1、电子认证服务机构运营管理规范(国标)8月目次1 范畴32 规范性引用文献33 术语和定义43.1 电子认证服务机构 certification authority43.2 证书方略 certificate policy43.3 电子认证业务规则 certification practice statement43.4 证书撤销列表 certificate revocation list43.5 自主访问控制 discretionary access control43.6 数字证书 digital certificate43.7 公钥基本设施 public key infrastructure
2、43.8 注册机构 registration authority53.9 秘密分担 secret sharing54 缩略语55 运营系统55.1 认证系统55.2 运营网络55.3 密码设备55.4 系统安全65.5 系统冗余与备份76 运营场地与设施86.1 运营场地86.2 运营区域划分及规定86.3 安全监控系统96.4 环保与控制设施106.5 支撑设施106.6 RA场地安全117 职能与角色117.1 必须部门职能117.2 必要岗位角色118 认证业务管理128.1 业务规范和合同128.2 顾客证书生命周期管理128.3 顾客证书密钥管理148.4 CA密钥和证书管理158.
3、5 客户隐私保护168.6 RA管理179 安全管理179.1 安全方略与规划179.2 安全组织179.3 场地访问安全管理189.4 场地监控安全管理189.5 系统运维安全管理189.6 人员安全管理199.7 密码设备安全管理199.8 文档安全管理209.9 介质安全管理209.10 安全实行与监督2110 业务持续性控制2110.1 概要2110.2 业务持续性筹划2110.3 应急解决2110.4 劫难恢复2310.5 灾备中心2311 记录与审计2311.1 记录保存2411.2 记录查阅2411.3 记录归档2411.4 记录销毁2411.5 审计24参照文献26电子认证服务
4、机构运营管理规范1 范畴本原则规定了电子认证服务机构在运营管理方面规范性规定。本原则合用于在开放互联网环境中提供数字证书服务电子认证服务机构,对于在封闭环境中(如在特定团队或某个行业内)运营电子认证服务机构可依照自身安全风险评估以及国家关于法律法规有选取性地参照本原则。国家关于测评机构、监管部门也可以将本原则作为测评和监管根据。电子认证服务机构行政管理应遵从中华人民共和国电子签名法等有关法律法规和管理部门规定。本原则所涉及密码管理某些,按照国家密码管理机构有关规定执行。2 规范性引用文献下列文献中条款通过本原则引用而成为本原则条款。凡是标注日期引用文献,其随后所有修改单(不涉及勘误内容)或修订
5、版均不合用于本原则,然而,勉励依照本原则达到合同各方研究与否可使用这些文献最新版本。凡是未标注日期引用文献,其最新版本合用于本原则。GB 6650 计算机机房用活动地板技术条件GB 50045 高层民用建筑设计防火规范GB 50174 电子信息系统机房设计规范GB/T 2887 计算站场地技术条件GB/T 9361 计算站场地安全规定GB/T 16264.8 信息技术 开放系统互联 目录 第8某些:公钥和属性证书框架GB/T 19713 信息技术 安全技术 公钥基本设施 在线证书状态合同GB/T 19716 信息技术 信息安全管理实用规则GB/T AAAAAAAA证书认证系统密码及其有关安全技
6、术规范GB/T AAAAAAAA 信息技术 安全技术 公钥基本设施 数字证书格式GB/T YYYYYYYY 信息技术 安全技术 公钥基本设施 证书方略与认证业务声明框架IETF RFC1777 Lightweight Directory Access ProtocolIETF RFC2560 Internet X.509 Public Key Infrastructure Online Certificate Status Protocol - OCSPIETF RFC2587 Internet X.509 Public Key Infrastructure LDAPv2 Schema3 术语
