中国互联网络信息中心(CNNIC)

可信网络服务中心证书业务规则版本号:3.
08生效日期:2016年9月29日CNNIC可信网络服务中心证书业务规则版本控制表版本号主要修改说明完成时间V1.
00初次审核通过2007年5月15日V2.
00进行年审修改后,延长CPS有效期一年2008年4月8日V2.
01提供http协议的CRL下载2008年11月5日V2.
021、域名证书密钥对要求2048位2、赔付金额进行修改3、联络方式中的邮编修改4、年审完成,延长CPS有效期一年2009年3月19日V2.
031、证书主题中O项值修改2、多域名证书主题中CN项值修改3、证书申请所提交材料调整4、证书结构中证书项说明调整,与所发证书一致2009年4月14日V2.
041、参考号、授权码发放方式调整2、CP改为在储存库中公开发布3、对证书发布情况的说明进行调整2009年6月18日V2.
051、修改交叉认证描述,增加CNNIC中级根证书和Entrust根之间的关系说明2009年11月09日V2.
061、增加对根签发的证书废止列表的说明,相应对其他相关部分文字进行调整2010年02月02日V2.
071、延长有效期2010年04月08日V3.
01、增加快速域名证书的相关内容2、修改安全管理委员会工作方式3、取消对外ldap服务2011年4月07日V3.
011,修改"高级证书"名称为"标准服务器证书";删除"网址卫士"名称,并不再提供纸质版的网址卫士核准说明;2,修改标准证书审核内容;3,修改快速域名证书的相关流程;4,crl发布网址增加http://crl.
cnnic.
cn5,延长CPS有效期一年;2012年4月07日V3.
021、修改标准服务器证书申请提交资料2、修订CA相关人员背景调查内容3、增加电磁防护相关内容4、对国防类域名的申请审核流程做特殊说明2012年9月20日V3.
031、本地受地点提交到CNNIC的申请资料由纸质版原件变更为电子扫描件;2、标准服务器证书审核确认仅需和经办人进行电话确认;2013年6月24日3、在灾难恢复计划中加入了CA服务在灾难情况下系统停机时间,恢复时间内容.
V3.
041.
停止提供多域名证书域名修改服务.
2.
CNNIC将定期检查CABForum的SSLBaselineRequirement要求并承诺证书管理及签发符合该要求.
3.
CNNICCA加入24*7的应急处理机制.
2014年4月22日V3.
051.
证书审核通过后的参考号和授权码的16位直接发到用户指定的经办人邮箱,不再采用发送前13位,后3位由审核员单独发送的方式.
2015.
1.
20V3.
061.
添加第五章二级根授权操作规范2.
在第八章中加入对二级根证书格式的说明.
2015.
4.
28V3.
071.
添加对自然人申请证书时提交地址证明材料;2.
添加了申请证书主题里包含IP时的要求和补充资料.
3.
加入新SHA256算法的二级根.
4.
添加了二级根更新,密钥变更,和作废的内容.
2015.
11.
2V3.
081.
根据RFC3647对本文档进行了重新编写.
2.
加入了EV高级证书的管理流程.
2016.
9.
29目录一、概括性描述.
131.
1概述131.
2文档名称及标识.
131.
3电子认证活动参与者.
131.
3.
1电子认证服务机构(CA)131.
3.
2注册机构RA.
141.
3.
3申请人.
141.
3.
4信赖方.
141.
3.
5其他参与者.
141.
4证书应用.
141.
4.
1服务器证书.
141.
5策略管理.
151.
5.
1策略文档管理机构.
151.
5.
2联系人.
151.
5.
3决定CPS符合策略的机构151.
5.
4CPS批准程序.
151.
6定义和缩写.
161.
6.
1定义.
161.
6.
2缩写.
17二、信息发布和管理.
172.
1信息库.
172.
2认证信息的发布.
172.
3发布时间和频率.
182.
4信息库访问和控制.
18三、身份标识与鉴证.
183.
1命名183.
1.
1名称类型.
183.
1.
2对名称有意义的要求183.
1.
3理解不同名称形式的规则193.
1.
4名称唯一性.
193.
1.
5商标的识别,鉴证和角色193.
2初始身份确认.
193.
2.
1证明拥有私钥的方法193.
2.
2机构身份的鉴证.
193.
2.
3个人身份的鉴证.
193.
2.
4没有验证的申请人信息203.
2.
5授权的确认.
203.
3密钥更新请求的标识与鉴证.
203.
4吊销请求的标识与鉴证.
204.
证书生命周期操作要求.
204.
1证书申请.
204.
1.
1证书申请实体.
204.
1.
2,注册过程及责任.
214.
2申请处理.
214.
2.
1申请资料的提交.
214.
2.
2.
证书申请的鉴证与批准拒绝214.
2.
3处理证书申请的时间214.
3证书签发.
214.
4证书接受.
224.
4.
1证书接受.
224.
4.
2CA对证书的发布.
224.
5密钥对和证书使用.
224.
6证书更新.
224.
6.
1证书更新的情形.
224.
6.
2请求证书更新的实体224.
6.
3证书更新请求的处理224.
6.
4签发新证书和对订户的通知234.
6.
5接受新证书.
234.
6.
6CA对证书的发布.
234.
7证书变更.
234.
7.
1变更申请.
234.
7.
2变更的鉴别及审核.
234.
8证书的吊销.
234.
8.
1证书吊销的情形.
234.
8.
2请求吊销的实体.
244.
8.
3证书吊销流程.
244.
8.
4CNNIC处理证书吊销的时限244.
8.
5CRL发布频率.
244.
8.
6CRL发布的最大滞后时间254.
8.
7OCSP查询可用性.
254.
8.
8OCSP查询要求.
254.
8.
9吊销信息的其他发布形式254.
8.
10密钥损害的特别要求.
254.
9证书补发.
254.
9.
1补发申请提交.
254.
9.
2补发的鉴定审核.
264.
9.
3补发证书的接受.
264.
10证书状态服务.
264.
11订购结束.
264.
12密钥托管与恢复.
26五、认证机构设施,管理和操作控制265.
1物理控制.
265.
1.
1场地位置与建筑.
265.
1.
2物理访问控制.
275.
1.
3电力与空调.
275.
1.
4水患防治.
275.
1.
5火灾防护.
275.
1.
6介质存储.
285.
1.
7废物处理.
285.
1.
8异地备份.
285.
1.
9注册机构物理控制.
285.
2程序控制.
285.
2.
1可信角色.
285.
2.
2每项任务需要的人数295.
2.
3每个角色的识别与鉴别295.
2.
4需要职责分割的角色295.
3人员控制.
305.
3.
1资格、经历和无过失要求305.
3.
2背景审查程序.
305.
3.
3培训要求.
305.
3.
4再培训周期和要求.
315.
3.
5工作岗位轮换周期和顺序315.
3.
6未授权行为的处罚.
315.
3.
7独立合约人的要求.
315.
3.
8提供给员工的文档.
315.
4审计日志程序.
315.
4.
1记录事件的类型.
315.
4.
2处理日志的周期.
325.
4.
3审计日志保存期限.
325.
4.
4审计日志的保护.
325.
4.
5审计日志备份程序.
335.
4.
6审计收集系统.
335.
4.
7对导致事件主体的通知335.
4.
8脆弱性评估.
335.
5记录归档.
335.
5.
1归档记录的类型.
335.
5.
2归档记录的保存期限335.
5.
3归档文件的保护.
335.
5.
4归档文件的备份程序345.
5.
5记录时间戳要求.
345.
5.
6归档收集系统.
345.
5.
7获得和检验归档信息的程序345.
6CA密钥变更.
345.
7损害与灾害恢复.
345.
7.
1事故和损害处理程序345.
7.
2计算机资源、软件和/或数据的损坏355.
7.
3私钥损耗处理程序.
355.
7.
4灾难后的业务存续能力355.
8CA或RA的终止.
36六、技术安全控制.
366.
1密钥对的产生和安装.
366.
1.
1密钥对的产生.
366.
1.
2私钥传送给订户.
366.
1.
3公钥传送给证书签发机关376.
1.
4CA公钥传送给依赖方.
376.
1.
5密钥的长度.
376.
1.
6公钥参数的生成和质量检查376.
1.
7密钥使用目的.
376.
1.
8密钥销毁.
376.
2私钥保护和密码模块工程控制.
376.
2.
1密码模块的标准和控制376.
2.
2私钥多人控制.
386.
2.
3私钥托管.
386.
2.
4私钥备份.
386.
2.
5私钥归档.
386.
2.
6私钥导入、导出密码模块386.
2.
7私钥在密码模块的存储396.
2.
8激活私钥的方法.
396.
2.
9解除私钥激活状态的方法396.
2.
10销毁私钥的方法.
406.
2.
11密码模块的评估.
406.
2.
12离职、换岗人员私钥处置.
406.
3密钥对管理的其他方面.
406.
3.
1公钥归档.
406.
3.
2证书操作期和密钥对使用期限416.
4激活数据.
416.
4.
1激活数据的产生和安装416.
4.
2激活数据的保护.
416.
4.
3激活数据的其他方面416.
5计算机安全控制.
426.
5.
1特别的计算机安全技术要求426.
5.
2计算机安全评估.
426.
6生命周期技术安全控制.
426.
6.
1系统开发控制.
426.
6.
2安全管理控制.
436.
6.
3生命期的安全控制.
436.
7网络的安全控制.
436.
8时间戳.
43七、证书、CRL和OCSP.
437.
1证书437.
1.
1版本号.
477.
1.
2证书扩展项.
477.
1.
3密钥算法对象标识符477.
1.
4名称形式.
477.
1.
5名称限制.
477.
1.
6证书策略对象标识符477.
1.
7策略限制扩展项的用法487.
1.
8策略限定符的语法和语义487.
1.
9关键证书策略扩展项的处理规则487.
2证书废止列表(CRL)结构.
487.
2.
1版本号.
487.
2.
2CRL和CRL条目扩展项.
487.
3OCSP497.
3.
1版本号.
497.
3.
2OCSP扩展项.
497.
3.
3OCSP请求.
497.
3.
4OCSP响应.
50八、认证机构审计和其他评估.
508.
1评估的频率和情形.
508.
2评估者的资质.
508.
3评估者与被评估者之间的关系.
508.
4评估的内容.
508.
5对问题与不足采取的措施.
508.
6评估结果的传达与发布.
518.
7其他评估.
51九、其他业务和法律事务.
519.
1费用519.
1.
1证书签发和更新费用.
519.
1.
2证书查询的费用.
519.
1.
3证书吊销或状态信息的查询费用519.
1.
4其他服务费用.
519.
1.
5退款策略.
519.
2财务责任.
519.
3业务信息保密.
529.
4机密性.
529.
5知识产权.
529.
5.
1证书和吊销信息中的知识产权529.
5.
2CPS中的知识产权.
529.
5.
3密钥和密钥材料的知识产权539.
6责任与义务.
539.
6.
1CA的责任与义务.
539.
6.
2RA的义务.
539.
6.
3订户的义务.
539.
6.
4证书持有人义务.
549.
6.
5信赖方的担保与陈述549.
7担保免责.
559.
8有限责任.
559.
8.
1限制的合理性.
559.
8.
2可追讨损失种类的限制559.
8.
3限额.
559.
8.
4提出赔偿的时限.
569.
8.
5故意不当行为的责任569.
8.
6证书责任限制通知.
569.
8.
7CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任.
.
579.
8.
8证书持有者的转让.
579.
8.
9陈述权限.
579.
8.
10更改.
579.
8.
11保留所有权.
579.
8.
12条款冲突.
579.
9有效期限和终止.
589.
9.
1有效期限.
589.
9.
2终止.
589.
10对参与者个别通告与沟通.
589.
11即使及执行.
589.
11.
1管辖法律.
589.
11.
2条款可中止性、修改.
589.
11.
3争议解决程序.
589.
12修订599.
12.
1修订程序.
599.
12.
3必须修改业务规则的情形.
5910A.
CNNICCA二级根生命周期管理5910.
1二级根授权基本管理流程.
5910.
2二级根申请人资质评审.
6010.
2.
1申请资料.
6010.
2.
2二级根密钥生成及管理核验6010.
2.
3审计报告核验.
6010.
2.
4风险评估.
6010.
3二级根证书签发及记录.
6110.
4二级根证书吊销处理.
6110.
5二级根更新.
6110.
5.
1二级根更新申请.
6110.
5.
2二级根更新提交资料.
6110.
5.
3验证.
6210.
5.
4操作并记录.
6210.
6二级根密钥变更.
6210.
6.
1二级根密钥变更适用范围.
6210.
6.
2二级根密钥变更申请及核验6210.
6.
3二级根密钥变更处理.
6211.
B:EV型证书生命周期管理.
6311.
1证书的申请.
6311.
1.
1申请人.
6311.
1.
2申请提供资料.
6311.
1.
3证书申请年限及类型.
6311.
2EV高级证书的验证.
6411.
2.
1验证要求.
6411.
2.
2验证过程.
6411.
2.
3其他的验证要求.
6511.
3EV高级证书的废止.
6511.
3.
1CNNIC主动吊销.
6511.
3.
2订户申请吊销.
65一、概括性描述1.
1概述中国互联网络信息中心(CNNIC)可信网络服务中心(以下简称"CNNIC可信网络服务中心")为域名提供域名证书安全服务,因此根据IETF组织关于证书业务规则(CPS)的编写规范RFC3647编写了CNNIC可信网络服务中心的CPS,作为CNNIC可信网络服务中心的证书相关业务和系统的运行规范.
1.
2文档名称及标识该子项提供关于文档的任何适用名称或标识符,包括ASN.
1对象标识符.
文档的名称可能是政府用于安全电子邮件的策略.
1.
3电子认证活动参与者1.
3.
1电子认证服务机构(CA)电子认证服务机构(CertificationAuthority,简称CA)是指得到授权能够签发数字证书的实体.
CNNIC运营维护CNNICCA体系,并向用户颁发SSL服务器证书.
如CNNICCA在未来颁发邮件证书,代码签名证书等其他类型的证书,将在本CPS中予以声明.
CNNIC目前运营两个根证书,如下为CNNICCA的继承结构目前CNNICROOT下有3个CNNIC运营的二级根,CNNICSHA256SSL签发SHA256算法CNNICROOTCNNICSHA256SSLCNNICSSLDQSSLChinaInternetNetworkInformationCenterEVCertificateRootCNNICEVSSL的OV证书,CNNICSSL签发SHA1的OV证书,DQSSL签发SHA1的DV验证SSL证书.
2015年1月28日之后,CNNIC开始使用CNNICSHA256SSL签发OV证书,不再签发SHA1类型的OV证书,CNNICSSL仅用于签发CRL和OCSP的更新.
ChinaInternetNetworkInformationCenterEVCertificateRoot下有一个运营的二级根CNNICEVSSL,签发SHA1算法的EV型用户证书.
CNNIC的根证书及运营的二级根都在CNNIC官方网站进行了披露并提供下载.
1.
3.
2注册机构RA注册机构(RA)是CA授权委托的实体,负责对证书申请人进行身份识别和鉴别,处理证书的申请,更新,作废,重发等请求.
CNNIC同时承担CA及RA的角色,CNNIC暂不授权建立外部的RA.
1.
3.
3申请人证书的申请人可以是一个实体,也可以是自然人,通过签订协议提供认证资料从CNNIC获得证书,并承担作为证书用户的责任.
1.
3.
4信赖方信赖方信任CNNIC可信网络服务中心发出的任何类别或种类证书(包括但不限于域名证书).
特此澄清,信赖方信任的不是RA或本地受理点(LRA)等证书注册机构,而是CNNIC可信网络服务中心.
信赖方可以是CNNIC的证书订户,也可以不是订户.
1.
3.
5其他参与者CNNIC可信网络服务中心可把履行本CPS及证书持有者协议的部分或全部工作的职责授权给本地受理点(LRA)执行.
无论有关职责是否由本地受理点(LRA)执行,CNNIC可信网络服务中心仍会负责履行本CPS及证书持有者协议.
本业务规则中的本地受理点(LRA)是指CNNIC认证的服务器证书注册服务机构.
1.
4证书应用1.
4.
1服务器证书CNNIC目前签发SSL证书,证书签发给域名或者IP地址,可以用于区分,标示,鉴别服务器主体身份.
1.
5策略管理1.
5.
1策略文档管理机构本CPS的管理机构是CNNIC可信网络服务中心安全管理委员会,其联系地址如下:中国互联网络信息中心北京市海淀区中关村南四街4号中国科学院软件园区1号楼总机:86-10-58813000传真:86-10-58812666电子邮件地址:service@cnnic.
cn1.
5.
2联系人如果需要CNNIC策略文档请发邮件到邮箱service@cnnic.
cn,或来信请寄:北京349信箱6分箱CNNIC邮政编码:100190电话:86-10-58813000传真:86-10-588126661.
5.
3决定CPS符合策略的机构CNNIC可信网络服务中心安全管理委员会1.
5.
4CPS批准程序CNNIC可信网络服务中心安全管理委员会负责安全策略、规范和决策制定,是CNNIC可信网络服务中心安全管理的决策机构.
安全管理委员会的职责包括:收集与协调安全管理方面的问题和建议,达成一致意见;制定并维护CNNIC可信网络服务中心的证书策略文件(CP);对本CPS进行审核,以确保CPS与CP文件一致.
安全管理委员会应保证每年至少召开1次会议或进行1次文件会签,以对CNNIC可信网络服务中心相关制度规定进行检查修改和批准续期,并对中心运行状况进行通报.
此外,在有其他重要变更时,安全管理委员会应根据实际情况及时通过会议或文件会签的方式对重要事项进行讨论和审批.
安全管理委员会成员由来自于CNNIC领导、人力资源、财务、法律事务、安全管理等方面的代表组成.
1.
6定义和缩写1.
6.
1定义术语定义证书是指一段信息,它至少包含了一个名字,标识特定的CA或标识特定的订户,它包含了订户的公钥、证书有效期、证书序列号及CA数字签名证书申请来自证书申请者的、要求CA签发证书的请求证书申请者要求一个发证机构签发的个人、组织机构或其授权代理者证书策略(CP)有关证书业务策略的主要说明证书吊销列表(CRL)定期发行的、并由发证机关数字签名的信息列表,用来识别在有效期内提前被吊销的证书.
这个列表通常标明CRL发布者的名字、发布日期、下一次CRL发布的时间、吊销证书的实践、序列号和原因.
认证机构(CA)授权签发、管理、吊销和更新证书的实体电子认证业务规则(CPS)认证机构批准或拒绝证书申请、签发、管理和吊销证书时必须遵守的业务规则.
一致性审计认证机构或注册机构要定期经历的审计,通过该审计确定它是否满足有关的行业标准.
安全损害对安全策略的违反或(怀疑违反),包括出现敏感信息未经授权的泄露或失去对其的控制.
对于私钥,安全损害是指丢失、公开、修改、未经授权的使用或私钥收到的其他安全危害威胁.
服务器证书用于支持浏览器和服务器之间的SSL会话.
该证书用于标识组织机构的Web服务器身份,将一个域名与一个服务器绑定,该服务器证书确保服务器的拥有机构有权使用证书上的域名,确保当一个用户访问一个以该域名命名的Web服务器时,用户访问的Web服务器就是其所要访问的服务器,另外它也可实现信息从客户端到服务器端的保密传送.
公钥基础设施(PKI)所有支持基于证书的公开密钥系统实施和操作体系的组织机构、技术、业务和过程的总称.
注册机构(RA)可帮助申请者申请证书,拒绝或批准证书申请、可吊销和更新证书的实体.
本地受理点(LRA)RA授权的可帮助订户提交证书业务办理资料的实体.
依赖方信赖一个证书/一个签名的个体或组织机构.
依赖方协议规定一个证书/一个签名的依赖方所应遵循的协议安全套接层协议(SSL)SSL为一个TCP/IP链接提供数据加密、服务器验证、信息完整性和可选的客户端验证等.
主体在组织机构证书中,主体指的是持有私钥的设备或装置或组织机构本身.
一个主体只有唯一的、确切的命名.
它和该主题证书中的公钥绑定在一起.
订户对于个人证书,订户是指人,是证书的主体;在组织机构身份证书中,订户是指组织机构;对于组织结构代表人身份证书,订户是组织机构授权的代表人;对于服务器证书,主体是证书主体所对应设备的拥有者.
订户协议由CA或RA拟定的协议,规定一个人活组织结构作为证书订户需要遵循的条款和条件.
可信人员在认证机构的雇员、合同商或顾问,他们负责保证实体基础设施的可信性,以及管理产品、服务、设施和业务的可信性.
安全可信系统是指能够有效地避免被入侵与滥用的,提供可靠的、可用的、有正确操作保障的、能够完成预定功能的、实施了适当的安全策略的计算机硬件、软件和程序1.
6.
2缩写缩写全称CA认证机构CP证书策略CPS认证业务规范CRL证书吊销列表OCSP在线证书状态查询协议LDAP轻量目录访问协议PCA主认证机构PIN个人身份识别码PKCS公钥密码标准PKI公钥基础设施RA注册机构RFC请求评注标准SSL加密套接层协议二、信息发布和管理2.
1信息库CNNIC的网站、认证系统的证书服务站点、CRL以及OCSP服务器构成了CNNIC认证信息发布的信息库.
2.
2认证信息的发布CNNIC的认证业务可从官网上获取;用户证书可以从CNNIC的证书服务站点获取;已被吊销了的证书的信息可从CRL站点,而证书的有效状态可通过OCSP获得.
2.
3发布时间和频率除每周最多四个小时的定期维修和紧急修补实践外,CNNIC的认证业务规则可通过信息库每天24小时,每周7天及时获得.
CNNIC签发的订户证书一经签发即发布到LDAP服务器供用户下载,同时订户可通过证书服务站点获得已签发的证书.
订户可通过OCSP对证书状态进行实时查询.
CNNNIC对每个证书签发CA发布一个证书吊销列表,发布该CA签发的证书中已吊销了的证书,CNNIC可信网络服务中心中级根每隔12个小时签发一次证书废止列表,如果没有进行中级根的废止,CRL每6个月(182天)更新一次.
CRL发布的最大滞后时间原则上不超过12小时.
2.
4信息库访问和控制对于2.
2中所说的认证信息的查询、获取是公开的、没有限制的,这些信息只有授权人员才能有权进行修改.
三、身份标识与鉴证3.
1命名3.
1.
1名称类型根据证书对应实体的类型不同,CNNIC可信网络服务中心签发的证书的实体名字可以是单个域名或多个域名,命名符合X.
500甄别名规定.
CNNIC可信网络服务中心所发证书的签发者和主题域中包含X.
500甄别名.
CNNIC可信网络服务中心所发证书的主题甄别名由下面的内容组成:机构(O)=证书持有者名称组织单元(OU)=证书持有者或持有者下属的部门通用名(CN)=一般为网站域名或IP地址(该字段仅包含多域名中的第一个域名,所有的域名将在SubjectAlternativeName即SAN中并列显示)地区(L)=所在城市省(S)=所在身份国家(C)=所在国家3.
1.
2对名称有意义的要求CNNIC可信网络服务中心签发的证书包含的命名应由域名、证书持有者名称与CNNIC可信网络服务中心证书固定的内容构成.
3.
1.
3理解不同名称形式的规则依X.
500甄别名命名规则解释.
3.
1.
4名称唯一性CNNIC可信网络服务中心签发给不同订户的证书,其主题甄别名,在CNNIC可信网络服务中心信任域内是唯一的.
签发给同一个订户的证书,CNNIC可以为同一主题甄别名签发多张证书.
3.
1.
5商标的识别,鉴证和角色CNNIC可信网络服务中心签发的证书的主题甄别名只与域名、证书持有者名称相关,而与商标无关.
3.
2初始身份确认3.
2.
1证明拥有私钥的方法CNNIC通过使用经数字签名的PKCS#10格式的证书请求CSR,验证证书使用者拥有私钥.
3.
2.
2机构身份的鉴证CNNIC将通过以下几方面进行申请机构身份的验证:申请证书的机构需要提供政府签发的有效证明文件,如营业执照,组织机构代码证等,CNNIC将通过权威的第三方数据库进行核验;申请机构提供签订的盖章的申请书及用户协议,CNNIC将通过网络或第三方数据库获取申请机构的电话,并通过回访的方式确认机构知晓该申请,且提交申请的办理人是获得授权的.
CNNIC将确认申请机构对域名有所有权或得到了使用授权,方式可以是通过Whois查询向域名持有人邮箱进行邮件确认,或由域名注册商提供相应的证明资料如域名证书等.

