1、电子认证服务机构运营管理规范国标672020年4月19日文档仅供参考电子认证服务机构运营管理规范(国标) 8月目次1 范围32 规范性引用文件33 术语和定义43.1 电子认证服务机构 certification authority43.2 证书策略 certificate policy43.3 电子认证业务规则 certification practice statement43.4 证书撤销列表 certificate revocation list43.5 自主访问控制 discretionary access control43.6 数字证书 digital certificate43
2、.7 公钥基础设施 public key infrastructure43.8 注册机构 registration authority53.9 秘密分担 secret sharing54 缩略语55 运营系统55.1 认证系统55.2 运营网络55.3 密码设备55.4 系统安全65.5 系统冗余与备份76 运营场地与设施86.1 运营场地86.2 运营区域划分及要求86.3 安全监控系统96.4 环境保护与控制设施106.5 支撑设施106.6 RA场地安全117 职能与角色117.1 必须的部门职能117.2 必须的岗位角色118 认证业务管理128.1 业务规范和协议128.2 用户证书
3、生命周期管理128.3 用户证书密钥管理148.4 CA密钥和证书管理158.5 客户隐私保护168.6 RA管理179 安全管理179.1 安全策略与规划179.2 安全组织179.3 场地访问安全管理189.4 场地监控安全管理189.5 系统运维安全管理189.6 人员安全管理199.7 密码设备安全管理199.8 文档安全管理209.9 介质安全管理209.10 安全实施与监督2110 业务连续性控制2110.1 概要2110.2 业务连续性计划2110.3 应急处理2110.4 灾难恢复2310.5 灾备中心2311 记录与审计2311.1 记录保存2411.2 记录的查阅2411.
4、3 记录归档2411.4 记录销毁2411.5 审计24参考文献26电子认证服务机构运营管理规范1 范围本标准规定了电子认证服务机构在运营管理方面的规范性要求。本标准适用于在开放的互联网环境中提供数字证书服务的电子认证服务机构,对于在封闭环境中(如在特定团体或某个行业内)运行的电子认证服务机构可根据自身安全风险评估以及国家有关的法律法规有选择性地参考本标准。国家有关的测评机构、监管部门也能够将本标准作为测评和监管的依据。电子认证服务机构的行政管理应遵从中华人民共和国电子签名法等相关法律法规和管理部门的规定。本标准所涉及的密码管理部分,按照国家密码管理机构的相关规定执行。2 规范性引用文件下列文
5、件中的条款经过本标准的引用而成为本标准的条款。凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是未标注日期的引用文件,其最新版本适用于本标准。GB 6650 计算机机房用活动地板技术条件GB 50045 高层民用建筑设计防火规范GB 50174 电子信息系统机房设计规范GB/T 2887 计算站场地技术条件GB/T 9361 计算站场地安全要求GB/T 16264.8 信息技术 开放系统互联 目录 第8部分:公钥和属性证书框架GB/T 19713 信息技术 安全技术 公钥基础设施 在线
6、证书状态协议GB/T 19716 信息技术 信息安全管理实用规则GB/T AAAAAAAA证书认证系统密码及其相关安全技术规范GB/T AAAAAAAA 信息技术 安全技术 公钥基础设施 数字证书格式GB/T YYYYYYYY 信息技术 安全技术 公钥基础设施 证书策略与认证业务声明框架IETF RFC1777 Lightweight Directory Access ProtocolIETF RFC2560 Internet X.509 Public Key Infrastructure Online Certificate Status Protocol - OCSPIETF RFC258
