协卡网络信任服务体系证书策略

UniTrustNetworkTrustServiceHierarchyCertificatePolicies(UNTSHCP)1.
4.
5版本生效日期:2020年6月5日上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第2页共73页2《协卡网络信任服务体系证书策略》UniTrustNetworkTrustServiceHierarchyCertificatePolicies本文档由上海市数字证书认证中心有限公司(SHECA)编写和发布,SHECA拥有全部版权.
任何需要本文的的单位或者个人,可以与上海市数字证书认证中心有限公司战略发展部联系:地址:上海市四川北路1717号嘉杰国际广场18楼200080电话:86-21-36393197电子邮件:policy@sheca.
com商标说明UniTrust是上海市数字证书认证中心有限公司注册(SHECA)的商标,也是SHECA的服务标识.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第3页共73页3本文件历史变更记录版本生效日作者发布者说明V1.
4.
52020年6月5日陈晓曈SHECA安全认证委员会修订发布V1.
4.
42020年4月30日陈晓曈SHECA安全认证委员会修订发布V1.
4.
32020年4月2日陈晓曈SHECA安全认证委员会修订发布V1.
4.
22019年5月29日陈晓曈SHECA安全认证委员会修订发布V1.
4.
12018年9月10日陈晓曈SHECA安全认证委员会修订发布V1.
42018年8月31日陈晓曈SHECA安全认证委员会修订发布V1.
32018年6月7日陈晓曈SHECA安全认证委员会修订发布V1.
22017年5月24日熊媛媛SHECA安全认证委员会修订发布V1.
1.
32016年5月25日崔久强SHECA安全认证委员会修订发布V1.
1.
2.
12014年9月1日崔久强SHECA安全认证委员会修订发布V1.
1.
22014年4月25日崔久强SHECA安全认证委员会修订发布V1.
1.
12010年4月8日崔久强SHECA安全认证委员会修订发布V1.
12009年4月23日崔久强SHECA安全认证委员会修订发布V1.
02009年3月26日崔久强SHECA安全认证委员会初次发布变更摘要版本描述V1.
4.
5披露新的中级根证书GlobalSignChinaCAforAATLV1.
4.
4披露新的根证书UniTrustGlobalRootCAR1,UniTrustGlobalRootCAR2,UniTrustGlobalRootCAR3增加初步调查报告机制V1.
4.
3披露新的交叉根证书UCAGlobalG2RootSSL证书有效期变更V1.
4.
2根证书增加UniTrustPTCRootCAR1,UniTrustPTCRootCAR2修改个人及单位证书申请流程V1.
4.
1增加了变更摘要V1.
4说明SSL证书不签发测试证书更新SSL证书及代码签名证书的更新流程补全BR中列示的所有需撤销的原因V1.
3UNTSH架构调整增加OID列表密钥算法对象标识符V1.
2UNTSH网络信任服务体系架构调整证书吊销请求的处理程序审计日志的保留期限调整证书操作期和密钥对使用期限V1.
1.
3根证书增加UCAGlobalG2RootV1.
1.
2.
1外部RA不签发SSL和代码签名SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第4页共73页4V1.
1.
2增加参照规范UNTSH架构调整增加SSL证书吊销的情形删除附录B证书格式V1.
1.
1公司信息变更删除附录CCRL格式V1.
1增加证书撤销原因修订证书撤销请求增加附录CCRL格式V1.
0--版权所有@上海市数字证书认证中心有限公司本文件所有版权归上海市数字证书认证中心有限公司所有.
未经书面授权,本文件中所有的文字、图表不得以任何形式进行出版.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第5页共73页5声明本CP全部或者部分支持下列标准:RFC3647:互联网X.
509公钥基础设施-证书策略和证书业务声明框架RFC2459:互联网X.
509公钥基础设施-证书和CRL属性RFC2560:互联网X.
509公钥基础设施-在线证书状态协议-OCSPITU-TX.
509V3(1997):信息技术一开放系统互连-目录:认证框架RFC5280:InternetX.
509公钥基础设施证书和CRL结构GB/T20518-2006:信息安全技术公钥基础设施数字证书格式本CP已被提交给独立的审计机构,按照AICPA/CICAWebTrustforCertificationAuthority进行评估,本CP符合上述审计标准的情况,将在www.
sheca.
com网站上进行公布.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第6页共73页6目录.
61.
导言.
81.
1概述.
81.
2文档名称和标识.
131.
3PKI参与者.
141.
4证书使用.
161.
5策略管理.
171.
6定义与缩写.
182.
发布和信息库责任.
192.
1信息库.
192.
2认证信息发布.
192.
3发布时间或频率.
192.
4信息库访问控制.
193.
身份标识与鉴别.
203.
1命名.
203.
2初始身份的确认.
213.
3密钥更新请求的标识与鉴别.
233.
4吊销请求的标识与鉴别.
234.
证书生命周期操作要求.
254.
1证书申请.
254.
2证书申请处理.
264.
3证书签发.
274.
4证书接受.
274.
5密钥对和证书使用.
284.
6证书更新.
294.
7证书密钥更新.
304.
8证书变更.
314.
9证书吊销和挂起.
324.
10证书状态服务.
364.
11订购的结束(终止服务)364.
12密钥托管和恢复.
375.
设施、管理和运作控制.
385.
1物理控制.
385.
2程序控制(流程控制、过程控制)395.
3人员控制.
415.
4审计记录程序.
425.
5记录归档.
445.
6密钥变更.
455.
7损害灾难恢复.
465.
8CA或RA的终止.
476.
技术安全控制.
486.
1密钥对生成和安装.
486.
2私钥保护和密码模块工程控制.
496.
3密钥对管理的其他方面.
52SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第7页共73页76.
4激活数据.
526.
5计算机安全控制.
536.
6生命周期技术控制.
546.
7网络安全控制.
546.
8时间戳.
547.
证书、CRL和OCSP描述(轮廓)557.
1证书描述(轮廓)557.
2CRL描述.
587.
3OCSP描述.
588.
一致性审计和其它评估.
598.
1评估的频率或情形.
598.
2评估者的资质.
598.
3评估者和被评估者的关系.
598.
4评估包含的主题(评估内容)608.
5对不足采取的行动.
608.
6评估结果沟通.
609.
其它事项和法律事务.
629.
1费用.
629.
2财务责任.
639.
3业务信息保密.
649.
4个人信息隐私保护.
659.
5知识产权.
669.
6陈述与担保.
679.
7担保免责.
699.
8有限责任.
699.
9赔偿.
699.
10有效期和终止.
709.
11对各参与方的个别通知和沟通.
709.
12修订.
709.
13争议解决条款.
719.
14管辖法律.
719.
15与适用法律的符合性.
719.
16其它条款.
729.
17其它条款.
72附录A定义和缩写.
73SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第8页共73页81.
导言协卡网络信任服务体系(UniTrustNetworkTrustServiceHierarchy)是由上海市数字证书认证中心有限公司(ShanghaiElectronicCertificationAuthorityCo.
,ltd,缩写为SHECA)建设、运营的一个公开密钥基础设施,简称协卡认证,提供基于数字证书的电子认证服务.
SHECA是依照《中华人民共和国电子签名法》设立的第三方电子认证服务机构,致力于创建和谐的网络信任环境,向互联网用户提供安全、可靠、可信的数字证书服务.

本文档名称为协卡网络信任服务体系证书策略(UniTrustNetworkTrustServiceHierarchyCertificatePolicies,缩写为UNTSHCP),是协卡认证数字证书服务的策略声明,适用于所有由UNTSH签发和管理的数字证书及相关参与主体.
证书策略是一套命名的规则集,用以指明证书对一个特定团体和(或者)具有相同安全需求的应用类型的适用性.

依赖方利用证书策略来帮助其决定一个证书(以及其中的绑定)是否足够可信,或者是否适用于某特定应用.
本CP为UNTSH架构内的证书申请、签发、管理、使用、吊销、更新以及为UNTSH架构内所有的参与方提供相关信任服务方面制定了业务、法律和技术上的要求和规范.
这些规范保护UNTSH证书服务的安全性和完整性,包含一整套在UNTSH范围内一致适用的单一规则集,因此在整个UNTSH架构内能够提供同样的信任担保.
本CP并不是SHECA和UNTSH各参与方之间的法律性协议,SHECA和UNTSH各参与方之间的权利义务依靠他们之间签署的各类协议构成.
本CP的对象包括:UNTSH内的认证服务机构,遵循本CP的规范制定电子认证业务规则(CPS),并按照其CPS运营UNTSH内的订户,需要了解身份鉴别要求,作为订户权利义务,以及UNTSH对其提供的保护依赖方,需要了解在多大程度上信任一张UNTSH证书或该证书的电子签名本CP不适用于任何非UNTSH内的任何服务,例如SHECA为某些企业或组织建立的那些自行运营的内部CA.
本CP满足互联网工程工作组(TheInternetEngineeringTaskForce,IETF)RFC3647《证书策略和证书业务声明框架(CertificatePolicyandCertificatePracticeStatementConstruction)》的结构和内容要求,并根据中国的法律规定和SHECA的运营要求进行了适当的改变.
SHECA遵循CA/浏览器论坛(CA/BrowserForum)发布的最新版本的Guidelines、BaselineRequirment以及MinimumRequirementsforCodeSigningCertificates进行签发和管理公共可信任SSL数字证书,并将持续根据其发布的版本进行修订,如果本CP和CA/浏览器论坛(CA/BrowserForum)(www.
cabforum.
org)发布的Guidelines、BaselineRequirment以及MinimumRequirementsforCodeSigningCertificates等相关规范中的条款有不一致的地方,则以CA/浏览器论坛正式发布的规范为准.
1.
1概述本CP作为最高策略,为整个UNTSH内的证书提供管理、操作和规范的依据,以及为UNTSHSHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第9页共73页9各参与方的权利义务关系确定一个限制范围和基本条款.
本CP设定了UNTSH根证书的架构、生命周期、使用、依赖和管理的角色、责任、流程,以及各相关主体的职责.
作为根证书的运营方,SHECA管理UNTSH根证书的层次机构.
本CP制定了UNTSH所有证书和相关服务的操作流程框架,以及为安全、完整地实施这些流程所应该采取的业务、技术和法律方面的要求.
SHECA作为一个证书服务机构(CA),在本CP的约束下生成根证书和子CA证书,签发订户证书.
证书注册机构(RA)是UNTSH内鉴别证书请求的实体,SHECA本身同时也是一个RA,其他组织、企业等通过与SHECA签署协议,也可以作为UNTSH的RA,鉴别其相关用户的证书请求.
基于不同的类型和应用范围,作为证书持有人的订户可以使用证书进行网络站点安全保护、代码签名、邮件签名、文档签名、身份认证等不同的应用.
依赖方依照本CP中关于依赖方的义务要求,决定是否信任一张证书.
SHECA的电子认证业务规则(CPS)接受本CP的约束,详细阐述了SHECA作为电子认证服务机构提供的证书、如何提供证书以及相应的管理、操作和保障措施.
所有UNTSH证书的订户及依赖方必须参照本CP及相关CPS的规定,决定对证书的使用和信任.
本CP受到独立的第三方审计持续的审查,SHECA将在www.
sheca.
com上公布被审查的结果.
1.
1.
1UNTSH架构本CP是UNTSH最高的策略,UNTSH的证书服务机构(CA)按照本CP制定CPS,RA按照本CP及相关CPS进行证书服务申请鉴别,订户、依赖方及其他相关实体按照本CP及相关CPS决定对证书的使用、信任并履行相关的义务.
UNTSH包含了根CA、子CA、各相关注册机构(RA中心)、服务受理点(RAT)以及其他授权的服务关联实体,这些实体都是协卡认证体系内不同层次的服务主体.
协卡认证体系所有和证书相关的服务和管理,都完整、正确、全面的贯彻和实施本CP以及相应CPS的要求.
1.
1.
2UNTSH证书层次架构UNTSH目前有4个根CA证书,均为自签发根证书,由SHECA管理和运营.
每个根CA下设子CA,以签发用户证书.
协卡认证体系的PKI层次架构如下:UCARootSHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第10页共73页10UCARootSHECASHECAG2SHECAG3SHECAG2-1个人订户证书其他订户证书设备订户证书单位订户证书UCARoot根密钥长度为2048-bit,下设四个子CA证书,其中:(1)SHECA、SHECAG2-1及SHECAG3子CA不再签发订户证书;(2)SHECAG2子CA签发密钥长度为RSA1024-bit或2048-bit的个人订户证书、单位订户证书、设备订户证书和其他订户证书,不签署SSL证书;UCARoot有效期将于2029年12月31日到期,不再签发下级证书.
UCARootG2UCARootG2根密钥长度为2048-bit,下设两个中级根.
SHECAG2子CA证书,签发密钥长度为2048-bit的个人订户证书、单位订户证书、设备订户证书和其他订户证书;GlobalSignRootChinaCAforAATL子CA证书,签发密钥长度为2048-bit的文档签名证书.
UCARoot-G2有效期将于2036年12月31日到期,2032年1月1日起不再签发下级证书.
UCAGlobalG2RootSHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第11页共73页11UCAGlobalG2Root根密钥长度为4096-bit,下设6个子CA证书,其中:(1)SHECARSACodeSigningCAG3子CA只签发密钥长度为RSA2048位代码签名证书,且支持SHA256,并对extKeyUsage进行约束,设置仅适用于id-kp-codeSigning;(2)SHECARSADomainValidationServerCAG3子CA只签发密钥长度为RSA2048位DV安全站点证书,且支持SHA256,并对extKeyUsage进行约束,设置仅适用于id-kp-serverAuth和id-kp-clientAuth;(3)SHECARSAOrganizationValidationServerCAG3子CA只签发密钥长度为RSA2048位的OV安全站点证书,且支持SHA256,并对extKeyUsage进行约束,设置仅适用于id-kp-serverAuth和id-kp-clientAuth;(4)SHECARSATimeStampAuthorityG1子CA只签发密钥长度为2048位的时间戳证书,且支持SHA256,并对extKeyUsage进行约束,设置仅适用于id-kp-timeStamping.
子CASHECAGlobalG3SSL,SHECAGlobalG3CodeSigning已停用,不再签发订户证书.
UCAGlobalG2Root有效期将于2040年12月31日到期,2036年1月1日起不再签发下级证书.
2020年2月21日,AssecoDataSystemsS.
A.
的根证书CertumTrustedNetworkCA签发了交叉根证书UCAGlobalG2Root,有效期从2020年2月21日到2025年2月21日.
UCAExtendedValidationRootUCAExtendedValidationRootSHECARSAExtendedValidationCodeSigningCASHECARSAExtendedValidationServerCASHECAExtendedValidationCodeSigningCASHECAExtendedValidationSSLCASHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第12页共73页12UCAExtendedValidationRoot根密钥长度为4096-bit,下设4个子CA证书,其中:(1)SHECARSAExtendedValidationCodeSigningCA只签发密钥长度为RSA2048-bit位代码签名证书,且支持SHA256,并对extKeyUsage进行约束,设置仅适用于id-kp-codeSigning;(2)SHECARSAExtendedValidationServerCA只签发密钥长度为RSA2048-bit安全站点证书,且支持SHA256,并对extKeyUsage进行约束,设置仅适用于id-kp-serverAuth和id-kp-clientAuth;(3)SHECAExtendedValidationSSLCA,SHECAExtendedValidationCodeSigningCA已停用,不再签发订户证书.
UCAExtendedValidationRoot有效期将于2038年12月31日到期,2034年1月1日起不再签发下级证书.
UCARootSM2UCARootSM2根密钥长度为256位,SM2算法,签名算法为SM2SignaturewithSM3,下设三个子CA证书.
(1)UniTrustDVSecureServer只签发SM2算法的DVSSL证书,并对extKeyUsage进行约束,设置仅适用于id-kp-serverAuth和id-kp-clientAuth;(2)UniTrustOVSecureServer只签发SM2算法的OVSSL证书,并对extKeyUsage进行约束,设置仅适用于id-kp-serverAuth和id-kp-clientAuth;(3)SHECASM2签发SM2算法的个人订户证书、单位订户证书、设备订户证书和其他订户证书.
UCARootSM2有效期到2038年12月31日,2033年12月31日起不再签发下级证书.
UniTrustGlobalRootCAR1UniTrustGlobalRootCAR1根密钥长度为4096位,RSA算法,签名算法为RSASHA-384,目前无子CA证书.
有效期将于2045年4月28日到期,2040年4月28日起不再签发下级证书.
UniTrustGlobalRootCAR2UniTrustGlobalRootCAR2根密钥长度为384位,ECDSA算法,签名算法为ECDSASHA-384,目前无子CA证书.
有效期将于2045年4月28日到期,2040年4月28日起不再签发下级证书.
UniTrustGlobalRootCAR3UniTrustGlobalRootCAR1根密钥长度为256位,SM2算法,签名算法为SM2SignatureUCARootSM2UniTrustDVSecureServerCAG4UniTrustOVSecureServerCAG4SHECASM2SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第13页共73页13withSM3,目前无子CA证书.
有效期将于2045年4月28日到期,2040年4月28日起不再签发下级证书.
UCARoot-G1UCARoot-G1自2009年1月1日起停止签发证书.
UCAGlobalRootUCAGlobalRoot自2017年4月27日起停止签发证书.
1.
1.
3UNTSH证书信任等级UNTSH发放的订户证书,都需要进行严格的身份鉴别.
所有申请的主体,无论是个人、单位、设备等,都必须提供证明材料以确认其真实存在,对于单位证书和设备证书,除了证明组织真实存在的材料外,还需要提供单位的授权文件.
从信任等级来看,UNTSH各个根CA发放的订户证书是通用证书,所有的订户证书在信任程度上是一致的,没有安全保障级别的差异,没有特定的证书信任等级.
但是,不同类型的证书,由于证书代表的订户主体不同,与此相应的应用要求也不同,因此应该被适当的应用到相应的用途.
1.
2文档名称和标识本文档的名称为《协卡网络信任服务体系证书策略》(UniTrustNetworkTrustServiceHierarchyCertificatePolicies,缩写为UNTSHCP),简称为协卡认证体系证书策略.
SHECA为其分配对象标号符(OID)为1.
2.
156.
112570.
1.
0.
1.
SHECA所设置的对象表号符及对应对象如下表所示:OID对象1.
2.
156.
112570万维信UniTrust1.
2.
156.
112570.
1上海市数字证书认证中心SHECA1.
2.
156.
112570.
1.
0策略Policies1.
2.
156.
112570.
1.
0.
1协卡网络信任服务体系证书策略UniTrustNetworkTrustServiceHierarchyCertificatePolicies(UNTSHCP)1.
2.
156.
112570.
1.
0.
2协卡网络信任服务体系电子认证业务规则CertificationPracticeStatement1.
2.
156.
112570.
1.
0.
3协卡网络信任服务体系EV证书策略EVCertificatePolicy1.
2.
156.
112570.
1.
0.
4协卡网络信任服务体系EV证书认证业务规则EVCertificationPracticeStatement1.
2.
156.
112570.
1.
1协卡网络信任服务体系服务器SSLServerCertificatesSHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第14页共73页14证书策略Policy1.
2.
156.
112570.
1.
1.
12.
23.
140.
1.
2.
1DV服务器证书策略DomainValidationSSLCertificatesPolicy1.
2.
156.
112570.
1.
1.
22.
23.
140.
1.
2.
2OV服务器证书策略OrganizationValidationSSLCertificatesPolicy1.
2.
156.
112570.
1.
1.
32.
23.
140.
1.
1EV证书服务器策略ExtendedValidationSSLCertificatesPolicy1.
2.
156.
112570.
1.
2对象签名策略ObjectSigningPolicy1.
2.
156.
112570.
1.
2.
12.
23.
140.
1.
4.
1代码签名策略CodeSigningPolicy1.
2.
156.
112570.
1.
2.
22.
23.
140.
1.
3EV代码签名策略ExtendedValidationCodeSigningPolicy1.
2.
156.
112570.
1.
2.
3Windows内核模式代码签名策略WindowsKernelModeCodeSigningPolicy1.
2.
156.
112570.
1.
2.
4Adobe签名策略AdobeSigningPolicy1.
2.
156.
112570.
1.
2.
5文件签名策略DocumentSigning1.
2.
156.
112570.
1.
3客户端证书策略ClientCertificatesPolicy1.
2.
156.
112570.
1.
4时间戳策略TimeStampingPolicy1.
2.
156.
112570.
1.
4.
1时间戳AATL策略TimeStampingAATLPolicy1.
2.
156.
112570.
1.
5OCSP策略OCSPPolicy1.
3PKI参与者1.
3.
1电子认证服务机构(CA)电子认证服务机构是颁发证书的实体.
SHECA是依法设立的电子认证服务机构,建设和运营UNTSH.
UNTSH是多层次的CA结构模式,有多个可以签发证书的实体,包括不同的根CA和子CA,这些签发实体作为CA,均可发放证书.
通常,根CA只签发子CA证书,子CA可签发最终用户证书或其它CA证书.
协卡认证体系内的CA为电子政务、电子商务和其它网络作业的各类参与方(以下称主体或实体,组织、个人及其它任何有明确身份标示的主体都可以成为本CP声称的主体或实体)发放数字证书,保证公钥能与确定的主体身份唯一相对应.
SHECA作为运营主体,负责制定和发布UNTSH的证书策略,发布证书吊销列表,发布证书信任链,并负责证书生命周期的全面管理,包括证书的签发、吊销、更新、状态查询和验证、目录服务等.
同时,SHECA还要管理下属的所有证书注册机构(RA).
1.
3.
2注册机构(RA)注册机构(RA),是为最终用户证书申请者建立注册过程的实体,对证书申请者进行身份标识和鉴别,初始化或拒绝证书吊销请求,代表CA批准更新证书或更新密钥的申请.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第15页共73页15UNTSH的RA既可以是CA的下属组成部分,由SHECA指定的部门担任,又可以独立于CA之外,由SHECA和相关组织签订相关协议,授权委托其担任RA的角色.
RA必须在SHECA的批准和授权下,按照本CP和相应CPS确定的流程和规范才可以进行证书服务操作.
SHECA在发展RA时,必须对RA进行适当的评估,以确认其是否能够履行RA的职责.
需要特别指出的是,外部RA机构不拥有SHECA的SSL证书和代码签名证书的相关服务操作权限,包括但不限于申请SSL证书和代码签名证书时的信息验证和证书签发等操作权限.
1.
3.
3订户订户,即从CA接收证书的实体,包括所有从UNTSH接受证书的个人、单位.
订户和申请人很多时候并不一致,如果订户和申请人不一致,则需要申请人保证获得明确、适当的授权.
个人又分为自然人和从属于某一单位的个人;单位包括各类政府组织、企事业单位和其它社会团体,一般而言,单位应该具有法人资格或者组织机构代码证号码;对于设备类证书,由于证书中包含主体的特殊性,订户通常应被理解为拥有该设备的单位或者个人,并由拥有该设备的单位或者个人承担相应的义务.
在电子政务应用中,由于某些特定应用的需要,某一政府机构为某些特定群体用户申请证书,可能不方便或者无法提供详细的、完整的订户身份证明信息.
对于此类用户,该政府机构需要提供订户身份的说明信息,并为其做出身份真实性的保证,以书面形式提交给SHECA.
订户代表着证书中公钥所绑定的唯一实体,拥有对与其证书唯一对应的私钥的最终控制权.
订户在本CP的范围内使用证书,愿意并能够承担本CP约定的义务.
1.
3.
4依赖方依赖方,是指信任证书、使用证书或者使用证书里的公钥来验证电子签名的个人或者单位.
依赖方可以是证书订户,也可以不是订户.
要信任或者验证一张证书,依赖方必须验证证书的吊销信息,包括证书吊销列表(CRL)、查询、OCSP查询以及其它的查询方式.
依赖方必须经过合理的审核后才能够信任一张证书.