当申请者提交的申请中包含IP地址时,CNNIC将确认该IP地址不能被IANA标记为ReservedIP地址.
同时CNNIC将要求申请人提交证明资料确认其拥有该IP的使用权,方式可以是提供IP地址分配机构出具的证明资料,或者通过要求申请人在该IP地址的网站添加特定信息的方式进行证明.
3.
2.
3个人身份的鉴证申请机构的办理人需要提供其身份证明的复印件,如身份证,护照等,CNNIC将通过权威第三方数据库进行查询确认;当申请主体为个人时,需要提供其身份证明的复印件,如身份证,护照等,CNNIC将通过权威第三方进行查询确认.
3.
2.
4没有验证的申请人信息通常来说,验证过的申请人信息会包含在CommonName和O中,未经验证的申请人信息,如有必要,将会标记为相关信息包含在OU中.
3.
2.
5授权的确认对于用户申请的证书,CNNIC在签发前将确认申请获得授权,确认方式见本CPS3.
2.
2.
3.
3密钥更新请求的标识与鉴证在订户证书到期前,需要申请新的证书以保持证书的连续性,订户可以使用新的私钥代替即将过期的密钥对进行更新,证书主题等其他信息也不会变化,仅公钥、有效期和序列号发生了变化;订户也可以使用相同的密钥进行证书更新.
3.
4吊销请求的标识与鉴证证书吊销请求可以来自订户,也可以来自CNNIC或者授权的注册服务机构,用户可以提交申请表等证明文件要求吊销证书;CNNIC在认为有必要的时候,有权吊销订户证书;当吊销申请来自订户或注册服务机构时,CNNIC要求发起人提供证书吊销申请文件(盖章签字),且将通过电话或邮件的方式与订户进行确认.
4.
证书生命周期操作要求本章节描述了通常情况下CNNIC运营的二级根签发OV型订户证书的处理规定;EV型订户证书的处理规定参照B.
CNNICRoot签发外部二级根证书的规定参照A.
4.
1证书申请4.
1.
1证书申请实体证书申请过程中,参与申请过程的实体包括:证书申请者,包括个人,企业,事业单位,政府机构,社会团体等各类组织机构,任何合法的组织及个人均可申请证书,以保证网络交易的安全可靠性.
CNNIC授权的二级CA等.
CNNIC授权的注册服务机构,以及CNNICCA,RA系统的管理员,操作员,财务员,审计员等角色.
4.
1.
2,注册过程及责任证书申请者需要到CNNIC授权的注册服务机构申请服务器证书,申请者需要准确提供以下信息:域名,IP地址,申请主体的信息;授权办理人的信息,姓名,电话,邮件地址等;4.
2申请处理4.
2.
1申请资料的提交证书申请经办人提交申请资料给LRA录入员:证书申请者主体证明文件:营业执照或者组织机构代码证复印件(盖章);证书注册申请书(盖章)复印件;申请机构办理人的身份证明复印件;证书申请人为自然人时,还需提交证明其所在地址的资料;LRA录入员将信息准确录入RA系统,并将所有申请资料的电子扫描件通过安全的方式递交到CNNIC的RA审核员.
4.
2.
2.
证书申请的鉴证与批准拒绝CNNIC在收到LRA通过RA系统提交的证书申请和证明资料后,由RA审核员按照本CPS3.
2.
2和3.
2.
3中的鉴证方法对申请者的资料进行审核.
如果信息鉴证通过审核,RA审核员登录RA系统,批准该证书申请.
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
处于安全和审计的需要,审核员每一次的审核将记录在CNNIC证书审计表中,包含审核员姓名,签名、验证结果和验证日期.
4.
2.
3处理证书申请的时间在申请者提交的资料齐全且符合要求的情况下,CNNIC将在5个工作日之内处理证书请求.
4.
3证书签发证书审核通过后,CNNIC将发送参考号和授权码到申请机构办理人的邮箱,并通过CNNIC官方网站https://rawhois.
cnnic.
cn提供证书的下载服务,此时系统对于用户的证书标记为待下载状态.
4.
4证书接受4.
4.
1证书接受订户到CNNIC官方网站,输入收到的参考号和授权码(1次使用),并提交CSR;CNNICRA系统将自动检查CSR的完整性,CNNIC可信网络服务中心签发证书,由订户完成下载.
证书签发完成,CNNIC系统中用户证书标记为已下载状态.
4.
4.
2CA对证书的发布CNNIC可信网络服务中心所发放的域名证书不在储存库中发布,但可以通过CNNIC可信网络服务中心网站查询域名证书注册信息,查询地址https://rawhois.
cnnic.
cn.
4.
5密钥对和证书使用CNNIC签发的SSL证书被主要用于信息交换时的身份验证,完整性和保密性.
4.
6证书更新4.
6.
1证书更新的情形在证书持有者证书到期前,证书持有者需要获得新的证书以保持证书使用的连续性.