7、7 Internet X.509 Public Key Infrastructure LDAPv2 Schema3 术语和定义下列术语和定义适用于本标准。3.1 电子认证服务机构 certification authority一个被终端实体所信任的签发公钥证书的证书认证实体,它是一个可信的权威机构,获得授权面向社会公众提供第三方电子认证服务的数字证书认证中心(简称CA、CA中心、CA机构、电子认证服务机构)。3.2 证书策略 certificate policy是一个指定的规则集合,它指出证书对于具有普通安全需求的一个特定团体和(或)具体应用类的适用性。3.3 电子认证业务规则 certifi
8、cation practice statement关于电子认证服务机构在签发、管理、撤销或更新证书(或更新证书中的密钥)时的业务实施声明。3.4 证书撤销列表 certificate revocation list一个经电子认证服务机构数字签名的列表,它标出了一系列证书颁发者认为无效的证书。3.5 自主访问控制 discretionary access control由客体的所有者主体自主地规定其所拥有客体的访问权限的方法。有访问权限的主体能按授权方式对指定客体实施访问,并能根据授权,对访问权限进行转移。3.6 数字证书 digital certificate经权威的、可信赖的、公正的第三方机
9、构(即电子认证服务机构,CA),数字签名的包含公开密钥拥有者信息以及公开密钥的文件。3.7 公钥基础设施 public key infrastructure支持公开密钥体制的安全基础设施,提供身份鉴别、信息加密、数据完整性和交易抗抵赖。3.8 注册机构 registration authority具有下列一项或多项功能的实体:识别和鉴别证书申请者,同意或拒绝证书申请,在某些环境下主动撤销或挂起证书,处理订户撤销或挂起其证书的请求,同意或拒绝订户更新其证书或密钥的请求。一般将注册机构简称为RA,或RA机构。3.9 秘密分担 secret sharing秘密分担指将一个秘密在一组参入者间进行分发的
10、方法,其中每个参入者被分配了该秘密经分割后的一份,称为秘密份额或秘密分割。只有足够数量的秘密份额才能恢复原秘密,单个的秘密份额本身是没有的。在本标准中,被分担的秘密可能是CA私钥激活数据、CA私钥备份恢复数据或CA私钥。4 缩略语下列缩略语适用于本标准:CA 电子认证服务机构CP 证书策略CPS 电子认证业务规则CRL 证书注销列表IETF 互联网工程任务组LDAP 轻量目录访问协议OCSP 在线证书状态查询协议PKI公钥基础设施RA 证书注册机构5 运营系统5.1 认证系统电子认证服务机构使用的认证系统(包括证书认证系统和密钥管理系统)应该遵循GB/T AAAAAAAA证书认证系统密码及其相
11、关安全技术规范。5.2 运营网络电子认证服务机构及其注册机构的认证系统运行网络,须采用独立的接入链路与公共网络连接,并与办公网络隔离,网段划分应符合GB/T AAAAAAAA证书认证系统密码及其相关安全技术规范的要求。电子认证服务机构认证系统运行网络应尽可能采用多路冗余链路接入公共网络,且多路接入链路来自不同的独立网络通信提供商。5.3 密码设备电子认证服务机构及其注册机构所使用的密码设备,必须是经过国家密码主管部门审查、具备销售资质的设备。5.4 系统安全电子认证服务机构应依据所制定的安全策略,在认证系统的实体身份标识与鉴别、访问控制与权限分割、信息与数据安全、网络系统安全、主机系统安全等方
