中国互联网络信息中心(CNNIC)

独立主机  时间:2021-01-09  阅读:()

可信网络服务中心EV高级证书业务规则版本号:2.
01有效期:2012-04-08至2013-04-07中国互联网络信息中心(CNNIC)2012年04月07日CNNIC可信网络服务中心证书业务规则CNNIC可信网络服务中心EV高级证书业务规则版本控制表版本号主要修改说明完成时间V1.
00初次审核通过2010年8月31日V2.
00经过年审修改:将"每年举行4次会议或进行文件会签"更改"保证每年至少召开1次会议或进行1次文件会签"2011年8月31日V2.
01将"EV证书"更名为"EV高级证书";延长EVCPS有效期一年2012年4月7日CNNIC可信网络服务中心EV高级证书业务规则2目录中国互联网络信息中心(CNNIC)可信网络服务中心IEV高级证书业务规则.
I1综述.
81.
1CNNIC可信网络服务中心81.
2角色与责任81.
2.
1安全管理委员会81.
2.
2首席安全管理员91.
3CNNIC可信网络服务中心注册中心(RA)91.
4CNNIC可信网络服务中心本地受理点(LRA)101.
5证书申请者101.
6证书持有者及依赖方101.
7CNNIC可信网络服务中心EVCPS.
111.
8EVCPS的适用性、修改及发布.
111.
9EVCPS解释权121.
10与应用标准的一致性121.
11数字证书策略概述131.
12CNNIC可信网络服务中心PKI架构.
131.
13处理投诉程序132技术.
132.
1CNNIC可信网络服务中心构架142.
1.
1密钥对使用期限142.
1.
2密钥的保护142.
1.
3密钥的恢复142.
1.
4密钥的生成过程152.
1.
5密钥的归档152.
1.
6密钥的备份162.
1.
7密钥的改变流程162.
1.
8密钥销毁162.
1.
9发放给证书使用者的CA根的公钥.
172.
1.
10CNNIC可信网络服务中心物理操作.
172.
1.
10.
1物理地址.
172.
1.
10.
2访问控制.
172.
1.
10.
3文件及资料传递.
182.
1.
10.
4电力及空调.
182.
1.
10.
5自然灾害.
182.
1.
10.
6防火及保护.
182.
1.
10.
7媒体介质存储.
182.
1.
10.
8场外备份.
18CNNIC可信网络服务中心EV高级证书业务规则32.
1.
10.
9保管印刷文件.
192.
1.
10.
10废料处理.
192.
1.
10.
11其他安全程序.
192.
1.
11年度评估202.
2数字证书的管理202.
3CNNIC可信网络服务中心储存库202.
4CNNIC可信网络服务中心证书类型212.
5EV高级证书有效期212.
6扩展和命名212.
6.
1数字证书的扩展212.
7证书申请者私钥的生成和证书请求过程.
222.
7.
1私钥的生成222.
7.
2文档要求222.
7.
3申请者角色要求222.
7.
4EV高级证书申请请求232.
8证书申请者私钥的保护和备份.
232.
9证书申请者公钥的传输232.
10颁发证书的传输242.
11CNNIC可信网络服务中心EV高级证书构架.
242.
11.
1EV高级证书的根证书结构242.
11.
2EV根CA证书的相关说明.
242.
11.
3EV高级证书的内容及主题242.
11.
4密钥用法扩展项262.
11.
5EV高级证书策略.
282.
11.
6加密算法和密钥长度282.
12CNNIC可信网络服务中心EVCRL及其构架302.
12.
1EVCRL发布302.
12.
2EVCRL构架312.
13在线状态查询(OCSP)312.
13.
1OCSP发布312.
13.
2OCSP结构322.
13.
3OCSP请求322.
13.
4OCSP响应332.
14安全控制332.
14.
1计算机安全控制332.
14.
2生命周期技术安全控制342.
14.
3网络安全控制343组织架构343.
1对EV高级证书业务规则的遵从343.
2证书颁发机构业务的终止343.
3记录存档的格式353.
4记录存档保留期353.
5核心功能日志353.
6业务连续性计划和灾难恢复.
37CNNIC可信网络服务中心EV高级证书业务规则43.
7注销数据的可用性373.
8关键信息的发布383.
9机密信息383.
9.
1机密信息的类型383.
9.
2非机密信息383.
9.
3机密信息的访问393.
10计算机安全审计程序393.
10.
1记录事件类型393.
10.
2处理记录的次数403.
10.
3保存期限403.
10.
4审计追踪记录保护403.
10.
5审计追踪记录备份403.
10.
6安全事件通知403.
10.
7脆弱性评估413.
11员工的管理和规则413.
11.
1员工身份验证413.
11.
2培训及技能413.
11.
3职责分离423.
12EV审计.
423.
13信息的发布424业务规则434.
1EV高级证书申请434.
1.
1单域名EV高级证书.
434.
1.
2多域名EV高级证书.
454.
1.
3申请方法464.
2EV高级证书的续费464.
2.
1单域名EV高级证书续费.
474.
2.
2多域名EV高级证书续费.
484.
3EV高级证书的补发504.
3.
1单域名证书补发504.
3.
2多域名证书补发514.
4EV高级证书的变更524.
4.
1多域名EV高级证书域名变更524.
5EV高级证书的年检534.
6EV高级证书验证过程544.
6.
1申请者依法存在及身份的验证544.
6.
2申请者匿名或假名554.
6.
3申请者物理运营地址及联系电话的验证554.
6.
4申请者营运存在的验证554.
6.
5申请者域名的验证564.
6.
6主管人及经办人的名称、职务、权限的验证.
564.
6.
7证书请求及用户协议的验证574.
6.
8其他的验证要求574.
6.
8.
1高风险的申请者57CNNIC可信网络服务中心EV高级证书业务规则54.
6.
8.
2拒绝签发名单及其他黑名单574.
7EV高级证书的废止574.
7.
1废止请求的流程584.
7.
2证书问题报告和相应机制584.
7.
3处理废止请求的时限584.
7.
4单域名EV高级证书的废止584.
7.
5多域名EV高级证书的废止594.
8签发接受EV高级证书604.
8.
1单域名EV高级证书的签发604.
8.
2多域名EV高级证书的签发604.
8.
3证书发布614.
8.
4废止信息发布形式614.
9审计615证书颁发的法律条款615.
1CNNIC可信网络服务中心的责任和义务615.
2CNNIC可信网络服务中心责任的豁免625.
3证书持有者的责任和义务635.
4证书持有者的保证645.
5CNNIC可信网络服务中心注册中心(RA)的责任和义务.
645.
6依赖方的责任和义务655.
7CNNIC可信网络服务中心储存库的责任和义务655.
8证书责任限制通知655.
9CNNIC可信网络中心对有缺陷的EV高级证书所承担的责任675.
10证书废弃列表的发布675.
11信息的发布675.
12信息准确性685.
13保险计划685.
14条款冲突685.
15CNNIC可信网络服务中心所有权685.
16管辖法律685.
17司法机构695.
18分割性695.
19费用695.
20退款69CNNIC可信网络服务中心EV高级证书业务规则6专有名词及术语CA:CertificationAuthority认证中心CP:CertificatePolicyCPS:CertificationPracticeStatement证书业务规则CRL:CertificateRevocationList证书废止列表CSR:CVC:EPKI:EV高级证书:HTTP:HypertextTransferProtocol超文本传输协议ITU:InternationalTelecommunicationsUnion国际电信联盟ITU-T:MDC:OCSPOID:PKI:PublicKeyInfrastructure公钥基础设施PKIX:PublicKeyInfrastructureX.
509公钥基础设施X.
509PKCS:RA:RegistrationAuthority注册机构SGC:SSL:SecureSocketsLayer安全套接字层TLS:URL:UniformResourceLocator统一资源定位符X.
509:公钥:私钥:依赖方:根证书:CNNIC可信网络服务中心EV高级证书业务规则7主题:证书持有者:CNNIC可信网络服务中心EV高级证书业务规则81综述中国互联网络信息中心(以下简称"CNNIC")可信网络服务中心(以下简称"CNNIC可信网络服务中心")为组织机构、政府、以及企业根据此业务规则提供域名增强型可信服务器证书安全服务(也称"EV高级证书"服务),因此根据CA/Browser论坛提供的《EV指导准则》编写了CNNIC可信网络服务中心的EV高级证书业务规则(以下简称"EVCPS"),作为CNNIC可信网络服务中心的EV高级证书相关业务和系统的运行规范.
本文为提供证书服务的CNNIC员工提供了法律、商业和技术上的原则和业务规则,包括但不限于EV高级证书的批准、颁发、使用以及管理,并依据CNNIC证书策略(CP)中的PKI体系生成的X.
509证书.
1.
1CNNIC可信网络服务中心根据本EVCPS,CNNIC可信网络服务中心履行EV高级证书认证机构的职能并承担其义务.
CNNIC可信网络服务中心是唯一根据本EVCPS授权发出EV高级证书的证书认证机构.
做为一个证书颁发机构,CNNIC可信网络服务中心根据PKI体系来运营,包括接受请求、颁发、撤销及更新一个数字证书,并维护并发布证书撤销列表(CRLs).
CNNIC可信网络服务中心在整个的PKI服务中遵循了国际标准,包括CA/Browser论坛提供的《EV指导准则》及其他的相关法律和法规.
CNNIC可信网络服务中心向遵守本EVCPS第5.
6节和其它有关条款的依赖方表明,CNNIC可信网络服务中心根据本EVCPS向证书持有者颁发EV高级证书.
经CNNIC可信网络服务中心签发的EV高级证书一经发出并由证书持有者接受,EV高级证书立即生效.
1.
2角色与责任1.
2.
1安全管理委员会CNNIC可信网络服务中心安全管理委员会负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构.
安全管理委员会的职责包括:CNNIC可信网络服务中心EV高级证书业务规则9收集与协调安全管理方面的问题和建议,达成一致意见;制定并维护CNNIC可信网络服务中心的证书策略文件(CP)及EV高级证书策略(EVCP);对证书业务guise(CPS)及EV高级证书业务规则(EVCPS)进行审核.
安全管理委员会应保证每年至少召开1次会议或进行1次文件会签,以对CNNIC可信网络服务中心相关制度规定进行检查修改和批准续期,并对CNNICCA可信网络服务中心运行状况进行通报.
此外,在有其他重要变更时,安全管理委员会应根据实际情况及时通过会议或文件会签的方式对重要事项进行讨论和审批.
.
安全管理委员会成员由来自于CNNIC领导、人力资源、财务、法律事务、安全管理等方面的代表组成.
1.
2.
2首席安全管理员首席安全管理员将全面负责CNNIC可信网络服务中心日常的各项安全事务,受CNNIC可信网络服务中心安全管理委员会授权,首席安全管理员可以执行变更CNNIC可信网络服务中心的安全策略,对CNNIC可信网络服务中心的安全管理进行定期的检查和评估,保持CNNIC可信网络服务中心的安全管理始终处在一个较先进的水平,具有较高的安全性和可信度.
随时追踪有关安全管理的最新动态,确保安全体系的先进性.
为保障CNNIC可信网络服务中心的安全、可靠运营,CNNIC可信网络服务中心首席安全管理员重点关注下面三个关键领域:开发安全策略,并协助程序开发和执行;维护安全策略和程序,使之保持完备性;审计安全策略及其实际执行情况的一致性.
CNNIC可信网络服务中心首席安全管理员拥有以下职责:经授权后建立和变更CNNIC可信网络服务中心安全策略和规范;管理交叉认证,发布CNNIC可信网络服务中心交叉认证协议,更新及撤消交叉认证;处理审计报告.
1.
3CNNIC可信网络服务中心注册中心(RA)CNNIC可信网络服务中心仅有一个注册中心,设在CNNIC.
注册中心系统负责证书申请者EV高级证书的申请和审批及EV高级证书管理,并将EV高级证书CNNIC可信网络服务中心EV高级证书业务规则10申请信息保存在认证中心.