CNNICRA系统将在证书到期前90天自动发送邮件给订户通知提醒证书即将到期,如需继续使用需要进行证书更新.
更新之后,新的证书下载后应该立即安装.
更新的有效期顺延:新证书失效期=当前时间+新购证书的时间长度+当前证书剩余的时间长度.
4.
6.
2请求证书更新的实体同CPS4.
1.
1中已经获得CNNIC证书的实体.
4.
6.
3证书更新请求的处理同4.
2.
1,4.
2.
24.
6.
4签发新证书和对订户的通知同4.
34.
6.
5接受新证书同4.
4.
1.
4.
6.
6CA对证书的发布同4.
4.
2.
4.
7证书变更CNNIC提供的证书变更服务仅支持证书申请机构的办理人的联系电话,邮箱信息的变更;不支持证书主体的变更,包括密钥,主题等信息.
4.
7.
1变更申请订户确认需要变更的信息,向本地受理点LRA提出申请,并提交变更申请书复印件(盖章);LRA通过RA系统提交订户变更申请,并将申请资料的电子扫描件已安全方式发送到CNNIC审核组.
4.
7.
2变更的鉴别及审核CNNIC审核员在收到LRA提交的申请及证明资料后,确认申请变更的信息符合CNNIC证书变更的要求,随后通过电话邮件方式向证书持有机构确认该变更信息的准确性以及是否得到授权.
如上述信息得到确认,CNNIC将过该变更申请.
RA系统将自动发送邮件通知用户变更申请已通过.
4.
8证书的吊销4.
8.
1证书吊销的情形以下情况,CNNIC将在24小时之内吊销该证书:订户书面要求吊销该证书;订户通知CNNIC原始的证书请求未得到授权且不会被追朔给予授权;CNNIC得到证据订户的密钥对泄露或者是一个弱的密钥对;CNNIC得到证据订户的证书被错误使用;CNNIC发现证书订户违反了与CNNIC之间的用户协议;CNNIC发现任何指示证书中的域名或IP地址已不允许被合法使用(包括法庭或仲裁吊销了域名注册人使用域名的权利,或者域名注册人与注册机构之间的协议到期,或者域名注册人没有续注)CNNIC发现通配证书被用来验证一个欺骗性的子域名网站;CNNIC发现证书中信息已经发生了变更的资料;CNNIC发现该证书没有符合CP或CPS中的要求进行签发;CNNIC发现该证书中有任何不准确的或有错误导向的信息;CNNICCA系统停止运营,且没有安排其他的CA机构对该证书提供吊销支持;CNNIC发现签发该证书的二级根的私钥可能发生了泄露;根据CNNIC的CP或CPS要求进行吊销或者证书的格式或者技术参数对于应用软件提供商或其他依赖方呈现出不可接受的风险.

(例如证书中使用的签名算法,或者算法长度已经不安全)4.
8.
2请求吊销的实体证书订户,LRA,CNNIC都可以在4.
8.
1所述的情形下要求吊销一个最终用户证书4.
8.
3证书吊销流程证书持有者提交证书废止申请资料的电子扫描件给本地受理点(LRA)录入员.

证书废止申请书(盖章).
申请办理人的身份证明文件.
本地受理点录入员通过RA系统将上述资料录入,提交申请.
本地受理点录入员将全部申请资料通过安全方式交给CNNIC注册中心的RA审核员.
RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与证书申请机构进行确认.
如果审核通过,RA审核员直接吊销此证书.
如果审核不通过,则拒绝证书废止,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和经办人者联系交涉,按照拒绝原因进行相应修改,重新申请吊销.
4.
8.
4CNNIC处理证书吊销的时限CNNIC从接到证书吊销请求到完成处理请求的时间不超过24小时.
4.
8.
5CRL发布频率CNNIC可信网络服务中心中级根每隔12个小时签发一次证书废止列表(CRL).
如果没有进行中级根的废止,根签发的证书废止列表(CRL)每6个月(182天)更新一次,在进行中级根的废止后,根签发的证书废止列表(CRL)立即更新.
4.
8.
6CRL发布的最大滞后时间一个域名证书从它被废止到它被发布到CRL上的滞后时间不超过12小时.
如果中级根被废止,根签发的CRL则立即发布.
4.
8.
7OCSP查询可用性CNNIC可信网络服务中心提供证书状态的在线查询服务(OCSP),每周除最多四小时的定期维修及紧急维修外,该服务7*24小时可用.
与徐颖确认4.
8.
8OCSP查询要求信赖方是否进行在线状态查询完全取决于信赖方的安全要求.
对于安全保障要求高并且完全依赖证书进行身份鉴别与授权的应用,信赖方在信赖一个证书前可通过证书状态在线查询系统检查该证书的状态.
4.
8.
9吊销信息的其他发布形式CNNIC可信网络服务中心目前只提供OCSP查询,以及通过HTTP服务提供CRL查询.
4.
8.
10密钥损害的特别要求无论是证书持有者还是CNNIC可信网络服务中心,发现证书密钥受到安全损害时应立即废止证书.
4.
9证书补发CNNIC提供证书补发的服务,应用于当订户已接受并下载证书,由于未能妥善备份保存导致证书丢失的情况,订户可以通过LRA向CNNIC提出补发申请.
4.
9.
1补发申请提交订户向LRA提供证书申请者主体证明文件:营业执照或者组织机构代码证复印件(盖章);证书注册申请书(盖章)复印件;申请机构办理人的身份证明复印件;LRA通过RA系统提交补发申请,并将资料的电子扫描件通过安全的方式发送到CNNIC审核员.
4.
9.
2补发的鉴定审核RA审核员审核资料并与RA系统中的申请信息和域名证书原注册信息对比.
通过电话与证书申请机构进行确认.
如果信息鉴证通过审核,RA审核员登录RA系统,批准该补发申请.
如果未确认通过,则拒绝证书注册申请,发回所有资料给本地受理点,并附加拒绝的理由.
由本地受理点和申请经办人联系交涉,按照拒绝原因进行相应修改,重新进行申请.
4.
9.
3补发证书的接受审核通过后,CNNICCA系统将自动吊销原证书,并发送新的参考号和授权码到订户的联系邮箱.
订户按照4.
4.
1中的步骤进行证书的接受,订户新接收到的证书起始日期从补发日开始,到期时间与原证书的到期时间一致.
证书中的主题等信息都不会发生变化.

4.
10证书状态服务CNNIC通过CRL、OCSP提供证书状态服务.
对于被吊销证书,其状态将同时在CRL、OCSP反映.
4.
11订购结束当订户的证书过期或被吊销,则被认为是一次订购结束.
4.
12密钥托管与恢复CNNIC不向订户提供秘钥托管服务.
五、认证机构设施,管理和操作控制5.
1物理控制5.
1.
1场地位置与建筑CNNIC可信网络服务中心认证的运营场地位于北京市海淀区中关村南四街4号中科院软件园1号楼.
CNNIC可信网络服务中心场地是根据CNNIC物理场地建设规范进行构建的,运行在具备合理安全条件的地点.
在场地建造过程中,CNNIC可信网络服务中心已采取适当预防措施,为CNNIC可信网络服务中心运行做好准备.
场地位置的物理安全是基于物理层级的保护,每一个物理层就是一个屏障,以控制每个人进出的局域,CNNIC场地物理安全可以达到以下安全和控制风险要求:(1)防止物理非法进入多层物理结构及完善的安全管理体系保护CNNIC运营设施安全.
(2)防止未经过授权的物理访问确保未经过授权的人或仅被授权访问部分区域的管理人员,不得访问受限制区域.

(3)维护CA服务的完整性、可用性保障提供CA服务的系统、设施不受到破坏,保证认证服务不受中断.
5.
1.
2物理访问控制CNNIC可信网络服务中心实施合理的安全控制,限制访问CNNIC可信网络服务中心所使用的硬件及软件(包括服务器、工作站及任何外部加密硬件模块).
可访问上述硬件及软件的人员只限于本CPS第5.
2.
1节所述的履行可信职责的人员.
在任何时间都对上述访问进行控制及电子监控,以防发生未经授权入侵.
5.
1.
3电力与空调CNNIC可信网络服务中心设施可获得的电力和空调资源包括专用的空调系统,不间断电力供应系统(UPS)以及租用的电力公司的发电车,以备城市电力系统发生故障时供应电力.
5.
1.
4水患防治CNNIC可信网络服务中心有专门的技术措施,防止、检测漏水的出现,并能够在出现漏水时最大程度地减小漏水对认证系统的影响,确保设施在合理可能的限度内可免受自然灾害影响.
5.
1.
5火灾防护5.
1.
5.
1结构防火CNNIC认证中心的耐火等级符合法规规定的二级防火等级,防护方法应符合当地管理部门或机构的安全要求.
5.
1.
5.
2火灾报警及消防设施CNNIC可信网络服务中心已为其设施准备妥当防火计划及灭火系统.
CNNIC认证机构设施内置火灾报警装置.
在机房内、各物理区域内、活动地板下以及易燃物附近部位设置烟、温感探测器.
敏感区及高敏感区设置了独立的气体灭火装置.
5.
1.
5.
3紧急出口根据国家有关消防要求、规定和标准,在非敏感区及敏感区的办公区域内,设置了紧急出口,紧急出口设有消防门.
紧急出口有监控设备进行实时监控,并保证紧急出口随时可用.
紧急出口门外部设有门开启的装置,且紧急出口门与门禁报警设备联动.
非紧急避险状态下,紧急出口门不能被内部人员随意打开.
5.
1.
6介质存储认证中心对敏感的文件和材料在处理之前将其切成碎片,使信息无法恢复.
媒体介质存储及处置程序已经准备妥当.
5.
1.
7废物处理根据正常的废料处理要求处理废料.
加密设备作废前根据设备生产商的指导,对其进行物理上的销毁或清零.
5.
1.
8异地备份印刷文件(包括证书持有者的身份确认文件,管理文档等)由CNNIC可信网络服务中心妥为保存,只有授权人员可以取阅.
CNNIC可信网络服务中心系统数据的适当备份会作场外储存,并获足够保护,以免被盗用、损毁及媒体衰变.
5.
1.
9注册机构物理控制CNNIC注册机构的物理场地有足够的安全措施,保证只有授权的人员才能进入,只有授权的人员才能接触系统进行证书管理.
5.
2程序控制5.
2.
1可信角色CNNIC的可信人员包括:首席安全管理员内审主管业务内审员支撑系统内审员运营内审员CA系统管理员策略管理员二级根签发门限管理员最终用户证书管理员系统审计员加密机管理员加密机操作员根密钥份额分管者RA系统管理员RA业务管理员RA审核员RA审计员费用录入员费用审核员操作系统管理员目录服务管理员数据库管理员网络管理员安全管理员门禁管理员门禁审计员系统管理员5.
2.
2每项任务需要的人数CNNIC有严格策略和控制程序,以保障基于工作性质的职责分离.
最敏感的操作要求多名可信人员共同参与完成.
鉴证和签发机构证书和管理员证书,要求至少2个可信人员的参与;访问CA密钥离线生成室和CA密钥离线存放室,至少两名有访问权限的人员;掌管CA私钥激活数据分割份额的秘密持有人员,至少3人;操作存放有CA密钥的密码设备,包括密钥生成、分配、备份、销毁等至少需要3个秘密持有人,一个密钥管理员,一个见证人.
5.
2.
3每个角色的识别与鉴别对于物理访问控制,CNNIC通过门禁磁卡、指纹识别鉴别不同人员,并确定相应的权限.
对于进行证书生命周期管理的CNNIC注册机构证书管理员,他们使用相应的证书访问认证系统、注册机构系统,完成证书管理工作.
对于系统维护人员,他们使用安全的身份鉴别机制进入认证系统进行维护工作.