12、面采取相应安全措施。5.4.1 身份标识与鉴别认证系统必须对如下实体进行身份标识和鉴别:1)对外的服务器(模块);2)内部服务器(模块);3)密码设备(模块);4)证书管理员;5)数据库管理员;6)主机系统帐户。采用的身份标识和鉴别技术应该与相应的安全需求一致。若采用用户名/口令方式进行身份标识和鉴别,则在安全需求较高时,必须对口令的长度、内容和更换频度做出相应的规定。对外服务器(模块)、证书管理员的身份标识和鉴别应该采用数字证书;证书管理员身份标识证书的私钥应该存放在安全硬件介质中,如USB Key、智能卡,并保证私钥的安全。5.4.2 访问控制与权限分割认证系统应该基于对实体的身份鉴别实现
13、访问控制,而且,对证书、密钥管理中的关键操作必须进行权限分割。5.4.3 信息与数据安全对于CA系统与外部用户、系统间的通信,CA系统内服务器、模块之间的通信,必须保证通信数据的保密性、完整性及数据收、发方的身份真实性。5.4.4 网络系统安全1) 网络安全a) 为了保护网络免受网络攻击的威胁,应部署安全网关设备,将认证系统网络与其它网络进行物理隔离,并将认证系统网络按照技术规范要求划分为不同的网段。安全网关设置应只允许必须的访问,设定允许访问的主体(主机、端口)和对应的访问对象(主机、端口)以及连接方向,其它访问禁止;安全网关应有充分的日志和审计功能。b) 应对网络中的实体设备进行网络漏洞扫
14、描,根据检测结果及时发现存在的不安全网络协议、网络服务,将不需要的网络协议、网络服务关闭,对于因业务需要而开启的不安全网络协议、网络服务应采取相应措施,需要用更安全的网络协议、网络服务替换。c) 应在关键网段安装入侵检测系统,能够及时检测到并报告常见的入侵模式,能够且应该及时更新入侵模式知识库,有完善的日志与审计功能。d) 实施网络服务安全配置与加固,只开启必须的网络服务,关闭所有其它的网络服务;对开启了的网络服务进行优化配置,定期打补丁。e) 采取其它必要的安全措施,以保障运营网络的安全。2) 网络设备安全对于网络设备应该从如下几个方面保证安全:a) 采用经过安全检测、安全认证的网络设备,包
15、括路由器、各类安全网关、交换机等。b) 若网络设备帐户使用用户名/口令方式进行身份鉴别,则口令应具有足够的安全强度。c) 有完备的审计日志。5.4.5 主机系统安全1) 认证系统的主机应从如下几个方面确保主机系统自身安全:a) 采用可靠的操作系统。b) 实现自主访问控制。c) 经过主机漏洞扫描系统发现系统存在的安全漏洞,如口令设置、文件权限、帐户管理、用户组管理、系统配置,并采取相应措施,包括进行系统安全优化。d) 及时对系统安全漏洞打补丁。e) 采取防病毒措施。f) 采用其它系统安全加固技术。2) 认证系统的主机应该从如下几个方面确保主机系统管理安全:a) 只创立、开启必须帐户,关闭不需要的
16、缺省帐户;b) 帐户口令具有足够的安全强度;c) 确保只有授权用户、进程和应用才能访问相应的资源。5.5 系统冗余与备份5.5.1 系统冗余应采用设备冷/热备份、单机逻辑备份、双机备份等,对于生产系统的重要设备进行备份/冗余设置和容错设计。应采用冗余技术、路由选择技术、路由备份技术等,实现网络备份与冗余。1) 网络链路冗余CA系统的网络对外应采用双路接入,而且两路网络接入来自不同的网络设施运营商(仅仅是服务提供商还不行),一路网络接入作为主服务线路,另一路接入作为备用线路,当主服务线路出现故障时能够迅速切换到备用线路。2) 主机冗余CA系统对关键业务、功能的主机必须采用双机热备措施。对非关键业