1.
4CNNIC可信网络服务中心本地受理点(LRA)CNNIC可信网络服务中心可把履行本EVCPS及证书持有者协议的部分或全部工作的职责授权给本地受理点(LRA)执行.
无论有关职责是否由本地受理点(LRA)执行,CNNIC可信网络服务中心仍会负责履行本EVCPS及证书持有者协议.
本业务规则中的本地受理点(LRA)是指CNNIC认证的可信服务器证书及可信EV服务器证书的注册服务机构.
CNNIC可信网络服务中心确认LRA的身份,并授权LRA进行证书申请者注册的资料收集工作.
LRA有义务在证书申请者进行证书注册、补发、续费、废止、多域名修改时负责收集相关信息并初步验证这些信息的正确性.
1.
5证书申请者CNNIC可信网络服务中心的EV高级证书申请者为商业、非商业、政府、私营类机构,根据中国的国情一概以企业、组织机构或其他单位代表.
证书申请者持有私钥,并且身份信息会在EV高级证书中体现.
.
EV高级证书申请者需要先向CNNIC可信网络服务中心提出证书服务的申请,然后进行其身份的核实,并向其颁发EV高级证书.
证书持有者的责任和义务参见下文5.
3节.
1.
6证书持有者及依赖方根据本EV高级证书业务规则,存在两类最终实体,包括EV高级证书持有者及信赖方.
证书持有者可以是证书持有机构,为EV高级证书持有和使用方.
证书持有者不可转让证书持有者协议或证书赋予的权利,任何转让行为均属无效.
信赖方信任CNNIC可信网络服务中心发出的任何类别或种类证书(包括但不限于域名证书).
特此澄清,信赖方信任的不是可信网络服务注册中心(以下简称"注册中心"或RA)或本地受理点(LRA)等证书注册机构,而是CNNIC可信网络服CNNIC可信网络服务中心EV高级证书业务规则11务中心.
CNNIC可信网络服务中心通过注册中心发出数字证书,而注册中心对信赖方并无任何职务职责,也不需对信赖方就发出数字证书而负责.
1.
7CNNIC可信网络服务中心EVCPSCNNIC可信网络服务中心增强型证书业务规则是公开的业务标准.
CNNIC可信网络服务中心在自己的证书链下颁发、撤销及更新EV高级证书.
本EV高级证书业务规则主要包含如下几个部分:技术部分、组织架构部分、业务部分和法律部分.
CNNIC可信网络服务中心证书策略颁发机构负责维护此EV高级证书业务规则、相关的协议以及本文档中相关的证书的策略.
CNNIC可信网络服务中心证书策略颁发机构联系方式:中国互联网路信息中心可信网络服务中心地址:北京市海淀区中关村南四街四号,中科院软件园邮编:100190电话:58813075本EV高级证书业务规则、证书策略及相关的规范都可以在CNNIC网站上查看到,地址:http://tns.
cnnic.
cn.
1.
8EVCPS的适用性、修改及发布CNNIC可信网络服务中心证书策略颁发机构负责本EV高级证书业务规则中描述的证书策略的适用性.
同时,颁发机构也要负责EV高级证书业务规则在下一版本发布之前所修改部分的适用性.
当证书策略颁发机构认定EV高级证书业务规则的变化部分对证书使用者有重大影响的时候,更新版本必须在7天之内在网站上予以发布,并详细说明变更版本号及变化部分.
如果证书策略颁发机构认定EV高级证书业务规则的变化部分对用户及依赖方的影响很小或没有影响,那么这种修改就不需要向用户通知,也不需要修改EV高级证书业务规则的版本号.
在CNNIC可信网络服务中心的EVCPS做出任何变动之前,CNNIC可信网络CNNIC可信网络服务中心EV高级证书业务规则12服务中心将对变动的条款进行研究,做出变更的决定.
在征求CNNIC可信网络服务中心律师法律意见后,由安全管理委员会形成决议.
具体流程如下:批准流程是:(1)EVCPS编写组编写或修订EVCPS.
(2)EVCPS编写或修订完成后提交CNNIC可信网络服务中心各部门审议.
(3)审议通过后的EVCPS递交CNNIC可信网络服务中心安全管理委员会审议.
(4)CNNIC可信网络服务中心安全管理委员会审议通过后,EVCPS正式对外发布.
1.
9EVCPS解释权CNNIC可信网络服务中心对本CPS拥有最终解释权.
除非获得CNNIC可信网络服务中心授权,CNNIC可信网络服务中心或注册中心的代理人或工作人员无权代表CNNIC可信网络服务中心对本EVCPS的含义或解释作任何陈述.
1.
10与应用标准的一致性本篇EV高级证书业务规则中的条款符合业界标准,包括AICPA/CICA的WebTrust审计标准、CA/BrowserForum的EV高级证书规则,以及其他相关的CA业务标准.
CNNIC可信网络服务中心每年会由独立的外部审计机构来进行AICPA/CICA的WebTrust审计.
每年的审计主题覆盖但不限于:CA业务的披露服务完整性CA环境控制CNNIC可信网络服务中心根据CA/BrowserForum在网站http://www.
cabforum.
org上发布的《EV指导准则》来颁发和管理EV高级证书.
如果准则中的条款和本文档中的条款有不一致的地方,以准则中的内容为准.

CNNIC可信网络服务中心EV高级证书业务规则131.
11数字证书策略概述数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据.
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件.
数字证书允许持有者在信息交互中向对方表示自己的身份.
数字证书在交易环境中充当着一个数字身份识别卡的角色.
扩展验证证书(EV高级证书)包含着在EV指导中指定的信息,且这些信息依据EV指导中的标准被核实过.
1.
12CNNIC可信网络服务中心PKI架构CNNIC可信网络服务中心应用ChinaInternetNetworkInformationCenterEVCertificatesRoot作为根证书来签发EV高级证书.
EV高级证书架构为:ChinaInternetNetworkInformationCenterEVCertificatesRoot(指纹:4f99aa93fb2bd13726a1994ace7ff005f2935d1e,有效期至2030年8月31日),其证书可以通过http://www.
cnnic.
cn/download/cert/CNNICEVROOT.
cer访问,并查询证书的指纹和有效期.
其子CACNNICEVSSL证书可以通过http://www.
cnnic.
cn/download/cert/CNNICEVSSL.
cer,查询该证书的指纹和有效期.
1.
13处理投诉程序CNNIC可信网络服务中心工作人员会尽快处理所有以书面及口头形式发起的投诉,并在五个工作日内给予详细的答复.
若五个工作日内不能给予详细的答复,会向投诉人做出简要回复.
在可行范围内,CNNIC可信网络服务中心人员会在收到投诉后尽快以电话、电子邮件或信件与投诉人联络确认收到有关投诉并做出回复.
2技术本章节是对CNNIC可信网络服务中心构架及PKI服务体系的技术部分的说明.
CNNIC可信网络服务中心EV高级证书业务规则142.
1CNNIC可信网络服务中心构架CNNIC可信网络服务中心架构采用了可信赖的体系来提供证书服务.
该体系包括计算机硬件、软件及程序,及用来防护安全风险的措施,并提高可用性、可依赖性和操作的正确性,以达到一个合理的安全水平.
2.
1.
1密钥对使用期限CNNIC可信网络服务中心根证书和中级根证书公钥和私钥的有效期保持一致,根证书密钥对有效期为20年,中级根证书密钥对有效期为10年.
2.
1.
2密钥的保护CNNIC可信网络服务中心采用的硬件密码模块是由中国国家密码主管机构审查通过的安全产品,符合国家的相关规定.
该加密机用来生成、存储和使用根密钥对的.
CNNIC可信网络服务中心的根密钥对长度为2048位.
硬件密码模块安置在安全区域,并在有至少三名加密机管理员(密钥管理员)在场的情况下才可以访问存储在加密机中的密钥.
CNNIC可信网络服务中心的根证书钥不托管给其他机构,CNNIC可信网络服务中心也不接受证书申请者的签名私钥托管.
所有管理员的大多数同时在场的情况下才可以访问存储在加密机中的密钥.
采取中国国家密码主管机构审查通过的保护措施保证加密机内密钥的安全性.
具体地说,CNNIC可信网络服务中心对根证书和中级根证书私钥的保护采用五人控制,三人必须同时到场的策略.
2.
1.
3密钥的恢复恢复加密机时也必须同时拥有三张管理员口令卡,才能对加密机进行备份与恢复的操作.
CNNIC可信网络服务中心EV高级证书业务规则15业务连续性计划应包含处理密钥泄漏的应对计划.
这些计划每年均会进行复检.
如用来签发域名证书的CNNIC可信网络服务中心根证书或中级根证书私钥信息泄漏,CNNIC可信网络服务中心应及时进行公布.
CNNIC可信网络服务中心的根证书或中级根证书私钥信息一旦泄漏,CNNIC可信网络服务中心应及时废止由此私钥签发的证书,然后签发新证书来代替2.
1.
4密钥的生成过程根CA的密钥对由硬件加密设备直接产生,并且直接保存在该硬件加密设备(加密机)中,CNNIC可信网络服务中心使用的是国家商业密码管理委员会鉴定通过的加密硬件设备.
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人均没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
运营CA的密钥对在本地的硬件加密设备上产生(硬件加密设备使用的是国家商业密码管理委员会鉴定通过的加密硬件设备),私钥不能出此加密硬件设备.
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
证书申请者:签名密钥对在证书申请者端产生,具有严密且安全的控制措施.
CA服务器不为证书申请者提供密钥生成服务.
CNNIC可信网络服务中心不为证书申请者提供密钥介质.
2.
1.
5密钥的归档根证书密钥对到期后,这些密钥对将归档保存至少10年.
归档密钥对保存在符合国家标准的硬件密码模块中,并且CNNIC的密钥管理策略和流程阻止归档密钥对返回到生产系统中.
归档密钥对超过归档CNNIC可信网络服务中心EV高级证书业务规则16保存期后,CNNIC可信网络服务中心将按EVCPS第2.
1.
8节规定对其进行销毁.
2.
1.
6密钥的备份备份加密机时也必须同时拥有三张管理员口令卡,才能对加密机进行备份与恢复的操作.
作为灾难恢复的一项措施,需要进行密钥备份.
CNNIC可信网络服务中心采用符合国家规定的硬件密码模块对根证书和中级根证书私钥进行加密和备份,备份存储在与硬件密码模块系统独立的系统内防止被窃.
在备份密钥时,必须由密钥管理员使用口令IC卡,启动密钥管理程序,执行密钥备份指令才能完成.
证书申请者私钥存放在证书申请者端,证书申请者宜根据其具体情况采用合适的手段对其私钥进行存储、备份和恢复.
2.
1.
7密钥的改变流程由CNNIC可信网络服务中心认证中心产生,并用以签发、认证本中心所发出的证书的认证中心根密钥及证书寿命为期不超过二十年.
CNNIC可信网络服务中心证书认证机构密钥及证书在期满前至少三个月会进行更新.
更新为新根密钥后,相关的根证书也会公布供大众取用.
原先的根密钥则保留一定的时限,以供核对用原根密钥签名的证书.
2.
1.
8密钥销毁CNNIC可信网络服务中心的根证书和中级根证书密钥在失效以后归档保留10年,然后通过适当方法销毁.
归档的密钥在其归档期限结束后,需在多名可信人员参与的情况下安全销毁.
密钥的销毁将确保其私钥从硬件密码模块中彻底删除,不留有任何残余信息.
认证证书的申请者私钥存在于证书申请者端,其证书过期后,应由认证证书使用者自行立即销毁私钥.
.
CNNIC可信网络服务中心EV高级证书业务规则172.
1.
9发放给证书使用者的CA根的公钥CNNIC可信网络服务中心会把自己的公钥发布在网站上,以便最终实体获取.
由管理员操作CNNIC可信网络服务中心证书和公钥的归档.
2.
1.
10CNNIC可信网络服务中心物理操作2.
1.