5.
2.
4需要职责分割的角色所谓职责分割,是指如果一个人担任了完成某一职能的角色,就不能再担任另一特定职能的角色,CNNIC对如下人员进行了职责分割:首席安全管理员内审主管业务内审员支撑系统内审员运营内审员策略管理员二级根签发门限管理员CA系统管理员根密钥份额分管者RA系统管理员RA业务管理员RA审核员RA审计员费用审核员5.
3人员控制5.
3.
1资格、经历和无过失要求CNNIC可信网络服务中心工作人员的背景、资历、经验等情况都进行核实和审查.
具备忠诚、可信赖及工作热情、无影响系统运行的其它兼职工作、无同行业重大错误记录、无违法记录等.
背景:要求政治素质高、业务优秀、有非常强的责任感,原则性强,无犯罪记录和不良记录;资历:精通本岗位工作,其所受教育、培训及工作经历保证足够胜任其工作;CNNIC可信网络服务中心工作人员及管理政策可合理确保CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的LRA人员的可信程度及胜任程度,并确保他们根据本CPS履行职责.
5.
3.
2背景审查程序CNNIC可信网络服务中心(包括注册中心)对担任可信职责的人员进行严格调查(其聘用前及其后有需要时定期进行),人员包括CNNIC正式员工以及外包人员,以根据本CPS及CNNIC可信网络服务中心的人员策略要求核实工作人员的可信程度及胜任程度.
未能通过首次及定期调查的人员不得担任或继续担任可信职责.
5.
3.
3培训要求CNNIC可信网络服务中心(包括注册中心)工作人员已接受履行其职责所需要的初步培训.
CNNIC可信网络服务中心会提供持续培训,使人员能掌握所需最新工作技能.
5.
3.
4再培训周期和要求CNNIC根据业务需要安排.
5.
3.
5工作岗位轮换周期和顺序内部安排.
5.
3.
6未授权行为的处罚CNNIC对于未授权行为或其他违反公司安全策略和程序的行为制定相应的处罚措施,包括警告、罚款甚至辞退,情节严重的将依法追究刑事责任.
5.
3.
7独立合约人的要求在有限制的情况下,独立合约人或顾问可以担任可信职位.
任何合约人或顾问在某一职位的职能和安全标准应与相应职位的内部雇员相一致.
担任可信角色的独立合约人和顾问需要通过5.
3.
2中所述的背景调查程序,否则,他们不能担任可信角色.
当进入敏感区时,只有在认证机构人员的陪同和直接监督下访问认证机构的安全设施,完成有关的工作.
5.
3.
8提供给员工的文档CNNIC可信网络服务中心(包括注册中心)人员会收到指导手册,详细描述证书的注册、续费、补发及废止程序及与其职责有关的其它软件功能.
5.
4审计日志程序5.
4.
1记录事件的类型CNNIC对如下几类事件进行记录:CA密钥生命周期内的管理事件,包括:1)密钥生成、备份、存储、恢复、归档和销毁;2)密钥设备生命周期的管理事件,例如接收、使用、卸用和弃用;这些记录都是密钥管理员完成的纸质记录.
CA和订户证书生命周期内的管理事件,包括:1)证书的申请、批准、更新和吊销等;2)成功或失败的证书操作;这些记录由认证系统自动记录,保存在数据库.
系统安全事件,包括:1)成功或不成功访问CA系统的活动;2)对于CA系统网络的非授权访问或访问企图;3)对于系统文件的非授权访问或访问企图;4)安全、敏感的文件或记录的读、写、删除;5)系统崩溃、硬件故障以及其他异常;6)防火墙和路由器记录的安全事件这些记录由操作系统自动完成,CNNIC的系统人员会定期检查系统日志.
系统操作事件,包括:1)系统启动和关闭.
2)系统权限的创建、删除、设置或修改密码.
这些记录由操作系统自动完成,CNNIC的系统人员会定期检查系统日志.
CNNIC物理设施的访问记录,包括:1)授权人员进出.
2)非授权人员进出及陪同人;3)安全存储设备的访问;可信人员管理记录,包括且不限于:1)网络权限的账号申请记录;2)系统权限的申请、变更、设置和删除;3)人员变化情况日志记录包括如下信息:每个日志记录的日期和时间对于自动日志记录、登记的序列号或序号做日志记录的实体的部分日志记录的种类5.
4.
2处理日志的周期对于CA和订户证书生命周期内的管理实践日志,CNNIC每一个季度进行一次内部检查和审计.
系统安全事件和系统操作事件日志CNNIC将每周进行一次检查、处理.
CNNIC物理设施的访问日志CNNIC将每月进行一次检查、处理.
5.
4.
3审计日志保存期限与证书相关的审计日志,在证书失效后至少保留5年.
5.
4.
4审计日志的保护CNNIC采取了物理和逻辑的访问控制方法,防止未经授权而浏览、修改、删除或其他方式篡改电子或纸质审计日志文件.
5.
4.
5审计日志备份程序对于认证系统的日志,CNNIC定期进行备份.
5.
4.
6审计收集系统对于电子审计信息,CNNIC设置了专门的审计信息存储系统,自动或人工完成信息的收集.
对于纸质的审计信息,则有专门的文件管理柜来实现审计信息的收集.

每季度对相关记录进行分析、审计、检查.
5.
4.
7对导致事件主体的通知当审计记录报告一个事件时,CNNIC会立即通知引起该时事件的个人、组织和机构.
5.
4.
8脆弱性评估根据审计记录,CNNIC定期进行系统、物理场地、人事管理等方面的安全脆弱性评估,并根据评估报告采取措施.
每年度对相关系统、物理场地、人事管理进行安全检查.
5.
5记录归档5.
5.
1归档记录的类型CNNIC对5.
4.
1所述记录类型进行归档.
5.
5.
2归档记录的保存期限对于不同的归档记录其保留期限是不同的,对于系统操作事件和系统事件安全记录,其归档应保留到完成安全脆弱性评估或一致性审计.
对订户证书生命周期内的管理事件的归档,保留一年以上.
对于CA和密钥生命周期内的管理事件的归档,其保留期限不少于CA和密钥生命周期.
订户证书的归档保留期限不少于证书失效后5年.
CA证书和密钥的归档在CA证书和密钥生命周期之外,额外保留5年.
5.
5.
3归档文件的保护CNNIC对各种电子、磁带、纸质形式的归档文件,都有安全的物理和逻辑保护措施和严格的管理程序,确保归档了的文件不会被损坏,防止非授权的访问、修改、删除或其他的篡改行为.
5.
5.
4归档文件的备份程序CNNIC对归档文件进行定期备份,分为增量备份和全备份.
增量备份每天进行,全备份每周进行.
5.
5.
5记录时间戳要求CNNIC对每项日志有时间记录.
对于纸质记录,由操作人员手工记录.
对于电子记录由系统自动增加时间,但这些时间未采用时间戳技术.
5.
5.
6归档收集系统CNNIC有专门的电子归档记录存放系统.
5.
5.
7获得和检验归档信息的程序只有可信人员才可以查看和获得归档信息,这些信息被归还时必须经过检验.

5.
6CA密钥变更当CA密钥对的累计寿命超过CPS6.
3.
2中对顶的最大生命周期,CNNIC将启动密钥更新流程,替换已经过期的CA密钥对.
CNNIC密钥变更按如下方式进行:一个上级CA在其私钥到期时间小于下级CA的生命周期之前停止签发新的下级CA证书("停止签发日期").
产生新的密钥对,签发新的上级CA证书.
在"停止签发证书的日期"之后,对于批准的下级CA或最终用户证书请求,将采用新的CA密钥签发证书.
5.
7损害与灾害恢复5.
7.
1事故和损害处理程序CNNIC已制定各种应急处理方案,规定了相应的事故和损害处理程序,这些应急处理方案有:1)认证系统应急方案;2)电力系统应急方案;3)消防应急方案;4)网络与信息系统应急方案;5)安全事故应急处理方案等.
5.
7.
2计算机资源、软件和/或数据的损坏CNNIC对业务系统及其他重要系统的资源、软件和数据进行了备份,并制订了相应的应急处理流程,当出现计算机资源、软件和/或数据的损坏时在最短的时间内恢复被损害的资源、软件和/或数据.
对备用设备、设施、数据,每月进行可用性监测,确保在应急恢复时设备、设施、数据的可用性.
5.
7.
3私钥损耗处理程序CNNIC的根私钥出现损毁、遗失、泄露、破解、被篡改或者由被第三者窃用的疑虑时,CNNIC应该:1)立即向电子认证服务管理办公室和其他政府主管部门汇报,通过网站和其他公共媒体对订户进行通告,采取措施保障用户利益不受损失.
2)立即吊销所有已经被签发的证书,更新CRL和OCSP信息,供证书订户和依赖方查询.
同时CNNIC立即生成新的密钥对,并自签发新的根证书.
3)新的根证书签发以后,按照本CPS关于证书签发的规定,重新签发下级证书和下级操作子CA证书.
4)CNNIC新的根证书签发以后,将会立即通过CNNIC信息库、目录服务器、HTTP等方式进行发布.
CNNIC的子CA私钥出现遗失、泄露、破解、被篡改或者由被第三者窃用的疑虑时,操作CA应该:1)立即向CNNIC进行汇报并生成新的密钥对和证书请求,向CNNIC申请签发新的证书.
2)立即向电子认证服务管理办公室和其他政府主管部门汇报,通过网站和其他公共媒体对订户进行通告,采取措施保障用户利益不受损失.
3)立即吊销所有已经被签发的证书,更新CRL和OCSP信息,供证书订户和依赖方查询.
同时CNNIC立即生成新的密钥对,并自签发新的根证书.
4)新的根证书签发以后,按照本CPS关于证书签发的规定,重新签发下级证书和下级操作子CA证书.
5)CNNIC新的根证书签发以后,将会立即通过CNNIC信息库、目录服务器、HTTP等方式进行发布.
证书订户的私钥出现遗失、泄露、破解、被篡改或者有被第三者窃用的疑虑时,订户应该按照本CPS的规定,首先申请证书吊销,并按照规定重新申请新的证书.
5.
7.
4灾难后的业务存续能力CNNIC在异地有数据级别的备份,一旦物理场地出现了重大灾难,CNNIC能够根据业务连续性计划在最短时间内利用备份数据重建系统,恢复业务.
5.
8CA或RA的终止当CNNIC及其注册机构需要停止其业务时,将会严格按照《中华人民共和国电子签名法》及相关法规中对认证机构终止业务的规定要求进行有关工作.
六、技术安全控制6.
1密钥对的产生和安装6.
1.
1密钥对的产生6.
1.
1.
1CA密钥对的产生CNNIC密钥对由硬件加密设备直接产生,并且直接保存在该硬件加密设备(加密机)中,CNNIC可信网络服务中心使用的是国家商业密码管理委员会鉴定通过的加密硬件设备.
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人均没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
6.
1.
1.
2订户密钥对的产生对于电子邮件证书、账户证书、个人证书和机构证书,订户使用国家密码管理部门许可的密码模块生成密钥对.
对于服务器证书,订户使用服务器程序使用的密码模块提供的密钥生成功能生成密钥对.

对于运营设备证书,运营CA的密钥对在本地的硬件加密设备上产生(硬件加密设备使用的是国家商业密码管理委员会鉴定通过的加密硬件设备),私钥不能出此加密硬件设备.
产生密钥的时候,必须由五个密钥管理员中的三个同时登录后由加密硬件设备产生,任何单独的一个人没有办法执行产生密钥的操作.
密钥管理员登录是采用IC卡的方式,其他人员无法获取IC卡或相应的密码.
对于管理员证书,私钥使用国家密码管理部门许可的客户端密码模块产生.

6.
1.
2私钥传送给订户签名密钥对在证书申请者端产生,具有严密且安全的控制措施.
CA服务器不为证书申请者提供密钥生成服务.
CNNIC可信网络服务中心不为证书申请者提供密钥介质.
6.
1.
3公钥传送给证书签发机关证书申请者使用Web服务器软件把公钥封装成PKCS#10格式的证书请求发给CNNIC可信网络服务中心由CNNIC可信网络服务中心生成证书.
CNNIC可信网络服务中心将根据证书申请者提交的证书请求验证证书请求的完整性,CNNIC可信网络服务中心只处理完整的证书请求.
6.
1.
4CA公钥传送给依赖方CNNIC可信网络服务中心会把自己的公钥发布在网站上,以便最终实体获取.
6.
1.
5密钥的长度CNNIC可信网络服务中心的根证书和中级根证书密钥对为2048位RSA.
证书申请者密钥对也要求为2048位RSA.
6.
1.
6公钥参数的生成和质量检查符合国家密码管理部门的要求.
6.
1.
7密钥使用目的CNNIC可信网络服务中心域名证书使用的密钥可用于加密通讯.
CNNIC可信网络服务中心的根证书和中级根证书密钥只用于签发证书及证书废止列表(CRL).
6.
1.
8密钥销毁CNNIC可信网络服务中心的根证书和中级根证书密钥在失效以后归档保留10年,然后通过适当方法销毁.
归档的密钥在其归档期限结束后,需在多名可信人员参与的情况下安全销毁.
密钥的销毁将确保其私钥从硬件密码模块中彻底删除,不留有任何残余信息.
证书申请者私钥存在于证书申请者端,其证书过期后,应立即销毁私钥.
6.
2私钥保护和密码模块工程控制6.
2.
1密码模块的标准和控制CNNIC可信网络服务中心采用的硬件密码模块是由中国国家密码主管机构审查通过的安全产品,符合国家的相关规定.
硬件密码模块安置在安全区域,并在有至少三名加密机管理员(密钥管理员)在场的情况下才可以访问存储在加密机中的密钥.
备份与恢复加密机时也必须同时拥有三张管理员口令卡,才能对加密机进行备份与恢复的操作.