7、和定义下列术语和定义合用于本原则。3.1 电子认证服务机构 certification authority一种被终端实体所信任签发公钥证书证书认证明体,它是一种可信权威机构,获得授权面向社会公众提供第三方电子认证服务数字证书认证中心(简称CA、CA中心、CA机构、电子认证服务机构)。3.2 证书方略 certificate policy是一种指定规则集合,它指出证书对于具备普通安全需求一种特定团队和(或)详细应用类合用性。3.3 电子认证业务规则 certification practice statement关于电子认证服务机构在签发、管理、撤销或更新证书(或更新证书中密钥)时业务实行声明。
8、3.4 证书撤销列表 certificate revocation list一种经电子认证服务机构数字签名列表,它标出了一系列证书颁发者以为无效证书。3.5 自主访问控制 discretionary access control由客体所有者主体自主地规定其所拥有客体访问权限办法。有访问权限主体能按授权方式对指定客体实行访问,并能依照授权,对访问权限进行转移。3.6 数字证书 digital certificate经权威、可信赖、公正第三方机构(即电子认证服务机构,CA),数字签名包括公开密钥拥有者信息以及公开密钥文献。3.7 公钥基本设施 public key infrastructure支持
9、公开密钥体制安全基本设施,提供身份鉴别、信息加密、数据完整性和交易抗抵赖。3.8 注册机构 registration authority具备下列一项或多项功能实体:辨认和鉴别证书申请者,批准或回绝证书申请,在某些环境下积极撤销或挂起证书,解决订户撤销或挂起其证书祈求,批准或回绝订户更新其证书或密钥祈求。普通将注册机构简称为RA,或RA机构。3.9 秘密分担 secret sharing秘密分担指将一种秘密在一组参入者间进行分发办法,其中每个参入者被分派了该秘密经分割后一份,称为秘密份额或秘密分割。只有足够数量秘密份额才干恢复原秘密,单个秘密份额自身是没有。在本原则中,被分担秘密也许是CA私钥激
10、活数据、CA私钥备份恢复数据或CA私钥。4 缩略语下列缩略语合用于本原则:CA 电子认证服务机构CP 证书方略CPS 电子认证业务规则CRL 证书注销列表IETF 互联网工程任务组LDAP 轻量目录访问合同OCSP 在线证书状态查询合同PKI公钥基本设施RA 证书注册机构5 运营系统5.1 认证系统电子认证服务机构使用认证系统(涉及证书认证系统和密钥管理系统)应当遵循GB/T AAAAAAAA证书认证系统密码及其有关安全技术规范。5.2 运营网络电子认证服务机构及其注册机构认证系统运营网络,须采用独立接入链路与公共网络连接,并与办公网络隔离,网段划分应符合GB/T AAAAAAAA证书认证系统
11、密码及其有关安全技术规范规定。电子认证服务机构认证系统运营网络应尽量采用多路冗余链路接入公共网络,且多路接入链路来自不同独立网络通信提供商。5.3 密码设备电子认证服务机构及其注册机构所使用密码设备,必要是通过国家密码主管部门审查、具备销售资质设备。5.4 系统安全电子认证服务机构应根据所制定安全方略,在认证系统实体身份标记与鉴别、访问控制与权限分割、信息与数据安全、网络系统安全、主机系统安全等方面采用相应安全办法。5.4.1 身份标记与鉴别认证系统必要对如下实体进行身份标记和鉴别:1)对外服务器(模块);2)内部服务器(模块);3)密码设备(模块);4)证书管理员;5)数据库管理员;6)主机
12、系统帐户。采用身份标记和鉴别技术应当与相应安全需求一致。若采用顾客名/口令方式进行身份标记和鉴别,则在安全需求较高时,必要对口令长度、内容和更换频度做出相应规定。对外服务器(模块)、证书管理员身份标记和鉴别应当采用数字证书;证书管理员身份标记证书私钥应当存储在安全硬件介质中,如USB Key、智能卡,并保证私钥安全。5.4.2 访问控制与权限分割认证系统应当基于对实体身份鉴别实现访问控制,并且,对证书、密钥管理中核心操作必要进行权限分割。5.4.3 信息与数据安全对于CA系统与外部顾客、系统间通信,CA系统内服务器、模块之间通信,必要保证通信数据保密性、完整性及数据收、发方身份真实性。5.4.
