PDF《北京数字认证股份有限公司》

数字认证公司通用证书策略(CP1) -

1 - 北京数字认证股份有限公司 通用证书策略(CP1) 1.

0.1 版 发布日期:2017 年11 月9日生效日期:2017 年11 月9日北京数字认证股份有限公司 Copyright ? Beijing Certificate Authority Co.,Ltd. 数字认证公司通用证书策略(CP1) -

2 - 版本控制表 版本 状态 修订说明 审核/批准人 生效时间 1.0.1 版本发布 新版本发布 公司 CPS 策略管 理委员会

2011 年11 月9日声明 本CP 全部或者部分支持下列标准: RFC3647:互联网 X.509 公钥基础设施-证书策略和证书业务声明框架 RFC5280:互联网 X.509 公钥基础设施证书和 CRL 属性 RFC2560:互联网 X.509 公钥基础设施-在线证书状态协议-OCSP GB/T 26855-2011:信息安全技术公钥基础设施证书策略与认证业务声明框架 本文件所有版权归北京数字认证股份有限公司所有.未经书面授权,本文件 中所有的文字、

图表不得以任何形式进行抄袭和出版. 数字认证公司通用证书策略(CP1) -

3 - 目录1. 引言.7 1.1. 概述.7 1.2. 文档名称与标识.7 1.3. PKI 参与者

7 1.3.1. 电子认证服务机构.7 1.3.2. 注册机构.8 1.3.3. 订户.8 1.3.4. 依赖方.8 1.3.5. 其他参与者.8 1.4. 证书应用.8 1.4.1. 适合的证书应用.8 1.4.2. 限制的证书应用.9 1.5. 策略管理.9 1.5.1. 策略文档管理机构.9 1.5.2. 联系人.9 1.5.3. 决定 CP 符合策略的机构.9 1.5.4. CP 批准程序.9 1.6. 定义和缩写.10 2. 信息发布与信息管理.11 2.1. 信息库.11 2.2. 认证信息的发布.11 2.3. 发布时间或频率.11 2.4. 信息库访问控制.11 3. 标识与鉴别.12 3.1. 命名.12 3.1.1. 名称类型.12 3.1.2. 对名称意义化的要求.12 3.1.3. 订户的匿名或伪名.12 3.1.4. 理解不同名称形式的规则.12 3.1.5. 名称的唯一性.12 3.1.6. 商标的承认、鉴别和角色.12 3.2. 初始身份确认.13 3.2.1. 证明持有私钥的方法.13 3.2.2. 个人身份的鉴别.13 3.2.3. 组织身份的鉴别.13 3.2.4. 没有验证的订户信息.13 3.2.5. 授权确认.13 3.2.6. 互操作准则.14 3.3. 密钥更新请求的身份标识与鉴别.14 3.3.1. 常规密钥更新的标识与鉴别.14 3.3.2. 吊销后密钥更新的标识与鉴别.14 3.3.3. 证书变更的标识与鉴别.14 数字认证公司通用证书策略(CP1) -

4 - 3.4. 吊销请求的标识与鉴别.14 4. 证书生命周期操作要求.15 4.1. 证书申请.15 4.1.1. 证书申请实体.15 4.1.2. 申请过程与责任.15 4.2. 证书申请处理.15 4.2.1. 执行识别与鉴别功能.15 4.2.2. 证书申请批准和拒绝.16 4.2.3. 处理证书申请的时间.16 4.3. 证书签发.16 4.3.1. 证书签发过程中电子认证服务机构的行为.16 4.3.2. 电子认证服务机构对订户的通告.16 4.4. 证书接受.17 4.4.1. 构成接受证书的行为.17 4.4.2. 电子认证服务机构对证书的发布.17 4.4.3. 电子认证服务机构在颁发证书时对其他实体的通告.17 4.5. 密钥对和证书的使用.17 4.5.1. 订户私钥和证书的使用.17 4.5.2. 依赖方对公钥和证书的使用.17 4.6. 证书更新.18 4.6.1. 证书更新的情形.18 4.6.2. 请求证书更新的实体.18 4.6.3. 证书更新请求的处理.18 4.6.4. 颁发新证书时对订户的通告.18 4.6.5. 构成接受更新证书的行为.18 4.6.6. 电子认证服务机构对更新证书的发布.18 4.6.7. 电子认证服务机构在颁发证书时对其他实体的通告.19 4.7. 证书密钥更新.19 4.7.1. 证书密钥更新的情形.19 4.7.2. 请求证书密钥更新的实体.19 4.7.3. 证书密钥更新请求的处理.19 4.7.4. 颁发新证书对订户的通告.19 4.7.5. 构成接受密钥更新证书的行为.19 4.7.6. 电子认证服务机构对密钥更新证书的发布.20 4.7.7. 电子认证服务机构在颁发证书时对其他实体的通告.20 4.8. 证书变更.20 4.8.1. 证书变更的情形.20 4.8.2. 请求证书变更的实体.20 4.8.3. 证书变更请求的处理.20 4.8.4. 颁发新证书对订户的通告.20 4.8.5. 构成接受变更证书的行为.20 4.8.6. 电子认证服务机构对变更证书的发布.20 4.8.7. 电子认证服务机构在颁发证书时对其他实体的通告.21 4.9. 证书吊销和挂起.21 数字认证公司通用证书策略(CP1) -