10.
1物理地址CNNIC可信网络服务中心运行在具备合理安全条件的地点.
在场地建造过程中,CNNIC可信网络服务中心已采取适当预防措施,为CNNIC可信网络服务中心运行做好准备.
2.
1.
10.
2访问控制可进入关键区域,控制密码或其它操作程序并可能会对EV高级证书的签发、使用、废止带来重大影响的CNNIC可信网络服务中心人员,应视作承担可信职责.
此类人员包括但不限于系统管理人员、操作员、工程人员及获委派监督CNNIC可信网络服务中心运作的行政人员.
CNNIC可信网络服务中心已为所有涉及CNNIC可信网络服务中心域名证书服务而承担可信职责的人员制定了相关管理制度,包括:按角色及责任制定各级实体及系统的操作控制流程详细职责划分规定CNNIC可信网络服务中心实施合理的安全控制,限制访问CNNIC可信网络服务中心所使用的硬件及软件(包括服务器、工作站及任何外部加密硬件模块).
可访问上述硬件及软件的人员只限于本CPS第5.
2.
1节所述的履行可信职责的人员.
在任何时间都对上述访问进行控制及电子监控,以防发生未经授权入侵.
CNNIC可信网络服务中心确保在EV高级证书生成前,在对EV高级证书请求的处理和审批过程中至少是有两名人员的.
CNNIC可信网络服务中心EV高级证书业务规则182.
1.
10.
3文件及资料传递CNNIC可信网络服务中心及其所属注册中心(RA)与本地受理点(LRA)之间的所有文件及资料的传递,均在受控制及安全的方式下进行.
2.
1.
10.
4电力及空调CNNIC可信网络服务中心设施可获得的电力和空调资源包括专用的空调系统,不间断电力供应系统(UPS)以及租用的电力公司的发电车,以备城市电力系统发生故障时供应电力.
2.
1.
10.
5自然灾害CNNIC可信网络服务中心设施在合理可能的限度内可免受自然灾害影响.
CNNIC可信网络服务中心已为其设施准备妥当防火计划及灭火系统.
2.
1.
10.
6防火及保护CNNIC可信网络服务中心已为其设施准备妥当防火计划及灭火系统.
2.
1.
10.
7媒体介质存储媒体介质存储及处置程序已经准备妥当.
2.
1.
10.
8场外备份CNNIC可信网络服务中心系统数据的适当备份会作场外储存,并获足够保护,以免被盗用、损毁及媒体衰变.
CNNIC可信网络服务中心EV高级证书业务规则192.
1.
10.
9保管印刷文件印刷文件(包括证书持有者的身份确认文件,管理文档等)由CNNIC可信网络服务中心妥为保存,只有授权人员可以取阅.
2.
1.
10.
10废料处理根据正常的废料处理要求处理废料.
加密设备作废前根据设备生产商的指导,对其进行物理上的销毁或清零.
2.
1.
10.
11其他安全程序CNNIC可信网络服务中心执行了一套完整、合理的的安全程序,用来:1、保护EV请求、证书审批、颁发过程中所涉及的一切数据、软件、密钥及流程等;2、防止在EV数据的完整性、机密性和可用性中的可预见的威胁;3、防止对任何EV数据的未授权或非法的访问、使用、泄露、修改或破坏;4、防止对EV数据或EV流程的一些灾难性的破坏或损坏;5、遵守CNNIC可信网络服务中心的其他符合法律的安全需求CNNIC可信网络服务中心的安全程序包括常规的风险评估:6、鉴别可预见的内部和外部的威胁,例如未授权的访问、披露、误用、修改或破坏任何的EV相关数据;7、评估这些潜在的威胁所引起的后果;8、评估CNNIC可信网络服务中心对这些威胁所采取的措施、政策是否充分;基于风险评估,CNNIC可信网络服务中心有相应的实施方案来保证EV高级证书业务的连续性和有效性.
CNNIC可信网络服务中心EV高级证书业务规则202.
1.
11年度评估CNNIC可信网络服务中心每年进行一次年度评估,以确保日常运营过程符合安全策略及其他流程控制相关规定.
2.
2数字证书的管理CNNIC可信网络服务中心的证书管理包括但不限于以下部分:对于证书申请者身份的验证颁发证书撤销证书分发证书发布证书证书备份根据特殊的使用用途的证书检索对申请证书的域名的验证对颁发的EV高级证书实体是否被授权的验证2.
3CNNIC可信网络服务中心储存库CNNIC可信网络服务中心维持一个储存库,包含最新的根和中级根所签发的证书废止列表(CRL)、CNNIC可信网络服务中心中级根证书和根证书、EVCPS、EVCP文本以及其它相关资料.
除每周最多四小时的定期维修及紧急维修外,储存库保持每天24小时、每周7天开放.
CNNIC可信网络服务中心储存库可通过下述URL访问:http://tns.
cnnic.
cn储存库中其他内容根据变更情况随时更改.
公布资料和储存库允许所有互联网用户访问,但仅允许CNNIC可信网络服务中心管理员更新.
CNNIC可信网络服务中心EV高级证书业务规则212.
4CNNIC可信网络服务中心证书类型CNNIC可信网络服务中心随着业务的发展可能会扩展产品线,包括颁发的证书类型.
每发布一款新的证书产品,CNNIC可信网络服务中心将至少在提供新的证书业务之前的7天内,发布新的CPS.
目前所颁发的域名证书品牌为:"EV高级服务器证书",存在以下不同的类型:单域名证书:CN是一个固定域名多域名证书:CN是多个域名的并列,例如"CN=a.
xxx.
xxx,CN=b.
xxx.
xxx,CN=c.
xxx.
xxx",SAN扩展中包含这多个域名.
CNNIC可信网络服务中心颁发的EV高级服务器证书仅限于域名证书,不能用于其他用途.
2.
5EV高级证书有效期根据本EV高级证书业务规则发出的新申请人的EV高级证书,其有效期为一至二年.
根据本EV高级证书业务规则的证书续费程序而发出的EV高级证书有效期可超过上述的有效期.
EV高级证书内会注明其有效期.
2.
6扩展和命名2.
6.
1数字证书的扩展CNNIC可信网络服务中心域名证书有广泛的通用性.
证书格式符合X.
509V3标准,可以提供支持证书扩展的能力.
CNNIC可信网络服务中心EV高级证书业务规则222.
7证书申请者私钥的生成和证书请求过程2.
7.
1私钥的生成签名密钥对在客户端产生,具有严密且安全的控制措施,可采用智能IC卡、其它硬件加密设备或加密软件生成.
CNNIC可信网络服务中心不提供私钥的生成、备份及恢复服务.
在申请过程中,证书申请者将提交包括公钥以及企业详细信息的CSR.
2.
7.
2文档要求在颁发EV高级证书前,证书申请者必须向CNNIC可信网络服务中心提交以下文档:EV高级证书申请表用户协议及CNNIC可信网络服务中心根据EV指导准则要求的其他文档2.
7.
3申请者角色要求EV高级证书申请单位需要如下的角色,具体情况可进行调整:证书申请者证书申请批准者协议签署者:EV高级证书申请的协议必须是由被授权的人来签署.
证书申请者可授权一个人来完成所有的角色,也可以分别让三个人来完成.
EV高级证书的申请者必须是被授权的自然人.
申请者必须是申请单位的职员或被授权的代理人(需要有申请单位授权书或第三方的证明材料).
CNNIC可信网络服务中心EV高级证书业务规则232.
7.
4EV高级证书申请请求总述:申请EV高级证书的经办人必须到CNNIC指定的CNNIC可信网络服务中心本地受理点处递交申请.
CNNIC可信网络服务中心(包括注册中心)不直接面对申请者接受申请.
请求内容:EV高级证书请求必须包含经由申请人本人或其授权代表签字确认的申请书.
同时还需要提交由申请人或其授权代表签署的协议,包含对提供EV高级证书所包含信息的准确无误的确认.
信息要求:EV高级证书的请求可以包括证书中所显示的申请单位的全部实际信息,以及CNNIC可信网络服务中心根据《EV指导准则》所需要的申请者的其他信息.
为防止EV高级证书请求未能够包含必要的信息,CNNIC可信网络服务中心会从证书申请者和协议签署者处获得其他的信息.
申请者信息应该包括单不限于本《EV指导准则》部分的要求.
2.
8证书申请者私钥的保护和备份证书申请者的私钥在客户端产生,具有严密且安全的控制措施.
CNNIC可信网络服务中心不提供私钥的生成、备份及恢复服务.
CNNIC可信网络服务中心强烈建议申请者使用密码、智能IC卡、其它硬件加密设备或加密软件来防止非法访问或使用私钥.
2.
9证书申请者公钥的传输证书申请者使用服务器端的安全软件把公钥发给CNNIC可信网络服务中心由CNNIC可信网络服务中心生成证书.
该请求(CSR)使用附带数字签名的PKCS#10格式,并可通过CNNIC网站上进行提交(https://rawhois.
cnnic.
cn/pages/CertDownloadStart.
ftl).
CNNIC可信网络服务中心EV高级证书业务规则242.
10颁发证书的传输CNNIC可信网络服务中心批准该证书申请后,会将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人2.
11CNNIC可信网络服务中心EV高级证书构架CNNIC可信网络服务中心EV高级证书构架如下:2.
11.
1EV高级证书的根证书结构根结构示意图2.
11.
2EV根CA证书的相关说明根CA证书没有包含certificatePolicies或extendedKeyUsageextensions字段.
应用软件销售商或任何的证书依赖方均可以通过存储与根CA证书相关的EV数据标识符,来确认被批准签发EV高级证书的根CA.
其关键的扩展项,CA域的部分已经设"TRUE"',同时,pathLenConstraint在其中没有体现.
2.
11.
3EV高级证书的内容及主题根据《EV指导准则》,对于EV高级证书内容的最基本要求:主题机构信息(a)机构名称证书域主题:OrganizationName(OID:)必选/可选:必选ChinaInternetNetworkInformationCenterEVCertificateRootCNNICEVSSLCNNIC可信网络服务中心EV高级证书业务规则25内容:此部分包含经CNNIC可信网络服务中心通过官方机构备案或文档核实后的证书持有者的名称.
名称必须是法定单位的全称,且名称的长度最长不能超过64个字符.
如果超过了64个字符,可以采用名称的缩写或忽略掉没有重大影响的词.
(b)域名证书域主题:CommonName必选/可选:必选内容:CN在EV多域名证书时是多个域名的并列,单域名证书是单个域名.
EV高级证书不提供通配符证书类型.
(c)业务类别证书域主题:businessCategory必选/可选:必选内容:CNNIC可信网络服务中心EV高级证书的业务类别字段包含了私营组织(V1.
0,Cause5.
(b))、政府实体V1.
0,Cause5.
(c)、商业实体V1.
0,Cause5.
(d)、非商业实体V1.
0,Cause5.
(e)私营组织的定义:个体工商、个人独资企业政府实体的定义:政府机关、事业单位商业实体的定义:企业法人非商业实体的定义:社团、其他(d)成立或注册区域证书域:成立/注册所在地(国家、省、市),用于确定主体是国家级、省级、市级单位必选/可选:必选内容:不能包括不相关信息,如国家级单位就不可填写省、市字段;省级单位不可填写市字段.
省、市、国家地区不能输入中文,只能输入英文字母.
国家地区默认为CN.
其他位置的城市及省市输入中文.
(e)注册号证书域主题:serialNumber必选/可选:必选内容:对于私营组织,包含其成立或注册的机关分配给他的注册号.
CNNIC可信网络服务中心EV高级证书业务规则26如无注册号,则填写其成立或注册日期.
对于政府实体,输入相应的话语指明该主体为政府实体.
对于商业实体,写入经过政府批准后获得的注册号.
如没有注册号,则写入成立的日期.
(f)营业及业务地址证书域主题:包括国家、州或省、城市或乡镇、街道号码、邮编必选/可选:国家、州或省、城市或乡镇是必选项;街道号码和邮编是可选项.