13、4 网络系统安全1) 网络安全a) 为了保护网络免受网络袭击威胁,应布置安全网关设备,将认证系统网络与其她网络进行物理隔离,并将认证系统网络按照技术规范规定划分为不同网段。安全网关设立应只容许必须访问,设定容许访问主体(主机、端口)和相应访问对象(主机、端口)以及连接方向,其她访问禁止;安全网关应有充分日记和审计功能。b) 应对网络中实体设备进行网络漏洞扫描,依照检测成果及时发现存在不安全网络合同、网络服务,将不需要网络合同、网络服务关闭,对于因业务需要而启动不安全网络合同、网络服务应采用相应办法,需要用更安全网络合同、网络服务替代。c) 应在核心网段安装入侵检测系统,可以及时检测到并报告常用
14、入侵模式,可以且应当及时更新入侵模式知识库,有完善日记与审计功能。d) 实行网络服务安全配备与加固,只启动必须网络服务,关闭所有其她网络服务;对启动了网络服务进行优化配备,定期打补丁。e) 采用其她必要安全办法,以保障运营网络安全。2) 网络设备安全对于网络设备应当从如下几种方面保证安全:a) 采用通过安全检测、安全认证网络设备,涉及路由器、各类安全网关、互换机等。b) 若网络设备帐户使用顾客名/口令方式进行身份鉴别,则口令应具备足够安全强度。c) 有完备审计日记。5.4.5 主机系统安全1) 认证系统主机应从如下几种方面保证主机系统自身安全:a) 采用可靠操作系统。b) 实现自主访问控制。c
15、) 通过主机漏洞扫描系统发现系统存在安全漏洞,如口令设立、文献权限、帐户管理、顾客组管理、系统配备,并采用相应办法,涉及进行系统安全优化。d) 及时对系统安全漏洞打补丁。e) 采用防病毒办法。f) 采用其他系统安全加固技术。2) 认证系统主机应当从如下几种方面保证主机系统管理安全:a) 只创立、启动必须帐户,关闭不需要缺省帐户;b) 帐户口令具备足够安全强度;c) 保证只有授权顾客、进程和应用才干访问相应资源。5.5 系统冗余与备份5.5.1 系统冗余应采用设备冷/热备份、单机逻辑备份、双机备份等,对于生产系统重要设备进行备份/冗余设立和容错设计。应采用冗余技术、路由选取技术、路由备份技术等,
16、实现网络备份与冗余。1) 网络链路冗余CA系统网络对外应采用双路接入,并且两路网络接入来自不同网络设施运营商(仅仅是服务提供商还不行),一路网络接入作为主服务线路,另一路接入作为备用线路,当主服务线路浮现故障时可以迅速切换到备用线路。2) 主机冗余CA系统对核心业务、功能主机必要采用双机热备办法。对非核心业务、功能设备,应当至少采用硬盘冷备份方式进行系统备份。3) 电源冗余与后备发电对电子认证服务机构电源有如下规定:a) 放置有CA系统数据中心应当采用双路供电系统,必要至少保证从建筑外至数据中心内具备两条供电线路;b) 必要为认证系统及安全设备提供不间断电源(UPS),且不间断电源设备(UPS
17、)应当具备冗余,不间断电源提供电力必要足够支持普通断电时间;c) 有条件电子认证服务机构应配备备用发电机,当浮现停电且不间断电源不能提供持续电力时,可以提供电力。5.5.2 系统备份电子认证服务机构应采用完全备份与增量备份相结合方式对生产系统数据和信息进行备份。应制定备份数据收集、保管、押运、恢复管理方略,保证备份数据安全,防止泄露和未经授权使用。备份数据宜实行同城异地保管,如租用银行保管箱保存数据备份。应定期检查备份系统和设备可靠性和可用性,定期检查备份介质可靠性和数据完整性。应依照设备重要限度、故障率、供应难度、库存数据量、设备金额等因素,综合评估运营风险,拟定并建立核心设备和系统备份管理
18、办法。应对核心设备做备份或采用有效办法保证供应及时性(如与供应商订立应急维修或紧急供货合同)。1) 软件与数据备份软件与数据备份涉及如下内容:a) 主机操作系统;b) 系统应用软件,如邮件系统、Web服务程序、数据库系统等;c) 认证系统软件;d) 系统上客户化定制数据;e) 系统配备;f) 数据库顾客数据。对软件与数据备份有规定如下:a) 必要采用专门备份系统对整个CA系统进行备份,备份数据可以保存在磁带、硬盘或其她介质上;b) 备份方略采用全备份与增量备份相结合;c) 备份方略应当保证没有数据丢失或数据丢失不会导致实质性影响;d) 在系统浮现故障、劫难时,备份方案可以在最短时间内从备份数据