6.
2.
2私钥多人控制在所有管理员的大多数同时在场的情况下才可以访问存储在加密机中的密钥.

采取中国国家密码主管机构审查通过的保护措施保证加密机内密钥的安全性.
具体地说,CNNIC可信网络服务中心对根证书和中级根证书私钥的保护采用五人控制,三人必须同时到场的策略.

6.
2.
3私钥托管CNNIC可信网络服务中心的根证书和中级根证书私钥不托管给其他机构,CNNIC可信网络服务中心也不接受证书申请者的签名私钥托管.
6.
2.
4私钥备份作为灾难恢复的一项措施,需要进行密钥备份.
CNNIC可信网络服务中心采用符合国家规定的硬件密码模块对根证书和中级根证书私钥进行加密和备份,备份存储在与硬件密码模块系统独立的系统内防止被窃.
在备份密钥时,必须由密钥管理员使用口令IC卡,启动密钥管理程序,执行密钥备份指令才能完成.
证书申请者私钥存放在证书申请者端,证书申请者宜根据其具体情况采用合适的手段对其私钥进行存储、备份和恢复.

6.
2.
5私钥归档根证书和中级根证书密钥对到期后,这些密钥对将归档保存至少10年.
归档密钥对保存在6.
2.
1所述的硬件密码模块中,并且CNNIC的密钥管理策略和流程阻止归档密钥对返回到生产系统中.
归档密钥对超过归档保存期后,CNNIC可信网络服务中心将按CPS第5.
1.
6节规定对其进行销毁.
证书申请者私钥保存在证书申请者端,因此证书申请者私钥归档不适用.
6.
2.
6私钥导入、导出密码模块CNNIC的CA密钥对在硬件密码模块上生成,保存和使用.
此外,为了常规恢复和灾难恢复,CNNIC对CA密钥进行复制.
当CA密钥对从一个硬件密码模块复制到另一个硬件密码模块上时,被复制的密钥对以加密的形式在模块之间传送,并且在传递前要进行模块间的相互身份鉴别.
另外CNNIC还有严格的密钥管理流程对CA密钥对复制进行控制.
所有这些有效防止了CA私钥的丢失、失窃、修改、非授权的泄露、非授权的使用等.
CNNIC数字认证中心运营设备证书私钥的导入、导出控制同CA私钥.
CNNIC注册机构的运营设备证书私钥通常是不允许导入、导出的,若在特定的情况下确实需要导出、导入,则必须由CNNIC的可信人员进行相关的操作.
CNNIC在进行导出、导入时,将确保导出的证书私钥不以明文形式存在(如由具有足够强度的口令保护),并在完成导出、导入后立即、彻底地销毁导出的私钥.
对于各类最终用户证书,若使用的密码模块(软件或硬件)支持私钥的导出、导入,则CNNIC要求最终对导出、导入的私钥必须使用足够安全的口令进行保护,且最终用户需要确保导出的私钥不被丢失、失窃、修改、非授权的泄露、非授权的使用等.

6.
2.
7私钥在密码模块的存储CNNICCA私钥以加密的形式存放在符合国家密码主管部门的要求硬件密码模块中,且私钥的使用也在硬件密码模块中进行.
CNNIC运营设备证书私钥的存储同CA私钥.
对于个人证书和机构证书,最终用户须将私钥保存在其可控制、国家密码主管部门的认可的密码模块中(如USBKey),私钥在密码模块中须以加密形式存储,且私钥的使用受口令或指纹等安全措施保护.
最终用户须采取必要的措施防止其他人员对私钥的非授权访问、获取和使用.
对于服务器证书,最终用户需将私钥保存在国家密码主管部门认可的密码模块中(包括SSL加速卡),且存放私钥的密码模块必须在最终用户其可控制的范围内,并最终用户要采取相应的安全手段防止对私钥的非授权访问、获取和使用,使用的手段包括私钥的使用受口令保护,服务器及密码模块位于安全可控的物理环境等.
6.
2.
8激活私钥的方法6.
2.
8.
1最终用户证书私钥最终用户证书私钥由用户自行保管,保存在密码模块中的最终用户证书私钥应在用户输入口令(或PIN码)或指纹等密钥保护信息(激活数据)后才被激活,才能能够被使用.
6.
2.
8.
2运营设备证书私钥CNNIC数字认证中心的运营设备证书私钥存放在硬件密码模块中,只有插入专用的IC卡后,硬件密码模块中的CA私钥才能被激活使用;对于CNNIC注册机构的运营设备证书私钥,需要专门的安全管理人员输入保护口令后才能激活.
6.
2.
8.
3CA私钥CNNIC的CA私钥存放在硬件密码模块中,只有插入专用的IC卡后,硬件密码模块中的CA私钥才能被激活使用.
6.
2.
9解除私钥激活状态的方法对于个人证书和机构证书,当应用软件向密码模块发出设备关闭指令,或密码模块被下载(如硬件密码模块从读卡器中取出)、或用户通过密码管理软件从密码设备登出(logout)、或计算机断电时,私钥被解除激活状态,不能再被使用.
对于服务器证书,当服务程序关闭、系统注销或系统断电后私钥即进入非激活状态.

对于CNNIC及其注册机构的运营设备证书的私钥,当CA或RA系统向密码模块发出登出(logout)或密码管理软件向密码模块发出关闭(close)指令,或存放私钥的密码模块断电,,私钥进入非激活状态.
对于CNNICCA私钥,当CA系统向密码模块发出登出(logout)或密码管理软件向密码模块发出关闭(close)指令,或存放私钥的硬件密码模块断电,,私钥进入非激活状态.

6.
2.
10销毁私钥的方法对于CNNIC的最终用户证书私钥,若不再使用,应该将私钥销毁,从而避免丢失、偷窃、泄露或非授权使用.
若私钥吊销、到期作废后,还需要用于信息解密的,最终用户应该妥善保存一定期限,以便于解开加密信息.
若私钥无需再保存,则将通过私钥的删除、系统或密码模块的初始化来销毁.
在CNNICCA私钥生命周期结束后,CNNIC将CA私钥继续保存在一个备份硬件密码模块中,并进行归档,其他的CA私钥备份被安全销毁.
归档的CA私钥在其归档期限结束后,需在多名可信人员参与的情况下安全销毁.
CA私钥的销毁将确保CA私钥从硬件密码模块中彻底删除,不留有任何残余信息.
CNNIC不再使用的运营设备证书私钥,按CA私钥销毁相同的方法进行销毁,对无需归档而不再使用的运营设备私钥将立即销毁.
CNNIC注册机构不再使用的运营设备证书私钥,将通过私钥的删除、系统或密码模块的初始化来销毁.
6.
2.
11密码模块的评估由国家密码管理部门负责.
6.
2.
12离职、换岗人员私钥处置对于离职人员的私钥处置:CNNIC人员离职时,需安全策略管理委员会移交USBKey等系统相关的凭证,并进行相关的工作交接.
CNNIC在移交后1小时内修改更换PIN等,确保信息不会泄露;对于换岗人员的私钥处置:CNNIC人员换岗时,需安全策略管理委员会移交USBKey等系统相关的凭证,并进行相关的工作交接.
CNNIC在移交后1小时内修改更换PIN等,确保信息不会泄露.
6.
3密钥对管理的其他方面6.
3.
1公钥归档对于生命周期外的CA和最终用户证书,CNNICCA将进行归档,归档的证书存放在归档数据库中.
6.
3.
2证书操作期和密钥对使用期限CNNIC可信网络服务中心根证书和中级根证书公钥和私钥的有效期保持一致,根证书密钥对有效期为20年,中级根证书密钥对有效期为10年.
CNNIC可信网络服务中心域名证书有效期最长为3年.
在接近过期日时有一段时间可以进行更新.
6.
4激活数据6.
4.
1激活数据的产生和安装CNNICCA私钥的激活数据由硬件加密卡内部产生,并保存在IC卡中,需通过专门的读卡设备和软件读取.
CNNICCA私钥激活数据的产生过程,按CNNIC密钥生成规程参考指南中的规定进行.
所有加密卡的创建和分发有相应的记录,包括产生时间、持有人等信息.
CNNIC数字认证中心运营设备证书私钥的激活数据的产生和安装,同CA私钥.
CNNICRA证书私钥的激活数据,由RA的安全管理员根据所用密码系统提供的功能相应产生.
需要注册机构的安全管理员输入保护口令后才能激活.
最终用户证书私钥由用户自行保管,CNNIC建议订户使用双因素机制(如硬件+密码,生物识别设备+密码等)来控制私钥的激活.
6.
4.
2激活数据的保护保存有CNNICCA私钥及运营设备证书私钥的激活数据的加密IC卡,由CNNICCA授权的的可信人员持有;持有人将加密卡存放在CNNIC内部安全保护的保险盒中.
CNNICRA的运营设备证书私钥的激活数据,由RA的管理员负责安全保护.
如果证书订户使用口令或PIN码保护私钥,订户应妥善保管好其口令或PIN码,防止泄露或窃取.
如果证书订户使用生物特征保护私钥,订户也应注意防止其生物特征被人非法获取.
6.
4.
3激活数据的其他方面6.
4.
3.
1激活数据的传送存有CNNIC数字认证中心CA私钥、运营设备证书私钥的激活数据的IC卡,通常保存在CNNIC的安全设施中,不能携带外出或传送.
如因某种特殊情况确实需要传送时,其传送过程需在CNNIC安全管理人员和密钥管理人员的监督下进行.
CNNIC数字认证中心注册机构的运营设备证书私钥的激活数据由注册机构的安全管理员产生、保管,不得向外传送.
订户证书私钥的激活数据由订户自己产生、保管,不应传送给其他人员,若私钥激活数据因特别的原因需要进行传送时,订户应保护它们在传送过程中免于丢失、偷窃、修改、非授权泄露、或非授权使用.
6.
4.
3.
2激活数据的销毁存有CNNIC数字认证中心CA私钥、运营设备证书私钥的激活数据的IC卡,其销毁所采取的方法包括将IC卡初始化,或者彻底销毁IC卡,无论采取何种方式,都将保证不会残留有任何秘密信息.
CA私钥激活数据的销毁是在CNNIC安全管理人员和密钥管理人员的监督下进行.
CNNIC注册机构的运营设备证书私钥的激活数据不再使用时,注册机构掌管激活数据的安全管理员需要销毁有关数据,确保无法通过残余信息、介质直接或间接恢复激活数据的部分或全部,比如记录有口令的纸页必须粉碎.
当订户证书私钥的激活数据不需要时应该销毁,订户应该确保无法通过残余信息、介质直接或间接恢复激活数据的部分或全部,比如记录有口令的纸页必须粉碎.

6.
5计算机安全控制6.
5.
1特别的计算机安全技术要求CNNIC可信网络服务中心在安全的环境下运行,并实行分区访问权限控制.
核心系统和其它系统隔离,采用防火墙和入侵检测保证安全.
并实行:系统安全配置,关闭不必要的服务与端口.
操作系统必须安装最新的补丁程序,由专人负责最新补丁的安装.
生产系统每台机器均由专人负责,严格上机操作程序,口令逐级管理,逐级授权.
各人负责各自权限范围内的操作.
日志和操作记录的审计制度.
数据备份和恢复机制.
6.
5.
2计算机安全评估CNNIC的CA系统及其运营环境通过了国家权威机构的安全测评、评审,并获得了相应质.
6.
6生命周期技术安全控制6.
6.
1系统开发控制CNNIC通过内部流程来控制证书认证系统的研发工作,并确保该系统安装的可靠性.
6.
6.
2安全管理控制CNNIC已制定了各种安全策略、管理制度与流程对CA运营系统进行安全管理.
6.
6.
3生命期的安全控制证书生命周期安全控制遵循WebTrust认证规范.
CNNIC可信网络服务中心所使用的系统在使用前均经过详细测试,并在使用过程中进行不定期检查.
6.
7网络的安全控制根据安全要求的不同,将CNNIC可信网络服务中心系统划分为不同的网段,部分高安全级系统进行离线操作.
并采用层次模型保证网络的安全性以及系统的可靠性.