内容:主体营业地的物理地址.
2.
11.
4密钥用法扩展项CNNIC可信网络服务中心采用的证书格式为X509第三版本.
EV高级证书中的密钥扩展项用来指定证书的用途以及技术上的要求.
CNNIC可信网络服务中心的EV高级证书扩展项如下:根CA证书基本限制(Basicconstraints):此扩展项必须为关键扩展则此扩展必须为关键扩展.
CA字段必须置为真.
pathLenConstraint字段不能出现密钥用法(Keyusage):"关键"字段.
限制证书中密钥的用法.
KeyCertSign和cRLSing必须设置.
子CA证书证书策略(certificatePolicies):该扩展箱必须存在,且不得标识为关键扩展.
证书策略的OID标识和位置.
证书废止列表发布点(cRLDistributionPoint):本扩展项必须存在,且不得标识为关键扩展.
发布点名称=[证书废止列表发布点HTTPURL].
颁发机构信息访问(authorityInformationAccess):本扩展项应CNNIC可信网络服务中心EV高级证书业务规则27该存在,且不得标识为关键扩展.
需要包括CNNIC可信网络服务中心的OCSP响应地址(HTTPURL).
基本限制(Basicconstraints):此项设为真,扩展项标识为关键,SubjectType=CAPathLengthConstraint=None密钥用法(Keyusage):该项必须存在,且标识为关键.
CertSign和cRLSign必须设置,且其他项不得设置.
用户证书证书策略(certificatePolicies):本扩展项必须存在,且不得标识为关键.
CertificatePolicy:PolicyIdentifier=EV策略OIDPolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cnnic.
cn/cps/证书废止列表发布点(cRLDistributionPoint):该扩展项存在,且未被标识为关键.
包含CNNIC可信网络服务中心证书废止列表(CRL)的发布HTTP地址URL=http://www.
cnnic.
cn/download/evcrl/crl1.
crl.
颁发机构信息访问(authorityInformationAccess):该扩展项存在,且未被标识为关键.
[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)AlternativeName:URL=http://ocspev.
cnnic.
cn[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://www.
cnnic.
cn/download/cert/CNNICEVSSL.
cer.
PathLengthConstraint=None,SubjectType=EndEntity;DigitalSignature,KeyEncipherment(a0)增强型密钥用法(extKeyUsage):服务器验证(id-kp-serverAuth)CNNIC可信网络服务中心EV高级证书业务规则28值为1.
3.
6.
1.
5.
5.
7.
3.
1及客户端验证(id-kp-clientAuth)值为1.
3.
6.
1.
5.
5.
7.
3.
2.
2.
11.
5EV高级证书策略证书策略详细说明了CNNIC可信网络服务中心签发和管理证书的规则和需求.
证书策略由发证机构制定并对外广泛发布,同时向国际标准化组织申请标准的对象标识符(OID),从而保证与其它应用相兼容,对象标识符在通信服务中进行传递,作为该证书机构证书策略的标识,代表该认证机构提供证书服务的相关策略.
另一方面,只有证书申请者同意该证书策略,才可以从认证中心去申请和获得数字证书.
EV用户证书每一个CNNIC可信网络服务中心签发的EV高级证书都包含一个被CNNIC可信网络服务中心定义的OID.
此OID在证书中的证书策略(certificatePolicies)扩展项中,用来(1)表明该证书所对应的CA策略种类,(2)声明CNNIC可信网络服务中心遵守EV指导准则,(3)通过与软件应用销售商的先前协议,将证书标识为EV高级证书.
EV子CA证书CNNIC可信网络服务中心暂无给从属认证机构签发证书的服务.
根CA证书CNNIC可信网络服务中心不包含证书策略(certificatePolicies)或扩展终端密钥用法的扩展字段.
2.
11.
6加密算法和密钥长度CNNIC可信网络服务中心的根证书和中级根证书密钥对为2048位RSA.
证书申请者密钥对也要求为2048位RSA.
CNNIC可信网络服务中心EV高级证书格式如下:CNNIC可信网络服务中心EV高级证书业务规则29CNNICEV高级服务器证书签名算法Sha1RSA颁发者CNCNNICEVSSLOChinaInternetNetworkInformationCenterCCN有效期1年、2年主题CN域名OU部门名称O单位名称L城市S州或省C国家序列号注册号码颁发机构密钥标识符KeyID密钥用法(非关键)DigitalSignature,KeyEncipherment(a0)增强型密钥用法服务器验证(1.
3.
6.
1.
5.
5.
7.
3.
1)基本限制SubjectType=EndEntityPathLengthConstraint=None证书策略[1]CertificatePolicy:PolicyIdentifier=1.
3.
6.
1.
4.
1.
29836.
1.
10[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cnnic.
cn/cps/CRL分发策略[1]CRLDistributionPointCNNIC可信网络服务中心EV高级证书业务规则30DistributionPointName:FullName:DirectoryAddress:CN=crl*(*这个序号是根据证书序列号计算出来的)OU=crlO=ChinaInternetNetworkInformationCenterC=cnC=cn[2]CRLDistributionPointDistributionPointName:FullName:URL=http://www.
cnnic.
cn/download/evcrl/crl*(*这个序号是根据证书序列号计算出来的).
crl指纹算法sha1RSA2.
12CNNIC可信网络服务中心EVCRL及其构架2.
12.
1EVCRL发布CNNIC可信网络服务中心也通过CRL列表对外发布中级根签发的最新CRL,访问地址是:http://www.
cnnic.
cn/download/evcrl/crl*.
crl*这个序号是根据证书序列号计算出来的)CNNIC可信网络服务中心储存库内中级根签发的证书废止列表(CRL)每12小时更新一次.
由于没有进行中级根的废止,根签发的证书废止列表(CRL),地址为:URL=http://www.
cnnic.
cn/download/evrootcrl/crl1.
crl每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
CRL中保存所有的证书条目,保存期5年,已注销的证书的条目在5年内也不会删除.
CNNIC可信网络服务中心EV高级证书业务规则312.
12.
2EVCRL构架CNNIC可信网络服务中心CRL构架如下:版本(Version)显示CRL的版本号X.
509第二版本颁发机构名称(Signature)签发CRL的CA的签名CN=CNNICEVSSLO=ChinaInternetNetworkInformationCenterC=CN算法标识(algorithmIdentifier)定义签发CRL所使用的算法CRL的签发者(Issuer)签发CRL的CA的甄别名本次更新(thisUpdate)CRL发布时间下次更新(nextupdate)预计下一个CRL更新时间注销证书目录(revokedcertificates)CRL入口证书序列号注销日期2.
13在线状态查询(OCSP)2.
13.
1OCSP发布信赖方是否进行在线状态查询完全取决于信赖方的安全要求.
对于安全保障要求高并且完全依赖证书进行身份鉴别与授权的应用,信赖方在信赖一个证书前可通过证书状态在线查询系统检查该证书的状态.
CNNIC可信网络服务中心提供基于HTTP的证书状态在线查询服务(OCSP),每周除最多四小时的定期维修及紧急维修外,该服务7*24小时可用.
证书在线查询服务在用户点击获得证书状态响应的同时,将会看到该证书状态下次更新的具体时间(根据证书和根的不同,证书一般为不超过12小时更新一次,根证书为120天一更新)OCSP中保存所有的证书条目.
.
CNNIC可信网络服务中心EV高级证书业务规则322.
13.
2OCSP结构CNNIC可信网络服务中心CA签发的OCSP响应符合RFC2560标准.
OCSP响应至少包含如下表所述基本域和内容.
OCSP结构的基本域域值或值的限制状态响应状态,包括成功、请求格式错误、内部错误、稍候重试、请求没有签名和请求签名证书无授权,当状态为成功时必须包括以下各项版本V1签名算法签发OCSP的算法.
使用sha1WithRSAEncryption(OID:1.
2.
840.
113549.
1.
1.
5)算法签名.
颁发者签发OCSP的实体.
签发者公钥的SHA1数据摘要值和证书甄别名.
产生时间OCSP响应的产生时间.
下次更新时间OCSP状态下次更新时间(根据证书和根的不同,证书一般为不超过12小时一更新,根证书为120天一更新)证书状态列表包括请求中所查询的证书状态列表.
每个证书状态包括证书标识、证书状态以及证书废止信息.
证书标识包括数据摘要算法(SHA1,OID:1.
3.
14.
3.
2.
26)、证书甄别名数据摘要值、证书公钥数据摘要值和证书序列号.
证书状态证书的最新状态,包括有效、废止和未知.
证书废止信息当返回证书状态为废止时包含废止时间和废止原因.
2.
13.
3OCSP请求OCSP请求可以支持GET和POST两种方式.
如果请求内容小于255字节,可以使用GET方式.
如果请求内容超过255字节,请求应该用POST方式OCSP请求至少包括:协议版本CNNIC可信网络服务中心EV高级证书业务规则33服务请求目标证书标识OCSP服务器需要的扩展项过期时间提醒:OSCP所反馈的信息最长过期时间为10天,请所有通过此信息确认证书有效性的用户,注意此过期时间.
2.
13.
4OCSP响应正确的OCSP响应须包括:响应协议的版本OCSP服务器的名称对一个请求中的每一个证书的应答(包括目标证书标识、证书状态值、有效应答的时间间隔、可选的扩展项)可选的扩展项签名计算方法OID用杂凑函数计算出的签名2.
14安全控制2.
14.
1计算机安全控制CNNIC可信网络服务中心在安全的环境下运行,并实行分区访问权限控制.
核心系统和其它系统隔离,采用防火墙和入侵检测保证安全.
并实行:1,系统安全配置,关闭不必要的服务与端口.
2,操作系统必须安装最新的补丁程序,由专人负责最新补丁的安装.
3,生产系统每台机器均由专人负责,严格上机操作程序,口令逐级管理,逐级授权.
各人负责各自权限范围内的操作.
4,日志和操作记录的审计制度.
5,数据备份和恢复机制.
CNNIC可信网络服务中心EV高级证书业务规则342.
14.
2生命周期技术安全控制CNNIC可信网络服务中心所使用的系统在使用前均经过详细测试,并在使用过程中进行不定期检查.
2.
14.
3网络安全控制根据安全要求的不同,将CNNIC可信网络服务中心系统划分为不同的网段,部分高安全级系统进行离线操作.
并采用层次模型保证网络的安全性以及系统的可靠性.
3组织架构CNNIC可信网络服务中心的证书业务均是在安全的环境下进行的.
本章节主要是对安全策略、物理和逻辑访问控制的机制、服务级别及员工策略等的概述,来提供可信赖的证书业务.
3.
1对EV高级证书业务规则的遵从CNNIC可信网络服务中心安全依照该《CNNICEV高级证书业务规则》提供业务、运营及服务.
3.
2证书颁发机构业务的终止一旦CNNIC可信网络服务中心由于任何原因需要终止证书业务,CNNIC可信网络服务中心都将及时发布通知,并提供后续的服务包括对证书持有者的责任、记录的保留及恢复等.
在证书业务终止前,CNNIC可信网络服务中心将进行以下操作:在CNNIC可信网络服务中心服务终止的情况下,CNNIC可信网络服务中心将废止所有由CNNIC可信网络服务中心发布的证书.
并将CNNIC可信网络服务中心的归档记录移交给法律法规规定的机构.
在终止服务后,CNNIC可信网络服务中心会将证书认证机构的记录存CNNIC可信网络服务中心EV高级证书业务规则35盘10年(由终止服务日起计);这些记录包括根证书和中级根证书、已发出的域名证书、证书业务规则及证书废止列表(CRL)3.
3记录存档的格式CNNIC可信网络服务中心将以电子版或纸质版的形式来进行资料及记录的存档,同时也将制作并保存归档的副本.
归档资料均注明归档项目的开始时间及日期.
CNNIC可信网络服务中心利用控制措施防止擅自调校系统时钟.
3.