1.
3.
5其他参与方在提供证书服务时,提供单位或个人身份信息查询和验证或者其它额外需要提供信息的组织,可以作为UNTSH的合作方协助完成对证书申请信息的鉴别.
一些不是SHECA批准的RA,但是为某一特定群体申请证书、验证证书信息并支付证书费用的组织,被称为证书垫付商.
SHECA通过与垫付商签署协议,为其涉及的特定用户群体提供所需的证书服务.
该类垫付商及其特定的证书订户群体同样需要遵循本CP的规定.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第16页共73页161.
4证书使用在CP或CPS描述不同保证等级的情况下,该子项能够描述对不同保证等级适用或不适用的应用或应用类别.
1.
4.
1合适的使用UNTSH的订户证书是通用证书,按照证书类型的不同,都有适用的应用.
例如个人证书用来发送签名加密邮件、个人网银业务等,单位证书用来进行B2B交易、网上申报税等,设备证书用来标识设备身份、进行信息通道加密等.
除了因为证书标识的主体身份的不同而导致的证书应用差异外,UNTSH订户证书可以广泛应用在电子政务、电子商务或者其它社会化活动中,以实现身份认证、电子签名等目的.
法律法规和国家政策有限制的除外.
.

UNTSH订户证书,从功能上可以满足下列安全需要:身份认证-保证采用SHECA信任服务的证书持有者身份的合法性;验证信息完整性-保证采用SHECA数字证书和数字签名时,可以验证信息在传递过程中是否被篡改,发送和接收的信息是否完整一致;验证数字签名-对信任体交易不可抵赖性的依据即数字签名进行验证.
必须指出,对于任何电子通信或交易,不可抵赖性应根据法律和争议解决办法裁定;信息传输机密性-机密性保证传送方和接收方信息的机密,不会泄露给其它未合法授权方.
但SHECA对机密性事件,没有承担相应责任的义务.
对于机密性用途而引发的所有直接或间接的破坏和损失,SHECA不承担责任.
证书订户和依赖方等各类主体可以根据实际需要,自主判断和决定采用相应合适的证书类型,以及了解证书的应用类型、应用范围,选择自己的应用方式.
1.
4.
1.
1身份证书的使用身份证书分为身份证书I、身份证书II,标识各类单位、个人和设备的身份,可以用于各类电子政务、电子商务和其他社会信息化活动中,例如各类网上交易、支付、申报、管理、办公、访问控制等应用.
身份证书I只使用一对密钥对,用于进行签名、对签名进行验证、信息加密和解密.

身份证书II使用两对密钥对,一对为签名密钥对,用于进行签名、对签名进行验证;一对为加密密钥对,用于信息加密和解密.
1.
4.
1.
2电子邮件证书的使用电子邮件证书标识用户的电子邮件地址,主要用于电子邮件的数字签名、加密,以及非商业性、政务性的访问控制,不得用于各类交易、支付、或者需要明确的用户身份验证的应用.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第17页共73页171.
4.
1.
3代码签名证书的使用代码签名证书标识软件代码的来源或者所有者,只能用于各类代码的数字签名,不得用于各类交易、支付、加密等应用.
代码签名证书订户必须承诺,不得将代码签名证书用于对恶意软件、病毒代码、侵权软件、黑客软件等的签名.
1.
4.
1.
4安全站点证书的使用安全站点证书标识Web网站或者Web服务器的身份,可以用于证明网站的身份或者资质、提供SSL加密通道,不得用于各类交易、支付的签名或验证.
1.
4.
2禁止的使用每一类型的证书,都只能应用于证书所代表的主体身份适合的用途.
例如,个人证书不能作为单位证书和设备证书来使用,单位证书不能作为个人和设备证书来使用,设备证书也不能作为个人和单位证书来使用.
任何不符合的应用,不受本CP的保护.
证书禁止在任何违反国家法律、法规或破环国家安全的情形下使用,否则由此造成的法律后果由用户自己承担.
特别的,证书不被设计用于、不打算用于、也不授权用于涉及人身伤害、环境破坏等的应用系统中,例如导航或通讯系统、交通控制系统或武器控制系统等.

1.
5策略管理1.
5.
1策略文档管理机构SHECA作为UNTSH的运营方,成立SHECA安全认证委员会,作为策略管理机构,负责制定、维护和解释本CP.
SHECA安全认证委员会至少应包含一名SHECA的管理层成员,两名UNTSH运营服务主管、一名直接参与策略编写的成员.
SHECA安全认证委员会的主任由管理层成员担任.
SHECA安全认证委员会的所有成员在就证书策略进行管理和批准时,均享有一票决定权,如果选票相同,认证委员会主任可拥有双票决定权.
SHECA战略发展部作为认证委员会的日常工作机构,负责起草本CP并根据要求提出修改报告,负责此方面的对外咨询服务.
1.
5.
2联系人SHECA指定战略发展部作为本CP联系人,专门负责本CP的对外沟通及其它相关事宜.
任何有关本CP的问题、建议、疑问等,都可以与SHECA战略发展部联系.
联系人:上海市数字证书认证中心有限公司战略发展部.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第18页共73页18电话:86-21-36393197传真:86-21-36393200地址:中华人民共和国上海市四川北路1717号嘉杰国际广场18楼邮政编码:200080电子邮件:policy@sheca.
com1.
5.
3决定CP符合策略的人SHECA安全认证委员会决定本CP的符合性和可用性.
SHECA安全认证委员会作为最高策略管理机构,是批准和决定SHECA或者其它某个CA的CPS是否符合本CP的机构.
战略发展部作为SHECA安全认证委员会指定的策略工作部门,负责CPS实施的日常监督检查,保证CA依据其CPS进行的运营服务符合本CP的要求.
1.
5.
4CP批准程序本CP由SHECA安全认证委员会批准,包括本CP的修订和版本变更.
如果因为标准的变化、技术的提高、安全机制的增强、运营环境的变化和法律法规的要求等对本CP进行修改,由战略发展部提交修改建议报告,提交SHECA安全认证委员会审核.
经过该委员会批准后,SHECA通过www.
sheca.
com进行公布.
根据《中华人民共和国电子签名法》、《电子认证服务管理办法》的规定,SHECA在公布CPS后向信息产业部备案.
1.
6定义与缩写见附录A.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第19页共73页192.
发布和信息库责任2.
1信息库SHECA建立和维护一个可公开访问的在线信息库,用于发布本证书策略(CP)、电子认证业务规则(CPS)、相关协议、证书、证书吊销列表(CRL)、证书在线状态查询(OCSP)等.
SHECA的信息库,应包括作为证书服务一部分的证书和证书状态查询等信息,以及作为证书策略及相关文档等信息,这两类信息可以通过不同的方式进行发布.

SHECA在其CPS以及其它文档中公布其信息库的位置和方式,以方便有关方能够访问并获取所需信息.
2.
2认证信息发布SHECA需要发布的信息包括证书策略、电子认证业务规则、和证书使用和服务相关的协议、证书、证书吊销列表、证书在线状态查询等.
SHECA提供明确的访问位置和方法,通过在线的方式对外发布证书、证书吊销列表和证书在线状态查询,这种信息的发布通常是证书服务的一部分.
此外,SHECA在其网站的固定位置http://www.
sheca.
com/repository/发布证书策略、认证业务声明、相关协议等.
2.
3发布时间或频率SHECA及时发布证书策略、电子认证业务规则、证书服务和使用的相关协议等文档以及文档的修订信息.
SHECA应至少在24小时以内发布一次订户证书的证书吊销列表(CRL),应至少每3个月发布一次子CA证书(Sub-CACertificate)的证书吊销列表(ARL),如果根证书被吊销,应及时在网站公布吊销信息.
SHECA应在本CP或相应CPS规定的时间内,及时发布证书,以供下载、查询和使用.
2.
4信息库访问控制SHECA不对包括CP、CPS、证书、证书状态信息和CRL的访问进行限制,但任何对证书、证书状态信息和证书吊销列表有访问需求的相关方应该遵循本CP和相关CPS的要求,SHECA保留设置访问控制措施的权利.
SHECA采取措施限制对信息库进行任何未经授权的增加、删除、修改等操作.

SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第20页共73页203.
身份标识与鉴别此项描述在颁发证书之前对最终用户证书申请者的身份和(或)其它属性进行鉴别的过程.
对于期望成为CA、RA或其它PKI运营机构的实体,此项设置鉴别其身份的过程和接受准则.
此项还描述如何鉴别密钥更新请求者和吊销请求者.
另外,此项还说明命名规则,包括在某些名称中对商标的承认问题.
3.
1命名除非在本CP、相关CPS中特别指出,UNTSH的证书命名都应是被鉴别和证实的.
3.
1.
1命名类型命名应符合X.
500的规定.
订户证书应在主题中包含一个X.
501甄别名.
3.
1.
2对命名有意义的要求订户的命名一定要有意义,应具有通常能够被理解的语义,可以明确确定证书主题中的个人、单位或者设备的身份.
在某些具有特殊要求的电子政务应用中,SHECA可以按照一定的规则为用户指定特殊的名称,并且能够把该类特殊的名称与一个确定的实体(个人、单位或者设备)唯一的联系起来.
任何这一类特殊的命名,都必须经过SHECA安全认证委员会的批准.
3.
1.
3订户的匿名或伪名订户证书不被允许使用匿名或假名,除非在某些具有特殊要求的电子政务应用中,可以允许SHECA按照一定的规则为用户指定特殊的名称,并且,SHECA能够把该类特殊的名称与一个确定的实体(个人、单位或者设备)唯一的联系起来.
任何这一类特殊的命名,都必须经过SHECA安全认证委员会的批准.
3.
1.
4解释不同命名的规则UNTSH订户证书按照X.
500规则解释不同命名.
3.
1.
5命名的唯一性UNTSH订户证书的命名,在整个CA信任域内必须是唯一的.
命名的唯一性意味着可以将名称与唯一的实体(个人、单位或者设备)对应起来.
当出现相同的名称时,以先申请者SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第21页共73页21优先使用.
3.
1.
6商标的识别、鉴别和角色在订户的证书中允许包含商标信息,但是不能用于对个人、单位或者设备等实体身份的标识.
证书申请者不应使用任何可能侵犯知识产权的名称.
SHECA不对证书申请者是否拥有命名的知识产权进行判断和决定,也不负责解决证书中任何关于域名、商标等知识产权的纠纷.
SHECA没有权利,也没有义务去拒绝或者质疑任何可能导致产生知识产权纠纷的证书申请.
在证书申请者提交的命名中包含商标信息时,申请者应被要求提交商标注册文件(众所周知的驰名商标可以不被要求),但这种要求不是也不应该被认为是SHECA将对商标的归属进行判断和决定.
3.
2初始身份的确认3.
2.
1证明拥有私钥的方法证书申请者必须证明持有与所要注册公钥相对应的私钥,证明的方法包括在证书请求消息中包含数字签名(PKCS#10)、其它与此相当的密钥标识方法,或者SHECA要求的其它证明方式,包括提交SHECA发放的初始化信息(被分配的密钥存储介质和与其相对应的密码信封中包含的口令)等.
3.
2.
2组织机构身份的鉴别任何组织(政府机构、企事业单位等),在以组织名义申请单位证书、设备证书、邮件证书等各类型证书时,其身份应当被进行严格的身份鉴别,包括:任何由第三方提供的证明该组织确实存在的资料,例如由政府机构发放的合法性证明(组织机构代码证、工商营业执照等信息),以及其它被认可的权威组织提供的证明资料.
通过电话、邮政信函、被要求的证明文件或者与此类似的其它方式确认该组织资料信息的真实性,申请人是否得到足够的授权以及其它需要验证的信息.
在域名、设备名称或者邮件地址被作为证书主题内容申请证书时,还需要验证该组织是否拥有该权利,例如要求提交域名所有权文件或者通过申请者对域名控制权验证等.

对于批量申请的单位身份证书,若经办人代表某单位为其内部各部门、实行控制的子公司或特定系统使用方申请仅限于组织机构内部使用的证书,由该单位作为申请人统一申请.

由经办人提供个人身份证件复印件,填写批量申请表加盖申请人公章,列明需申请单位信息.
对证书中列示的信息,若证书主体位独立法人,且在证书中签署单位证照号码,按本章节要求进行身份鉴别,其他情况请参见《单位及个人证书申请审核指南》.

SHECA还可以为UNTSH订户证书的组织身份鉴别设定其它所需要的鉴别方式和资料.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第22页共73页223.
2.
3个人身份的鉴别对于个人身份证书,包括身份证书、邮件证书、代码签名证书、域名证书等,在申请时都必须确认个人申请者的真实身份.
包括:个人应当提交其法定的身份证明文件,包括身份证、军官证或者其它相当的身份证明资料.
面对面审核,或者以其他电话、邮政信函等方式确认身份资料等信息的真实性.

对于以某个组织中的个人身份名义申请的,还需要提交其所在单位提供的证明材料.
对于委托他人进行申请的,要提交被充分授权的证明文件.
SHECA还可以通过从第三方获取的信息来验证该申请者个人的身份,如果SHECA无法从第三方得到所有所需的信息,可委托第三方进行调查,或要求申请者提供额外的信息和证明材料.
在域名、设备名称被作为证书主题内容申请证书时,还需要验证该个人申请者是否拥有该权利,例如通过SHECACPS定义的方式完成域名控制权验证-或归属权证明文件等.
对于组织内部个人身份证书,仅限于组织机构内部使用,由组织机构作为申请人统一申请,实际使用人为单位员工个人.
由经办人提供个人身份证件,填写申请表或批量申请表加盖申请人公章,列明个人身份证书信息,对列示在证书中的信息,若为组织内部使用的身份标识则不需额外检验;若为具有身份证件信息,按本章节要求进行身份鉴别.
请参见《单位及个人证书申请审核指南》.

SHECA还可以为UNTSH订户证书的个人身份鉴别设定其它所需要的鉴别方式和资料.
3.
2.
4没有验证的订户信息通常,除了该类型证书所必须要求的身份信息需要得到明确、可靠的验证以外,CA/浏览器论坛(CA/BrowserForum)发布的最新版本的Guidelines、BaselineRequirment以及MinimumRequirementsforCodeSigningCertificates中任何其它不被要求验证的信息可不被验证.
3.
2.
5授权的确认对授权的确认包括如下两个方面:委托申请的授权确认,在个人委托他人代理申请或者组织机构委托其被授权人申请某一类型的证书时,需要确认委托人的授权证明、被委托人的身份资料;当个人申请者的申请信息中包含组织信息(政府机构、企事业单位)时,需要确认该组织是否存在,以及该申请人是否属于该组织的成员.
如果SHECA无法得到所有需要的信息,可委托第三方进行调查,或要求证书申请者提供额外的信息和证明材料.
3.
2.
6互操作原则SHECA允许非UNTSH的认证机构(CA)能够和UNTSH进行互操作,但是该CA必须满足SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第23页共73页23以下条件:与SHECA签署相关的协议其CPS符合本CP的要求接受SHECA对其进行的评估和年度审查如果国家法律法规对此有规定,SHECA将严格予以执行.
3.
3密钥更新请求的标识与鉴别为此,SHECA要求订户生成一对新的密钥对取代到期证书的密钥对,为之生成新的证书,这称之为证书密钥更新(re-key).
但是,很多时候,订户往往要求在获得新的证书时继续使用到期证书所对应的密钥对,SHECA使用这一已经存在的密钥对为其签发新的证书,这称之为证书更新(renewal).
通常,我们在表述证书更新(certificaterenewal)时包含了证书密钥更新(re-key)和证书更新(renewal),其重点在于旧的到期证书已经被新的证书所代替,并不关注其中的密钥对是否进行了更替,是否产生了新的密钥对以取代旧的密钥对.
除了一些可能的特定应用外,在证书更新时是否产生新的密钥对通常并不是重点.
但是SHECA通常要求订户在更新证书时使用新的密钥对.
3.
3.
1常规密钥更新的标识与鉴别对于证书有效期结束后的常规密钥更新,订户可以用原有的私钥对更新请求进行签名.

发证机构将会对用户的签名和公钥、更新请求内包含的用户信息进行正确性、合法性、唯一性的验证和鉴别.
常规密钥更新的标识和鉴别包括:订户对申请信息进行签名,CA用其原有证书中的公钥对签名进行验证订户注册信息没有发生变化,CA基于其原有注册信息对其进行签发新的证书订户也可以选择一般的初始证书申请流程进行常规密钥更新,按照要求提交相应的证书申请和身份证明资料.
SHECA在任何情况下都可将这种初始证书申请的鉴别方式作为密钥更新时的鉴别处理手段.
3.
3.
2吊销后密钥更替的识别与鉴别发证机构不提供证书被吊销后的密钥更新.
订户使用原始身份验证相同的流程进行申请,包括必须重新进行身份鉴别和注册,并生成新的密钥对,申请签发新的证书.

3.
4吊销请求的标识与鉴别证书吊销请求可以来自订户,也可以来自CA或者RA.
在申请吊销时,订户需要递交和申请证书时相同的身份资料、证书和私钥进行身份鉴别.
如果由于条件的限制无法进行现场审核时,CA或者RA将通过合理的方式,例如通过电话、邮递、其他第三方的证明等,对申请者的身份予以鉴别验证.
如果是司法机关依法提出吊销,CA或者RA将直接以司法机关书SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第24页共73页24面的吊销请求文件作为鉴别依据,不再进行其他方式的鉴别.
在紧急情况或者特殊情况下,订户可以自己吊销证书.
在此情形下,订户需要使用证书私钥保护口令激活私钥对吊销请求进行签名,并由CA进行签名验证.
CA或者RA可以采用电话、传真、邮政信函的方式对订户的吊销进行验证.
SHECA保证对于吊销请求的鉴别,予以合理的进行.
CA机构的证书吊销请求,必须经过其管理机构或者监督机构进行确定才可以进行.

SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第25页共73页254.
证书生命周期操作要求4.
1证书申请UNTSH提供正式证书和测试证书.
正式证书是指申请者按照本CP及相应CPS的规定和流程,递交真实的申请信息后经过UNTSH认证机构批准获得证书,认证机构对此类正式证书承担真实性担保的责任.
本CP或者CPS提及的证书,通常是指正式证书,除非指名是测试证书.
测试证书仅供用户测试使用,CA不承担任何证书真实性的责任,也不提供任何与此相关的担保.
用户不能也不被允许将测试证书应用到任何需要证明真实身份的场所.

UNTSH发放的个人或机构的测试证书,对测试证书申请人进行身份验证,但不对测试证书中的其他信息进行鉴别和识别.
UNTSH对证书的标识和有效期进行严格的规定,测试证书的用户名称必须以英文"test"或者中文"测试"开头,而且有效期限定为3个月.
UNTSH不提供SSL证书的测试证书.
正式证书的申请要进行严格的身份鉴别过程,并且根据不同类型的证书进行不同的鉴别流程.
按照申请对象、证书主体和用途的不同,目前UNTSH体系内的证书可以分为以三大类型,主要包括个人证书(包括个人身份证书、个人E-mail证书、个人代码签名证书)、单位证书(单位身份证书、单位E-mail证书、部门证书、职位证书)和设备证书(安全站点证书、设备身份证书和互联网设备证书).
依据本CP制定的CPS应该针对不同证书建立起可靠的鉴别流程和识别要求.
4.
1.
1证书申请请求提交者下列人员可以提交证书申请:个人申请者,其身份必须与所申请的证书主题相对应,委托他人代为申请的,必须出具可靠的授权证明文件政府机构、企事业单位或其它社会组织的授权代表经过授权的CA机构的代表经过授权的RA机构的代表4.
1.
2注册过程和责任4.
1.
2.
1申请者的责任对于终端用户来说,所有申请者在申请证书时,必须了解订户协议的内容,特别是其中关于义务和担保的内容.
在证书申请注册的过程中,还需要做到:填写证书申请表,根据申请的证书类型提供真实、可靠、完整的身份资料产生密钥对,或者提交委托生成密钥对的书面文件将公钥上送给CASHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第26页共73页26证明对私钥的拥有权对于申请RA及CA机构证书的申请者,必须与SHECA签署协议后,递交相应的申请证明资料,才能进行申请.
其证书的命名和证书内容由SHECA决定.
4.
1.
2.
2申请注册过程申请者将证书请求发送到RA,RA验证该请求,并对其签名,然后将其发送给CA.
CA接收到该请求后,验证RA的签名,签发订户证书.
在整个注册过程中,必须采取措施保证:RA必须对申请信息和申请者的资料进行鉴别在RA向CA发送证书请求时,保证传输信息过程安全、保密、完整4.
2证书申请处理4.
2.
1执行识别与鉴别作为证书注册机构,RA需要根据前面3.
2条款的要求,对证书申请进行标识和鉴别.
在鉴别时,RA应该采取足够合理的方式进行.
4.
2.
2批准或拒绝证书申请如果符合下述条件,RA可以批准证书申请:该申请完全满足前面3.
2条款关于订户信息的标识和鉴别规定申请者接受或者没有反对订户协议的内容和要求申请者已经按照规定支付了相应的费用,另有协议规定的情况除外如果发生下列情形,RA可以拒绝证书申请:该申请不符合前面3.
2条款关于订户信息的标识和鉴别规定申请者不能提供所需要的身份证明材料或其他需要提供的支持文件申请者反对或者不能接受订户协议的有关内容和要求申请者没有或者不能够按照规定支付相应的费用RA或者CA认为批准该申请将会对CA带来争议、法律纠纷或者损失4.
2.
3处理证书申请的时间CA和RA将在合理的时间内处理证书申请,无论是批准还是拒绝.
虽然SHECA对于证书处理并没有明确的时间限定,但这种处理通常应该在7个工作日内完成,除非在相关的订户协议、CPS或者其它的协议对此有专门的约定.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第27页共73页274.
3证书签发4.
3.
1证书签发期间CA的行为在证书申请被批准后,CA将验证RA上送的证书请求中该RA的签名,并根据证书请求签发订户证书.
CA签发证书时,该证书包含的内容基于被批准的证书请求中的订户身份信息.
4.
3.
2CA通知订户证书签发CA签发证书时,将直接或者通过RA通知订户证书已被签发,并向订户提供可以获得证书的方式,包括通过网络下载、通过邮件发放等方式,或者通过其它与订户约定的方式告知订户如何获得证书.
4.
4证书接受4.
4.
1构成证书接受的行为下列行为被认为订户已经接受了证书:订户接受了包含有证书的介质订户通过网络将证书下载或安装到本地存储介质,如本地计算机、IC卡、USBKey、移动硬盘或其它移动存储介质订户接受了获得证书的方式,并且没有提出反对证书或者证书中的内容订户反对证书或者证书内容的操作失败4.
4.
2CA发布证书CA将已经签发的证书发布到可以被公开访问的信息库中,包括LDAP目录发布、HTTP方式发布等.
如果订户书面提出申请,CA可以不把该订户的证书发布到任何公开的信息库中.
4.
4.
3CA通知其他实体证书的签发CA在签发证书时,可能会将证书发送给批准该证书的RA.
但是通常情况下,CA不专门对包括RA、受理点、主管部门等在内的其它实体进行专门的通知,这些实体可以通过目录服务或者查询信息库来获得订户证书及相关信息.
如果法律法规另有要求,CA将会按照其规定进行通知操作.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第28页共73页284.
5密钥对和证书使用4.
5.
1订户私钥和证书使用只有当订户表示同意订户协议的要求(例如签署了订户协议),并且接受了以后,订户才可以使用其证书以及与该证书相对应的私钥.
该证书只能根据本CP及相关CPS的规定合法的被使用.
订户只能在正当的应用范围内使用私钥和证书,并且与证书内容相一致(如果证书中的某些字段明确了证书的使用范围和用途,那么该证书将在也只被允许在这一范围内进行使用,例如密钥用途).
所有的使用行为必须符合订户协议的要求.
在证书到期或被吊销之后,订户必须停止使用私钥.
订户使用证书时,必须妥善保管和存储与证书相关的私钥,避免遗失、泄露、被篡改或者被盗用.
SHECA签发的各类证书,仅用于表明订户在申请证书时所要标识的身份,以及验证订户用于该证书内包含的公钥相对应的私钥做出的签名.
任何超出本CP及相关CPS、订户协议的规定使用证书及其对应的私钥的,SHECA将不承担由此带来的任何后果.
4.
5.
2依赖方公钥和证书使用依赖方只能在接受本CP的要求的情况下,在正当的应用范围内依赖UNTSH订户证书.
在信任证书和签名前,依赖方要独立地做出应有的努力和合理的判断.
如果某些应用要求在使用证书时需要额外的保证,依赖方必须独立、合理的对这种保证进行判断并作出决定.
如果证书中的某些字段明确了证书的使用范围和用途,那么该证书将在也只被允许在这一范围内进行使用,依赖方必须据此来建立对该证书的依赖.
任何对超出证书所标明的适用范围的行为的信赖,都将由依赖人独立承担责任.
在依赖方对UNTSH订户证书采取任何依赖行为前,必须独立的评估和判断:该证书是否由可信任的CA所签发对于任何给定的目的,证书被适当的使用;并且判断该证书没有被用于任何本CP、相关CPS或者法律法规禁止的或者限制的使用范围.
SHECA和RA并不负责也无法做到评估订户证书是否被适当的使用证书在被使用时是否与证书包含的内容相一致(如果证书中的某些字段明确了证书的使用范围和用途,那么该证书将在也只被允许在这一范围内进行使用,例如密钥用途)查询证书及其证书链内的所有证书的证书状态,是否在有效期内,是否已经被吊销.
如果订户证书或者其证书链内的任何证书已经被吊销,依赖方必须独立的去了解该订户证书所对应的私钥做出的签名是否是在吊销前做出的.
除非本CP另有规定,证书并不是来自发证机构的对任何权力或特权的承诺.
依赖方只能在本CP规定的范围内信赖证书和证书中包含的公钥,并对此做出决定.
任何关于对证书的依赖所造成的风险均由依赖方独立承担,除非能够证明是CA或者RA的错误所致.
在对证书是否被适当的应用作出判断后,依赖方应该利用适当的软件或者硬件去验证签名或者其它所需要的操作.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第29页共73页294.
6证书更新证书更新是指在不改变证书中的公钥和其他任何证书包含的信息的情况下,为订户签发一张新证书.
证书更新时无需再提交证书注册信息,订户提交能够识别原证书的足够信息,如订户甄别名、证书序列号等,使用原证书的私钥对包含公钥的更新申请信息签名.