17、务、功能的设备,应该至少采用硬盘冷备份的方式进行系统备份。3) 电源冗余与后备发电对电子认证服务机构的电源有如下要求:a) 放置有CA系统的数据中心应该采用双路供电系统,必须至少保证从建筑外至数据中心内具有两条供电线路;b) 必须为认证系统及安全设备提供不间断电源(UPS),且不间断电源设备(UPS)应该具有冗余,不间断电源提供的电力必须足够支持一般的断电时间;c) 有条件的电子认证服务机构应配置备用发电机,当出现停电且不间断电源不能提供持续的电力时,能够提供电力。5.5.2 系统备份电子认证服务机构应采用完全备份与增量备份相结合的方式对生产系统数据和信息进行备份。应制定备份数据收集、保管、押
18、运、恢复管理策略,确保备份数据的安全,防止泄露和未经授权使用。备份数据宜实行同城异地保管,如租用银行保管箱保存数据备份。应定期检查备份系统和设备的可靠性和可用性,定期检查备份介质可靠性和数据完整性。应根据设备的重要程度、故障率、供应难度、库存数据量、设备金额等因素,综合评估运营风险,确定并建立关键设备和系统备份管理办法。应对关键设备做备份或采取有效办法保证供应的及时性(如与供应商签订应急维修或紧急供货合同)。1) 软件与数据备份软件与数据备份包括如下内容:a) 主机操作系统;b) 系统应用软件,如邮件系统、Web服务程序、数据库系统等;c) 认证系统软件;d) 系统上的客户化定制数据;e) 系
19、统配置;f) 数据库用户数据。对软件与数据备份有要求如下:a) 必须采用专门的备份系统对整个CA系统进行备份,备份数据能够保存在磁带、硬盘或其它介质上;b) 备份策略采用全备份与增量备份相结合;c) 备份策略应该保证没有数据丢失或数据丢失不会造成实质性的影响;d) 在系统出现故障、灾难时,备份方案能够在最短的时间内从备份数据中恢复出原系统及数据;e) 选择的备份介质应能保证数据的长期可靠,否则应定期更新;f) 备份数据应存放在电子认证服务机构以外安全的地方,比如银行保险柜、灾难恢复中心。2) 硬件设备备份电子认证服务机构硬件设备必须具有冗余、备份,在系统设备出现故障、损坏时能够及时更换设备。6
20、 运营场地与设施6.1 运营场地电子认证服务机构及其注册机构提供电子认证服务必须有固定和适宜的经营场所和机房场地(数据中心)。电子认证服务机构的场地环境建设应符合以下标准:1) 计算机机房(数据中心)的安全建设必须符合GB/T9361;2) 活动地板应该具有稳定的抗静电性能和承载能力,同时要耐油、耐腐蚀、柔光、不起尘等,具体要符合GB 6650的要求;3) 计算机系统的供电电源技术指标、相对湿度控制、接地系统设置等应按GB/T 2887中的规定执行;4) 电子计算机机房的耐火等级应符合GB 50045及GB/T 9361的规定;5) 计算机机房设计应符合GB 50174的规定。6.2 运营区域
21、划分及要求6.2.1 基本要求电子认证服务机构机房场所为安全控制区域,必须在机房场所的周边,建立明确和清晰的安全边界(设置标志、物理障碍、门禁管理系统等),进行物理保护;安全边界应完善和完整,能及时发现任何入侵企图;安全边界应设置向外开启的消防通道防火门,并应能快速关闭;消防门应有防误开启标识和报警装置,开启时应能以声、光或电的方式向安全监控中心报警。安全区域应使用合格门锁,门应坚固,保证关闭安全;应使用合适的门禁系统和辅助设备,如加装闭门器、门位置状态检测器和门开启报警器等;采取必要措施,在各个区域防止尾随进入。安全区域物理环境的任何变更,如设备或系统的新增、撤消、部署调整等,必须事先完成风
22、险评估和安全分析,形成正式文档向认证机构的安全策略管理组织申报,经审核批准后,方可实施。同时应做好完整的过程记录。6.2.2 区域划分CA机房场地根据业务功能分为公共区、服务区、管理区、核心区、屏蔽区,各功能区域对应的安全级别为控制区、限制区、敏感区、机密区、高度敏感区,安全等级和要求逐级提高。安全等级要求越高,安全防护措施和配套设施要求越严格。宜使用层级式安全区域防护,进行安全区域隔离和物理保护。层级式安全区域防护是指,将安全区域按照安全等级的重要程度,由外向内安全级别逐步提高,且只有经由低级别的区域方能进入更高级别安全区域。不宜划分层级式安全区域的机房场所,应按照安全等级功能等同的原则保护