19、中恢复出原系统及数据;e) 选取备份介质应能保证数据长期可靠,否则应定期更新;f) 备份数据应存储在电子认证服务机构以外安全地方,例如银行保险柜、劫难恢复中心。2) 硬件设备备份电子认证服务机构硬件设备必要具备冗余、备份,在系统设备浮现故障、损坏时可以及时更换设备。6 运营场地与设施6.1 运营场地电子认证服务机构及其注册机构提供电子认证服务必要有固定和适当经营场合和机房场地(数据中心)。电子认证服务机构场地环境建设应符合如下原则:1) 计算机机房(数据中心)安全建设必要符合GB/T9361;2) 活动地板应当具备稳定抗静电性能和承载能力,同步要耐油、耐腐蚀、柔光、不起尘等,详细要符合GB 6
20、650规定;3) 计算机系统供电电源技术指标、相对湿度控制、接地系统设立等应按GB/T 2887中规定执行;4) 电子计算机机房耐火级别应符合GB 50045及GB/T 9361规定;5) 计算机机房设计应符合GB 50174规定。6.2 运营区域划分及规定6.2.1 基本规定电子认证服务机构机房场合为安全控制区域,必要在机房场合周边,建立明确和清晰安全边界(设立标志、物理障碍、门禁管理系统等),进行物理保护;安全边界应完善和完整,能及时发现任何入侵企图;安全边界应设立向外启动消防通道防火门,并应能迅速关闭;消防门应有防误启动标记和报警装置,启动时应能以声、光或电方式向安全监控中心报警。安全区
21、域应使用合格门锁,门应结实,保证关闭安全;应使用适当门禁系统和辅助设备,如加装闭门器、门位置状态检测器和门启动报警器等;采用必要办法,在各个区域防止尾随进入。安全区域物理环境任何变更,如设备或系统新增、撤除、布置调节等,必要事先完毕风险评估和安全分析,形成正式文档向认证机构安全方略管理组织申报,经审核批准后,方可实行。同步应做好完整过程记录。6.2.2 区域划分CA机房场地依照业务功能分为公共区、服务区、管理区、核心区、屏蔽区,各功能区域相应安全级别为控制区、限制区、敏感区、机密区、高度敏感区,安全级别和规定逐级提高。安全级别规定越高,安全防护办法和配套设施规定越严格。宜使用层级式安全区域防护
22、,进行安全区域隔离和物理保护。层级式安全区域防护是指,将安全区域按照安全级别重要限度,由外向内安全级别逐渐提高,且只有经由低档别区域方能进入更高档别安全区域。不适当划分层级式安全区域机房场合,应按照安全级别功能等同原则保护各安全区域。1) 公共区(控制区)电子认证服务机构场地入口处、办公区域、辅助和支持区域属于公共区,应采用访问控制办法,可以使用身份标记门禁卡控制出入。2) 服务区(限制区)服务区是提供证书审批、证书管理等电子认证服务区域,必要使用身份标记门禁卡控制出入。3) 管理区(敏感区)该区域是电子认证系统运营管理区域,系统监控室、场地安全监控中心、配电室等均属于该区域。此区域必要使用身
23、份标记门禁卡或人体特性鉴别控制出入。4) 核心区(机密区)证书认证系统、密钥管理系统、离线私钥和私钥激活数据存储房间属于核心区。核心区必要使用身份标记门禁卡和人体特性鉴别身份,控制出入,且在核心区内必要采用职责分离与权限分割方案和办法,使得单个人员在核心区内无法完毕敏感操作。5) 屏蔽区(高度敏感区)屏蔽区位于核心区数据中心内,放置有使用在线CA私钥签发数字证书密码设备。屏蔽区必要有安全出入控制,且在屏蔽区内必要采用职责分离与权限分割方案和办法,使得单个人员在屏蔽区内无法完毕敏感操作。屏蔽区屏蔽效果至少应符合GB9361规定。6.3 安全监控系统 宜设立专门用途安全监控中心,对机房建筑整个区域
