PDF《中国金融认证中心 全球信任体系电子认证业务规则》

中国金融认证中心 China Financial Certification Authority 中金金融认证中心有限公司(CFCA)版权所有 http://www.

cfca.com.cn

1 中国金融认证中心 全球信任体系电子认证业务规则 (Certification Practice Statement Of CFCA Global-Trust System) V3.3 版权归属中金金融认证中心有限公司 (任何单位和个人不得擅自翻印)

2017 年09 月 中国金融认证中心 China Financial Certification Authority 中金金融认证中心有限公司(CFCA)版权所有 http://www.cfca.com.cn

2 版本控制表版本 修改状态 修改说明 修改人 审核人/批准人 生效期 1.0 形成版本并审 核通过 CFCA 安委会

2011 年06 月2.0 添加 增加了 EV 系统、OCA21 的 相关描述及要求,增加了证 书类型描述及证书密钥等描 述,将版本升级为 2.0,形成 初稿 赵改侠 修改 根据

2013 年4月7日安委会 评审结论修改相关内容 赵改侠 CFCA 安委会

2013 年4月2.1 修改 依据 BR 的补充相关条款 赵改侠 CFCA 安委会

2014 年3月3.0 修订 发布了 GT 系统 sha1 密码算 法的策略,增加了EV codesign OCA 系统、OV OCA、OV CodeSign OCA 系 统证书策略 张翼、 赵 改侠 CFCA 安委会

2015 年8月3.1 修订 更改EV CodeSign,OV SSL,OV CodeSign 证书策略 OID 张翼 CFCA 安委会

2015 年8月3.2 修订 根据

2016 年6月24 日安委 会评审结论修改相关内容 赵烨昕 CFCA 安委会

2016 年6月3.3 修订 删除 CFCA GT CA 及OCA

2、 OCA21 等系统及所发放证书 的相关内容,,

CFCA GT OCA2 在2016 年1月1日后 不再签发证书,CFCA OCA2 的业务将由 CFCA OV OCA 承接. CFCA OCA21 在CFCA 电子认证业务规则中描述;

增加 CAA 查询的声明.更正 了版本信息 孙圣男 CFCA 安委会

2017 年9月中国金融认证中心 China Financial Certification Authority 中金金融认证中心有限公司(CFCA)版权所有 http://www.cfca.com.cn

3 目录1概括性描述.10 1.1 概述.10 1.2 文档名称与相关标识.11 1.3 电子认证活动参与者.12 1.3.1 电子认证服务机构.12 1.3.2 注册机构.12 1.3.3 订户

13 1.3.4 依赖方

13 1.3.5 其它参与者.13 1.3.6 受益者及责任.13 1.4 证书应用.14 1.4.1 CFCA 证书类型及适合的证书应用.14 1.4.2 受限的证书应用.17 1.4.3 禁止的证书应用.17 1.5 策略管理.17 1.5.1 策略文档管理机构.17 1.5.2 联系方式.18 1.5.3 决定 CPS 符合策略的机构.18 1.5.4 CPS 批准程序.18 1.6 定义和缩写.19

2 信息发布与信息管理.19 2.1 信息库.19 2.2 认证信息的发布.20 2.3 发布的时间或频率.20 2.4 高风险信息库.20 2.5 信息库访问控制.21

3 身份识别与鉴别

21 3.1 命名.21 3.1.1 名称类型.21 3.1.2 对名称意义化的要求.21 3.1.3 订户的匿名或伪名.22 3.1.4 解释不同名称形式的规则.22 3.1.5 名称的唯一性.22 3.1.6 商标的识别、鉴别和角色.22 3.2 初始身份确认.23 3.2.1 证明拥有私钥的方法.23 3.2.2 订户身份的鉴别.23 3.2.3 没有验证的订户信息.39 3.2.4 授权确认.39 3.2.5 互操作准则.39 中国金融认证中心 China Financial Certification Authority 中金金融认证中心有限公司(CFCA)版权所有 http://www.cfca.com.cn

4 3.3 密钥更新请求的标识与鉴别

40 3.3.1 常规密钥更新的标识与鉴别.41 3.3.2 吊销后密钥更新的标识与鉴别.41 3.4 证书变更.41 3.5 吊销请求的标识与鉴别.41

4 证书生命周期操作要求.42 4.1 证书申请.42 4.1.1 证书申请实体.42 4.1.2 注册过程与责任.42 4.2 证书申请处理.43 4.2.1 执行识别与鉴别功能.43 4.2.2 证书申请批准和拒绝.44 4.2.3 处理证书申请的时间.44 4.3 证书签发.44 4.3.1 证书签发中注册机构和电子认证服务机构的行为