6.
8时间戳CNNIC数字认证中心签发的数字证书、CRL、OCSP响应以及时间戳服务响应包含有时间及日期信息,且这些时间和日期信息是经过数字签名的.
七、证书、CRL和OCSP7.
1证书本CPS提及的证书包含用来确认身份和核实这些信息是否完整的公开密钥.
本CPS提及的证书一律以X.
509第三版本的格式发出.
二级根证书结构说明域值或域的限制基本域版本V3序列号CNNIC可信网络服务中心给所发证书赋予的唯一的值签名算法sha256RSA签名哈希算法Sha256颁发者CN=CNNICROOTO=CNNICC=CN有效起始日期用来指定证书有效的起始日期,基于国际通用时间(UTC),和北京时间同步有效终止日期用来指定证书有效的终止日期,基于国际通用时间(UTC),和北京时间同步使用者证书持有者的甄别名公钥根据当时PKCS#10请求中产生的公钥确定,使用RSA算法,密钥长度2048bit扩展项基本限制域名证书值为:SubjectType=CAPathLengthConstraint=None(根据实际情况进行设置)CRL分发点[1]CRLDistributionPointDistributionPointName:FullName:DirectoryAddress:CN=crl1OU=crlO=CNNICC=CN[2]CRLDistributionPointDistributionPointName:FullName:URL=http://crl.
cnnic.
cn/download/rootsha2crl/CRL1.
crl密钥用法CertificateSigning,Off-lineCRLSigning,CRLSigning(06)(目前只签发服务器证书,可根据签发证书类型扩展)使用者密钥标识符所颁发二级根证书公钥的标识颁发机构密钥标识符KeyID=65f231ad2af7f7dd52960ac702c10eefa6d53b11证书策略[1]CertificatePolicy:PolicyIdentifier=1.
3.
6.
1.
4.
1.
29836.
1.
6[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cnnic.
cn/cps/颁发机构信息访问[1]AuthorityInfoAccessAccessMethod=联机证书状态协议(1.
3.
6.
1.
5.
5.
7.
48.
1)AlternativeName:URL=http://ocspcnnicroot.
cnnic.
cn[2]AuthorityInfoAccessAccessMethod=证书颁发机构颁发者(1.
3.
6.
1.
5.
5.
7.
48.
2)AlternativeName:URL=http://www.
cnnic.
cn/download/cert/CNNICROOT.
cer指纹算法Shal指纹签出证书的指纹编码标准OVSSL证书结构说明域值或域的限制基本域版本V3序列号CNNIC可信网络服务中心给所发证书赋予的唯一的值签名算法sha256RSA颁发者证书颁发者的甄别名,域名证书中为CNNIC可信网络服务中心中级根证书的主题有效起始日期用来指定证书有效的起始日期,基于国际通用时间(UTC),和北京时间同步有效终止日期用来指定证书有效的终止日期,基于国际通用时间(UTC),和北京时间同步主题证书持有者的甄别名公钥证书公钥,使用RSA算法,密钥长度满足本CPS6.
1.
5节的要求扩展项基本限制域名证书值为:SubjectType=EndEntityPathLengthConstraint=NoneCRL分发点CNNIC可信网络服务中心签发的证书中包含CRL的分发点扩展项,依赖方可根据该扩展项提供地址和协议下载CRL,见本CPS密钥用法域名证书值为:KeyEncipherment,DigitalSignature主题密钥标识符所颁发域名证书公钥的标识颁发机构密钥标识符上级CA证书公钥的标识证书策略[1]CertificatePolicy:PolicyIdentifier=1.
3.
6.
1.
4.
1.
29836.
1.
1[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cnnic.
cn/cps/增强型密钥用法服务器验证(1.
3.
6.
1.
5.
5.
7.
3.
1)客户端验证(1.
3.
6.
1.
5.
5.
7.
3.
2)主题备用名在多域名证书中值为证书所认证的所有域名EV高级证书格式如下:签名算法Sha1RSA颁发者CNCNNICEVSSLOChinaInternetNetworkInformationCenterCCN有效期1年或2年主题CN域名OU部门名称O单位名称L城市S州或省C国家序列号注册号码颁发机构密钥标识符KeyID密钥用法(非关键)DigitalSignature,KeyEncipherment(a0)增强型密钥用法服务器验证(1.
3.
6.
1.
5.
5.
7.
3.
1)客户端验证(1.
3.
6.
1.
5.
5.
7.
3.
2)基本限制SubjectType=EndEntityPathLengthConstraint=None证书策略[1]CertificatePolicy:PolicyIdentifier=1.
3.
6.
1.
4.
1.
29836.
1.
10[1,1]PolicyQualifierInfo:PolicyQualifierId=CPSQualifier:http://www.
cnnic.
cn/cps/CRL分发策略[1]CRLDistributionPointDistributionPointName:FullName:DirectoryAddress:CN=crl*(*这个序号是根据证书序列号计算出来的)OU=crlO=ChinaInternetNetworkInformationCenterC=cn[2]CRLDistributionPointDistributionPointName:FullName:URL=http://www.
cnnic.
cn/download/evcrl/crl*(*这个序号是根据证书序列号计算出来的).
crl指纹算法sha1RSA主题备用名在多域名证书中值为证书所认证的所有域名7.
1.
1版本号CNNIC可信网络服务中心域名证书有广泛的通用性.
证书格式符合X.
509V3标准,可以提供支持证书扩展的能力.
7.
1.
2证书扩展项针对特别的用户,CNNIC签发的证书有可能包含私有扩展项,不能识别私有扩展项的应用、依赖方可以忽略该扩展项.
各扩展项说明如7.
1中证书结构说明.
7.
1.
3密钥算法对象标识符CNNIC可信网络服务中心签发证书所使用的签名算法为sha1RSA和sha256RSA.
.
7.
1.
4名称形式CNNIC可信网络服务中心签发证书的甄别名符合X500关于甄别名的规定.
对于证书主题甄别名,C代表国家,值是CN;O代表组织,值是CNNIC或CNNICSSL或域名证书持有者名称;CN中包括单域名证书、通配域名证书是单个域名,多域名证书中的一个域名.
7.
1.
5名称限制如有非CNNIC运营的二级CA,则将会限制该二级CA签发证书的范围只能包含指定的域名和IP地址.
如果该二级CA获得了WebTrustCA和EV的审计报告证明其符合CA/BForum上BR和EV的要求,则该名称限制可以不被应用.
7.
1.
6证书策略对象标识符证书策略由发证机构制定并对外广泛发布,同时向国际标准化组织申请标准的对象标识符(OID),从而保证与其它应用相兼容,对象标识符在通信服务中进行传递,作为该证书机构证书策略的标识,代表该认证机构提供证书服务的相关策略.
另一方面,只有证书申请者同意该证书策略,才可以从认证中心去申请和获得数字证书.
7.
1.
7策略限制扩展项的用法规定在CA体系中的各层CA使用相同的CP以及是否和其他CA体系互相信任.
CNNIC可信网络服务中心域名证书未使用本扩展域.
7.
1.
8策略限定符的语法和语义对于本扩展域,X.
509V3标准没有规定格式,可以提供CPS在网上的位置说明.
CNNIC可信网络服务中心域名证书未使用本扩展域.
7.
1.
9关键证书策略扩展项的处理规则CNNIC可信网络服务中心域名证书未使用.
7.
2证书废止列表(CRL)结构CNNIC可信网络服务中心证书废止列表(CRL)的格式为X.
509第二版本.
7.
2.
1版本号V2.
7.
2.
2CRL和CRL条目扩展项CRL数据定义版本(Version)含义:显示CRL的版本号.
签名(Signature)含义:签发CRL的CA的签名.
算法标识(algorithmIdentifier)含义:定义签发CRL所使用的算法.
CRL的签发者(Issuer)含义:指明签发CRL的CA的甄别名.
CRL发布时间(thisUpdate)预计下一个CRL更新时间(nextupdate)废止证书信息目录(revokedcertificates)7.
3OCSPCNNIC可信网络服务中心CA签发的OCSP响应符合RFC2560标准.
OCSP响应至少包含如下表所述基本域和内容.
OCSP结构的基本域域值或值的限制状态响应状态,包括成功、请求格式错误、内部错误、稍候重试、请求没有签名和请求签名证书无授权,当状态为成功时必须包括以下各项版本V1签名算法签发OCSP的算法.
使用sha1WithRSAEncryption(OID:1.
2.
840.
113549.
1.
1.
5)算法签名.
颁发者签发OCSP的实体.
签发者公钥的SHA1数据摘要值和证书甄别名.
产生时间OCSP响应的产生时间.
证书状态列表包括请求中所查询的证书状态列表.
每个证书状态包括证书标识、证书状态以及证书废止信息.
证书标识包括数据摘要算法(SHA1,OID:1.
3.
14.
3.
2.
26)、证书甄别名数据摘要值、证书公钥数据摘要值和证书序列号.
证书状态证书的最新状态,包括有效、废止和未知.
证书废止信息当返回证书状态为废止时包含废止时间和废止原因.
7.
3.
1版本号V1.
7.
3.
2OCSP扩展项与RFC2560一致.
7.
3.
3OCSP请求OCSP请求至少包括:协议版本服务请求目标证书标识OCSP服务器需要的扩展项7.
3.
4OCSP响应正确的OCSP响应须包括:响应协议的版本OCSP服务器的名称对一个请求中的每一个证书的应答(包括目标证书标识、证书状态值、有效应答的时间间隔、可选的扩展项)可选的扩展项签名计算方法OID用杂凑函数计算出的签名八、认证机构审计和其他评估CNNIC可信网络服务认证中心在物理控制、密钥管理、操作控制、证书声明周期管理等方面的执行情况将被审查、评估,以确定实际发生情况是否与预定的标准、要求一致,称为一致性审查,并根据审查结果采取行动.
8.
1评估的频率和情形CNNIC每年进行一次一致性审计,由电子认证服务的主管部门组织.
8.
2评估者的资质由电子认证服务的主管部门负责确定.
8.
3评估者与被评估者之间的关系评估者为电子认证服务的主管部门选择的独立第三方人员,与CNNIC不存在任何商业利益关系.
8.
4评估的内容评估的内容包括:CA环境控制、服务完整性(包括密钥和证书声明周期管理控制)和CPS对实际业务情况的披露和执行情况等.
8.
5对问题与不足采取的措施CNNIC管理层将对审计报告进行评估,对存在一致性审查中发现的重大意外或不作为积极采取补救措施,直到解决问题.
8.
6评估结果的传达与发布电子认证服务主管部门的年度审查结果将在其相关网站上公开,任何人均可查询.

8.
7其他评估除了电子认证服务主管部门的年度审计外,CNNIC将定期进行内部审计评估,评估的内容与外部审计一致.
九、其他业务和法律事务9.
1费用9.
1.
1证书签发和更新费用.
CNNIC根据市场自行决定.
9.
1.
2证书查询的费用.
查询服务不授权费用.
9.
1.
3证书吊销或状态信息的查询费用证书吊销及CRL的更新获取不收取任何费用,OCSP查询服务也不收取费用.
9.
1.
4其他服务费用.
无规定.
9.
1.
5退款策略CNNIC可信网络服务中心无退款策略.
9.
2财务责任CNNIC将向用户提供证书使用保障,如果是由于CNNIC原因导致用户使用证书过程中遭受损失,CNNIC对于任何证书持有者、或任何信赖方,CNNIC可信网络服务中心所负法律责任限于在任何情况下每张域名证书不得超过证书购买价格的10倍.
9.
3业务信息保密CNNIC专门的信息保密制度,保护自身和客户的敏感信息和商业秘密.
9.
4机密性保密信息包括:a)证书持有者的签名私钥是保密的,不向CNNIC可信网络服务中心提供b)CNNIC可信网络服务中心的经营和控制专用的信息,都由CNNIC可信网络服务中心秘密保管;除非法律另有规定,否则不能对外泄漏.
c)除在证书、CRL、证书政策、CPS中公开发布的信息之外的有关证书持有者的信息,是保密信息;除非有证书政策要求,或法律另行规定,否则一律不能对外公开.

d)一般来说,每年的审计结果应该保密,除非CNNIC可信网络服务中心安全管理委员会认为有必要公布审计结果.
非保密信息包括:a)由CNNIC可信网络服务中心签发的证书以及CRL中所包括的信息是非保密信息.
b)CNNIC可信网络服务中心公布的CPS中的信息(或其他公布的商业事项)是非保密信息.
c)当CNNIC可信网络服务中心废止某一证书时,CRL中列出了证书的废止理由.
该废止理由的代码是非保密信息,所有其他证书持有者和证书信赖方都可以分享该信息.

但是,有关废止的其他细节一般不公布.
CNNIC可信网络服务中心将根据法律规定,应执法人员的执法要求公开信息.
CNNIC可信网络服务中心将根据信息持有人要求向其他方公布有关信息持有人的信息.