4.
6.
1证书更新的情形每张证书都有其有效期,在证书到期时,订户需要获得一张更新的证书,以继续使用证书.
如果证书已经到期,订户依然可以进行通过证书更新来获取新的证书,除非该证书的安全性可能出现问题.
4.
6.
2要求更新的实体只有下列人员可以要求证书更新:个人证书订户,如果委托他人办理,需要提供明确的授权文件单位证书订户被明确授权的代表拥有设备证书的个人,拥有设备证书的单位被明确授权的代表4.
6.
3处理证书更新请求对于证书更新,其处理过程需要确保提出证书更新请求的人是被更新证书所标识的订户,SHECA在为其签发新证书时,可以要求更新申请者提交原有私钥签名,或者使用与初始签发证书相同的过程来进行鉴别.
通常,在证书更新时,订户可以用原有的私钥对更新请求进行签名,发证机构将会对用户的签名和公钥、更新请求内包含的用户信息进行正确性、合法性、唯一性的验证和鉴别.

包括:订户对申请信息进行签名,CA用其原有证书中的公钥对签名进行验证订户注册信息没有发生变化,CA基于其原有注册信息对其进行签发新的证书订户也可以选择一般的初始证书申请流程进行证书更新,按照要求提交相应的证书申请和身份证明资料.
SHECA在任何情况下都可将这种初始证书申请的鉴别方式作为证书更新时的鉴别处理手段.
4.
6.
4通知订户新证书签发同4.
3.
2.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第30页共73页304.
6.
5构成更新证书接受的行为同4.
4.
1.
4.
6.
6CA对更新证书的发布同4.
4.
2.
4.
6.
7CA通知其他实体证书的签发同4.
4.
3.
4.
7证书密钥更新证书密钥更新是指在是在不改变证书中包含的信息的情况下,订户生成新的密钥对,CA用其中新的公钥为订户签发一张新证书.
证书密钥更新时无需再提交证书注册信息,订户提交能够识别原证书的足够信息,如订户甄别名、证书序列号、原证书对应的私钥对证书密钥更新请求签名等,并上送新的公钥申请签发新证书.
4.
7.
1证书密钥更新的情形每个证书都有其有效期,在证书到期时,订户需要获得一张包含新公钥的新证书,以继续使用证书.
如果证书已经到期,订户依然可以进行通过证书密钥更新来获取新的证书.
被吊销后的证书,不能申请证书密钥更新,只能按照初始申请证书的情形申请新证书.

4.
7.
2要求证书密钥更新的实体只有下列人员可以要求证书密钥更新:个人证书订户,如果委托他人办理,需要提供明确的授权文件单位证书订户被明确授权的代表拥有设备证书的个人,拥有设备证书的单位被明确授权的代表4.
7.
3处理证书密钥更新请求对于证书密钥更新,其处理过程需要确保提出证书密钥更新请求的人是被更新证书所标识的订户,SHECA在为其签发新证书时,可以要求更新申请者提交足以识别订户身份的信息,或者使用与初始签发证书相同的过程来进行鉴别.
通常,在证书密钥更新时,订户可以提交原证书的相关信息,例如证书甄别名、证书序SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第31页共73页31列号、原证书对应的私钥对证书密钥更新请求的签名等信息,来标识其身份,发证机构将会对用户的更新请求内包含的用户信息进行正确性、合法性、唯一性的验证和鉴别.
包括:订户提交可以验证其身份的信息,CA对其进行验证订户用原证书对应的私钥对证书密钥更新请求进行签名,CA对其签名进行验证订户注册信息没有发生变化,CA基于其原有注册信息对其进行签发新的证书订户也可以选择一般的初始证书申请流程进行证书密钥更新,按照要求提交相应的证书申请和身份证明资料.
SHECA在任何情况下都可将这种初始证书申请的鉴别方式作为证书密钥更新时的鉴别处理手段.
4.
7.
4通知订户新证书的签发同4.
3.
2.
4.
7.
5构成密钥更新证书接受的行为同4.
4.
1.
4.
7.
6CA对密钥更新证书的发布同4.
4.
2.
4.
7.
7CA通知其他实体证书的签发同4.
4.
3.
4.
8证书变更证书变更是指在是在不改变证书公钥的情况下,订户由于证书中所包含的信息发生变化而要求生成新的证书.
只有订户在有效期内,才可能发生证书变更.
在证书内所包含的订户信息发生变化时,订户必须申请进行证书变更,以确保不影响依赖方对证书的信任.

4.
8.
1证书变更的情形在证书有效期内,如果订户证书内所包含的信息发生下列变更,而这种变更不会影响订户权利义务的变化,则可以申请证书变更.
包括:订户名称、电话、地址等信息发生变更订户因为组织重组等原因发生变更其它信息发生变更如果证书内包含信息的变更可能影响订户权利义务的改变,则订户不能申请证书变更,只能吊销该证书,再重新申请新的证书.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第32页共73页32证书变更的申请和证书申请所需的流程、条件是一致的.
4.
8.
2要求证书变更同4.
1.
1.
4.
8.
3处理证书变更请求同3.
2.
4.
8.
4通知订户新证书的签发同4.
3.
2.
4.
8.
5构成变更证书接受的行为同4.
4.
1.
4.
8.
6CA对变更证书的发布同4.
4.
2.
4.
8.
7CA通知其他实体证书的签发同4.
4.
3.
4.
9证书吊销和挂起证书吊销包括申请吊销和强制吊销.
证书吊销后,订户可以重新向CA申请签发新的证书,与初始申请时的流程和要求相同.
目前,SHECA不提供证书挂起服务.
4.
9.
1证书吊销的情形发生下列情形,SHECA有权撤销订户证书:订户提出吊销要求CA或RA有理由相信原证书请求未被授权,且未补充授权订户、CA、RA或其它相关方有理由相信或怀疑一个订户的私钥安全已经受到损害,SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第33页共73页33或不再符合本CP及CPS对应的对密钥长度及密钥参数设置及质量检查的要求CA或RA或其它相关方有理由相信订户违背了订户协议下的义务、陈述或担保,或者订户无法履行协议规定的义务和订户达成的协议已经终止CA或RA有理由相信证书签发时没有依据本CP或相关CPS的规定CA或RA有理由相信证书中的信息和订户的真实信息不相一致或者有违背事实的错误或误导CA或RA确定证书签发的一个必要前提条件既没有满足又没有豁免证书内包含的信息(包括证书中包含的未经鉴别的信息),如订户的名称或者甄别名发生了改变或者错误证书被误用由于证书系统发生改变会导致订户的信任和担保程度证书机构、企事业单位或其它社会性团体等组织为其员工申请的证书,该员工已经不再隶属于该组织CA的密钥发生改变,或签发证书的CA密钥可能发生私钥已泄露或安全受到损害法律法规的相关规定或要求其他UNTSH的CP或CPS规定需要撤销的情况对于UNTSH证书服务系统中使用的证书,例如CA、RA、受理点或其它服务主体(包括服务系统中的设备使用的证书)使用的证书发生下列情形,可以吊销其证书:CA与RA、受理点等签订的协议终止或者发生改变证书私钥发生安全性损害或者被怀疑发生安全性损害出于管理的需要证书订户如果发现或者怀疑证书私钥安全发生损害,应立即通知CA进行吊销.
特别的,对于SSL证书,若出现以下任意一项或几项情形,也需进行证书吊销操作:CA机构得知域名不再合法,如被法院判定该域名非法、与域名注册机构的合约终止,域名注册商对申请人的使用授权已终止等;CA机构得知一个通配符证书被用来验证一个欺诈性的误导子域名;CA机构由于某种原因终止运行,并且未安排其他CA提供吊销证书的支持性操作;CA签发证书的权利已届满或被撤销或终止,除非CA已作出安排,继续维护CRL/OCSP;证书的技术内容或格式造成了对应用软件供应商或依赖方不可接受的风险.

4.
9.
2要求证书吊销的实体下列实体能够要求吊销证书:订户、订户授权代表及订户证书费用垫付商SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第34页共73页34SHECA法院、政府主管部门及其他公权力部门只有SHECA可以吊销根证书或者子CA证书.
4.
9.
3证书吊销请求的处理程序在申请证书撤销时,应按照以下流程进行处理:1、证书订户代表人或指定的代理人提出撤销申请,可按照以下方式进行:在线申请(仅适用持有KEY订户):登录http://issp.
sheca.
com/(证书自助服务门户)电子邮件:report@sheca.
com传真:021-36393200电话:021-36393196现场申请:SHECA所有对外服务网点2、SHECA进行证书撤销请求的鉴别和验证在证书有效期内,用户发现证书签发错误或者系统不兼容等问题而提出证书撤销,SHECA会在24小时内对撤销请求进行调查.
针对撤销请求的鉴别和验证应视情况进行:(1)对于持有KEY的用户,使用KEY登录http://issp.
sheca.
com/(证书自助服务门户)进行证书撤销的在线办理即可;(2)对于无KEY用户以及KEY丢失的用户,必须携带相关机构及个人的身份证明材料至SHECA各受理服务网点申请撤销业务.
若用户所在地未设置SHECA受理服务网点,则可通过电话(最好由证书申请人)进行证书撤销申请,受理人员通过电话对用户个人信息及机构的单位身份进行审核,以确认与证书申请信息一致.
3、SHECA在接到问题报告后,应在24小时内开始调查,并向订阅者和提交证书问题报告的实体提供有关其调查结果的初步报告.
4、SHECA应在接到撤销请求后2个工作日内进行证书撤销或其它合理处理.
5、证书被撤销后,SHECA及时将其发布到证书撤销列表所有非经订户自身提出的撤销请求,必须经过合理授权后方可进行.
在根证书或子CA证书相对应的私钥出现安全风险时,经国家电子认证服务主管部门批准后可直接进行证书撤销.
SHECA提供7*24小时的证书问题报告和处理机制.
4.
9.
4吊销请求的宽限期证书吊销请求应该在一个合理的期限内提出.
通常,自发现需要吊销到提出吊销请求之间间隔的期限,不得超过8个小时.
4.
9.
5CA必须处理吊销请求的时间CSHECA收到撤销请求后,应进行合理处理,不得拖延.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第35页共73页354.
9.
6依赖方检查吊销的规定依赖方在信任UNTSH证书前,需要检查该证书的状态信息,包括查询证书吊销列表、通过www.
sheca.
com网站(http方式)查询证书状态、通过在线证书状态协议(OCSP)方式查询等.
4.
9.
7CRL签发频率CA必须定时签发证书吊销列表(CRL),对于订户证书,至少每24小时签发和公布一次,对于子CA证书,至少每3个月签发和公布一次,对于根CA证书,必须每年公布一次.
SHECA安全认证委员会可根据情况,自主决定缩短产生和更新CRL的时间,法律法规另有规定的除外.
4.
9.
8CRL最大滞后时间证书被吊销后,应该在一个合理的期限内发布到CRL,通常这取决于系统的处理速度.
UNTSH保证在证书被吊销后,最晚也将在吊销行为发生的24小时内将其发布到CRL.
4.
9.
9在线吊销/状态检查的可用性SHECA向证书订户和依赖方提供在线证书状态查询服务(OCSP)或者基于网站方式(http)的证书状态信息查询、.
4.
9.
10在线吊销检查的要求依赖方在信赖一张证书前必须检查该证书的状态.
如果依赖方无法查询CRL,则应通过OCSP或者访问网站的形式对证书状态进行查询.
4.
9.
11吊销公告可获得的其他方式无规定.
4.
9.
12密钥损害的特殊要求UNTSH各参与方如果发现或者怀疑密钥安全被损害时,应该立即对该证书进行吊销.
如果CA的密钥(根CA或子CA密钥)安全被损害或者怀疑被损害,应该在合理的时间内用合式的方式及时通知订户和依赖方.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第36页共73页364.
9.
13证书挂起的情形无规定.
4.
9.
14谁能要求挂起无规定.
4.
9.
15挂起请求的程序无规定.
4.
9.
16挂起的期限无规定.
4.
10证书状态服务4.
10.
1操作特征证书状态可以通过CRL、LDAP目录服务、OCSP进行查询,或者通过CA发布的网络地址(URL)以Http方式进行查询.
上述方式的证书状态服务应该对查询请求有合理的响应时间和并发处理能力.
4.
10.
2服务的可用性证书状态服务必须保证7X24小时可用.
4.
10.
3可选功能OCSP是一项可选的服务,在很多情形下,并不是所有的应用系统或者产品都能支持此项服务.
4.
11订购的结束(终止服务)订户出现下列情形时意味着该订户的证书服务已经终止:证书到期后没有进行更新SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第37页共73页37证书到期前被吊销证书到期前提出终止服务4.
12密钥托管和恢复UNTSH不托管任何订户的私钥,因此也就不提供密钥恢复服务.
4.
12.
1密钥托管和恢复的策略与实施无规定.
4.
12.
2会话密钥封装和恢复的策略与实施无规定.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第38页共73页385.
设施、管理和运作控制5.
1物理控制UNTSH有详细的文件,描述CA和RA需要遵守的物理控制和安全策略.
对这些策略的符合性要求,在第8章中的UNTSH审计要求中做出了规定.
由于这些文件包含敏感信息,需要与SHECA签署保密协议后才可以获得.
下面只描述一下相关要求的大概内容.
5.
1.
1场所位置与建筑所有UNTSH内的CA、RA都在受到物理保护的环境下进行运营和操作.
所有采取的物理保护手段能够防止、检测并阻止未经授权的使用、访问或者披露敏感的信息和系统.
对于所有的CA和RA,都应严格遵循SHECA关于物理环境的要求.
环境安全控制基于多级物理安全层的建立.
每一级物理安全层就是一道安全防护屏障,通过上锁的门等方式来提供可控的物理访问管理,可以控制每一个人进入每一个区域,并且能够保证这些控制手段要有主动防护功能,例如能够对门的开启和关闭进行不同模式的提醒.
物理安全层的安全控制手段是递进的,由外到里的每一级物理安全层都必须提供更加严格的访问控制和更加可靠的物理安全措施.
同时,每一级物理安全层都必须完全包含下一级物理安全层,最外一级的物理安全层应该是整个建筑物的外墙.
CA的CPS应该对物理安全层进行比较详细的规定.
5.
1.
2物理访问对物理安全层每一级的访问都必须是可审计和可控的,从而保证对每一级物理安全层的访问都只有经过授权的人才可以进行.
5.
1.
3电力和空调CA和RA的物理安全设施需要配置主、备电力供应系统,以确保持续不间断的电力供应.
同时,也需要有空调系统来控制温度和湿度.
5.
1.
4防水措施CA和RA的物理设施应该采取措施并进行相应的设备配置,制定相应的处理程序,以防止水灾或者水泄漏对系统造成损害或不利影响.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第39页共73页395.
1.
5火灾预防与保护CA和RA的物理设施应该采取措施并进行相应的设备配置,制定相应的处理程序,以防止火灾或者烟雾对系统造成损害或不利影响.
火灾防护措施应当符合当地消防管理部门的要求.
5.
1.
6介质存储CA和RA需要严格保护备份系统数据或者其它任何敏感信息的存储介质,避免这些介质受到水灾、火灾、电磁损害以及其它环境要素造成的损坏,并且需要建立严格的保护手段以防止对介质未经授权的使用、访问或者披露.
5.
1.
7废物处理CA和RA需要建立严格的废物处理流程,特别是包含隐私或者敏感信息的纸张、电子介质或者其他任何废弃物,保证对此类废弃物进行彻底的物理销毁或者信息清除,避免对这类废物中包含的隐私或者敏感信息的非授权使用、访问或披露.
5.
1.
8异地备份CA和RA需要建立关键系统数据或者包括审计数据在内的任何其它敏感信息的备份措施,对于关键系统和数据应该采取异地备份手段,确保其处于安全的设施内.