24、发生出入访问进行实时监控。6.3.1 门禁认证机构机房区域必要采用适当门禁管理系统进行物理场地访问控制管理。门禁系统应能支持以电子身份辨认卡、生物特性、PKI/CA技术等单独和/或以组合形式方式鉴别身份;应能控制认证机构整个运营场地所有出入口;应能辨认、区别对的进出方式,如未刷卡进入,则不能刷卡离开;应能与安全侦测布防系统结合,对各个区域进行安全布防,侦测到异常活动时,应具备报警功能(如声光报警、短信/电话报警、门禁联动锁止等);门禁系统应有备用电源,能保证不间断进行访问控制;系统应有完善事件纪录和审计控制;门禁系统控制中心应位于安全监控中心或相似安全级别区域内。在发生紧急状况(如电力故障、消
25、防报警)时,所有消防疏散通道受控门应处在启动状态,重要区域如核心机房、资料室等区域应处在外部关闭、内部可手工启动状态;前述重要区域应有应急启动装置,且当应急启动装置启动时,必要以声、光、电方式发出报警信号,同步系统应显示报警区域并记录应急状况发生详细信息。 应定期将门禁记录整顿归档,并保存合理时间。6.3.2 入侵检测在机房场合建筑区域内应安装入侵检测报警系统,进行安全布防。安全区域窗户上应安装玻璃破碎报警器,建筑内天花板上应安装活动侦测器,发生非法入侵应及时报警。入侵检测系统应有应急备用电源提供电力支持,保证在浮现外部供电中断时系统可以不间断运营。6.3.3 监控录像必要设立适当监控点,采用
26、录像集中监控对整个机房活动区域进行24小时不间断监控。录像记录可以采用两种方式,一种为不间断录像;另一种为采用活动侦测系统与录像相结合方式,不间断监控,间断(活动侦测)录像。合理调节录像监控镜头位置,应能有效辨认进出人员和纪录操作行为;录像记录应安全保管并定期归档,录像记录查阅必要经安全主管批准。录像记录至少保存3个月;重大活动记录应保存1年以上,可采用刻盘备份等形式。监控录像系统应配有应急备用电源提供电力支持,保证在浮现外部供电中断时系统不间断运营。6.4 环保与控制设施6.4.1 空气和温湿度控制必要有完备空调系统,保证机房有充分、新鲜和干净空气供应;保证机房各个区域温湿度能满足系统运营、
27、人员活动和其她辅助设备规定。6.4.2 防雷击和接地必要采用符合国标防雷办法。必要设立综合地线系统;屏蔽机房必要设立保护地线,应经常检测接地电阻,保证人身、设备运营安全;应设立交流电源地线,交流供电应采用符合规范三芯线,即相线、中线、地线。计算机系统安全保护地电阻值、计算机系统防雷保护地电阻值必要符合国标建筑物防雷设计规范GB50057和建筑物电子信息系统防雷技术规范GB50343关于规定。6.4.3 静电防护机房地板或地面应有静电泄放办法和接地构造,防静电地板、地面表面电阻或体积电阻应为2.51041.0109,且应具备防火、环保、耐污耐磨性能。6.4.4 水患防治应对的安装水管和密封构造,
28、合理布置水管走向,防止发生水害损失。机房内应进行防水检测,发现水害能及时报警。6.4.5 消防设施建筑材料耐火级别必要符合GBJ45-1982规定。办公区域必要设立火灾自动报警系统和灭火系统,可以使用水喷淋灭火装置,并应配备合理数量手持灭火器具。认证系统所在机房必要安装火灾自动报警系统和自动灭火系统,火灾探测系统应能同步通过检测温度和烟雾发现火灾发生,且火灾报警系统应与灭火系统联动。火灾报警系统涉及火灾自动探测、区域报警器、集中报警器和控制器等,可以对火灾发生区域以声、光或电方式发出报警信号,并能以手动或自动方式启动灭火设备。用于生产系统灭火系统,不得使用水作灭火介质,必要使用干净气体灭火装置
29、。宜使用惰性气体如IG541作为灭火介质。凡设立干净气体灭火系统机房区域,应配备一定数量专用空气呼吸器或氧气呼吸器。6.5 支撑设施6.5.1 供配电系统供配电系统布线应采用金属管、硬质塑料管、塑料线槽等;塑料件应采用阻燃型材料;强电与弱电线路应分开布设;线路设计容量应不不大于设备总用量;应设立独立配电室,通过配电柜控制供电系统。应使用双路供电,并安装使用在线式UPS对机房供电,保障机房(数据中心)有不间断供电。当浮现意外状况导致供电中断时,在线式UPS应能以不间断方式进行供电切换并持续向机房提供至少8小时供电。6.5.2 照明机房工作区域重要照明应采用高效节能荧光灯,照度原则值为500lx,
