户协议、信赖方协议和其他订户协议都应该包含解决争执的相应条款.
9.
14管辖法律中华人民共和国法律、规则、规章、法令和政令将管辖认证机构的业务活动.
认证机构的任何业务活动必须受有关法律、法规的制约,任何业务和法律文件、合同的解释、执行不能同有关法律、法规相冲突,受管辖法规包括但不限于《中华人民共和国电子签名法》及《电子认证服务管理办法》等.
9.
15与适用法律的符合性认证机构的所有业务、活动、合同、协议必须符合中华人民共和国法律、法规和国家信息安全主管部门的要求.
9.
15一般条款1939.
15.
1完整协议CP、CPS、订户协议及信赖方协议及其补充协议将构成PKI参与者之间的完整协议.
国富安CA电子认证证书策略81http://www.
gfapki.
com.
cn1949.
15.
2分割性在法律允许的范围内,认证机构的订户协议、信赖方协议和其他订户协议可以包含可分割性条款.
1959.
15.
4强制执行国富安CA将依据国家法律法规规定行使强制执行能力,免除一方对某次合同违约的责任不意味着免除对其他合同违约的责任.
1969.
15.
5不可抗力不可抗力是指不能预见、不能避免并不能克服的客观情况.
自然灾害、政府行为或某些社会因素等属于不可抗力.
认证机构可以免除或部分免除责任.