5.
2程序控制(流程控制、过程控制)5.
2.
1可信角色证书服务具有高可靠性和高安全性的要求.
为了保证可靠的人员管理,员工、第三方服务人员、顾问等应该是被认定为可信的人员,才可在可信的岗位进行工作.
成为可信人员必须符合本CP中关于人员背景的要求.
可信人员是指能够访问、进入或者控制认证或者密钥操作的角色,包括员工、第三方服务人员和顾问等,他们可能会对以下几个方面产生重要影响:证书申请中的信息验证和确认对证书申请、吊销进行批准、拒绝或者其他操作证书签发和吊销对严格控制访问的信息库进行访问处理订户信息或请求可信人员包括但不限于以下角色:客户服务人员SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第40页共73页40系统管理和操作人员系统设计和研发人员安全管理人员设备管理人员机房管理人员人力资源管理人员5.
2.
2每项任务所需的人数CA和RA应该建立、维护和执行严格的控制流程,基于工作要求和工作安排建立职责分割措施,贯彻互相牵制、互相监督的安全机制,确保由多名可信人员共同完整敏感操作.

职责分割的策略和控制程序是基于实际工作职责的要求.
对于认证业务来讲,最重要的敏感操作就是访问和管理CA密码设备、分配和管理密钥材料以及密钥口令的保护等.
这些操作必须要求多名可信人员参与完成.
这些敏感的内部控制流程要求至少有两名可信人员参与,要求他们有各自独立的物理或逻辑控制设施,关于CA的密钥设备的生命周期过程被严格的要求多名可信人员共同参加.
关键的控制要进行物理和逻辑上的分割,如掌握关键设备的物理权限的人员不能再持有逻辑权限分割权力,反之亦然.
对于证书申请的鉴别和签发,也需要至少两个可信人员操作才能完成.
对于重要的系统数据操作和重要系统维护,需要安排至少一人进行操作,一人进行监督记录.
5.
2.
3每个角色的识别和鉴别对于所有将要成为可信角色的人员,必须进行严格的识别和鉴证,确保其能够满足所从事工作职责的要求.
主要包括:根据实际需要确定不同的角色,为其划分权限和要求,并设定不同角色的背景要求对人员进行背景调查,使其符合相应角色的可信要求赋予可信角色在系统中的权限,并为其发放令牌在进行可信调查前,首先需要确认该人员的物理身份的真实性和可靠性,更进一步的背景调查需要按照本CP的要求严格进行.
5.
2.
4需要职责分割的角色需要进行职责分割的角色,包括但不限于下列人员:从事证书申请信息验证的人员负责证书申请、吊销、更新和信息注册等服务请求的批准、拒绝或其他操作的人员负责证书签发、吊销等工作或者能够访问受限、敏感信息的人员处理订户信息的人员生成、签发和销毁CA系统证书的人员系统上线或者下线的人员掌握重要口令的人员密钥及密码设备管理、操作人员SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第41页共73页415.
3人员控制5.
3.
1资格、经历和清白要求充当可信角色的人员,必须具备相应的教育背景、工作资格、从业经历等条件,必须能够提交相应的证明文件.
5.
3.
2背景调查程序充当可信角色的人员需要经过严格的背景调查程序,一般在5年内应该重新调查一次.
背景调查必须符合法律法规的要求,调查内容、调查方式和从事调查的人员不得有违反法律法规的行为.
根据不同可信岗位的工作特点,背景审查应该包括但不限于以下内容:身份证明,如个人身份证、护照、户口本等学历、学位及其他资格证书.
个人简历,包括教育、培训经历,工作经历及相关的证明人无犯罪证明材料背景调查应使用合法手段,尽可能地通过相关组织、部门进行人员背景信息的核实.
并由认证机构的人力资源部门和安全管理人员共同完成人员评估工作.
背景调查需要核实的材料和程序包括但不限于以下方面:验证先前工作记录的真实性验证身份证明的真实性验证学历、学位及其他资格证书的真实性检验无犯罪证明材料并确认无犯罪记录通过适当途径了解是否有工作中的严重不诚实行为.
在背景调查中,如果发现下列情形,可以拒绝其获得可信人员的资格:存在捏造事实或资料的行为借助不可靠人员的证明有某些犯罪记录或者事实使用非法的身份证明或者学历、任职资格证明工作中有严重不诚实行为5.
3.
3培训要求为了使员工能够胜任工作,需要对员工进行必要的岗前培训和工作中的再培训,以更好的满足工作岗位对人员的要求.
培训应该包括但不限于以下内容:UNTSH证书策略和电子认证业务规则PKI基本知识电子签名法和相关法律法规工作职责和岗位说明安全管理策略和要求SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第42页共73页42相应的业务知识5.
3.
4再培训的频率和要求CA和RA应定期对重要岗位的员工安排定期培训,使其更加符合岗位需求.
对于公司安全管理策略,应该每年至少进行一次培训.
重要岗位应每年进行一次业务技能培训.

5.
3.
5工作轮换的频率和顺序无规定.
5.
3.
6未授权行为的处罚CA应建立、维护和实施一套惩戒管理办法,对未授权行为或其他造成CA损害的行为进行适当的处罚,包括解除或终止劳动合同、调离工作岗位、罚款、批评教育等方式.
这些处罚行为应当符合法律法规的要求.
5.
3.
7独立合约人的要求对于提供第三方服务的独立合约人员,包括顾问、系统和设备维护人员、外部技术支持人员等,如果其参与的工作属于可信角色范畴,那么其所需的安全要求和CA机构内的员工是一致的.
除了必须就工作内容签署保密协议以外,该服务人员必须在CA专人全程监督和陪同下从事相关工作.
同时还需要对其进行必要的知识培训和安全规范培训,使其能够严格遵守相关规范.
5.
3.
8提供给人员的文件为了使认证系统的运营持续正常安全的运行,应该给员工提供有关的文档,至少包括:岗位说明相关业务操作说明相关安全管理规范相关培训材料5.
4审计记录程序5.
4.
1事件记录的类型CA和RA必须记录与运行系统相关的事件.
这些记录,无论是手动生成或者是系统自动生成,都应该包含以下信息:SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第43页共73页43事件发生的日期和时间事件的内容记录时间的实体记录的类型等应该记录的内容包括但不限于:CA密钥生命周期内的管理事件,包括密钥生成、备份、存储、恢复、归档和销毁密码设备生命周期的管理事件,例如接收、使用、卸载和弃用证书生命周期内的管理事件,包括:证书的申请、批准、更新、吊销等系统安全事件,包括:成功或不成功访问CA系统的活动,对于CA系统网络的非授权访问及访问企图,对于系统文件的非授权的访问及访问企图,安全、敏感的文件或记录的读、写或删除,系统崩溃,硬件故障和其他异常防火墙和路由器记录的安全事件系统操作事件,包括系统启动和关闭,系统权限的创建、删除,设置或修改密码认证机构设施的访问,包括授权人员进出认证机构设施、非授权人员进出认证机构设施及陪同人和安全存储设施的访问可信人员管理记录,包括网络权限的帐号申请记录,系统权限的申请、变更、创建申请记录,人员情况变化5.
4.
2处理日志的频率认证机构应定期检查审计日志,以便发现重要的安全和操作事件,对发现的安全事件采取相应的措施,并对审查行为进行记录备案.
5.
4.
3审计日志的保留期限SHECA应保留系统审计日志至少7年,法律法规另有规定的,按照相关法律法规执行.
5.
4.
4审计日志的保护所有的审计日志,应当采取与严格的物理和逻辑访问控制措施,防止未经授权的浏览、修改、读取、删除等.
5.
4.
5审计日志的备份程序对审计日志的备份应该建立和执行可靠的制度,定期进行备份.
5.
4.
6审计收集系统(内部和外部)无规定.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第44页共73页445.
4.
7事件引发主体的通知在事件被审计收集记录时,不要求或者不需要通知引起事件的相关个人、单位、设备、应用程序等实体.
但是SHECA可根据日志审计的结果,决定是否需要(例如时间的严重程度)通知有关实体.
5.
4.
8脆弱性评估根据对事件进行的审计处理,应当定期进行安全脆弱性评估,并根据评估报告采取相应的补救措施.
根据不同的事件记录,这种评估的执行可能每天、每周或者每年进行.
SHECA每年至少会进行一次评估,作为整个证书运营服务年度评估的一部分.
5.
5记录归档5.
5.
1记录归档的类型需要归档的记录,除了5.
4.
1规定的外,还需要对如下记录进行归档,包括:SHECA对下列记录(包括但不限于)进行归档保存:证书系统建设和升级文档证书和CRL等证书申请支持文档,证书服务批准和拒绝的信息,与证书订户的协议审计记录证书策略文档员工资料,包括背景调查、录用、培训等资料各类外部、内部评估文档5.
5.
2归档的保留期限不同归档记录的保留期限是不同的.
根据法律法规的要求、业务需要和运营服务的实际情况,不同归档记录的保留期限如下:订户证书和相关申请资料,自证书到期或吊销后保留不少于7年CA、子CA证书和密钥,及相关生成记录,自证书到期或吊销后保留不少于10年物理访问记录,保留不少于2年系统操作和管理记录,保留不少于2年外部评估记录和内部年度评估审计记录,保留不少于7年业务管理类记录,保留不少于7年SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第45页共73页455.
5.
3归档的保护所有归档的记录需要采取适当的物理和逻辑访问控制措施,保证只有经过授权的可信人员才能访问.
被保护的归档记录应防止未经授权的浏览、修改、删除等非法操作,应保存在可靠的系统或者场所内.
归档记录应能保证在本CP规定的保留期内,可以被有效的访问.
5.
5.
4归档备份程序对于系统生成的电子归档记录,应当定期进行备份,备份文件进行异地存放.

对于书面的归档资料,不需要进行备份,但需要采取严格的措施保证其安全性.

5.
5.
5记录的时间戳要求归档记录必须保留时间信息,但是该时间信息不采用数字时间戳这种基于密码的方式进行.
5.
5.
6归档收集系统(内部或外部)UNTSH内CA、RA等各实体的归档,由内部收集.
5.
5.
7获得和验证归档信息的程序只有被授权的可信人员能够访问归档记录.
归档记录的一致性在归档时进行验证.
归档期间,所有被访问的记录在归还时必须验证其一致性.
5.
6密钥变更在CA机构的证书到期时,SHECA将对CA证书进行更新.
只要CA密钥对的累计寿命没有超过6.
3.
2中规定的最大生命期,那么CA证书可以使用原密钥进行更新.
否则将需要产生新的密钥对,替换已经过期的CA密钥对.
即时在密钥对生命期内,SHECA也可以通过生成新密钥对的方式产生新的CA证书.
在一个上级CA证书过期之前,密钥变更过程被启动,以保障这个上级CA体系中的实体从CA旧密钥对到新密钥对的平稳过渡.
在生成新的CA密钥对时,必须严格遵守SHECA关于密钥管理的规范.
新的密钥对产生时,SHECA将签发新的CA证书,并及时进行发布,让订户和依赖方能够及时获取新的CA证书.
CA密钥更替时,必须保证整个证书链的顺利过渡.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第46页共73页465.
7损害灾难恢复CA应制定、维持可靠的损害和灾难恢复计划,通过实施物理、逻辑和过程控制等有效的综合方案将密钥损害或其他灾难造成的风险和潜在影响降到最小,在合理的期限内恢复业务运作.
为了在出现异常或灾难情况时,能够在最短的时间内重新恢复认证系统的运行,SHECA制订了应对突发事故导致的系统问题的损害和灾难恢复计划.
5.
7.
1事故和损害处理程序CA应建立事故和损害处理程序,进行事故调查、事故响应和处理.
按照灾难恢复计划,备份信息应该被妥善保存,在一旦发生损害和灾难的时候应可以被有效使用,尽快恢复业务开展.
5.
7.
2计算资源、软件、数据被损坏如果出现计算机资源、软件和/或数据损坏的事件,必须将事件报告给安全管理部门,并立即启动事故处理程序,如有必要,可启动灾难恢复程序.
5.
7.
3实体私钥损害处理程序当UNTSH的根CA私钥出现损毁、遗失、泄露、破解、被篡改,或者有被第三者窃用的疑虑时,SHECA应该:立即向电子认证服务管理办公室和其他政府主管部门汇报,通过网站和其它公共媒体对订户进行通告,采取措施保证用户利益不受损失.
立即吊销所有已经被签发的证书,更新CRL和OCSP信息,供证书订户和依赖方查询.
同时SHECA立即生成新的密钥对,并自签发新的根证书.
新的根证书签发以后,按照本CP关于证书签发的规定,重新签发下级证书和下级操作子CA证书.
SHECA新的根证书签发以后,将会立即通过SHECA信息库、目录服务器、HTTP等方式进行发布.
采取合理的努力及时告知用户和包含AssecoDataSystemsS.
A.
的依赖方.
当UNTSH的子CA私钥出现遗失、泄露、破解、被篡改,或者有被第三者窃用的疑虑时,操作CA应该:立即向SHECA安全认证委员会进行汇报并生成新的密钥对和证书请求,申请签发新的证书.
立即向电子认证服务管理办公室和其他政府主管部门汇报,通过网站和其它公共媒体对订户进行通告,采取措施保证用户利益不受损失.
立即吊销所有由该子CA签发的证书,更新CRL和OCSP信息,供证书订户和依赖方查询.
新的子CA证书签发以后,按照本CP关于证书签发的规定,重新签发订户证书.
新的证书签发以后,将会立即通过SHECA信息库、目录服务器、HTTP等方式进行SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第47页共73页47发布.
当证书订户的私钥出现遗失、泄露、破解、被篡改,或者有被第三者窃用的疑虑时,订户应该按照本CP的规定,立即申请证书吊销,并尽可能地通知信赖方.
认证机构应及时吊销订户证书并按发布证书吊销信息.
证书订户需要重新申请证书才能继续使用.

5.
7.
4灾难后的业务存续能力为了避免由于突发灾难造成认证业务停顿,CA应制订一套完整的业务连续性计划,并建立相应的异地灾难备份系统.
在出现异常灾难时,能够尽快恢复系统运行和服务提供,从而将风险减到最小.
并且保证:在尽可能短的时间内恢复业务系统,最多不超过24小时能够恢复客户信息能够保证恢复后的运营场地符合安全要求能够恢复对老客户、新客户的服务有足够的人员能够继续开展业务并且不违反职责分割的要求5.
8CA或RA的终止CA或RA需要停止运行时,在停止运作之前,有关实体要在合理的时间内尽决通知订户、信赖方和其他受到影响的实体.
如果认证机构要终止运行,认证机构应制定业务承接计划,以使订户和信赖方的损失降到最低.
这种终止计划包括下列适用内容:通知政府主管机构通告由于CA运行停止而受到影响的各方,如订户和信赖方,通知他们该CA的状态处理通知费用问题吊销认证机构签发的CA证书保存CA归档文件和记录到规定的期限证书吊销服务的继续,如CRL的签发或在线证书状态检查服务的维护.
如果必要,吊销最终订户和下级CA的未过期和未被吊销的证书如果需要,对证书未到期、未吊销而根据CA中止计划被吊销订户的赔偿支付,或者由继任CA签发替换证书给订户CA私钥和保存该私钥的硬件模块的处理将终止的CA服务传给继任CA的条款当RA因故终止服务时,认证机构将按照与其签订的相关协议处理有关业务承接事宜和其他事项.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第48页共73页486.
技术安全控制6.
1密钥对生成和安装6.
1.
1密钥对生成1、CA密钥的产生CA密钥对由国家密码主管部门批准和许可的设备生成的.
密钥的生成、管理、储存、备份和恢复等应遵循FIPS140-2标准的相关规定.
由于FIPS140-2标准并非是国家密码主管部门认可和支持的标准,国家对于密码产品有严格的管理要求,因此,SHECA部分密码机的选用对FIPS140-2标准仅是参照执行,是在国家密码管理政策许可前提下的选择性适用,具体参照设备厂商提供的资料.
为保证CA密钥对的绝对安全,需要制定严格的密钥管理流程对其进行控制.
至少应包括电磁屏蔽环境、人员监督、密钥分割、视频监控等条件.
2、订户签名密钥对的生成订户签名密钥对的生成由订户操作.
签名证书订户使用国家密码主管部门批准许可的设备生成签名密钥对,例如由加密机、加密卡、USBKey、IC卡等生成,订户应确保其密钥生成过程安全可靠.
用户在选择这些设备前,可以事先向CA咨询有关的系统兼容和接受事宜.
CA可以向用户提供符合国家密码管理相关规定的USBKey作为订户签名密钥的生成和存储设备,并提供相应指导.
证书订户签名密钥对的产生,必须遵循国家的法律政策规定.
CA支持多种模式的签名密钥对产生方式,除了硬件密码模块生成密钥对外,服务器证书订户可以利用Web服务器软件提供的密钥生成功能生成密钥对,电子邮件证书可以使用浏览器自带的密码模块生成密钥对,证书申请者可根据其需要进行选择.
不管何种方式,密钥对产生的安全性都应该得到保证.
SHECA在技术、业务流程和管理上,已经实施了安全保密的措施.
3、订户加密密钥对的生成加密密钥对由相应的国家密钥管理机构生成,并以安全的方式传送.
4、证书订户负有保护私钥安全的责任和义务,并承担由此带来的法律责任.