5 - 4.9.1. 证书吊销的情形.21 4.9.2. 请求证书吊销的实体.21 4.9.3. 吊销请求的流程.21 4.9.4. 吊销请求宽限期.22 4.9.5. 电子认证服务机构处理吊销请求的时限.22 4.9.6. 依赖方检查证书吊销的要求.22 4.9.7. CRL 的颁发频率.22 4.9.8. CRL 发布的最长滞后时间.23 4.10. 证书状态服务.23 4.10.1. 操作特点.23 4.10.2. 服务可用性.23 4.10.3. 可选特征.23 4.11. 订购结束.23 4.12. 密钥生成、备份与恢复.23 4.12.1. 密钥生成、备份与恢复的策略和行为.23 4.12.2. 会话密钥的封装与恢复的策略和行为.24 5. 电子认证服务机构设施、管理和操作控制.25 6. 认证系统技术安全控制.25 6.1. 密钥对的生成和安装.25 6.1.1. 密钥对的生成.25 6.1.2. 私钥传送给订户.25 6.1.3. 公钥传送给证书签发机构.25 6.1.4. 电子认证服务机构公钥传送给依赖方.25 6.1.5. 密钥的长度.26 6.1.6. 公钥参数的生成和质量检查.26 6.1.7. 密钥使用目的.26 6.2. 私钥保护和密码模块工程控制.26 6.2.1. 密码模块标准和控制.26 6.2.2. 私钥的多人控制.26 6.2.3. 私钥托管.27 6.2.4. 私钥备份.27 6.2.5. 私钥归档.27 6.2.6. 私钥导入或导出密码模块.27 6.2.7. 私钥在密码模块中的存储.27 6.2.8. 激活私钥的方法.27 6.2.9. 解除私钥激活状态的方法.27 6.2.10. 销毁密钥的方法.28 6.2.11. 密码模块的评估.28 6.3. 密钥对管理的其他方面.28 6.3.1. 公钥归档.28 6.3.2. 证书操作期和密钥对使用期限.28 6.4. 激活数据.28 6.4.1. 激活数据的产生和安装.28 6.4.2. 激活数据的保护.29 数字认证公司通用证书策略(CP1) -

6 - 6.4.3. 激活数据的其他方面.29 6.5. 计算机安全控制.29 6.5.1. 特别的计算机安全技术要求.29 6.5.2. 计算机安全要求.29 6.6. 生命周期技术控制.29 6.6.1. 系统开发控制.29 6.6.2. 安全管理控制.30 6.6.3. 生命周期的安全控制.30 6.7. 网络的安全控制.30 6.8. 时间戳.30 7. 证书、证书吊销列表和在线证书状态协议.31 7.1. 证书.31 7.1.1. 版本号.31 7.1.2. 算法对象标识符.31 7.1.3. 名称形式.31 7.1.4. 证书扩展项.32 7.2. 证书吊销列表.32 7.2.1. 版本号.32 7.2.2. CRL 和CRL 条目扩展项

32 7.3. 在线证书状态协议.33 7.3.1. 版本号.33 7.3.2. OCSP 扩展项.33 8. 电子认证服务机构审计和其他评估.34 8.1. 评估的频率或情形.34 8.2. 评估者的资质.34 8.3. 评估者与被评估者之间的关系.34 8.4. 评估内容.34 8.5. 对问题与不足采取的措施.34 8.6. 评估结果的传达与发布.34 9. 法律责任和其他业务条款.35 数字认证公司通用证书策略(CP1) -

7 - 1. 引言 1.1. 概述 北京数字认证股份有限公司 (Beijing Certificate Authority Co.,Ltd., 以下简称 数字认证公司)于2001 年2月开始运营,是权威、公正的电子认证服务机构. 数字认证公司严格按照《中华人民共和国电子签名法》和《电子认证服务管理办 法》的要求,以及相关管理规定,提供数字证书申请、颁发、存档、查询、废止 等服务,并通过以 PKI 技术、数字证书应用技术为核心的产品和服务,为电子 活动提供可信身份、可信时间和可信行为的网络信任环境. 证书策略(Certification Policy,以下简称 CP)是关于电子认证服务机构制 订的一组规则, 表明证书对特定群体的适用范围,或对不同安全需求类型的适用 规则. 本 《北京数字认证股份有限公司通用证书策略》 (以下简称 《通用证书策略》 ) 满足互联网标准组织制定的 RFC3647《互联网 X.509 公钥基础设施-证书策略和 证书业务声明框架》,以及国内标准 GB/T 26855-2011《信息安全技术公钥基础 设施证书策略与认证业务声明框架》的框架和内容要求.本《通用证书策略》适 用范围为数字认证公司发放的通用证书,包括个人证书、机构证书和设备证书. 具体设定了证书策略、........