30、照明均匀度不应不大于0.7;重要通道应设立通道疏散照明及疏散批示灯,主机房疏散照明照度值不应低于5lx,其她区域通道疏散照明照度值不应低于0.5lx。6.5.3 服务通信系统电子认证服务机构应设立与开展认证服务关于各类通信系统,如客户电话、传真、电子邮件系统,并保障24小时畅通。6.6 RA场地安全 RA系统可建立、运营在电子认证服务机构中,也可建立、运营在RA机构中。运营RA系统并开展RA业务机构,其运营场地和设施应符合如下规定:1) RA场地应有门禁监控系统,及为RA系统各类设备提供电力、空气和温湿度控制、消防报警和灭火功能环保设施和有关支撑系统;RA也可选取符合上述条件IDC放置RA系统
31、设备。 2) 使用了加密机RA系统,应另设专门控制区域,对加密设备进行恰当保护。7 职能与角色7.1 必须部门职能电子认证服务机构应设立开展电子认证服务所需如下职能部门:1)安全方略管理审批电子认证服务机构整体安全方略、证书方略、电子认证业务规则等重要方略文档,监督安全制度、安全方略执行,对异常状况、安全事故以及其她特殊事件进行解决。2)安全管理制定并贯彻执行公司安全方略和安全制度。3)运营管理运营、维护和管理认证系统、密码设备及物理环境、场地设施。4)人事管理执行可信雇员背景调查,并对可信雇员进行管理。5)认证服务审批和管理顾客证书。6)技术服务:提供技术征询和支持服务。7.2 必要岗位角色
32、电子认证服务机构应设立如下必要岗位角色:1)安全方略管理组织负责人负责安全方略管理组织管理工作。2)安全管理人员涉及安全经理和负责网络与系统安全管理、场地安全管理专业人员。3)密钥管理员负责CA密钥和证书管理,以及核心区密码设备管理。4)系统维护员负责办公系统和认证系统维护。5)鉴别与验证员负责顾客证书审批工作。6)客户档案管理员:负责管理客户资料档案。7)客户服务员为客户提供技术征询与支持、和售后服务。8)审计员负责定期对系统运营状况、业务规范、安全制度执行状况进行检查与审计。9)人事经理负责制定可信雇员政策,对核心岗位人员进行管理。8 认证业务管理8.1 业务规范和合同8.1.1 证书方略
33、和认证业务规则电子认证服务机构应制定证书方略(CP)与电子认证业务规则(CPS)。证书方略要对电子认证服务机构签发证书类型、合用环境、合用应用、认证规定、安全保障规定等方面做出广泛而全面规定。电子认证业务规则须阐述电子认证服务机构如何贯彻实行其证书方略。认证业务规则编写应符合GB/T YYYYYYYY 信息技术 安全技术 公钥基本设施 证书方略与认证业务声明框架规定。电子认证服务机构应对证书方略与电子认证业务规则进行有效管理,设有负责撰写、修改、审核、发布和管理部门,并制定相应管理流程。电子认证服务机构应依照其业务内容变化,及时修改、调节其证书方略与电子认证业务规则。证书方略与电子认证业务规则
34、,以及其修改版本,须经认证机构安全方略管理组织批准后才干公开发布。8.1.2 客户合同提供公共服务电子认证服务机构,应对其提供证书业务同客户订立或通过某种方式向客户明示相应法律合同,这些合同对客户和电子认证服务机构所承担责任和义务以合同形式给出明确规定和阐明。普通法律合同有,订户合同、信赖方合同、服务合同等。当电子认证服务机构以外实体要作为电子认证服务机构一种RA注册机构提供认证业务时,电子认证服务机构与该实体须通过相应合同明确规定双方,特别是作为RA一方,应当承担责任和义务,涉及该证书拥有者(证书顾客)和信赖方应承担责任和义务。8.2 顾客证书生命周期管理8.2.1 证书申请与审核电子认证服
35、务机构应明确制定各类证书申请所需信息和条件,如申请者姓名、域名、公司名、地址、联系方式、机构资质证明、域名所有权证明等信息和材料。电子认证服务机构应依照认证业务规则,制定严格证书申请审核流程和规范,鉴别证书申请者提供身份信息真伪,验证证书申请者身份,确认是证书申请者所声称人、机构在申请证书。电子认证服务机构在证书申请审核过程中,应保存完整审核记录,以供日后审计、审查、责任追踪和界定使用。8.2.2 证书签发电子认证服务机构必要在完毕规定证书申请审核后,才干签发证书。证书签发需有记录。8.2.3 证书存储与发布对于签发数字证书,电子认证服务机构应保存在专门证书库中,并对外公开发布,可供依赖方查询