5、UCAGlobalG2Root和UCAExtendedValidationRoot这两个根下的所有证书,CA不允许为用户生成密钥.
6.
1.
2私钥分发给订户在订户生成自己的密钥对的情况下,不需要将私钥传给订户.
用于激活私钥的数据通过其他途径发给订户.
CA应记录这种设备的分发.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第49页共73页496.
1.
3公钥分发给证书签发者证书订户以公钥向CA提交证书请求时(例如PKCS#10格式),该请求信息内的公钥,得到订户私钥签名、用户身份验证和信息完整性的保护,并且通过安全可靠的方式进行传输.
证书签发成功的回复消息,得到签名和信息完整性的保护,并且以安全可靠的方式进行传输.
6.
1.
4CA公钥分发给依赖方CA的公钥应主要网站下载方式发布给依赖方.
在订户证书签发时,CA可通过PKCS#7格式将包含CA公钥的证书链传递给最终订户.
CA也需要通过LDAP目录发布其公钥.
此外,CA还支持通过浏览器内置方式、软件协议方式(例如S/MIME)将公钥分发给依赖方.
6.
1.
5密钥长度SHECA支持的密钥长度为1024位或以上,其中公开可信任的订户证书的RSA密钥长度应为2048位或以上.
6.
1.
6公钥参数的生成和质量检查公钥参数必须使用国家密码主管部门批准许可的加密设备生成,例如由加密机、加密卡、USBKey、IC卡等生成和选取,并遵从这些设备的生成规范和标准.
对于参数质量的检查,同样由通过国家密码主管部门批准许可的加密设备进行,例如加密机、加密卡、USBKey、IC卡等.
6.
1.
7密钥使用目的CA签发的证书是X509v3版本,证书内包含了密钥用途扩展项.
如果CA在其签发证书的密钥用途扩展项内指明了用途,证书订户必须按照该指明的用途使用密钥.

所有密钥的使用,都必须遵循本CP及相关CPS的规范.
参见7.
1.
2.
6.
2私钥保护和密码模块工程控制6.
2.
1密码模块标准和控制CA密钥对由国家密码主管部门批准和许可的设备生成的.
密钥的生成、管理、储存、备份和恢复等应遵循FIPS140-2标准的相关规定.
由于FIPS140-2标准并非是国家密码主管SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第50页共73页50部门认可和支持的标准,国家对于密码产品有严格的管理要求,因此,FIPS140-2标准仅是参照执行,是在国家密码管理政策许可前提下的选择性适用,具体参照设备厂商提供的资料.
6.
2.
2私钥多人控制(m选n)CA的私钥操作采用多人控制的策略(即noutofm策略,m>n,n>=3),使用"秘密分割"技术,将使用和操作CA私钥时所需的激活数据分成若干个部分,由受过SHECA安全认证委员会批准的可信人员持有.
在对私钥进行操作时,需要至少三个或三个以上的可信人人员共同完成生成和分割程序.
6.
2.
3私钥托管无规定.
6.
2.
4私钥备份为了保证业务持续开展,认证机构必须创建CA私钥的备份,以备进行灾难恢复操作.
私钥备份以加密的形式保存在硬件密码模块中,存储CA私钥的密码模块应符合6.
2.
1的要求.
CA私钥复制到备份硬件密码模块中要符合6.
2.
6的要求.
对于订户签名证书,如果其私钥存放在软件密码模块中,建议订户对私钥进行备份,备份的私钥需要采用口令保护等授权访问控制,防止非授权的修改或泄露.

对于订户加密证书,其加密私钥的保护、管理、存档、备份、托管等,由相应的国家密钥管理部门进行规范和决定.
证书订户可以就加密私钥的备份问题,可以与相应的国家密钥管理部门进行联系.
6.
2.
5私钥归档SHECA的私钥经过加密后按照严格的安全措施保存.
CA的私钥不进行归档.
.
6.
2.
6私钥导入或导出密码模块CA的私钥,严格的按照密钥管理办法规定的程序和策略进行备份,除此之外的任何导入导出操作将不被允许.
当CA密钥对备份到另外的硬件密码模块上时,以加密的形式在模块之间传送,并且在传递前要进行身份鉴别,以防止CA私钥的丢失、被窃、修改、非授权的泄露、非授权的使用.
SHECA不提供订户私钥从硬件密码模块中导出的方法,也不允许如此操作.
对于存放在软件密码模块中的私钥,如果订户愿意并且自行承担相关风险,订户可自主选择导入导出的方式,操作时需要采用口令保护等授权访问控制措施.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第51页共73页516.
2.
7私钥在密码模块中的存储CA必须使用国家密码主管部门批准和认可的密码设备及密码模块进行CA私钥存储,所有在密码模块中存储的私钥,都以密文的形式保存.
订户的私钥存储在符合国家密码管理规定的USBKey介质中,所有在USBKey中存储的私钥,都以密文的形式保存.
对于使用软件密码模块生成的私钥,最好在硬件密码模块(如USBKey、SmartCard)中存储和使用,也可以使用有安全保护措施的特定软件密码模块.
6.
2.
8激活私钥的方法UNTSH的所有私钥,都被建议至少采用输入保护口令的方式激活私钥.
除非订户自己进行变更,并愿意承担变更后的责任.
CA的私钥存放于硬件加密模块中,其激活数据按照6.
2.
2进行分割,并且保存在IC卡等硬件介质中,必须由m选n的方式分别输入激活数据才能激活私钥.
对于存放在订户计算机软件密码模块中的私钥,订户应该采用合理的措施从物理上保护计算机,以防止在没有得到用户授权的情况下,其他人员使用订户的计算机和相关的私钥.

如果存放在软件密码模块中的私钥没有口令保护,那么软件密码模块的加载意味着私钥的激活.
如果使用口令保护私钥,软件密码模块加载后,还需要输入保护口令才能激活私钥.

对于存放在诸如订户USBKey、智能卡、加密卡、加密机或者其它形式的硬件密码模块中的私钥,订户可以通过口令、指纹、IC卡等方式进一步保护.
当订户计算机上安装了相应的驱动后,将USBKey、智能卡等插入相应的设备中,输入保护口令或指纹,则私钥被激活.
6.
2.
9解除私钥激活状态的方法一旦私钥被激活,除非这种状态被解除,私钥总是处于活动状态.
在某些私钥的使用当中,私钥每次被激活,只能进行一次操作,如果需要进行第二次操作,需要再次进行激活.

解除私钥激活状态的方式包括退出登陆状态、切断电源、将硬件密码模块移开、注销用户或系统等.
订户解除私钥激活状态的方式由其自行决定,例如退出、切断电源、移开令牌/钥匙,自动冻结等.
订户必须自行承担其解除私钥激活状态操作的风险和责任.

对于CA私钥,当存放私钥的加密设备断电,私钥进入非激活状态.
6.
2.
10销毁私钥的方法CA的私钥不再被使用,或者与私钥相对应的公钥到期或者被吊销后,根据需要可将私钥进行归档,除归档外的私钥必须被按照从加密设备中彻底删除、加密设备初始化或者物理销毁加密设备等的方式销毁.
归档的CA私钥在其归档期限结束时需在多名可信人员参与的情况下安全销毁,必须通过将CA私钥从加密设备中彻底删除、加密设备初始化、物理销毁加密设备的方式销毁.
所有用于激活私钥的PIN码、IC卡、动态令牌等也必须同私钥一起被销毁或者收回.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第52页共73页52订户的私钥不再被使用,或者与私钥相对应的公钥到期或者被吊销后,由订户决定其销毁方法,包括通过私钥的删除、系统或密码模块的初始化、物理销毁私钥存储模块等方式.

订户必须保证有效销毁其私钥,并承担有关的责任.
6.
2.
11加密模块评估CA使用国家密码主管部门批准和许可的密码产品,接受其颁布的各类标准、规范、评估结果、评价证书等各类要求,根据SHECA对产品性能、工作效率、供应厂商的资质等方面的条件,选择所需要的模块.
6.
3密钥对管理的其他方面6.
3.
1公钥归档CA的公钥,包括所有根CA和子CA的公钥必须进行归档,归档的具体要求参照5.
5的规定.
6.
3.
2证书操作期和密钥对使用期公钥和私钥的使用期限与证书的有效期相关,但却并不完全保持一致.
对于签名用途的证书,其私钥只能在证书有效期内才可以用于数字签名,私钥的使用期限不超过证书的有效期限.
但是,为了保证在证书有效期内签名的信息可以验证,公钥的使用期限可以在证书的有效期限以外.
对于加密用途的证书,其公钥只能在证书有效期内才可以用于加密信息,公钥的使用期限不超过证书的有效期限.
但是,为了保证在证书有效期内加密的信息可以解开,私钥的使用期限可以在证书的有效期限以外.
对于身份鉴别用途的证书,其私钥和公钥只能在证书有效期内才可以使用.
当一个证书有多个用途时,公钥和私钥的使用期限是以上情况的组合.
证书操作期和证书内包含的有效期一致.
对于订户证书,有效期最长不超过4年;对于2020年9月1日后签发的SSL证书,最长有效期不超过398天.
对于CA证书,最长的有效期不超过50年.
具体参见CPS6.
3.
3.
6.
4激活数据6.
4.
1激活数据的生成和安装为了保护私钥的安全,证书订户生成和安装激活数据必须保证安全可靠,从而避免私钥被泄漏、被偷窃、被非法使用、被篡改、或者被非经授权的披露.
CA私钥的激活数据,必须按照关于密钥激活数据分割和密钥管理办法的要求,严格进行生成、分发和使用.
订户私钥的激活数据,包括用于下载证书的口令(以密码信封等形式提供)、USBKey、IC卡的登陆口令等,都必须在安全可靠的环境下随机产生.
所有的保护口令都应该是不容SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第53页共73页53易被猜到的,应该遵循以下几个原则:至少8位字符至少包含一个字符和一个数字至少包含一个小写字母不能包含很多相同的字符不能和操作员的名字相同不能使用生日、电话等数字用户名信息中的较长的子字符串.
6.
4.
2激活数据保护对于CA私钥的激活数据,必须将激活数据按照可靠的方式分割后由不同的可信人员掌管,而且掌管人员必须符合职责分割的要求.
如果证书订户使用口令或PIN码保护私钥,订户应妥善保管好其口令或PIN码,防止泄露或窃取.
如果证书订户使用生物特征保护私钥,订户也应注意防止其生物特征被人非法获取.
同时,为了配合业务系统的安全需要,应该经常对激活数据进行修改.

6.
4.
3激活数据的其它方面当私钥的激活数据进行传送时,应保护它们在传送过程中免于丢失、偷窃、修改、非授权泄露、或非授权使用.
当私钥的激活数据不需要时应该销毁,并保护它们在此过程中免于丢偷窃、泄露或非授权使用,销毁的结果是无法通过残余信息、介质直接或间接获得激活数据的部分或全部,比如记录有口令的在纸页必须粉碎.
6.
5计算机安全控制6.
5.
1特殊的计算机安全技术要求UNTSH系统的信息安全管理,按照国家密码管理局公布的《证书认证系统密码及其相关安全技术规范》、工业和信息化部公布的《电子认证服务管理办法》,参照ISO17799信息安全标准规范以及其它相关的信息安全标准,制定出全面、完善的安全管理策略和制度,在运营中予以实施、审查和记录.
主要的安全技术和控制措施包括:身份识别和验证、逻辑访问控制、物理访问控制、人员职责分权管理、网络访问控制等.
通过严格的安全控制手段,确保CA软件和数据文件的系统是安全可信的系统,不会受到未经授权的访问.
此外,认证机构应只允许有工作需求的必要人访问产品服务器,一般的应用用户在产品服务器上没有账户.
核心系统必须与其他系统物理分离,生产系统与其他系统逻辑隔离.
6.
5.
2计算机安全评估UNTSH系统,通过国家密码管理局、中国国家信息安全测评中心、上海市信息安全测SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第54页共73页54评中心等第三方机构的有关评估、审查和认证.
6.
6生命周期技术控制6.
6.
1系统开发控制UNTSH系统的开发控制包括可信人员管理、开发环境安全管理、产品设计和开发评估、使用可靠的开发工具等,设计的产系统满足冗余性、容错性、模块化的要求.

6.
6.
2安全管理控制UNTSH系统的信息安全管理,严格遵循信息产业部、国家密码管理局等主管部门的有关运行管理规范和SHECA的安全管理策略进行操作.
整个系统的使用具有严格的控制措施,所有的系统都经过严格的测试验证后才进行使用,任何修改和升级会记录在案并进行版本控制、功能测试和记录.
SHECA还对认证系统进行定期和不定期的检查和测试.
运行系统采用严格的管理体系来控制和监视系统的配置,以防止未授权的修改.