9.
5知识产权9.
5.
1证书和吊销信息中的知识产权CNNIC对于所签发的证书,证书吊销列表及其中的信息拥有知识产权9.
5.
2CPS中的知识产权CNNIC对于该CPS拥有知识产权.
9.
5.
3密钥和密钥材料的知识产权证书中的密钥对是证书主体中对应实体或实体拥有者的知识产权.
9.
6责任与义务9.
6.
1CA的责任与义务根据条例,CNNIC可信网络服务中心为受认可的证书认证机构,负责使用稳定系统签发、废止证书及利用公开储存库发布证书撤销列表等信息.
根据本CPS,CNNIC可信网络服务中心所属认证中心有下述义务:a)接收注册中心的请求及时签发证书b)废止证书并及时发布证书废止列表(CRL)(见第4.
8节)CNNIC可信网络服务中心定期查看来自CA/BForum的SSLBaselineRequirement基线要求的更新内容,并承诺将根据基线要求的内容进行CA系统及业务逻辑内容的升级调整,保证对服务器证书的签发及管理符合最新版本的SSLBaselineRequirement要求.
同时,将根据CA/BForum上发布的《EVSSLCertificateGuildlines》来进行EVSSL证书的签发和管理.
9.
6.
2RA的义务注册中心系统RA负责证书申请者证书的申请和审批及证书管理,并将证书申请信息传递到认证中心.
注册中心有下述义务:a)根据本CPS第3、4章规定,验证申请人所提交信息的准确性和真实性,并使验证通过的证书申请生效,将其安全传递给认证中心(CA),证书申请包括证书注册、更新、废止等类型申请.
b)通知申请人有关已批准或被拒绝的证书申请(见第4.
1、4.
2、4.
3及4.
4节)c)通知证书持有者有关已废止的证书(见第4.
5.
1,4.
5.
2及4.
5.
3节)CNNIC可信网络服务中心仅有一个注册中心,设在CNNIC.
CNNIC可信网络服务中心确认LRA的身份,并授权LRA进行证书申请者注册的资料收集工作.
LRA有义务在证书申请者进行证书注册、补发、续费、废止、多域名修改时负责收集相关信息并初步验证这些信息的正确性.
9.
6.
3订户的义务申请人须签署或确定接受一份协议(按本CPS规定的条款),其中载有一条款.
申请人据此条款同意,申请人一经接受根据本CPS发出的证书,即表示其向CNNIC可信网络服务中心保证(承诺)并向所有其它有关人士(尤其是信赖方)做出陈述,在证书的有效期内,以下事实属实并将保持真实:除域名证书持有者及其授权者外,并无其它人士曾取用证书持有者的私人密钥.

使用与证书持有者域名证书所包含的公开密钥相关的证书持有者私人密钥所产生的每一数字签名实属证书持有者的数字签名.
证书所包含的所有资料及由证书持有者做出的陈述均属真实.
证书将只会用于符合本CPS认可并合法的用途.
在证书申请过程中所提供的所有资料,均不侵犯任何第三方的商标、服务标记、商号、公司名称或任何知识产权.
9.
6.
4证书持有人义务证书持有者负责:a)适当完成申请程序并在适当表格内签署或确定接受证书持有者协议;履行该协议规定其应承担的义务并确保在申请证书时所作的陈述准确无误.
b)准确地遵守本CPS所描述的关于完成证书的程序.
c)承诺使用合理预防措施来保护其证书私人密钥的机密性(即对其保密)及完整性以防丢失、泄露或未经授权使用.
d)发现其证书的私人密钥丢失或泄漏时,立即向CNNIC可信网络服务中心报告丢失或泄漏.
e)及时将证书持有者证书资料的任何变动通知给CNNIC可信网络服务中心.
f)出现4.
8.
1节所规定的废止证书的情形时,立即通知给CNNIC可信网络服务中心.
g)向CNNIC可信网络服务中心保证,并向所有证书信赖方表明,在证书的有效期内,以上第9.
6.
2节所描述的事实真实.
h)在明知CNNIC可信网络服务中心根据本CPS可能废止证书的情况下,或证书持有者已提出废止申请,或CNNIC可信网络服务中心拟根据本CPS废止证书并通知证书持有者后,均不得在交易中使用证书.
i)在明知CNNIC可信网络服务中心根据本CPS可能废止证书的情况下,或证书持有者提出废止申请,或CNNIC可信网络服务中心拟根据本CPS废止证书并通知证书持有者后,须立即通知从事当时仍有待完成的任何交易的证书信赖方,并明确说明,用于该交易的证书需要废止(由CNNIC可信网络服务中心或经证书持有者申请),证书信赖方不得在交易中信任此证书.
j)证书的使用仅限于合法目的,并且符合相关的证书策略和本CPS(或其他公布的商业事项).
如果注册者有理由相信与证书所用的公钥相对应的私钥有泄密的危险,那么应及时通知CNNIC可信网络服务中心废止证书.
k)证书持有者承认,如其未能按照上述条款的规定履行其义务,则其应对可能造成的CNNIC可信网络服务中心或其信赖方的损失承担赔偿责任.
9.
6.
5信赖方的担保与陈述信任CNNIC可信网络服务中心数字证书的证书信赖方负责:a)证书信赖方考虑过所有因素后并确信信任证书实属合理时,方可信任该证书.

b)在信任该证书前,确定使用证书是适合本CPS规定的用途,即仅信任CNNIC可信网络服务中心的证书用作域名证书.
c)在信任证书前查核证书废止列表(CRL)上的证书状态.
d)执行所有适当证书路径验证程序.
一旦信任了该证书,即表明同意接受本CPS所规定的责任限制的条款.
9.
7担保免责CNNIC可信网络服务中心将根据本CPS采取合理的技术及管理措施,向各证书持有者和信赖方行使其权利并履行其义务.
CNNIC可信网络服务中心不保证根据本CPS提供的服务不中断或无错误.
也就是说,尽管CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心根据CPS行使应有的权利及义务时采取合理的技术及管理措施,若证书持有者或信赖方遭受出自CPS中描述的公开密钥基础设施或与之相关的任何性质的债务、损失或损害,各证书持有者同意CNNIC可信网络服务中心及其注册中心无需承担任何责任、损失或损害.
CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心已采取合理程度的技术及管理措施的前提下,若证书持有者因信任另一证书持有者由CNNIC可信网络服务中心所发出的证书支持的虚假或伪造的数字签名而蒙受损失或损害,CNNIC可信网络服务中心或代表CNNIC可信网络服务中心的注册中心概不负责.
在CNNIC可信网络服务中心已采取合理的技术或管理手段以避免或减轻无法控制事件后果的前提下,若证书持有者因CNNIC可信网络服务中心不能控制的情况遭受不良影响,CNNIC可信网络服务中心概不负责.
CNNIC可信网络服务中心控制以外的情况包括但不限于互联网或电信或其它基础设施系统的不可用,或天灾、战争、军事行动、国家紧急状态、疫症、火灾、水灾、地震、罢工或暴乱或其它证书持有者或其它第三者的疏忽或蓄意不当行为.
9.
8有限责任9.
8.
1限制的合理性各证书持有者或信赖方必须同意,CNNIC可信网络服务中心按证书持有者协议及本CPS所列条件限制其法律责任实属合理.
9.
8.
2可追讨损失种类的限制CNNIC可信网络服务中心若违反《证书持有者协议》或者出现任何职务职责的情况下,而造成证书持有者或信赖方遭受损失及损害的,CNNIC可信网络服务中心不负责下述原因造成的损失及损害的赔偿:a)任何直接或间接利润或收入损失、信誉或商誉损失或伤害、任何商机损失、失去项目、或失去或无法使用任何数据、设备或软件;b)任何间接、相应而生或附带引起的损失或损害.
9.
8.
3限额如因为CNNIC可信网络服务中心违反《证书持有者协议》或者负有任何职务职责的情况下,而造成证书持有者或信赖方蒙受损失及损害,对于任何证书持有者、或任何信赖方,CNNIC可信网络服务中心所负法律责任限于在任何情况下每张域名证书不得超过证书购买价格的10倍.
9.
8.
4提出赔偿的时限证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.

9.
8.
5故意不当行为的责任任何因欺诈或故意不当行为的责任均不在本CPS、证书持有者协议或CNNIC可信网络服务中心签发的证书的任何限制或除外规定范围内.
9.
8.
6证书责任限制通知CNNIC可信网络服务中心签发证书已经作出如下责任限制通知:"CNNIC可信网络服务中心职员按CNNIC可信网络服务中心签署的证书业务规则所载条款,在条件适用于本证书的情况下,根据相关规定作为证书认证机构签发本证书.

因此,任何人士信任本证书前均应阅读适用于域名证书的证书业务规则(可浏览http://cnnic.
cn/jczyfw/fwqzs/CNNICfwqzsywgz/201206/t20120613_28262.
htm).
中华人民共和国法律适用于本证书,信赖方须承认因信任本证书而引致的任何争议或问题属于中华人民共和国法律管辖.
如果信赖方不接受本证书用来签发的条款及条件,则不应信任本证书.
CNNIC可信网络服务中心签发本证书,但无须对信赖方承担任何责任或职务职责.

信赖方信任本证书前确保信任行为公平合理无恶意,方可信任本证书;信任本证书前,确定证书的使用就CPS规定的用途而言实属适当;信任本证书前,根据证书废止列表(CRL)检查本证书的状态,并履行所有适当证书路径验证程序.
尽管CNNIC可信网络服务中心已采取合理技术及管理措施,若本证书仍在任何方面存在不准确或误导,则CNNIC可信网络服务中心对信赖方的任何损失或损害不承担任何责任.
若本证书在任何方面存在不准确或误导,而这种不准确或误导是因CNNIC可信网络服务中心的疏忽所导致,则CNNIC可信网络服务中心将可以因合理信任本证书中的这种不准确或误导事项而造成的经证实损失向每名信赖方支付最多为证书购买价格的10倍,只有这种损失不属于并且不包括(1)任何直接或间接损失,包括利润或收入损失、信誉或商誉损失或伤害、商机或契机损失、失去项目、失去或无法使用任何数据、设备或软件等;(2)任何间接、相应而生或偶然引起的损失或损害.
在该等情况下根据条例适用于本证书的信任额度为证书购买价格的10倍.
证书持有者或信赖方若向CNNIC提出赔偿请求,产生该赔偿请求之事由应与证书的签发、废止相关,并须在证书持有者或信赖方自知晓该事由之日起半年内提出;或自应该知晓此事由之日起半年内(若更早)提出.
半年期限届满时,该赔偿请求必须放弃且绝对禁止.

若本证书包含任何由CNNIC可信网络服务中心做出的故意或罔顾后果的失实陈述,则本证书并不就这类对因合理信任本证书中的失实陈述而遭受损失的信赖方所应承担的法律责任做出任何限制.
本文所描述的法律责任限制不适用于个人伤害或死亡的(不大可能发生的)情形.
"9.
8.
7CNNIC可信网络服务中心对已获接受但有缺陷的数字证书所承担的责任若证书持有者接受证书后发现,因证书包含的私人密钥或公开密钥出现差错,导致基于公开密钥基础设施的交易无法适当完成或根本无法完成,则证书持有者须将这种情况立即通知CNNIC可信网络服务中心,以便废止证书并重新签发.
或者在接受证书后三个月内发现这种情况且证书持有者不再需要证书,则在CNNIC同意的前提下,可以申请退款.
如果证书持有者在接受证书三个月后才将这类差错通知CNNIC,则将不会退还持有者已缴纳的费用.
9.
8.
8证书持有者的转让证书持有者不可转让证书持有者协议或证书赋予的权利,任何转让行为均属无效.

9.
8.
9陈述权限除非获得CNNIC可信网络服务中心授权,CNNIC可信网络服务中心或注册中心的代理人或工作人员无权代表CNNIC可信网络服务中心对本CPS的含义或解释作任何陈述.
9.
8.
10更改CNNIC可信网络服务中心有权更改本CPS,在修改CPS条款并正式发布之前,CNNIC将与Microsoft,Apple,Google,Chrome等主流浏览器及操作系统厂商进行沟通,同时与WebTrust审计方进行沟通,确认修改符合WebTrust以及CA/BrowserForum上SSLBaselineRequirement的要求;证书持有者协议不得做出修改或变更,除非符合本CPS中的修改或变更规定,或获得CNNIC可信网络服务中心的明确书面同意.
9.
8.
11保留所有权根据本CPS签发的证书上所有资料的实体权利、版权及知识产权均属CNNIC可信网络服务中心所有.
9.
8.
12条款冲突若本CPS与证书持有者协议或其它规则、指引、协议有冲突,证书持有者、信赖方及CNNIC可信网络服务中心须受本CPS条款约束,除非该等条款受法律禁止.
9.
9有效期限和终止9.
9.
1有效期限除非CNNIC特别声明CPS提前终止,在颁布新版本的CPS之前,该版本CPS一直有效.
9.
9.
2终止当CNNIC终止该项业务时,CPS终止,CNNIC将提前60天在官方网站发出通告,并作出妥善安排.
9.
10对参与者个别通告与沟通CNNIC及其注册服务机构在必要的情形下,如在发现订户将证书用于规定之外的用途及违反协议的行为进行证书的吊销时,会通过电话,邮件等适当方式个别通知订户和依赖方.