36、、获取。8.2.4 证书更新证书顾客在证书有效期到达前,可以申请更新证书,已过期或撤销证书不能更新。对证书顾客提交证书更新祈求,电子认证服务机构必要进行审核,审核方式涉及手工和自动两种方式。手工审核过程、规定在安全保障性方面应与证书申请等同。对于自动审核方式,证书更新祈求必要用原证书私钥签名,认证系统验证签名有效性并自动签发更新证书。对于自动审核方式,电子认证服务机构须保证能通过一定方式控制哪些证书可自动更新,防止非授权更新。8.2.5 证书撤销电子认证服务机构应制定证书撤销管理方略和流程。证书撤销有三种发起方式:由证书顾客发起,由电子认证服务机构,或者由依赖方发起。1) 顾客申请撤销证书,电
37、子认证服务机构必要明确规定撤销证书申请接受方式,如通过电话、邮件、在线申请等,以及审核程序。2) 电子认证服务机构如发现顾客证书申请资料存在虚假状况、不能满足证书签发条件等,或者发生(或怀疑发生)电子认证服务机构根私钥泄露、认证系统存在安全隐患威胁顾客证书安全等,可以不通过证书顾客本人批准,予以撤销证书。3) 当依赖方提出证书撤销申请时,如证书仅用于依赖方系统,可以不通过证书顾客本人批准,予以撤销证书。证书撤销后,电子认证服务机构必要在周期性签发CRL中,于近来下次更新时间发布所撤销证书,或签发暂时CRL发布所撤销证书;电子认证服务机构如提供OCSP服务,必要及时更新OCSP查询数据库,保证明
38、时发布所撤销证书。证书撤销后,应通过电话、邮件、在线等方式,及时告知顾客或依赖方证书撤销成果。电子认证服务机构必要记录所有证书撤销祈求和有关操作成果。8.2.6 证书冻结电子认证服务机构可依照详细业务需要,制定证书冻结方略和流程,涉及冻结祈求、条件、宽限期及冻结状态发布等。证书冻结有三种发起方式:由证书顾客发起,由电子认证服务机构,或者由依赖方发起。1) 顾客申请冻结证书,电子认证服务机构必要明确规定冻结证书申请接受方式,如通过电话、邮件、在线申请等,以及审核程序。2) 电子认证服务机构如发现顾客证书申请资料存在虚假状况、不能满足证书签发条件等,或者发生(或怀疑发生)电子认证服务机构根私钥泄露
39、、认证系统存在安全隐患威胁顾客证书安全等,可以不通过证书顾客本人批准,予以冻结证书。3) 当依赖方提出证书冻结申请时,如证书仅用于依赖方系统,可以不通过证书顾客本人批准,予以冻结证书。冻结证书需在CRL中发布,当被冻结证书失效后,将不再出当前CRL中。在证书有效期内,对被冻结证书有三种解决方式:1) 被冻结证书有效性无法验证,顾客和依赖方不能使用证书;2) 被冻结证书转为正式撤销;3) 被冻结证书解冻,从CRL中删除,重新转为有效证书。证书冻结后,电子认证服务机构必要在周期性签发CRL中,于近来下次更新时间发布所冻结证书,或签发暂时CRL发布所冻结证书;电子认证服务机构如提供OCSP服务,必要
40、及时更新OCSP查询数据库,保证明时发布所冻结证书。冻结证书解冻后,电子认证服务机构应在周期性签发CRL中,于近来下次CRL更新中删除冻结证书,电子认证服务机构如提供OCSP服务,应及时更新OCSP查询数据库,保证解冻证书变为有效。证书冻结和解冻后,应通过电话、邮件、在线等方式,及时告知顾客或依赖方冻结成果。电子认证服务机构必要记录所有证书冻结祈求和有关操作成果。8.2.7 证书状态查询电子认证服务机构应可觉得顾客和依赖方提供证书状态查询服务(涉及证书撤销列表和/或在线证书状态查询),并在CP和CPS中发布证书状态查询服务方略;在有关合同中,应明确提示证书顾客和依赖方,使用证书时必要使用证书状
41、态查询服务。1) CRL查询电子认证服务机构必要可以提供证书撤销列表(CRL)查询服务,CRL发布必要符合原则;必要明确规定CRL发布周期和发布时间,宜每天签发CRL;依照证书方略或当发生严重私钥泄露状况时,电子认证服务机构应签发暂时CRL;依照证书方略和依赖方合同,顾客和依赖方应及时检查、下载暂时CRL。在证书有效期内,被撤销证书必要始终保存在CRL中直至证书过期失效,被冻结证书,在冻结期内必要保存在CRL中直至解冻。当被撤销和被冻结证书过期时,应从CRL中删除。电子认证服务机构发布所有CRL必要定期归档保存,在证书失效后至少保存五年。2) OCSP查询电子认证服务机构必要可以提供在线证书状