硬件设备从采购到上线钱前,会进行安全性的检查,用来识别设备是否被入侵,是否存在安全漏洞等.
加密设备的采购和安装,在更加严格的安全控制机制下,进行检验、安装和验收.
所有的软硬件设备升级以后,废旧设备在进行处理时,必须确认其是否有影响认证业务安全性的信息存在.
6.
6.
3生命周期安全控制无规定.
6.
7网络安全控制UNTSH系统采用多级防火墙、入侵检测、安全审计、病毒防范系统,并且及时更新防火墙、入侵监测、安全审计、病毒防范系统的版本,定期进行策略审计和评估,以尽可能的降低来自网络的风险.
6.
8时间戳认证系统的各种系统日志、操作日志都应该有相应的时间标识.
这些时间标识不需要采用基于密码的数字时间戳技术.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第55页共73页557.
证书、CRL和OCSP格式7.
1证书格式UNTSH证书遵循ITU-TX.
509V3(1997):信息技术一开放系统互连-目录:认证框架(1997年6月)标准和RFC5280:InternetX.
509公钥基础设施证书和CRL结构(2008年5月).
7.
1.
1版本号UNTSH订户证书,符合X.
509V3证书格式,这一版本信息存放在证书版本属性栏内.
7.
1.
2证书扩展项SHECA除了使用证书标准项和标准扩展项以外,还使用SHECA规定的自定义扩展项.
1、证书扩展项密钥用途电子签名,不可抵赖,密钥加密,数据加密,密钥协议,验证证书签名,验证CRL签名,只加密,只解密.
SSL证书代码签名证书时间戳证书CA证书0digitalSignature√√√*1nonRepudiation****2keyEncipherment√***3dataEncipherment****4keyAgreement****5keyCertSign***√6cRLSign***√7encipherOnly****8decipherOnly****其它类型证书的密钥用途遵守RFC5280,按需进行设置.
netscape证书类型该扩展项用来向使用网景浏览器的证书依赖方声明证书被认可的应用类型,该扩展项声明了如下的密钥用途:SSL客户端验证,SSL服务器缎验证,S/MIME,对象签名等.
证书策略SHECA签发的证书策略,符合X.
509证书格式,这一策略信息存放在证书策略属性栏内.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第56页共73页56基本限制用于鉴别证书持有者身份,如最终用户等.
扩展密钥用途时间戳证书代码签名证书SSL证书服务器验证1.
3.
6.
1.
5.
5.
7.
3.
1**√客户端验证1.
3.
6.
1.
5.
5.
7.
3.
2**√代码签名1.
3.
6.
1.
5.
5.
7.
3.
3*√*安全电子邮件1.
3.
6.
1.
5.
5.
7.
3.
4***时间戳1.
3.
6.
1.
5.
5.
7.
3.
8√**其它类型证书的扩展密钥用途遵守RFC5280,按需进行设置.
CRL发布点CRL分发点扩展项包含可以获取CRL的URL,用于验证证书状态.
2、自定义扩展项有关自定义扩展项的内容,请参考本CP附录中的说明.
7.
1.
3密钥算法对象标识符SHECA签发的证书密钥算法标识符为sha1RSA、sha256RSA,其中公开可信任证书的密码算法从2016年1月1日不适用sha1RSA.
SHECA使用的算法对象标识符,符合ISO对象标识符(OID)管理的规范.
例如:1、签名算法:SHA256withRSAEncryption对象标识符为:{iso(1)member-body(2)us(840)rsadsi(113549)pkcs(1)pkcs-1(1)sha256WithRSAEncryption(11)}SM3withSM2Encryption对象标识符为:{iso(1)member-body(2)cn(156)ccstc(10197)sm-scheme(1)sm3WithSM2Encryption(501)}2、摘要算法:SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第57页共73页57SHA256的对象标识符为:{joint-iso-itu-t(2)country(16)us(840)organization(1)gov(101)csor(3)nistAlgorithm(4)hashAlgs(2)sha256(1)}SM3的对象标识符为:{iso(1)member-body(2)cn(156)ccstc(10197)sm-scheme(1)sm3(401)}3、非对称算法:RSAEncryption对象标识符为:{iso(1)member-body(2)us(840)rsadsi(113549)pkcs(1)pkcs-1(1)rsaEncryption(1)}SM2Encryption对象标识符为:{iso(1)member-body(2)cn(156)ccstc(10197)sm-scheme(1)sm2Encryption(301)}4、对称算法本CPS建议使用国家密码管理部门认可的对称算法.
7.
1.
4命名形式UNTSH证书,其命名形式的格式和内容符合X.
501的甄别名格式.
7.
1.
5命名限制订户的命名一定要有意义,应具有通常能够被理解的语义,可以明确确定证书主题中的个人、单位或者设备的身份,订户证书不被允许使用匿名或假名.
在某些具有特殊要求的电子政务应用中,SHECA可以按照一定的规则为用户指定特殊的名称,并且能够把该类特殊的名称与一个确定的实体(个人、单位或者设备)唯一的联系起来.
任何这一类特殊的命名,都必须经过SHECA安全认证委员会的批准.
7.
1.
6证书策略对象标识符SHECA按照X.
509标准签发的证书,其证书策略对象标识符,存放在证书内证书策略的相关栏目.
具体请参考附录中的证书格式规范.
7.
1.
7策略限制扩展项的使用无规定.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第58页共73页587.
1.
8策略限定符的语法和语义无规定.
7.
1.
9关键证书策略扩展项的处理语义无规定.
7.
2CRL描述UNTSH签发的CRL符合RC5280标准.
7.
2.
1版本号SHECA目前签发X.
509V2版本的CRL,此版本号存放在CRL版本格式栏目内.
7.
2.
2CRL和CRL条目扩展项无规定.
7.
2.
3CRL下载可以通过证书中签发的CRL扩展项标明的URL下载CRL.
7.
3OCSP格式SHECA为用户提供OCSP(在线证书状态查询服务),OCSP作为CRL的有效补充,方便证书用户及时查询证书状态信息.
7.
3.
1版本号RFC2560定义的OCSPV1版本.
7.
3.
2OCSP扩展项无规定.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第59页共73页598.
一致性审计和其它评估SHECA作为UNTSH的运营主体,每季度内部进行一致性审计和运营评估,并每次抽取SSL数字证书至少3%数量的证书进行评估,以保证证书服务的可靠性、安全性和可控性.
除了内部审计和评估外,SHECA还聘请独立的审计师事务所,按照WebTrust对CA的规则进行外部审计和评估.
8.
1评估的频率或情形1、根据《中华人民共和国电子签名法》、《电子认证服务管理办法》等的要求,每年一次接受主管部门的评估和检查.
2、SHECA按照国家主管部门的要求、国家相关标准和本CP的规定运营和服务,按照内部评估和审计规范,每年至少定期执行一次内部的评估审核,包括对UNTSH内其它实体(RA、受理点等)的评估审核.
3、SHECA聘请独立的审计师事务所,按照WebTrust对CA的审计规则,每年进行一次外部审计和评估.
4、SHECA每年进行一次风险评估工作,识别内部与外部的威胁,并评估威胁事件发生的可能性及造成的损害,并评估目前的应对策略、技术、系统以及相关措施是否足够应对风险.
8.
2评估者的资质1、SHECA无条件接收信息产业主管部门的评估.
对SHECA实施评估的评估者所具有的资质和经验,由主管部门决定.
2、在进行内部评估审计时,SHECA要求评估人员至少具备认证机构、信息安全审计的相关知识,有二年以上的相关经验,并且熟悉本CP和相关CPS的规范,以及应具备计算机、网络、信息安全等方面的知识和实际工作经验.
内部评估由战略发展部组织实施.

3、对于聘请的外部审计机构,应该具备以下的资质:必须是经许可的、有执业资格的评估机构,在业界享有良好的声誉了解计算机信息安全体系、通信网络安全要求、PKI技术、标准和操作具备检查系统运行性能的专业技术和工具具备独立审计的精神8.
3评估者和被评估者的关系1、外部评估者(信息产业主管部门、独立审计师事务所以及其他机构)和SHECA之间是独立的关系,没有任何的业务、财务往来,或者其它任何利害关系足以影响评估的客观性,SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第60页共73页60评估者应以独立、公正、客观的态度对SHECA进行评估.
2、SHECA的内部评估者,与被评估的对象之间,也应是独立的关系,没有任何的利害关系足以影响评估的客观性,评估者应以独立、公正、客观的态度对被评估的对象进行评估.
8.
4评估包含的主题(评估内容)1、SHECA按照信息产业主管部门依法提出的评估要求和规范,接受其任何内容的评估.

2、SHECA内部评估审核的内容包括:是否制订和公布CPS是否按照CPS来制订相关的操作规范和运作协议是否按照CPS及相关操作规范和运作协议开展业务服务的完整性:密钥和证书生命周期的安全管理、证书吊销的操作、业务系统的安全操作、业务操作规范审查物理和环境安全控制:信息安全管理、人员的安全控制、建筑设施的安全控制、软硬件设备和存储介质的安全控制、系统和网络的安全控制、系统开发和维护的安全控制、灾难恢复和备份系统的管理、审计和归档的安全管理等.
3、第三方审计师事务所按照WebTrustForCA规范的要求,对SHECA进行独立审计.
8.
5对不足采取的行动1、信息产业主管部门评估完成后,SHECA必须根据评估的结果检查缺失和不足,根据其提出的整改要求,提交修改和预防措施以及整改计划书,并接受其对整改计划的审查,以及对整改情况的再次评估.
2、SHECA完成内部评估后,评估人员需要列出所有问题项目的详细清单,由评估人员和被评估对象共同讨论有关问题,并将结果书面通知SHECA安全认证委员会和被评估者,进行后续处理.
被评估对象必须根据评估的结果检查缺失和不足,提交修改和预防措施以及整改计划书,并接受评估者对整改计划的审查,以及对整改情况的再次评估.
3、第三方审计师事务所评估完成后,SHECA按照其工作报告进行整改,并接受再次审计和评估.
如果认证机构确认审计中发现的意外或不作为对证书体系的安全性、一致性或完整性会造成立即威胁,则认证机构必须在30天内制定改正行动计划,并在合理的期限内执行它.
8.
6评估结果沟通1、信息产业主管机构在完成评估后,按照法律法规的要求对评估结果进行处理.
对于审计的结果,将通过www.
sheca.
com网站进行公布.
2、SHECA的内部评估结果在与被评估对象的相关人员进行讨论确定后,将其视为机密资料进行处理,只有被评估对象和评估人员以及SHECA安全认证委员会可以了解.
非经SHECA安全认证委员会的批准或者被评估对象的授权,评估人员不能泄露给任何其他无关的第三方知晓.
在必要的情况下,对SHECA关联实体评估的结果,其通知方法将在SHECA和被评估实体SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第61页共73页61的协议中写明.
3、第三方审计师事务所评估完成后,对于审计的结果,将通过www.
sheca.
com网站进行公布.
任何第三方向被评估实体通知评估结果或者类似的信息,都必须事先明确向SHECA表明通知的目的和方式,并征得SHECA的同意,法律另有规定的除外;SHECA保留在这方面的法律权力.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第62页共73页629.
其它事项和法律事务本CP作为订户协议的一部分,对UNTSH各参与方都有约束作用.
特别是在本节中涉及的费用、法律、财务、担保等权利义务,需要证书订户、依赖方、CA、RA等予以充分的的了解和遵循.
9.
1费用SHECA对证书订户收取费用.
证书订户有义务根据SHECA公布的价格或者SHECA与之签署的协议中指明的价格向SHECA支付费用.
证书及其相关服务的价格,在SHECA的网站www.
sheca.
com上予以公布.
公布的价格按照SHECA明确指定的时间生效,若没有指定生效时间的,自该价格公布之日起七天后生效.

SHECA也可以通过其他方法通知订户价格的变化.
如果SHECA签署的协议中指明的价格和SHECA公布的价格不一致,以协议中的价格为准.
9.
1.
1证书签发和更新费用SHECA对证书签发和更新的费用,公布在SHECA的网站www.
sheca.
com上,供用户查询.
该公布的价格经过上海市物价局批准通过.
如果SHECA签署的协议中指明的价格和SHECA公布的价格不一致,以协议中的价格为准.
9.
1.
2证书查询费用对于证书查询,目前SHECA不收取任何费用.
除非用户提出的特殊需求,需要SHECA支付额外的费用,SHECA将与用户协商收取应该收取的费用.
如果证书查询的收费政策有任何变化,SHECA将会及时在网站www.
sheca.
com上予以公布.
9.
1.
3吊销和状态信息查询费用SHECA对证书吊销和状态查询,目前不收取任何费用.
如果该项查询的收费政策有任何变化,SHECA将会及时在网站www.
sheca.
com上予以公布.
如果SHECA签署的协议中指明的价格和SHECA公布的价格不一致,以协议中的价格为准.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第63页共73页639.
1.
4其他服务费用1、如果用户向SHECA索取纸质的CPS或其他相关的作业文件时,SHECA需要收取因此产生的邮递和处理工本费.
2、SHECA将向用户提供证书存储介质及相关服务,SHECA在与订户或者其他实体签署的协议中指明该项价格.
3、其他SHECA将要或者可能提供的服务的费用,SHECA将会及时公布,供用户查询.
9.
1.
5退款策略SHECA对订户收取的费用,除了证书申请和更新费用因为特定理由可以退还外,SHECA均不退还用户任何费用.
在实施证书操作和签发证书的过程中,SHECA遵守严格的操作程序和策略.
如果SHECA违背了本CP所规定的责任或其它重大义务,订户可以要求SHECA吊销证书并退款.
在SHECA吊销了订户的证书后,SHECA将立即把订户为申请该证书所支付的费用全额退还给订户.
此退款策略不限制订户得到其它的赔偿.
完成退款后,订户如果继续使用该证书,SHECA将追究其法律责任.
9.
2财务责任9.
2.
1保险范围(覆盖)SHECA根据业务发展情况决定其投保策略,包括但不限于:1、建筑物与硬件设施的火灾等意外险.
2、证书责任险,保险范围涵盖所有SHECA依据本CP签发的订户证书.
目前,SHECA运营的UNSH认证体系没有提供第三方保险服务.
9.
2.
2其他财产无规定.
9.
2.
3对终端实体的保险或担保范围SHECA运营的UNTSH认证体系没有提供第三方保险服务.
证书订户一旦接受UNTSH的证书,或者通过协议完成对证书服务的接受,那么就意味着该订户已经接受了本CP关于保险和担保的规定和约束.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第64页共73页649.
3业务信息保密9.
3.
1保密信息范围1、保密信息包括SHECA和其授权的证书服务机构、SHECA与订户、SHECA与其他证书服务相关方、SHECA关联实体之间的协议、往来函和商务协定等.
除非法律明确规定和SHECA明确进行了书面许可,一般不能在未经另一方许可的情况下擅自公开.
2、与证书持有者证书公钥配对的私钥是机密的,证书订户应该遵照本CP的规定妥善保管,不能公布给未经授权的任意第三方.
如果因证书订户泄露私钥,订户应自行承担一切责任.
3、对SHECA或SHECA对关联实体的审计报告、审计结果等相关信息是机密信息,除了SHECA授权和信任的员工,不能泄露给其他任何人.
这些信息除了审查目的或法律规定的目的,不能用于其他用途.
4、有关SHECA认证系统的运营信息只能在严格指定的情况下,才能提供给经SHECA授权的员工,这种授权并不意味着对信息公开的授权.
对SHECA来讲,所有涉及系统运营的信息,都在保密范围之内.
5、UNTSH体系的系统结构、配置,包括系统、网络、数据库等;各类服务系统安全配置和方案;系统操作、维护记录;各类系统操作口令.
6、UNSTH关于运营管理的文档和记录,包括物理安全策略与实施方案,逻辑安全策略和实施方案,;密钥管理策略与操作记录;可信人员名单;内部安全管理策略与制度;CA或RA批准或拒绝的申请纪录等7、UNTSH所有证书订户的身份信息,订户或者其应用系统访问CRL、OCSP的记录(时间、频度)等8、除非法律明文规定,SHECA没有义务,也不会公布或透露订户证书中已经包括的信息以外的任何信息;同时,SHECA在与其授权的证书服务机构或其他形式的关联实体签署协议时,都将此作为必须满足的要求.
9.
3.
2不在保密范围的信息1、与证书有关的申请流程、申请需要的手续、申请操作指南等信息是可以公开的.
而且SHECA在处理申请业务时可以利用这些信息,包括发布上述信息给第三方.
2、非保密信息还包括证书中包括的相关订户信息.
证书中的订户信息是可以公开的.

3、证书、证书内包括的公钥,供用户公开、自由查询和验证.
4、证书被吊销的信息,属于公开信息,SHECA在目录服务器中公布这些信息.
5、证书策略(CP)、电子认证业务规则(CPS)、订户协议等.
这些非保密信息,并不能够被任意不被授权的第三方使用,SHECA和信息的所有人保留所有这些信息的相关权利.
9.
3.
3保护保密信息的责任SHECA、任何订户、关联实体以及与认证业务相关的参与方等,都有义务按照本CP的规SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第65页共73页65定,承担相应的保护保密信息的责任,必须通过有效的技术手段和管理程对其进行保护.

当SHECA在任何法律法规要求或者法院以及其它公权力部门通过合法程序的要求下,必须披露本CP中规定的保密信息时,SHECA可以按照法律、法规、或法规条令以及法院判决的要求,向执法部门公布相关的保密信息.
SHECA无须承担任何责任.
这种披露不能被视为违反了保密要求和义务.
当保密信息的所有者出于某种原因,要求SHECA公开或披露他所拥有的保密信息时,SHECA应满足其要求;同时,SHECA将要求该保密信息的所有者对这种申请进行书面授权,以表示其自身的公开或者披露的意愿.
如果这种披露保密信息的行为涉及任何其他方的赔偿义务,SHECA不应承担任何与此相关的或由于公开保密信息所造成的损失.
保密信息的所有者应承担与此相关的或由于公开保密信息引起的所有赔偿责任.
9.
4个人信息隐私保护9.
4.
1隐私保护计划SHECA尊重所有的用户和他们的隐私,并制定相应的管理办法对隐私信息进行保护.

9.
4.
2被视为隐私的信息SHECA在管理和使用订户提供的相关信息时,除了证书中已经包括的信息外,该订户的基本信息和身份认证资料,包括联系电话、地址等都将被作为隐私处理,非经订户同意或者法律法规及公权力部门的合法要求,不会任意对外公开.
9.
4.
3不被视为隐私的信息证书订户持有的证书内包括的信息,以及该证书的状态信息等,是可以公开的,将不被视为隐私信息.
9.
4.
4保护隐私信息的责任SHECA、任何订户、关联实体以及与认证业务相关的参与方等,都有义务承担相应的保护隐私信息的责任,不得将订户隐私信息透露随意给第三方.
9.
4.
5使用隐私信息的告知和同意SHECA在其认证业务范围内使用所获得的任何订户信息,只用于订户身份识别、管理、和服务订户的目的.
在使用这些信息时,无论是否涉及到隐私,SHECA都没有告知订户的义务,也无需得到订户的同意.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第66页共73页66SHECA在任何法律法规或者法院以及公权力部门通过合法程序的要求下,或者信息所有者书面授权的情况下向特定对象披露隐私信息时,也没有告知订户的义务,并且不需得到订户的同意.
认证机构、注册机构如果需要将客户隐私信息用于双方约定的用途以外的目的,事前必须告知订户并获得订户同意和授权,而且这种同意和授权是要用可归档的方式(如传真、信函、电子邮件等).