9.
11即使及执行9.
11.
1管辖法律本CPS受中华人民共和国法律管辖.
9.
11.
2条款可中止性、修改若本CPS的任何条款被宣布为非法、不可执行或无效,则应删除其中任何非法的词语,直至该等条款成为合法及可执行为止,同时应保留该等条款的本意.
本CPS的任何条款的不可执行性将不损害任何其它条款的可执行性.
CNNIC可信网络服务中心拆分或合并可能导致其经营范围、管理和运营状况的改变.
这种情况下,可能也需要修改本CPS.
经营活动的改变会与CPS的修改相一致.
9.
11.
3争议解决程序若当事人之间的争议无法友好协商解决,应提交中国国际经济贸易仲裁委员会进行仲裁.
仲裁的裁决是终局性的,对当事人均有约束力.
仲裁的裁决过程采用中文记录,仲裁裁决由有管辖权的法院执行.
9.
12修订9.
12.
1修订程序在CNNIC可信网络服务中心的CPS做出任何变动之前,CNNIC可信网络服务中心将对变动的条款进行研究,做出变更的决定.
在征求CNNIC可信网络服务中心律师法律意见后,由安全管理委员会形成决议.
CNNIC可信网络服务中心形成决议后,在CNNIC可信网络服务中心网站公布变更后的CNNIC可信网络服务中心CPS.
CNNIC可信网络服务中心将对CPS进行严格的版本控制.
9.
12.
2通知机制与期限所有公告和通知将在CNNIC可信网络服务中心网站上公布(http://www.
cnnic.
cn).
9.
12.
3必须修改业务规则的情形由CNNIC可信网络服务安全管理委员会根据公司业务情况决定.
10A.
CNNICCA二级根生命周期管理10.
1二级根授权基本管理流程CNNIC将按照如下流程进行二级根签发:1.
二级根证书申请人提出申请.
2.
由CNNICCA中心各角色对二级根证书申请人的各项资质进行评审,详见5.
23.
CNNICCA中心通过评审及风险评估,对二级根申请合作给出评估意见;4.
CNNIC安全管理委员会对上述评估意见进行评审,决定是否进行二级根授权合作;5.
如确定合作,CNNIC与二级根申请人签署合作协议;6.
CNNIC在CPS和CP中对将要新签发的二级根证书结构和用途进行披露说明;(包括提前45天向各个浏览器及操作系统厂商进行披露)7.
CNNIC启动外部授权二级根签发流程,详见5.
3.
8.
CNNIC对外公布该签发的二级根证书.
二级根签发完成并公布之后,CNNIC将按照审计周期对二级根CA的审计报告进行验证.
10.
2二级根申请人资质评审10.
2.
1申请资料申请人提供盖章签字的申请书,申请人基本资料(包括企业营业执照复印件等),申请机构在其官网发布的CP和CPS,申请机构的WebTrust审计报告,二级CA内部流程及制度相关管理文档,包括不限于如下文档:机房设计文档、机房管理制度、加密机/密钥管理制度.
10.
2.
2二级根密钥生成及管理核验CNNIC安排专人负责二级根密钥生成和管理核验,其具体工作流程包括:提前研究机房设计文档、机房管理制度、加密机/密钥管理制度,同时研读其CPS和CP中机房环境、访问控制、加密机管理、密钥管理相关条款.
亲自参加和见证二级根密钥生成仪式,并参观其CA中心机房.
核验如下内容:是否有二级根密钥生成脚本;二级根密钥生成脚本是否符合CPS、CP及内部制度中密钥管理相关制度要求;是否完全按照密钥生成脚本完成二级根密钥生成;生成和保管密钥的机房环境是否与CPS、CP相关条款及机房设计和管理文档内容一致;生成和保管密钥使用的加密机是否与CPS、CP中的说明一致,符合相关标准要求;生成和保管密钥是否实施了多人控制,符合CPS、CP相关条款和加密机/密钥管理制度要求;检查加密机日志,确认是否有本次密钥生成记录.
10.
2.
3审计报告核验CNNIC安排专人负责二级根WebTrust审计报告的定期核验,具体工作流程包括:(1)按照审计报告中的审计周期定期到WebTrust官网确认报告是否持续有效;(2)提前与审计方沟通确认审计报告中需要覆盖的点,并对报告中的关键点进行确认;(3)如二级根CA的审计报告中包含不符合项,CNNICCA会启动风险评估流程对不符合项的风险进行评估,以决定是否吊销该二级根证书或作其他处理,所有处理将及时向公众披露.
10.
2.
4风险评估收集并汇总包括不限于上述10.
2.
1,10.
2.
2,10.
2.
3中的资料,并由CNNICCA中心各相关角色进行风险评估准备工作,然后通过会议讨论方式进行风险评估并得出风险评估内容.
10.
3二级根证书签发及记录CNNIC将按照二级根签发记录表(见CP)中各CA角色的审批结果,进行二级根的签发,同时对二级根签发过程完整记录,并将签发的证书进行公开披露.
10.
4二级根证书吊销处理在如下情形下,CNNICCA将在7天之内吊销二级CA证书:1.
子CA书面申请吊销二级根CA可以向CNNIC提出吊销申请,原因包括不限于密钥泄露,业务合作终止等安全或商业方面的原因.
二级根CA需要提供正式的证书吊销书面申请材料,二级根CA公司证明文件,并提供至少2名联系人的身份证明文件,其中1名必须为CA产品主要负责人(CA产品总监或首席安全管理员).
CNNIC收到二级根CA的吊销请求后,将通过电话回访的方式向二级根CA公司确认2名经办人的身份(通过二级根CA的CPS中公布的联系人和联系方式进行确认),之后联系二级根CA产品主要负责人以确认二级根吊销的申请是真实有效的.
CNNIC将由2名审核员同时进行上述确认工作,并在审核验证单上个签字.
确认后CNNIC将进行二级根吊销操作,并立即更新根CRL及OCSP服务.
2.
子CA通知根CA原证书请求未经授权且没有被追溯给予授权;3.
根CA得到证据证明子CA的私钥被泄露或者不符合密钥生成的要求;4.
根CA得到证据证书属于不当签发;5.
根CA意识到二级CA进行证书签发不符合CP或CPS要求,或者是子CA没有遵守CA/BForum上SSLBR的规则;6.
根CA确定证书中的信息是不准确的或者令人误解的;7.
根CA与子CA基于任何理由终止合作;8.
除非根CA能安排继续维护CRL或者OCSP证书库,否则根CA或子CA签发证书的权限应该被吊销或终止;9.
证书吊销在签发CA的CP和CPS中需要定义;10.
证书的技术细节或格式对于应用软件提供商或者可信第三方来说,表现出不可接受的风险.
(举例来说:CA/BrowserForum会指出当不宜使用的加密或签名算法或者是密钥长度已经呈现出不可接受的风险时,这种证书应该被吊销,且被CA在指定时间内替换)10.
5二级根更新10.
5.
1二级根更新申请二级根CA可以在证书过期之前48个月之内向CNNIC提出二级根的更新申请.
10.
5.
2二级根更新提交资料二级根CA需要提供二级根更新申请表(签字盖章),二级根CA公司证明文件,并提供至少2名联系人的身份证明文件,其中1名必须为CA产品主要负责人(CA产品总监或首席安全管理员).
10.
5.
3验证CNNIC收到二级根CA的更新请求后,将通过电话回访的方式向二级根CA公司确认2名经办人的身份(通过二级根CA的CPS中公布的联系人和联系方式进行确认),之后联系10.
5.
2中提供的二级CA产品主要负责人以确认二级根证书更新的申请真实有效的,CNNIC将由2名审核员同时进行上述确认工作,并在审核验证单上个签字.
10.
5.
4操作并记录CNNIC将按照《CNNIC外部授权二级根签发记录表》中的步骤进行二级根更新的操作和记录.
10.
6二级根密钥变更10.
6.
1二级根密钥变更适用范围二级根CA应该在如下情况下向CNNIC提出密钥变更的申请,A,二级根CA发现了根密钥泄露或其他导致密钥不再安全的隐患,需要向CNNIC提出密钥变更的申请.
B,根据CNNIC密钥生命周期管理要求,二级根密钥的有效期不能超过10年,二级根CA需要在密钥过期之前向CNNIC提出密钥变更的申请.
10.
6.
2二级根密钥变更申请及核验二级根CA需要提供二级根密钥变更申请表(签字盖章),二级根CA公司证明文件,并提供至少2名联系人的身份证明文件,其中1名必须为CA产品主要负责人(CA产品总监或首席安全管理员).
CNNIC收到二级根CA的更新请求后,将通过电话回访的方式向二级根CA公司确认2名经办人的身份(通过二级根CA的CPS中公布的联系人和联系方式进行确认),之后联系二级CA产品主要负责人以确认二级根密钥变更的申请是真实有效的.
CNNIC将由2名审核员同时进行上述确认工作,并在审核验证单上个签字.
10.
6.
3二级根密钥变更处理(1).
如二级根密钥变更申请原因为5.
6.
1中A,则CNNIC将吊销原有密钥对应的二级根证书,并立即更新CRL和OCSP服务,按照《CNNIC外部授权二级根签发记录表》中的步骤进行二级根的签发操作和记录,并确认新签发的二级根证书密钥与原二级根证书不同.

(2).
如二级根密钥变更申请原因为5.
6.
1中的B,CNNIC将按照《CNNIC外部授权二级根签发记录表》中的步骤进行二级根的签发操作和记录,并确认新签发的二级根证书密钥与原二级根证书不同,原有的二级根证书不进行作废操作,待其自然过期.
11.
B:EV型证书生命周期管理.
11.
1证书的申请11.
1.
1申请人CNNIC可信网络服务中心的EV高级证书申请者为商业、非商业、政府机构,根据中国的国情一概以企业、组织机构或其他单位代表.
证书申请者持有私钥,并且身份信息会在EV高级证书中体现.
EV型证书不签发给个人用户.
EV高级证书申请单位需要如下的角色,具体情况可进行调整:证书申请者证书申请批准者协议签署者:EV高级证书申请的协议必须是由被授权的人来签署.
申请代表人:当证书申请者和CNNIC可信网络服务中心有附属关系时,申请EV证书的使用条款必须由申请代表人确认和同意.
该申请代表人为自然人,可以是申请单位的职员或者被授权的代理人,并且已获得申请单位的授权可以承认和同意使用条款.
证书申请者可授权一个人来完成所有的角色,也可以分别让四个人来完成.
EV高级证书的申请者必须是被授权的自然人.
申请者必须是申请单位的职员或被授权的代理人(需要有申请单位授权书或第三方的证明材料).
11.
1.
2申请提供资料EV高级证书申请经办人提交申请资料给本地受理点(LRA)录入员:EV高级证书申请者身份证明:组织机构代码证复印件或企业法人营业执照复印件(每页加盖公章);EV高级证书注册申请书原件.
提交主管人和经办人的身份证明复印件.
如申请者为商业机构,成立时间不超过三年,申请单位需要提交在金融机构开有活期存款账户的开户证明或第三方独立审计机构出具的验资报告.
EV高级证书面签证明,必须由LRA的代表签署证明申请资料当面签收.
11.
1.
3证书申请年限及类型用户可以申请1年和2年期限的EV高级证书,已签发证书可以在过期前3个月提出更新申请,CNNIC签发的EV高级最长不超过27个月.
CNNICCA不签发含有通配符的EV型高级证书.
11.
2EV高级证书的验证CNNIC可信网络服务中心完全遵循CA/BForum《EVSSLCertificateGuildlines》,在颁发EV高级证书前对证书所包含的信息做严格的验证.
主要验证过程及措施如下.

11.
2.
1验证要求EV高级证书不面向个人,必须是企业、事业单位、组织社团等实体.
必须保证其依法存在实体名称与EV高级证书申请者的名称一致成立或注册管辖区域所分配的注册编号,如未指定则获取成立日期注册机构的身份和地址11.
2.
2验证过程CNNIC可信网络服务中心审核员将申请者提供的身份证明文件所包含的基本信息(包括单位名称、组成形式、注册编号、法人、注册资本、成立日基本信息(包括单位名称、组成形式、注册编号、法人、注册资本、成立日期、年检时间等等)与权威第三方提供的申请者基本信息进行比对,以确认该申请者的身份证明文件是否真实.

为验证申请单位的物理存在,CNNIC可信网络服务中心必须保证申请者提供的物理地址为申请单位或其子公司或母公司的业务地址.
且申请者提供的电话号码是其营业地点的电话号码.
CNNIC可信网络服务中心审核员将通过官方授权的电信运营网站或电话、邮件等方式,进行物理运营地址及电话的验证.
为验证申请者对EV高级证书中列出的域名有唯一管理权,CNNIC可信网络服务中心通过WHOIS查询核实域名所有者是否与申请单位一致.
若域名持有者的名称与申请者名称不相同,需由申请者提交补充资料:补充域名持有者的授权及域名持有者的身份证明,或加盖授权单位的公章.
或补充相应说明资料,并且提供域名的注册合同.
CNNIC可信网络服务中心审核员将通过中华人名共和国公安部门提供的接口验证申请机构的经办人和主管人的身份证信息是否真实.
同时,CNNIC可信网络服务中心审核员将通过电话与主管人、经办人及单位的前台(或总机)工作人员或人力资源部人员或其它同事分别进行职位等信息确认工作.

申请代表人:当证书申请者和CNNIC可信网络服务中心有附属关系时,申请EV证书的使用条款必须由申请代表人确认和同意.
该申请代表人为自然人,可以是申请单位的职员或者被授权的代理人,并且已获得申请单位的授权可以承认和同意使用条款.
11.
2.
3其他的验证要求高风险的申请者:CNNIC可信网络服务中心将定期关注及搜集钓鱼网站的列表,同时也将参考国际反钓鱼工作组(APWG)及中国反钓鱼联盟(APAC)发布的钓鱼网站名单,对于此类网站的申请需要严格、谨慎的把控或拒绝.
拒绝签发名单及其他黑名单:对于列在国家或当地政府禁止从事商业活动的组织,CNNIC可信网络服务中心也将禁止对此部分用户发放EV高级证书.
11.
3EV高级证书的废止11.
3.
1CNNIC主动吊销如果出现下列情况,CNNIC可信网络服务中心有权在24小时内废止所签发的EV域名证书:1.
事后检查发现EV高级证书持有者申请域名证书时提供的资料存在虚假信息;2.
EV高级证书持有者未履行证书持有者协议所约定的义务;3.
EV高级证书持有者要求废止域名证书;4.
EV高级证书持有者主体消亡;5.
EV高级证书持有者变更域名证书的用途;6.
发现证书密钥受到安全损害时;7.
法律或法规要求的其他情况.
11.
3.
2订户申请吊销EV高级证书持有者也可以自行要求废止自己的EV高级证书.
在EV高级证书持有者提交废止请求时,需同时提供书面申请表和申请证书时提供的信息,来用于身份鉴别的信息.