44 4.3.2 电子认证服务机构和注册机构对订户的通告.45 4.4 证书接受.45 4.4.1 构成接受证书的行为.45 4.4.2 电子认证服务机构对证书的发布.45 4.4.3 电子认证服务机构对其他实体的通告.45 4.5 密钥对和证书的使用.46 4.5.1 订户私钥和证书的使用.46 4.5.2 依赖方对公钥和证书的使用.47 4.6 证书密钥更新.47 4.6.1 证书密钥更新的情形.47 4.6.2 请求证书密钥更新的实体.47 4.6.3 证书密钥更新请求的处理.48 4.6.4 颁发更新证书时对订户的通告.48 4.6.5 构成接受密钥更新证书的行为.48 4.6.6 电子认证服务机构对密钥更新证书的发布.48 4.6.7 电子认证服务机构对其他实体的通告.48 4.7 证书变更.48 4.8 证书吊销和挂起.48 4.8.1 证书吊销的情形.48 4.8.2 请求证书吊销的实体.50 4.8.3 请求吊销的流程.50 4.8.4 吊销请求宽限期.51 4.8.5 CFCA 处理吊销请求的时限

51 4.8.6 依赖方检查证书吊销的要求.52 4.8.7 CRL 发布频率.52 4.8.8 CRL 发布的最大滞后时间

52 4.8.9 在线证书状态查询的可用性.52 4.8.10 吊销信息的其他发布形式.54 中国金融认证中心 China Financial Certification Authority 中金金融认证中心有限公司(CFCA)版权所有 http://www.cfca.com.cn

5 4.8.11 对密钥遭受安全威胁的特别处理要求.54 4.8.12 证书挂起.54 4.8.13 EV 代码签名证书的吊销信息保存.54 4.8.14 代码签名证书吊销后果.54 4.9 证书状态服务.55 4.9.1 操作特征.55 4.9.2 服务可用性.55 4.10 订购结束.55 4.11 密钥生成、备份与恢复.55

5 认证机构设施、管理和操作控制.56 5.1 物理控制.56 5.1.1 场地位置与建筑.56 5.1.2 物理访问.56 5.1.3 电力与空调.57 5.1.4 水患防治.57 5.1.5 火灾防护.57 5.1.6 介质存储.57 5.1.7 废物处理.58 5.1.8 数据备份.58 5.1.9 时间戳服务器证书物理控制.58 5.2 程序控制.58 5.2.1 可信角色.58 5.2.2 每项任务需要的人数.59 5.2.3 每个角色的识别与鉴别.59 5.2.4 需要职责分割的角色.59 5.3 人员控制.60 5.3.1 资格、经历和无过失要求.60 5.3.2 背景审查程序.60 5.3.3 培训要求.61 5.3.4 再培训周期和要求.61 5.3.5 工作岗位轮换周期和顺序.62 5.3.6 未授权行为的处罚.62 5.3.7 独立和约人的要求.62 5.3.8 提供给员工的文档.62 5.4 审计日志程序.62 5.4.1 记录事件的类型.62 5.4.2 处理日志的周期.63 5.4.3 审计日志的保存期限.63 5.4.4 审计日志的保护.63 5.4.5 审计日志备份程序.63 5.4.6 审计收集系统.64 5.4.7 对导致事件主体的通告.64 5.4.8 脆弱性评估.64 中国金融认证中心 China Financial Certification Authority 中金金融认证中心有限公司(CFCA)版权所有 http://www.cfca.com.cn

6 5.5 记录归档.64 5.5.1 归档记录的类型.64 5.5.2 归档记录的保存期限.64 5.5.3 归档文件的保护.65 5.5.4 归档文件的备份程序.65 5.5.5 记录的时间戳要求.66 5.5.6 归档收集系统.66 5.5.7 获得和检验归档信息的程序.66 5.6 电子认证服务机构密钥更替

66 5.7 损坏与灾难恢复.67 5.7.1 事故和损害处理流程.67 5.7.2 计算资源、软件和/或数据的损坏.68 5.7.3 实体私钥损害处理程序.69 5.7.4 灾难后的业务连续性能力.69 5.8 电子认证服务机构或注册机构的终止

69 6 认证系统技术安全控制.70 6.1 密钥对的生成和安装.70 6.1.1 密钥对的生成.70 6.1.2 私钥传送给订户.71 6.1.3 公钥传送给证书签........