9.
4.
6依法律或行政程序的披露除非符合下列条件之一,否则SHECA不会将订户的保密信息和隐私信息提供给任何对象:政府法律法规的规定并且经相关部门通过合法程序提出申请法院以及公权力部门处理因使用证书产生的纠纷时合法的提出申请具有合法司法管辖权的仲裁机构的正式申请9.
4.
7其它信息披露情形证书订户以书面方式进行授权,要求SHECA向特定对象提供隐私信息时,SHECA可以将信息提供给该订户指定的接受对象.
9.
5知识产权1、SHECA自身拥有知识产权的声明SHECA享有并保留对证书以及SHECA提供的全部软件、系统的一切知识产权,包括所有权、名称权和利益分享权等.
SHECA自行决定SHECA关联实体采用的证书服务软件系统,以便保证系统的兼容和互通.
所有SHECA发行的证书和SHECA提供的软件、系统、文档中,使用、体现和涉及到的一切版权、商标和其他知识产权均属于SHECA,这些知识产权包括所有相关的文件、CP、CPS、规范文档和使用手册等.
SHECA认证体系内关联实体在征得SHECA的同意后,可以使用相关的文件和手册,并有责任和义务提出修改意见.
订户自己产生的密钥的知识产权归其所有,但是公钥经过SHECA签发成证书后,SHECA即拥有该证书的知识产权,只提供给证书订户和依赖方使用的权力.
在没有SHECA书面同意的情况下,使用者不能在任何证书到期、吊销的期间或之后,使用或接受任何SHECA使用的名称、商标、交易形式或可能与之相混淆的名称、商标、交易形式或商务称号.
2、SHECA使用其他方知识产权的声明SHECA在认证业务系统中使用的软硬件设备、辅助设施和相关操作手册,其知识产权为相关供应商所有,SHECA保证都是合法的拥有相应权利,绝对没有故意侵害第三方的权利.
SHECA尊重在证书中DN项内存放的订户的注册商标,但是并不保证该注册商标的所有权归属.
证书订户的注册商标如果在证书注册时已经被前面的申请者占用,由此产生的注册商标和知识产权的纠纷处理并不在SHECA的责任范围内.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第67页共73页679.
6陈述与担保9.
6.
1CA的陈述和担保1、CA的一般陈述在本CP及相关CPS条款规定的范围内,提供基础设施和认证服务SHECA保证其私钥得到安全的存放和保护,SHECA建立和执行的安全机制符合国家相关政策的规定所有和认证业务相关的活动都符合法律法规和主管部门的规定SHECA和证书订户的关系以及SHECA和依赖方的关系并不是代理人和委托者的关系.
证书订户和依赖方都没有权利以合同形式或其他方法让SHECA承担信托责任.
SHECA也不能用明示、暗示或其它方式,作出与上述规定相反的陈述2、CA对订户的陈述除非本CP中另有规定或者发证机构和订户间另有协议,SHECA向在证书中所命名的订户承诺:在证书中没有发证机构所知的或源自于发证机构的错误陈述在生成证书时,不会因发证机构的失误而导致数据转换错误,即不会因发证机构的失误而使证书中的信息与发证机构所收到的信息不一致发证机构签发给订户的证书符合本CP的所有实质性要求发证机构将按本CP的规定,及时吊销证书发证机构将向订户通报任何已知的,将在根本上影响证书的有效性和可靠性的事件上述陈述仅仅是为保证订户的利益,而不是用于使任何其他方受益或被其他方强迫执行.
发证机构的行为若符合相关法律和本CP的规定,即被视为发证机构作出了符合上述描述的合理的努力.
3、CA对依赖方的陈述发证机构就其所发证书向所有按照本CP及相关CPS合理地信赖签名(该签名可通过证书中所含的公钥验证)的人承诺:除了未经验证的订户信息外,证书中的或证书中合并参考到的所有信息都是准确的发证机构完全遵照本CP及相关CPS的规定签发证书4、CA有关公开发布的陈述通过公开发布证书,发证机构向SHECA信息库和所有合理依赖证书中信息的依赖方证明:发证机构已向订户签发了证书,并且订户已经按照本CP中的规定接受了该证书.
9.
6.
2RA的陈述和担保1、注册机构RA按照程序取得了SHECA的授权后,将保证:遵循本CP、相关CPS、与SHECA签订的协议以及其它SHECA公布的规范和流程,接受并处理申请者的证书服务请求,并依据授权设置、管理各类下级证书服务机构,包括RAT等RA必须遵循SHECA制订的服务受理规范、系统运作和管理要求,有权决定是否给申请者提供相应的证书服务SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第68页共73页68依确保其运营系统处在安全的物理环境中,并具备相应的安全管理和隔离措施接受SHECA进行的管理,包括进行服务资质审核和规范执行检查承认SHECA对所有证书服务申请者的服务请求拥有最终处理权不得拒绝任何来自SHECA的公示过的声明、改变、更新、升级等,包括但不限于策略、规范的修改和证书服务的增加和删减等.
为订户提供必要的技术咨询,使订户顺利地申请和使用证书.
2、受理点RAT的陈述提供认证服务和其自身的管理,必须遵守本CP及相关CPS、相关授权运作协议的规定作为被授权的证书服务机构,接受授权机构对其进行的资格审核和管理评估对所有证书服务申请者的隐私信息负有保密责任,无论这种申请是否被批准履行身份鉴别和服务受理的责任不得拒绝任何来自SHECA的公示过的声明、改变、更新、升级等,包括但不限于策略、规范的修改和证书服务的增加和删减等.
为订户提供必要的技术咨询,使订户顺利地申请和使用证书.
9.
6.
3订户的陈述和担保一旦接受发证机构签发的证书,从接受之时起直至证书的整个使用有效期内,如果订户不另行通知,那么订户被视为向SHECA及所有合理信赖证书中所含信息的人作出如下保证:在证书申请表上填列的所有声明和信息必须是完整、精确、真实和正确的,愿意承担任何提供虚假、伪造等信息的法律责任如果存在代理人,那么订户和代理人两者负有连带责任.
订户有责任就代理人所作的任何不实陈述与遗漏,通知SHECA或其授权的证书服务机构用与证书中所含公钥相对应的私钥所进行的每一次签名,都是订户自己的签名,并且在进行签名时,证书是有效证书并已被订户接受(证书没有过期、吊销)只将证书用于经过授权的或其它合法的使用目的除非经订户和发证机构间的书面协议明确规定,订户保证不从事发证机构(或类似机构)所从事的业务,例如:把与证书中所含的公钥所对应的私钥用于签发任何证书(或认证其他任何形式的公钥)或证书吊销列表一经接受证书,既表示订户知悉和接受本CP中的所有条款和条件,并知悉和接受相应的订户协议一经接受证书,订户就应承当如下责任:始终保持对其私钥的控制,使用可信的系统,和采取合理的预防措施来防止私钥的遗失、泄露、被篡改或被未经授权使用不得拒绝任何来自SHECA的公示过的声明、改变、更新、升级等,包括但不限于策略、规范的修改和证书服务的增加和删减等9.
6.
4依赖方的陈述和担保依赖方在信赖任何SHECA签发的证书时,就意味着保证:熟悉本CP及相关CPS的条款,了解证书的使用目的依赖方在信赖SHECA签发的证书前,已经对证书进行过合理的检查和审核,包括:SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第69页共73页69检查SHECA公布的最新的CRL,确认该证书没有被吊销;检查该证书信任路径中所有出现过的证书的可靠性;检查该证书的有效期;以及检查其它能够影响证书有效性的信息一旦由于疏忽或者其他原因违背了合理检查的条款,依赖方愿意就因此而给SHECA带来的损失进行补偿,并且承担因此造成的自身或他人的损失对证书的信赖行为就表明依赖方已经接受本CP的所有规定,尤其是其中有关免责、拒绝和限制义务的条款不得拒绝任何来自SHECA的公示过的声明、改变、更新、升级等,包括但不限于策略、规范的修改和证书服务的增加和删减等.
9.
6.
5其他参与方的陈述和担保垫付商的陈述:垫付商必须承担其所有垫付的证书费用,并按SHECA规定的方式支付垫付商的垫付行为,就表明其愿意并且能够承担本CP及相关CPS规定的,对证书服务申请者的身份真实性提供担保的责任不得拒绝任何来自SHECA的公示过的声明、改变、更新、升级等,包括但不限于策略、规范的修改和证书服务的增加和删减等9.
7担保免责在法律允许的范围内,认证机构认证业务声明、订户协议、信赖方协议和其他订户协议应包含条款免除认证机构的某些可能担保,这包括为了某个特定目的的任何适用性和合适性担保.
9.
8有限责任在法律允许的范围内,CA在承担任何责任和义务时,只承担法律范围内的有限责任.
9.
9赔偿CA对自身原因造成的订户损失,应对订户进行赔偿,或信赖方在履行了信赖方协议的情况下,由于认证机构的原因造成的信赖方损失,认证机构对信赖方的赔偿.

订户对自身原因造成的认证机构、信赖方损失,应对认证机构进行赔偿.

信赖方对自身原因造成的认证机构损失,应对认证机构进行赔偿.
在根据本CP制定的CPS、订户协议以及其他文档中,需要对赔偿的范围、限额、免赔等进行具体的描述.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第70页共73页709.
10有效期和终止9.
10.
1有效期本CP自发布之日起正式生效,且在认证机构中止业务前一直有效,文档中将详细注明版本号及发布日期,当新版本正式发布生效时,旧版本将自动失效.
9.
10.
2终止本CP将持续有效,直到有新的版本取代.
9.
10.
3终止的效果和存续本CP终止后,涉及审计、保密信息、隐私保护、归档、知识产权的条款,以及涉及赔偿及有限责任的条款,在本CP终止以后仍然继续有效存在.
9.
11对各参与方的个别通知和沟通除非法律法规或者协议有特别的规定,UNTSH内的CA、RA等实体将以合理的方式与相关各方进行沟通,不会采取个别的方式进行.
9.
12修订SHECA有权修订本CP.
SHECA有权把修订结果以CP的修订版的形式通过网站www.
sheca.
com发布,或者放在SHECA信息库里.
9.
12.
1修订程序经SHECA安全认证委员会授权,战略发展部每年至少审查一次本CP,确保其符合国家法律法规和主管部门的要求及最新版本的SSL基准要求规范,符合认证业务开展的实际需要.
本CP的修订,由战略发展部提出修订报告后,必须经过SHECA策略最高管理部门——SHECA安全认证委员会审核并批准后才能开始修订.
修订后的CP经过SHECA安全认证委员会批准后正式对外发布.
9.
12.
2通知机制和期限SHECA有权在合适的时间修订和改变本CP中任何术语、条件和条款,而且无须预先通SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第71页共73页71知任何一方.
SHECA在网站www.
sheca.
com和SHECA信息库中公布修订结果.
如果关于本CP的修改被放置在SHECA信息库中的规范更新和通知栏(查看www.
sheca.
com),它等同于修改本CP.
这些修改将取代原有版本中的任何冲突和指定条款.
如果在修订发布7天内,证书申请者和订户没有决定请求吊销其证书,就被认为同意该修订,所有的修订和改变立刻生效.
尽管如此,如果SHECA发表了一项修订,而如果该修订不能及时生效,将导致对全部或部分SHECA认证服务体系的损害,那么该修订在它发布之日起立即生效.
9.
12.
3必须修改的情形如果出现下列情况,那么必须对本CP进行修改:密码技术出现重大发展,足以影响现有CP的有效性有关认证业务的相关标准进行更新认证系统和有关管理规范发生重大升级或改变法律法规和主管部门要求现有CP出现重要缺陷证书策略的对象标识符进行修改9.
13争议解决条款当出现争议时,有关方面应依据协议通过协商解决,协商解决不了的,可通过法律解决.
9.
14管辖法律SHECA运营的UNTSH体系,其所有的证书服务活动均接受《中国人民共和国电子签名法》、《电子认证服务管理办法》以及其它中华人民共和国法律法规的管辖和解释.

无论合同或其他法律条款的选择及无论是否在中国人民共和国建立商业关系,本CP的执行、解释、翻译和有效性均适用中华人民共和国的法律.
9.
15与适用法律的符合性所有SHECA、UNTSH个实体的认证服务活动,都必须符合《中国人民共和国电子签名法》、《电子认证服务管理办法》、《电子认证服务密码管理办法》以及其它中华人民共和国法律法规的规定.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第72页共73页729.
16其它条款9.
16.
1完整协议CP、CPS、订户协议及信赖方协议及其补充协议将构成PKI参入者之间的完整协议.
本CP直接影响SHECA权利、义务的条款和规定,除非通过受到影响的当事人发出经过鉴定的信息或文件,或者在此另有其他规定,否则不能进行口头上的修正、放弃、补充、修改或终止.
在本CP与其他规则、规范或协议发生冲突时,所有认证活动的参与方都将受本CP规定的约束,但以下所示协议除外:在本CP的生效日期以前签定该合同明确表示替代本CP处理相关各方事务,或本CP的规定被法律禁止执9.
16.
2转让CA、订户及信赖方之间的责任、义务不能通过任何形式转让给其他方.
9.
16.
3可分割性本CP的任何条款或其应用,如果因为任何原因或在任何范围内发现无效或不能执行,那么本CP其余的部分仍将有效.
9.
16.
4强制执行无规定.
9.
16.
5不可抗力在法律法规许可的范围内,依据本CP制定的CPS、订户协议等应该包括保护不可抗力条款,以保护各方利益.
9.
17其它条款无规定.
SHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第73页共73页73附录A定义和缩写激活数据ActivationData用于操作密码模块所必需的、并且需要被保护的数据值(例如PIN、口令、或人工控制的密钥共享部分),而不是密钥.
鉴别Authentication确定个人、组织或事物如其所声称的人或事物的过程.
在PKI上下文中,鉴别指的是确定以某个特定名称申请或试图访问某事物的个人或组织确实为正确的个人或组织的过程.

认证机构(CA)CertificationAuthority受用户信任,负责创建和分配公钥证书的权威机构.
有时,认证机构也可为用户创建密钥.

CA证书CA-certificate由其它CA为一个CA的公钥签发的证书.
证书策略(CP)CertificatePolicy一套命名的规则集,用以指明证书对一个特定团体和(或者)具有相同安全需求的应用类型的适用性.
例如,一个特定的CP可以指明某类证书适用于鉴别从事企业到企业(B-to-B)交易活动的参与方,针对给定价格范围内的产品和服务.
认证路径CertificationPath一个有序的证书序列(包含路径中起始对象的公钥),通过处理该序列可获得末端对象的公钥.
认证业务声明(CPS)CertificationPracticeStatement关于认证机构在签发、管理、吊销或更新证书(或更新证书中的密钥)过程中所采纳的业务实践的声明.
身份标识Identification建立个人或组织的身份的过程,如指明某个人或组织是特定的个人或组织.
在PKI上下文中,身份标识指代两个过程:确定某个人或组织的给定名称与真实世界中该个人或组织的身份相联系;确定在那个名称之下申请或试图访问某事物的个人或组织确实为被命名的个人或组织.

寻求标识的人可能是证书申请者,或者是PKI中可信职位的申请者,或者是试图访问网络或应用软件的人(如CA管理员试图访问CA系统).
签发认证机构(签发CA)IssuingCertificationAuthority在特定的CA证书上下文中,签发CA是签发证书的CA(参见主体CA).
参与者ParticipantSHECA认证—传递信任,造就和谐上海市数字证书认证中心有限公司上海市四川北路1717号嘉杰国际广场18楼200080电话:(021)36393100传真:(021)36393200http://www.
sheca.
com/第74页共73页74在一个给定PKI中扮演某一角色的个人或组织,如订户、依赖方、CA、RA、证书制作机构、证书库服务提供者、或类似实体.
策略限定符Policyqualifier依赖于策略的信息,可能与CP标识符共同出现在X.
509证书中.
该信息中可能包含可用CPS或依赖方协议的URL地址,也可能包含证书使用条款的文字(或引起文字出现的数字).
注册机构(RA)RegistrationAuthority具有下列一项或多项功能的实体:标识和鉴别证书申请者,同意或拒绝证书申请,在某些环境下初始化证书吊销或挂起,处理订户吊销或挂起其证书的请求,同意或拒绝订户更新其证书或密钥的请求.
但是,RA并不签发证书(即RA代表CA承担某些任务).
[注:在其它文档中可能使用本地注册机构(LRA),是相同的概念.
]依赖方Relyingparty证书的接收者,他依赖于该证书和(或)该证书所验证的数字签名.
在本标准中,术语"证书使用者"与"依赖方"可互换使用.
依赖方协议Relyingpartyagreement认证机构与依赖方所签署的协议,通常规定了在验证数字签名或以其他方式适用证书时双方所拥有的权利和义务.
主体认证机构(主体CA)SubjectCertificationAuthority在特定的CA证书上下文中,主体CA指的是在证书中其公钥被认证的CA.
(参见签发CA)订户Subscriber被颁发给一个证书的证书主体.
订户协议SubscriberAgreementCA与订户之间签署的协议,规定了双方在颁发和管理证书的过程中所承担的责任和义务.