4记录存档保留期CNNIC可信网络服务中心须确保归档记录包括足够资料,从而确定证书是否有效以及以往是否运行妥当.
根据《EV指导准则》的要求,CA必须保留与EV高级证书请求及验证相关的一切文件及EV高级证书.
CNNIC可信网络服务中心应保存有以下数据:系统设备结构档案评估结果及设备合格复查记录证书业务规则所有版本对CNNIC可信网络服务中心具约束力的协议所有发出的EV高级证书、注销的EV高级证书及证书废止列表(CRL)定期事件记录EV高级证书请求及验证过程中的所有文档其它用以核实归档内容的工作日志.
上述归档记录至少妥善保存10年.
审计跟踪文档以CNNIC可信网络服务中心视为适当的方式存放.
所有的记录将存档在安全的地点.
3.
5核心功能日志根据《EV指导准则》的要求,CNNIC可信网络服务中心将保留所有的日志记录,包括EV高级证书请求、处理、颁发过程中的所有日志.
日志中需CNNIC可信网络服务中心EV高级证书业务规则36要记录时间、日期和人员的操作记录.
所有的日志需要备份在一个放在安全地点的可移动介质中.
CNNIC可信网络服务中心保存的归档介质受各种实体或加密措施保护,可避免未经授权进入.
保护措施用以保护归档介质免受温度、湿度及磁场等环境侵害.
当可移动的存储介质即将结束生命周期时,将使用第三方的安全数据破坏仪器来清除这些数据.
存档记录包括但不限于以下事件:CNNIC可信网络服务中心密钥生命周期管理,包括:密钥的产生、备份、存储、修复、存档及销毁;密码设备声明周期管理事件.
CNNIC可信网络服务中心及用户的EV高级证书声明周期管理事件,包括:EV高级证书请求、续签及密钥重新申请及撤销;本指导准则规定的所有验证活动;验证电话的数据、时间、使用的电话号码、通话对象及最终结果;EV高级证书请求的接收与拒绝;EV高级证书的签发;及EV高级证书撤销列表(CRLs)及OCSP条目安全事件,包括:成功及失败的PKI系统访问尝试;实施的PKI及安全系统活动;安全策略的变更;系统崩溃、硬件故障及其他异常现象;防火墙及路由器活动;CA设备的条目及从中退出.
登录条目必须包含下列元素:条目的数据和时间;制作日志的人员身份;及CNNIC可信网络服务中心EV高级证书业务规则37对条目的描述.
3.
6业务连续性计划和灾难恢复为了保证服务的完整性,CNNIC可信网络服务中心将实施、记录并阶段性测试业务的连续性和灾难恢复计划.
此类计划需要至少每年更新或修改一次.
CNNIC可信网络服务中心有妥善的业务连续性计划,包括每天备份主要业务信息和认证中心系统数据,并适当地备份认证中心系统的软件,以维持主要业务持续运营,保障在严重故障或灾难影响下仍可继续提供服务或在最短时间内恢复提供服务.
CNNIC可信网络服务中心在异地设有一个灾难恢复基地.
如发生严重故障或灾难,CNNIC可信网络服务中心会及时通知政府部门,并公布运营由生产基地转至灾难恢复基地.
在发生灾难后但稳妥可靠的环境尚未重新确立前:敏感性材料或仪器会安全地锁在设施内;若不能将敏感性材料或仪器安全地锁在设施内或这些物资或仪器有受损毁的风险,这些材料或仪器会移离设施并锁在其它临时设施内;设施的出入会实行访问控制,以防范盗窃或被人擅自访问.
3.
7注销数据的可用性CNNIC可信网络服务中心发布EV高级证书撤销列表(EVCRL)供依赖方验证CNNIC可信网络服务中心签发的EV数字证书的有效性.
EVCRL包含注销EV高级证书的访问入口,并24小时均可进行访问的.
CNNIC可信网络服务中心中级根每隔12个小时签发一次证书废止列表(CRL).
如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
被废止的CRL列表需要存档,并保存10年.
CNNIC可信网络服务中心EV高级证书业务规则383.
8关键信息的发布CNNIC可信网络服务中心将在官方网站上发布《EV高级证书业务规则》、与用户的协议等规定.
所有的更新、修改都按照本EV高级证书业务规则中的流程严格执行.
3.
9机密信息CNNIC可信网络服务中心会依照本EV高级证书业务规则中的规定确保用户信息或机密信息的安全性和机密性.
3.
9.
1机密信息的类型CNNIC可信网络服务中心将以下类型的信息列为机密的,并采用了合理的措施保证机密信息不被泄露:a)CNNIC可信网络服务中心的经营和控制专用的信息,都由CNNIC可信网络服务中心秘密保管;除非法律另有规定,否则不能对外泄漏.
b)除在EV高级证书、EVCRL、EV高级证书政策、EVCPS中公开发布的信息之外的有关证书持有者的信息,是保密信息;除非有证书政策要求,或法律另行规定,否则一律不能对外公开.
c)证书申请者提交的文档及资料包括证书申请者签署的协议、身份证明及其他需要提交的文件和材料(无论是通过审核和未通过审核的).
d)一般来说,每年的审计结果应该保密,除非CNNIC可信网络服务中心安全管理委员会认为有必要公布审计结果.
e)业务连续性计划及灾难恢复计划f)CNNIC可信网络服务中心架构、证书管理、注册服务及数据的操作记录.
3.
9.
2非机密信息a)由CNNIC可信网络服务中心签发的EV高级证书以及EVCRL中所包括CNNIC可信网络服务中心EV高级证书业务规则39的信息是非保密信息.
b)CNNIC可信网络服务中心公布的EVCPS中的信息(或其他公布的商业事项)是非保密信息.
c)当CNNIC可信网络服务中心废止某一EV高级证书时,EVCRL中列出了证书的废止理由.
该废止理由的代码是非保密信息,所有其他EV高级证书持有者和EV高级证书信赖方都可以分享该信息.
但是,有关废止的其他细节一般不公布.
CNNIC可信网络服务中心将根据法律规定,应执法人员的执法要求公开信息.
CNNIC可信网络服务中心将根据信息持有人要求向其他方公布有关信息持有人的信息.
3.
9.
3机密信息的访问只有被授权的人才能访问机密信息.
CNNIC可信网络服务中心的员工需要遵循相关的条款.
3.
10计算机安全审计程序3.
10.
1记录事件类型CNNIC可信网络服务中心的重要安全事件,均以人工或自动记录在受保护的审计追踪记录内.
这类事件包括但不限于以下内容:可疑网络活动多次试图进入而不能访问与安装设备或软件、修改及配置CNNIC可信网络服务中心系统的有关事件相关人员访问CNNIC可信网络服务中心各组成部分的过程定期管理EV高级证书的操作同样也包括在审计追踪记录中,这些操作包括但不限于以下内容:处理废止EV高级证书的请求CNNIC可信网络服务中心EV高级证书业务规则40实际发出(包括证书注册、续费、补发等)、废止EV高级证书更新储存库资料汇编EV高级证书废止列表(EVCRL)并刊登新数据证书认证中心密钥转换档案备份紧急密钥恢复3.
10.
2处理记录的次数CNNIC可信网络服务中心每周均会处理审计追踪记录,用以审计追踪有关CNNIC可信网络服务中心行动、交易及程序.
3.
10.
3保存期限存盘审计追踪记录文件的保存期为10年.
3.
10.
4审计追踪记录保护CNNIC可信网络服务中心处理审计追踪记录时实施多人式控制,可提供足够保护,避免有关记录意外受损或被人蓄意修改.
3.
10.
5审计追踪记录备份CNNIC可信网络服务中心每周均会按照预定程序为审计追踪记录作适当备份.
备份会另行离机储存,并获足够保护,以免被盗用、损毁及媒体衰变.
3.
10.
6安全事件通知CNNIC可信网络服务中心拥有自动监控系统,可向CNNIC可信网络服务中心适当人士或系统报告重要安全事件.
CNNIC可信网络服务中心EV高级证书业务规则413.
10.
7脆弱性评估脆弱性评估是CNNIC可信网络服务中心风险评估的一部份:根据审计记录,CNNIC可信网络服务中心定期进行技术安全、管理安全方面的脆弱性评估,并根据评估报告采取加固措施.
3.
11员工的管理和规则CNNIC可信网络服务中心采取如下规则和管理流程来保证员工的可信性及是否可以满足相应的职责:3.
11.
1员工身份验证CNNIC可信网络服务中心(包括注册中心)对担任可信职责的人员的背景、资历、经验等情况进行调查(其聘用前及其后有需要时定期进行).
以根据本EVCPS及CNNIC可信网络服务中心的人员策略要求核实工作人员的可信程度及胜任程度.
具备忠诚、可信赖及工作热情、无影响系统运行的其它兼职工作、无同行业重大错误记录、无违法记录等.

背景:要求政治素质高、业务优秀、有非常强的责任感,原则性强,无犯罪记录和不良记录;资历:精通本岗位工作,其所受教育、培训及工作经历保证足够胜任其工作;CNNIC可信网络服务中心工作人员及管理政策可合理确保CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的LRA人员的可信程度及胜任程度,并确保他们根据本EVCPS履行职责.
未能通过首次及定期调查的人员不得担任或继续担任可信职责.
调查包括教育及工作经历,该信息将由人力资源进行相应的核实和确认.
3.
11.
2培训及技能CNNIC可信网络服务中心(包括注册中心)工作人员已接受履行其CNNIC可信网络服务中心EV高级证书业务规则42职责所需要的初步培训.
CNNIC可信网络服务中心会提供持续培训,使人员能掌握所需最新工作技能.
培训内容包括但不限于:公钥基础设施(PKI)知识、验证的方式及步骤、业务流程、常见威胁及应对措施等相关的问题.
同时,CNNIC可信网络服务中心(包括注册中心)人员会收到指导手册,详细描述EV高级证书的注册、续费、补发及废止程序及与其职责有关的其它软件功能.
3.
11.
3职责分离CNNIC可信网络服务中心有严格的管理措施,保证员工权限的独立性.
EV高级证书申请信息与证书的审核和签发分别由两个角色操作.
3.
12EV审计根据相关规定,至少每12个月进行一次由外部独立的审计机构主持进行的规定遵从情况的评估,查清CNNIC可信网络服务中心签发、废止EV高级证书及公布EV高级证书废止列表(EVCRL)的系统是否严格遵守《EV指导准则》、本EVCPS和CNNIC可信网络服务中心相关的控制措施.
审计内容包括:a)公布的商业事项b)服务的完整性(包括对密钥和证书生命周期管理的控制)c)环境控制审计结果应通报给CNNIC可信网络服务中心安全管理委员会.
由其安排CNNIC可信网络服务中心将根据具体的审计意见确定改进方案,采取改进行动.
3.
13信息的发布CNNIC可信网络服务中心储存库,包括EV高级证书业务规则、EV高级证书策略等,将在CNNIC官网(www.
cnnic.
cn)进行发布.
储存库所在位置可CNNIC可信网络服务中心EV高级证书业务规则43供在线浏览,并可防止擅自修改.
经授权的CNNIC可信网络服务中心工作人员方可进入储存库更新及修改内容.
4业务规则本章主要是对需要提交的申请资料等证书申请过程的描述.
其中特别强调,对于所有的EV高级证书申请、续费、补办两码或修改操作中,如果用户提交材料中使用其他语言(如英文)时,RA需要将该语言明确表述.
CA将依赖RA的工作来执行交互相关和尽职调查.
CA的审核人员将核查RA的工作来验证其确实符合申请者的自身要求.
4.
1EV高级证书申请在CNNIC可信网络服务中心EV高级证书的申请中特别强调,所有用户在填写可信服务器证书申请表时,请注意如果某些项目为可选项如不填,则必须为空,不能填写任何其他内容,具体EV高级证书的申请流程,EV高级证书的有效期为1年期和2年期证书,如果为2年期证书,在证书已经使用9个月——12个月期间需要进行年检操作,该操需要提交相应的审核资料.