42、态查询(OCSP)服务,查询数据格式和响应查询成果必要符合国家关于原则;必要保证查询服务响应速度和并发查询性能满足服务规定;必要保证查询成果实时性和精确性。8.2.8 证书归档电子认证服务机构应制定证书归档方略,定期对过期失效以及被撤销证书进行归档。在证书失效至少5年后,方可销毁归档数据。8.3 顾客证书密钥管理电子认证服务机构必要阐明所提供证书类型及密钥对产生方式,并告知证书顾客和依赖方认证机构与否保存有顾客证书私钥备份。8.3.1 顾客证书密钥产生、传递和存储。普通状况下,顾客签名证书密钥对由顾客自己在其密码设备中生成,并由顾客控制。但在某些特定安排下,容许电子认证服务机构代顾客在其密码设
43、备中生成签名证书密钥对。若签名证书密钥对由电子认证服务机构代顾客在其密码设备中生成,则电子认证服务机构必要通过安全路过将保存有签名证书私钥密码设备传递给顾客,保证证书私钥在传递过程中不被盗用、损坏或泄漏,并对传递过程进行跟踪和记录。无论何种状况,电子认证服务机构不得拥有顾客签名私钥备份。顾客加密证书密钥对可由顾客自己产生,或者由电子认证服务机构通过密钥管理中心集中生成,并通过安全途径传送给顾客。若加密证书密钥对由电子认证服务机构通过密钥管理中心集中生成,则加密证书私钥在传送到顾客过程中,不能以明文形式浮现。当电子认证服务机构通过密钥管理中心为顾客生成加密证书密钥对时,电子认证服务机构可将加密证
44、书私钥加密保存在密钥库中,以便在必要时候恢复顾客加密证书私钥。8.3.2 顾客证书私钥激活数据产生、传递和存储普通状况下,顾客证书密钥对及其私钥激活数据由顾客自己产生和保存,但在某些特定安排下,顾客证书密钥对及其私钥激活数据可由电子认证服务机构代顾客在其密码设备中产生。在后者状况下,电子认证服务机构代顾客产生私钥激活数据必要有足够安全强度并通过一定安全方式传送给顾客,保证激活数据在传递过程中不被泄漏,并对传递过程进行跟踪和记录。8.3.3 顾客证书私钥恢复电子认证机构不得保存顾客签名证书私钥备份。电子认证机构保存有顾客加密证书私钥备份,则只能应顾客自己规定或司法恢复需要目,电子认证服务机构才干
45、对顾客加密证书私钥进行恢复。电子认证服务机构须制定严格顾客证书私钥恢复管理规定和流程,私钥恢复必须有多人参加才干完毕,且对操作过程及成果需进行记录。8.3.4 顾客证书密钥对更新顾客在进行证书更新时应同步更新证书密钥对。若出于特别因素和安排,容许顾客在进行证书更新时不更新证书密钥对,那么,电子认证服务机构须保证这种方式是安全,且必要为不更新密钥对规定一种适合、安全最大期限,在这个期限后,该密钥不能再使用。8.3.5 顾客证书私钥归档和销毁电子认证服务机构不得拥有顾客签名证书私钥,顾客证书签名证书私钥,由顾客自己依照需要进行管理和销毁。顾客加密证书密钥对由电子认证服务机构密钥管理中心产生,在顾客
46、密钥对、证书失效后,电子认证服务机构应以加密方式归档保存;所有归档密钥对,在证书失效至少五年保存期后,应以可靠方式彻底销毁。电子认证服务机构在对顾客证书私钥进行归档、销毁时,必要保证被归档、销毁私钥安全,保证私钥不会被泄漏。8.4 CA密钥和证书管理电子认证服务机构应建立CA密钥管理方略、申报和审批流程制度,对涉及CA密钥所有核心操作(涉及初始化、生成、保存、发布、使用、备份、恢复、更新、归档、销毁等),必要经审批后才干执行,并应做好完整记录。8.4.1 CA密钥生成和存储电子认证服务机构CA密钥(含根密钥)必要使用符合国标密码硬件设备生成,并在其中存储。电子认证服务机构必要制定认证系统CA密钥生成流程、操作等文档,在安全环境(涉及物理环境安全、流程安全以及参加人员安全控制等)中操作。操作过程中应有操作员、见证人、CA私钥激活数据秘密份额保管员同步在场,并应对CA密钥生成操
浙ICP备2021020529号-1 | 浙B2-20240490 