如下:4.
1.
1单域名EV高级证书1.
EV高级证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器(安装证书的服务器是由证书申请者自行管理的,下同),申请资料包括以下文档:EV高级证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
EV高级证书注册申请书原件.
CNNIC可信网络服务中心EV高级证书业务规则44EV高级证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
对于托管服务器(安装证书的服务器是由证书申请者委托其他机构代为管理的,下同),证书申请由受托机构代为办理,申请资料包括以下文档:受托机构的企业法人营业执照或组织机构代码证复印件,每页均加盖受托机构公章.
EV高级证书申请者身份证明.
企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
EV高级证书注册申请书原件.
受托机构经办人身份证明复印件.
EV高级证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人身份证明复印件.
2.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到所申请EV高级证书的域名注册者资料,查看域名注册者是否EV高级证书申请者一致,初步审核确定EV高级证书申请者确实拥有此域名.
3.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部纸质申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
初步审核不通过,则要求EV高级证书申请者修改域名注册者资料后再前来申请EV高级证书.
4.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话分别与主管人、经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,并制作纸质"可信EV服务器证书核准证明".
如果未确认通过,则拒绝EV高级证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本CNNIC可信网络服务中心EV高级证书业务规则45地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
6.
申请书提交给可信网络服务中心委托的合法受理机构时,必须有该机构人员当面验签的证明书,该验签人员必须在该证明书亲笔签名.
4.
1.
2多域名EV高级证书1.
EV高级证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器,申请资料包括以下文档:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
EV高级证书注册申请书原件.
EV高级证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
对于托管服务器,申请资料包括以下文档:受托机构的企业法人营业执照或组织机构代码证复印件,每页均加盖受托机构公章.
所有证书申请者身份证明.
企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
EV高级证书注册申请书原件.
受托机构经办人身份证明复印件.
EV高级证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人身份证明复印件.
CNNIC可信网络服务中心EV高级证书业务规则462.
本地受理点录入员进行初步审核.
通过域名注册信息查询(whois)功能,得到多域名证书的所有域名注册者资料,查看这些域名注册者是否分别和EV高级证书申请者一致,初步审核确定各域名证书申请者确实拥有此域名.
3.
本地受理点录入员初步审核通过后,通过RA系统将上述资料录入,提交申请,并将全部纸质申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
初步审核不通过,即某EV高级证书申请者与域名注册者不一致,则要求此EV高级证书申请者修改域名注册者资料,然后受托机构才能再次前来申请多域名证书,或者在此多域名证书内去掉资料不一致的域名.
4.
RA审核员检验合法的域名持有者是否与证书申请者相符合(同样使用whois功能),审核资料是否真实,并与RA系统中的申请信息对比.
通过电话分别与主管人、经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人.
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
6.
申请书提交给可信网络服务中心委托的合法受理机构时,必须有该机构人员当面验签的证明书,该验签人员必须在该证明书亲笔签名.
4.
1.
3申请方法申请EV证书的经办人必须到CNNIC指定的CNNIC可信网络服务中心本地受理点处递交申请.
CNNIC可信网络服务中心(包括注册中心)不直接面对申请者接受申请.
EV高级证书申请者可直接到CNNIC官网下载申请书及用户协议.
证书请求(CSR)需要从网上直接提交.
4.
2EV高级证书的续费在EV高级证书持有者证书到期前,证书持有者需要获得新的EV高级证CNNIC可信网络服务中心EV高级证书业务规则47书以保持证书使用的连续性.
证书持有者产生一个新的密钥对代替过期的密钥对,称作"密钥更新".
然而,在某些情况下,证书持有者希望为一个现存的密钥对申请一个新证书,称作"证书更新".
在CNNIC可信网络服务中心的证书体系中,EV高级证书续费需要证书持有者重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求证书持有者使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件CSR(即必须进行"密钥更新").
EV高级证书续费期为当前证书失效前3个月内,在此之前或之后CNNIC可信网络服务中心将拒绝续费申请.
续费之后,新的EV高级证书下载后应该立即安装.
续费的有效期顺延:新证书失效期=当前时间+新购EV高级证书的时间长度+当前EV高级证书剩余的时间长度.
4.
2.
1单域名EV高级证书续费1.
EV高级证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器,申请资料包括以下文档:EV高级证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
EV高级证书续费申请书原件.
EV高级证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
对于托管服务器,申请资料包括以下文档:受托机构的企业法人营业执照或组织机构代码证复印件,每页均加盖受托机构公章.
CNNIC可信网络服务中心EV高级证书业务规则48EV高级证书申请者身份证明.
企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
EV高级证书续费申请书原件.
受托机构经办人身份证明复印件.
EV高级证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.

通过电话分别与主管人、经办人进行确认.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人.
如果未确认通过,则拒绝EV高级证书续费,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请续费.
6.
EV高级证书申请经办人在Web服务器中生成证书请求CSR.
5.
EV高级证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
6.
CNNIC可信网络服务中心签发EV高级证书,由EV高级证书申请经办人安装.
4.
2.
2多域名EV高级证书续费1.
EV高级证书申请经办人提交申请资料给本地受理点(LRA)录入员:CNNIC可信网络服务中心EV高级证书业务规则49对于独立服务器,申请资料包括以下文档:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
EV高级证书续费申请书原件.
EV高级证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
对于托管服务器,申请资料包括以下文档:受托机构的企业法人营业执照或组织机构代码证复印件,每页均加盖受托机构公章.
所有EV高级证书申请者身份证明.
企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
EV高级证书续费申请书原件.
受托机构经办人身份证明复印件.
EV高级证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
CNNIC可信网络服务中心EV高级证书业务规则50通过电话分别与主管人、经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人,.
如果未确认通过,则拒绝证书续费,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请续费.
EV高级证书申请经办人在Web服务器中生成证书请求CSR.
6.
EV高级证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
7.
CNNIC可信网络服务中心签发EV高级证书,由证书申请经办人安装.
4.
3EV高级证书的补发在CNNIC可信网络服务中心的EV高级证书体系中,EV高级证书补发需要重新产生证书请求文件CSR,同时CNNIC可信网络服务中心要求使用与原来密钥对不同的密钥对进行申请,不允许使用旧的证书请求文件.
新EV高级证书补发后,原EV高级证书立即作废,新EV高级证书截至有效期与原EV高级证书相同4.
3.
1单域名证书补发1.
EV高级证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器,申请资料包括以下文档:EV高级证书补发申请书原件.
EV高级证书申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
对于托管服务器,申请资料包括以下文档:EV高级证书补发申请书原件.
受托机构经办人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
CNNIC可信网络服务中心EV高级证书业务规则513.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话分别与主管人(如有)、经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人.
如果未确认通过,则拒绝证书补发,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请补发.
6.
EV高级证书申请经办人在Web服务器中生成证书请求CSR.
7.
EV高级证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发EV高级证书,由证书申请经办人安装.
4.
3.
2多域名证书补发1.
EV高级证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器,申请资料包括以下文档:EV高级证书补发申请书原件.
EV高级证书申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
对于托管服务器,申请资料包括以下文档:EV高级证书补发申请书原件.
受托机构经办人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与主管人(如有)、经办人进行确认.
CNNIC可信网络服务中心EV高级证书业务规则525.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人.
如果未确认通过,则拒绝证书补发,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请补发.
6.
EV高级证书申请经办人在Web服务器中生成证书请求CSR.
7.
EV高级证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发EV高级证书,由证书申请经办人安装.
4.
4EV高级证书的变更4.
4.
1多域名EV高级证书域名变更多域名EV高级证书提供域名修改服务,可以增加、删除和修改域名:1.
EV高级证书申请经办人提交申请资料给本地受理点(LRA)录入员:对于独立服务器,申请资料包括以下文档:证书申请者身份证明:企业提供:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
多域名EV高级证书修改申请书原件.
EV高级证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人和经办人的身份证明复印件.
对于托管服务器,申请资料包括以下文档:新增的域名证书申请者身份证明.
企业提供:组织机构代码证复印件或企业法人营业执照复印件(每CNNIC可信网络服务中心EV高级证书业务规则53页加盖公章);政府机关提供:组织机构代码证复印件(每页加盖公章);事业单位提供:组织机构代码证复印件(每页加盖公章);社团组织提供:组织机构代码证复印件(每页加盖公章).
自然人提供:有效个人身份证明复印件.
多域名EV高级证书修改申请书原件.
受托机构经办人身份证明复印件.
新增的域名证书申请者为企业/政府机关/事业单位/社团组织时,还需提交主管人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式递交给CNNIC注册中心的RA审核员.
4.
RA审核员检验合法的域名持有者是否与证书申请者相符合,审核资料是否真实,并与RA系统中的申请信息对比.
通过电话分别与主管人、经办人进行确认.
5.
如果确认通过,RA审核员登录RA系统,批准该证书申请,将参考号、授权码的前13位通过电子邮件、后3位通过手机分别发送给证书申请经办人.
如果未确认通过,则拒绝域名修改申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新申请域名修改.
6.
EV高级证书申请经办人在Web服务器中生成证书请求CSR.
7.
EV高级证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
8.
CNNIC可信网络服务中心签发证书,由EV高级证书申请经办人安装.
*注:域名变更后,原EV高级证书马上作废,新的EV高级证书下载后必须马上安装,EV高级证书有效期与原EV高级证书相同.
4.
5EV高级证书的年检对于用户申请的EV高级证书超过1年以上的,其每年需要进行年检操作,具体操作同于其申请时所提交资料.
CNNIC可信网络服务中心EV高级证书业务规则544.
6EV高级证书验证过程CNNIC可信网络服务中心完全遵循《EV指导准则》,在颁发EV高级证书前对证书所包含的信息做严格的验证.
主要验证过程及措施如下:4.
6.
1申请者依法存在及身份的验证1)验证要求EV高级证书不面向个人,必须是企业、事业单位、组织社团等实体.
必须保证其依法存在实体名称与EV高级证书申请者的名称一致成立或注册管辖区域所分配的注册编号,如未指定则获取成立日期注册机构的身份和地址2)验证方法申请单位实体的验证:申请者需要提交如下材料企业法人:组织机构代码证复印件或营业执照复印件事业单位:组织机构代码证复印件政府机关:组织机构代码证复印件社团组织:组织机构代码证复印件CNNIC可信网络服务中心审核员将申请者提供的身份证明文件所包含的基本信息(包括单位名称、组成形式、注册编号、法人、注册资本、成立日基本信息(包括单位名称、组成形式、注册编号、法人、注册资本、成立日期、年检时间等等)与第三方提供的申请者基本信息进行比对,以确认该申请者的身份证明文件是否真实.
主要个人的验证1)当面验证:包括用户协议的《CNNICEV高级证书申请书》的填写及签署必须由CNNIC可信网络服务中心注册服务机构的人员进行当面的验证.
此外,CNNIC可信网络服务中心注册服务机构的人员还需进行资CNNIC可信网络服务中心EV高级证书业务规则55料的搜集,包括主管人和经办人的身份证明、两份书面证明及根据要求需要的其他申请材料.
2)两份书面证明必须有一份是出自金融机构的,可以是:有效的信用卡有效的借记卡提供金融机构的不少于6个月的银行结单出自公认借贷人的不少于6个月的抵押声明其他文件可包括:固定电话账单出生证明当年的地方机构税单3)申请者提供的主管人和经办人的身份证名证件,CNNIC可信网络服务中心审核员将通过公安部门的身份证查询平台进行验证.
4.
6.
2申请者匿名或假名申请者不能使用匿名或伪名申请证书,证书中也不能使用匿名或伪名.
4.
6.
3申请者物理运营地址及联系电话的验证为验证申请单位的物理存在,CNNIC可信网络服务中心必须保证申请者提供的物理地址为申请单位或其子公司或母公司的业务地址.
且申请者提供的电话号码是其营业地点的电话号码.
CNNIC可信网络服务中心审核员将通过电信运营网站或电话、邮件等方式,进行物理运营地址及电话的验证:4.
6.
4申请者营运存在的验证如申请单位成立时间不超过三年,CNNIC可信网络服务中心必须确认其是否有经商能力.
CNNIC可信网络服务中心EV高级证书业务规则56CNNIC可信网络服务中心将从金融机构直接获取证明文件,已确认申请人在该机构有活期存款账户.
或申请单位需要提交在金融机构开有活期存款账户的法律意见书或会计书.
4.
6.
5申请者域名的验证为验证申请者对EV高级证书中列出的域名有唯一管理权,CNNIC可信网络服务中心通过WHOIS查询核实域名所有者是否与申请单位一致.
若域名持有者的名称与申请者名称不相同,需由申请者提交补充资料:补充域名持有者的授权及域名持有者的身份证明,或加盖授权单位的公章.
或补充相应说明资料,并且提供域名的注册合同.
4.
6.
6主管人及经办人的名称、职务、权限的验证CNNIC可信网络服务中心EV高级证书申请有如下角色:经办人:托管服务器的必须是受托机构的工作人员;独立主机的必须是申请单位的员工.
主管人:法人单位主管人为法定代表人授权代表;非法人单位主管人为单位负责人或单位负责人授权代表.
此人为经办人的直接主管.
合同签署人:经办人及主管人.
CNNIC可信网络服务中心审核员将对主管人和经办人的身份证进行官方的核实;此外,CNNIC可信网络服务中心审核员将通过电话与主管人、经办人及单位的前台(或总机)工作人员或人力资源部人员或其它同事分别进行职位等信息确认工作.
CNNIC可信网络服务中心EV高级证书业务规则574.
6.
7证书请求及用户协议的验证CNNIC可信网络服务中心EV高级证书请求包括申请书和最终用户协议两部分,需要主管人和经办人的签署.
CNNIC可信网络服务中心审核员将通过电话与主管人、经办人分别进行确认工作.
4.
6.
8其他的验证要求4.
6.
8.
1高风险的申请者CNNIC可信网络服务中心将定期关注及搜集钓鱼网站的列表,同时也将参考国际反钓鱼工作组(APWG)及中国反钓鱼联盟(APAC)发布的钓鱼网站名单,对于此类网站的申请需要严格、谨慎的把控或拒绝.
4.
6.
8.
2拒绝签发名单及其他黑名单对于列在国家或当地政府禁止从事商业活动的组织,CNNIC可信网络服务中心也将禁止对此部分用户发放EV高级证书.
4.
7EV高级证书的废止如果出现下列情况,CNNIC可信网络服务中心有权废止所签发的EV域名证书:1.
事后检查发现EV高级证书持有者申请域名证书时提供的资料存在虚假信息;2.
EV高级证书持有者未履行证书持有者协议所约定的义务;3.
EV高级证书持有者要求废止域名证书;4.
EV高级证书持有者主体消亡;5.
EV高级证书持有者变更域名证书的用途;6.
发现证书密钥受到安全损害时;CNNIC可信网络服务中心EV高级证书业务规则587.
法律或法规要求的其他情况.
4.
7.
1废止请求的流程当CNNIC可信网络服务中心有充分的理由相信需要废止EV高级证书时,CNNIC可信网络服务中心认证中心或注册中心的有关人员可以通过内部确定的流程提交废止EV高级证书的请求.
在EV高级证书废止后,CNNIC可信网络服务中心将通过适当的方式,包括邮件、传真等,通知EV高级证书持有者EV高级证书已被废止及被废止的理由.
EV高级证书持有者也可以通过废止程序自行要求废止自己的EV高级证书.
在EV高级证书持有者提交废止请求时,需同时提供证书申请时提供的资料作为身份鉴别的信息.
4.
7.
2证书问题报告和相应机制CNNIC拥有7*24小时的证书问题报告和受理机制,在接受报告后并可以在24小时内对已经接受报告的证书进行调查和决定是否撤销或采取其他适当的行动的处理机制.
其中主要包括对以下信息进行认定的过程:1.
问题性质的认定;2.
问题上报次数的调查;3.
上报人身份认证;4.
有关法律法规的遵循.
4.
7.
3处理废止请求的时限CNNIC可信网络服务中心注册中心(RA)从接到废止请求(包括纸质资料)到完成处理请求的时间,不能超过两个工作日.
CNNIC可信网络服务中心工作日不包括周末和国家法定假日.
4.
7.
4单域名EV高级证书的废止1.
EV高级证书持有者提交纸质证书废止申请资料给本地受理点(LRA)录入CNNIC可信网络服务中心EV高级证书业务规则59员.
对于独立服务器,申请资料包括:证书废止申请书原件.
申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
对于托管服务器,申请资料包括:EV高级证书废止申请书原件.
受托机构经办人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话分别与主管人(如有)、经办人进行确认.
5.
如果审核通过,RA审核员直接废止此域名证书.
如果审核不通过,则拒绝EV高级证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和经办人者联系交涉,按照拒绝原因进行相应修改,重新申请废止.
4.
7.
5多域名EV高级证书的废止1.
EV高级证书持有者提交纸质证书废止申请资料给本地受理点(LRA)录入员.
对于独立服务器,申请资料包括:EV高级证书废止申请书原件.
申请者为自然人时,提交有效个人身份证明复印件;申请者为企业/政府机关/事业单位/社团组织时,提交单位主管人、经办人的身份证明复印件.
对于托管服务器,申请资料包括:EV高级证书废止申请书原件.
CNNIC可信网络服务中心EV高级证书业务规则60受托机构经办人身份证明复印件.
2.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
3.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
4.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与主管人(如有)、经办人进行确认.
5.
如果审核通过,RA审核员直接废止此EV高级证书.
如果审核不通过,则拒绝EV高级证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和证书申请者联系交涉,按照拒绝原因进行相应修改,重新申请废止.
CNNIC可信网络服务中心把废止状态发布到证书废止列表(CRL)中,即终止该EV高级证书的使用效力.
4.
8签发接受EV高级证书4.
8.
1单域名EV高级证书的签发1.
EV高级证书申请经办人在Web服务器中生成证书请求CSR.
2.
EV高级证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
3.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发EV高级证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发EV高级证书完成即表明申请者接受CNNIC可信网络服务中心的服务.
4.
8.
2多域名EV高级证书的签发1.
EV高级证书申请经办人在Web服务器中生成证书请求CSR.
2.
EV高级证书申请经办人访问CNNIC证书下载页面,提交CSR,并输入参考号、授权码.
CNNIC可信网络服务中心EV高级证书业务规则613.
CNNIC可信网络服务中心系统自动检查CSR的完整性.
4.
CNNIC可信网络服务中心签发EV高级证书,由证书申请经办人下载安装.
5.
CNNIC可信网络服务中心签发EV高级证书完成即表明申请者接受CNNIC可信网络服务中心的服务.
4.
8.
3证书发布CNNIC可信网络服务中心所发放的EV高级证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询EV高级证书注册信息.
4.
8.
4废止信息发布形式EV高级证书废止信息除HTTP服务提供CRL查询外,CNNIC可信网络服务中心还提供OCSP查询.
4.
9审计CNNIC可信网络服务中心在完成所有验证及签发EV高级证书后,会有审计员对所有步骤进行定期审查,审查结果记录在案,同时每年接受CICA/AICPA制定的审计机构定期审计工作.
.
5证书颁发的法律条款本章主要叙述CNNIC可信网络服务中心数字证书的法律相关要求.
5.
1CNNIC可信网络服务中心的责任和义务根据条例,CNNIC可信网络服务中心为受认可的证书认证机构,负责使用稳定系统签发、废止证书及利用公开储存库发布证书撤销列表等信息.
根据本EVCPS,CNNIC可信网络服务中心所属认证中心有下述义务:b)遵守本EVCPS、内部流程及其他的相关条例及流程c)遵守当地的法律法规CNNIC可信网络服务中心EV高级证书业务规则62d)接收注册中心的请求及时签发EV高级证书e)保证系统的安全性,包括密钥生成、密钥保护等机制f)废止证书并及时发布EV高级证书废止列表(EVCRL)g)一旦私钥泄露,立即发布通知h)严格验证EV高级证书申请请求i)提供EV高级证书续费、年检、更新等操作的服务5.
2CNNIC可信网络服务中心责任的豁免CNNIC可信网络服务中心将采取合理的技术及管理措施,向各EV高级证书持有者和信赖方行使其权利并履行其义务.
CNNIC可信网络服务中心不保证根据本EVCPS提供的服务不中断或无错误.
也就是说,尽管CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心根据EVCPS行使应有的权利及义务时采取合理的技术及管理措施,若证书持有者或信赖方遭受出自EVCPS中描述的公开密钥基础设施或与之相关的任何性质的债务、损失或损害,各EV高级证书持有者同意CNNIC可信网络服务中心及其注册中心无需承担任何责任、损失或损害.
CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心已采取合理程度的技术及管理措施的前提下,若EV高级证书持有者因信任另一EV高级证书持有者由CNNIC可信网络服务中心所发出的EV高级证书支持的虚假或伪造的数字签名而蒙受损失或损害,CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心概不负责.
在CNNIC可信网络服务中心已采取合理的技术或管理手段以避免或减轻无法控制事件后果的前提下,若EV高级证书持有者因CNNIC可信网络服务中心不能控制的情况遭受不良影响,CNNIC可信网络服务中心概不负责.
CNNIC可信网络服务中心控制以外的情况包括但不限于互联网或电信或其它基础设施系统的不可用,或天灾、战争、军事行动、国家紧急状态、疫症、火灾、水灾、地震、罢工或暴乱或其它证书持有者或其它第三者的疏忽或蓄意不当行为.
CNNIC可信网络服务中心EV高级证书业务规则635.
3证书持有者的责任和义务证书持有者负责:a)适当完成申请程序并在适当表格内签署或确定接受证书持有者协议;履行该协议规定其应承担的义务并确保在申请证书时所作的陈述准确无误.

b)准确地遵守本EVCPS所描述的关于完成证书的程序.
c)承诺使用合理预防措施来保护其证书私人密钥的机密性(即对其保密)及完整性以防丢失、泄露或未经授权使用.
d)发现其EV高级证书的私人密钥丢失或泄漏时,立即向CNNIC可信网络服务中心报告丢失或泄漏.
e)及时将EV高级证书持有者证书资料的任何变动通知给CNNIC可信网络服务中心.
f)如发生本EVCPS的4.
5.
2节中的情形时,需要废止EV高级证书,立即通知给CNNIC可信网络服务中心.
g)向CNNIC可信网络服务中心保证,并向所有证书信赖方表明,在证书的有效期内,以下第5.
5节所描述的事实真实.
h)在明知CNNIC可信网络服务中心根据本EVCPS可能废止EV高级证书的情况下,或EV高级证书持有者已提出废止申请,或CNNIC可信网络服务中心拟根据本EVCPS废止证书并通知EV高级证书持有者后,均不得在交易中使用EV高级证书.
i)在明知CNNIC可信网络服务中心根据本EVCPS可能废止EV高级证书的情况下,或EV高级证书持有者提出废止申请,或CNNIC可信网络服务中心拟根据本EVCPS废止EV高级证书并通知EV高级证书持有者后,须立即通知从事当时仍有待完成的任何交易的EV高级证书信赖方,并明确说明,用于该交易的EV高级证书需要废止(由CNNIC可信网络服务中心或经EV高级证书持有者申请),EV高级证书信赖方不得在交易中信任此EV高级证书.
j)EV高级证书的使用仅限于合法目的,并且符合相关的EV高级证书策略和本EVCPS(或其他公布的商业事项).
如果注册者有理由相信与EV高级证书所用的公钥相对应的私钥有泄密的危险,那么应及时通知CNNICCNNIC可信网络服务中心EV高级证书业务规则64可信网络服务中心废止EV高级证书.
k)EV高级证书持有者承认,如其未能按照上述条款的规定履行其义务,则其应对可能造成的CNNIC可信网络服务中心或其信赖方的损失承担赔偿责任.
5.
4证书持有者的保证申请人须签署或确定接受一份协议(按本EVCPS规定的条款),其中载有一条款.
申请人据此条款同意,申请人一经接受根据本EVCPS发出的证书,即表示其向CNNIC可信网络服务中心保证(承诺)并向所有其它有关人士(尤其是信赖方)做出陈述,在证书的有效期内,以下事实属实并将保持真实:除EV高级证书持有者及其授权者外,并无其它人士曾取用EV高级证书持有者的私人密钥.
使用与证书持有者EV高级证书所包含的公开密钥相关的证书持有者私人密钥所产生的每一数字签名实属证书持有者的数字签名.
EV高级证书所包含的所有资料及由证书持有者做出的陈述均属真实.
EV高级证书将只会用于符合本EVCPS认可并合法的用途.
在EV高级证书申请过程中所提供的所有资料,均不侵犯任何第三方的商标、服务标记、商号、公司名称或任何知识产权.
5.
5CNNIC可信网络服务中心注册中心(RA)的责任和义务注册中心系统负责EV高级证书申请者的申请和审批及EV高级证书管理,并将EV高级证书申请信息传递到认证中心.
注册中心有下述义务:根据本EVCPS规定,验证申请人所提交信息的准确性和真实性,并使验证通过的EV高级证书申请生效,将其安全传递给认证中心(CA),EV高级证书申请包括证书注册、补发、续费、废止、多域名修改等类型申请通知申请人有关已批准或被拒绝的EV高级证书申请通知EV高级证书持有者有关已废止的EV高级证书CNNIC可信网络服务中心EV高级证书业务规则65CNNIC可信网络服务中心仅有一个注册中心,设在CNNIC.
CNNIC可信网络服务中心确认LRA的身份,并授权LRA进行证书申请者注册的资料收集工作.
LRA有义务在证书申请者进行证书注册、补发、续费、废止、多域名修改时负责收集相关信息并初步验证这些信息的正确性.
5.
6依赖方的责任和义务信任CNNIC可信网络服务中心数字证书的EV高级证书信赖方负责:EV高级证书信赖方考虑过所有因素后并确信信任证书实属合理时,方可信任该证书.
在信任该EV高级证书前,确定使用EV高级证书是适合本EVCPS规定的用途,即仅信任CNNIC可信网络服务中心的EV高级证书用作域名证书.
在信任EV高级证书前查核EV高级证书废止列表(EVCRL)上的证书状态.
执行所有适当EV高级证书路径验证程序.
一旦信任了该EV高级证书,即表明同意接受本CPS所规定的责任限制的条款.
5.
7CNNIC可信网络服务中心储存库的责任和义务CNNIC可信网络服务中心维持一个储存库,包含最新的根和中级根所签发的EV高级证书废止列表(EVCRL)、CNNIC可信网络服务中心中级根证书和根证书、本EVCPS以及CNNIC可信网络服务中心EV高级证书策略(EVCP)文本一份以及其它相关资料.
CNNIC可信网络服务中心储存库可通过下述URL访问:http://tns.
cnnic.
cnCNNIC可信网络服务中心储存库应根据自己制定的策略,及时公布EV高级证书废止列表(EVCRL)及其他内容.
5.
8证书责任限制通知CNNIC可信网络服务中心签发证书已经作出如下责任限制通知:CNNIC可信网络服务中心EV高级证书业务规则66"CNNIC可信网络服务中心职员按CNNIC可信网络服务中心签署的EV高级证书业务规则所载条款,在条件适用于本EV高级证书的情况下,根据相关规定作为EV高级证书认证机构签发本EV高级证书.
因此,任何人士信任本EV高级证书前均应阅读适用于EV高级证书的EV高级证书业务规则(可浏览http://tns.
cnnic.
cn).
中华人民共和国法律适用于本EV高级证书,信赖方须承认因信任本EV高级证书而引致的任何争议或问题属于中华人民共和国法律管辖.
如果信赖方不接受本EV高级证书用来签发的条款及条件,则不应信任本EV高级证书.
CNNIC可信网络服务中心签发本EV高级证书,但无须对信赖方承担任何责任或职务职责.
信赖方信任本EV高级证书前确保信任行为公平合理无恶意,方可信任本EV高级证书;信任本EV高级证书前,确定EV高级证书的使用就EVCPS规定的用途而言实属适当;信任本EV高级证书前,根据EV高级证书废止列表(EVCRL)检查本EV高级证书的状态,并履行所有适当EV高级证书路径验证程序.
尽管CNNIC可信网络服务中心已采取合理技术及管理措施,若本EV高级证书仍在任何方面存在不准确或误导,则CNNIC可信网络服务中心对信赖方的任何损失或损害不承担任何责任.
若本EV高级证书在任何方面存在不准确或误导,而这种不准确或误导是因CNNIC可信网络服务中心的疏忽所导致,则CNNIC可信网络服务中心将可以因合理信任本EV高级证书中的这种不准确或误导事项而造成的经证实损失向每名信赖方支付最多为EV高级证书购买价格的10倍,只有这种损失不属于并且不包括(1)任何直接或间接损失,包括利润或收入损失、信誉或商誉损失或伤害、商机或契机损失、失去项目、失去或无法使用任何数据、设备或软件等;(2)任何间接、相应而生或偶然引起的损失或损害.
在该等情况下根据条例适用于本EV高级证书的信任额度为EV高级证书购买价格的10倍.
EV高级证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之CNNIC可信网络服务中心EV高级证书业务规则67事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.
若本EV高级证书包含任何由CNNIC可信网络服务中心做出的故意或罔顾后果的失实陈述,则本EV高级证书并不就这类对因合理信任本EV高级证书中的失实陈述而遭受损失的信赖方所应承担的法律责任做出任何限制.
本文所描述的法律责任限制不适用于个人伤害或死亡的(不大可能发生的)情形.
"5.
9CNNIC可信网络中心对有缺陷的EV高级证书所承担的责任若EV高级证书持有者接受EV高级证书后发现,因证书包含的私人密钥或公开密钥出现差错,导致基于公开密钥基础设施的交易无法适当完成或根本无法完成,则证书持有者须将这种情况立即通知CNNIC可信网络服务中心,以便废止EV高级证书并重新签发.
或者在接受EV高级证书后三个月内发现这种情况且证书持有者不再需要EV高级证书,则在CNNIC同意的前提下,可以申请退款.
如果EV高级证书持有者在接受EV高级证书三个月后才将这类差错通知CNNIC,则将不会退还持有者已缴纳的费用.
5.
10证书废弃列表的发布CNNIC可信网络服务中心保留发布证书废弃列表(CRL)的权利.
5.
11信息的发布重要的信息会逐渐的更新版本.
此类更新应该指定版本号,并标明发布的时间.
CNNIC可信网络服务中心EV高级证书业务规则685.
12信息准确性CNNIC可信网络服务中心储存库除每周最多四小时的定期维修及紧急维修外,储存库保持每天24小时、每周7天开放.
保证其内容的准确和及时.
5.
13保险计划一旦CNNIC可信网络服务中心违反《EV高级证书持有者协议》或者负有任何职务职责的情况下,而造成EV高级证书持有者或信赖方蒙受损失及损害,对于任何证书持有者、或任何信赖方,CNNIC可信网络服务中心所负法律责任限于在任何情况下每张域名EV高级证书不得超过EV高级证书购买价格的10倍.
EV高级证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与EV高级证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.
任何因欺诈或故意不当行为的责任均不在本EVCPS、证书持有者协议或CNNIC可信网络服务中心签发的EV高级证书的任何限制或除外规定范围内.
5.
14条款冲突若本EVCPS与证书持有者协议或其它规则、指引、协议有冲突,证书持有者、信赖方及CNNIC可信网络服务中心须受本EVCPS条款约束,除非该等条款受法律禁止.
5.
15CNNIC可信网络服务中心所有权根据EVCPS签发的证书上所有资料,包括本EVCPS等相关资料的实体权利、版权及知识产权均属CNNIC可信网络服务中心所有.
5.
16管辖法律本EVCPS受中华人民共和国法律管辖.
CNNIC可信网络服务中心EV高级证书业务规则695.
17司法机构若当事人之间的争议无法友好协商解决,应提交中国国际经济贸易仲裁委员会进行仲裁.
仲裁的裁决是终局性的,对当事人均有约束力.
仲裁的裁决过程采用中文记录,仲裁裁决由有管辖权的法院执行5.
18分割性若本EVCPS的任何条款被宣布为非法、不可执行或无效,则应删除其中任何非法的词语,直至该等条款成为合法及可执行为止,同时应保留该等条款的本意.
本EVCPS的任何条款的不可执行性将不损害任何其它条款的可执行性.
CNNIC可信网络服务中心拆分或合并可能导致其经营范围、管理和运营状况的改变.
这种情况下,可能也需要修改本EVCPS.
经营活动的改变会与EVCPS的修改相一致.
5.
19费用EV高级证书(包括单域名证书和多域名证书)注册、续费、补发,以及多域名证书域名修改为收费服务,其费用根据市场和管理部门的规定自行决定.

TmhHost暑假活动:高端线路VPS季付8折优惠,可选洛杉矶CN2 GIA/日本软银/香港三网CN2 GIA/韩国双向CN2等

tmhhost怎么样?tmhhost正在搞暑假大促销活动,全部是高端线路VPS,现在直接季付8折优惠,活动截止时间是8月31日。可选机房及线路有美国洛杉矶cn2 gia+200G高防、洛杉矶三网CN2 GIA、洛杉矶CERA机房CN2 GIA,日本软银(100M带宽)、香港BGP直连200M带宽、香港三网CN2 GIA、韩国双向CN2。点击进入:tmhhost官方网站地址tmhhost优惠码:Tm...

Dynadot多种后缀优惠域名优惠码 ,.COM域名注册$6.99

Dynadot 是一家非常靠谱的域名注册商家,老唐也从来不会掩饰对其的喜爱,目前我个人大部分域名都在 Dynadot,还有一小部分在 NameCheap 和腾讯云。本文分享一下 Dynadot 最新域名优惠码,包括 .COM,.NET 等主流后缀的优惠码,以及一些新顶级后缀的优惠。对于域名优惠,NameCheap 的新后缀促销比较多,而 Dynadot 则是对于主流后缀的促销比较多,所以可以各取所...

捷锐数据399/年、60元/季 ,香港CN2云服务器 4H4G10M

捷锐数据官网商家介绍捷锐数据怎么样?捷锐数据好不好?捷锐数据是成立于2018年一家国人IDC商家,早期其主营虚拟主机CDN,现在主要有香港云服、国内物理机、腾讯轻量云代理、阿里轻量云代理,自营香港为CN2+BGP线路,采用KVM虚拟化而且单IP提供10G流量清洗并且免费配备天机盾可达到屏蔽UDP以及无视CC效果。这次捷锐数据给大家带来的活动是香港云促销,总共放量40台点击进入捷锐数据官网优惠活动内...

独立主机为你推荐
虚拟空间租赁请帮忙理解:虚拟空间、租用主机、主机托管、自己架设服务器外国虚拟主机为什么淘宝上的 外国的虚拟主机 这么便宜?海外服务器租用国外服务器租用与国内服务器租用有哪些区别国外空间租用好用的国外空间域名服务商请问那些域名服务商是怎么捣鼓这么多域名的? 它们为什么可以做这个域名购买在网上购买域名 会受骗吗域名备案域名备案需要什么网站空间购买哪里买网站空间好?手机网站空间QQ空间技巧的手机网站啊?重庆网站空间重庆建网站选择哪家比较好,还有域名空间等,
国外免费vps vps代购 花生壳免费域名申请 edgecast enom webhostingpad 免费ftp空间 suspended godaddy支付宝 表格样式 ssh帐号 windows2003iso web服务器架设 卡巴斯基破解版 in域名 彩虹云 网通服务器 免费ftp 主机返佣 512内存 更多