23、各安全区域。1) 公共区(控制区)电子认证服务机构场地的入口处、办公区域、辅助和支持区域属于公共区,应采用访问控制措施,能够使用身份标识门禁卡控制出入。2) 服务区(限制区)服务区是提供证书审批、证书管理等电子认证服务的区域,必须使用身份标识门禁卡控制出入。3) 管理区(敏感区)该区域是电子认证系统运营管理区域,系统监控室、场地安全监控中心、配电室等均属于该区域。此区域必须使用身份标识门禁卡或人体特征鉴别控制出入。4) 核心区(机密区)证书认证系统、密钥管理系统、离线私钥和私钥激活数据存放房间属于核心区。核心区必须使用身份标识门禁卡和人体特征鉴别身份,控制出入,且在核心区内必须采取职责分离与权
24、限分割的方案和措施,使得单个人员在核心区内无法完成敏感操作。5) 屏蔽区(高度敏感区)屏蔽区位于核心区的数据中心内,放置有使用在线CA私钥签发数字证书的密码设备。屏蔽区必须有安全的出入控制,且在屏蔽区内必须采取职责分离与权限分割的方案和措施,使得单个人员在屏蔽区内无法完成敏感操作。屏蔽区的屏蔽效果至少应符合GB9361要求。6.3 安全监控系统 宜设置专门用途的安全监控中心,对机房建筑整个区域发生的出入访问进行实时监控。6.3.1 门禁认证机构机房区域必须采用适宜的门禁管理系统进行物理场地访问控制管理。门禁系统应能支持以电子身份识别卡、生物特征、PKI/CA技术等单独和/或以组合形式的方式鉴别
25、身份;应能控制认证机构整个运营场地的所有出入口;应能识别、区分正确进出方式,如未刷卡进入,则不能刷卡离开;应能与安全侦测布防系统结合,对各个区域进行安全布防,侦测到异常活动时,应具备报警功能(如声光报警、短信/电话报警、门禁联动锁止等);门禁系统应有备用电源,能保证不间断进行访问控制;系统应有完善的事件纪录和审计控制;门禁系统控制中心应位于安全监控中心或相同安全等级的区域内。在发生紧急情况(如电力故障、消防报警)时,所有消防疏散通道受控门应处于开启状态,重要区域如核心机房、资料室等区域应处于外部关闭、内部可手工开启的状态;前述重要区域应有应急开启装置,且当应急开启装置开启时,必须以声、光、电的
26、方式发出报警信号,同时系统应显示报警区域并记录应急情况发生详细信息。 应定期将门禁记录整理归档,并保存合理时间。6.3.2 入侵检测在机房场所建筑区域内应安装入侵检测报警系统,进行安全布防。安全区域窗户上应安装玻璃破碎报警器,建筑内天花板上应安装活动侦测器,发生非法入侵应立即报警。入侵检测系统应有应急备用电源提供电力支持,保证在出现外部供电中断时系统能够不间断的运行。6.3.3 监控录像必须设置合适的监控点,采用录像集中监控对整个机房的活动区域进行24小时不间断的监控。录像记录能够采用两种方式,一种为不间断录像;另一种为采用活动侦测系统与录像相结合的方式,不间断监控,间断(活动侦测)录像。合理
27、调整录像监控镜头位置,应能有效识别进出人员和纪录操作行为;录像记录应安全保管并定期归档,录像记录的查阅必须经安全主管批准。录像记录最少保留3个月;重大活动记录应保留1年以上,可采用刻盘备份等形式。监控录像系统应配有应急备用电源提供电力支持,保证在出现外部供电中断时系统不间断运行。6.4 环境保护与控制设施6.4.1 空气和温湿度控制必须有完备的空调系统,保证机房有充分、新鲜和洁净的空气供应;保证机房各个区域的温湿度能满足系统运行、人员活动和其它辅助设备的要求。6.4.2 防雷击和接地必须采用符合国家标准的防雷措施。必须设置综合地线系统;屏蔽机房必须设立保护地线,应经常检测接地电阻,确保人身、设
28、备运行的安全;应设置交流电源地线,交流供电应采用符合规范的三芯线,即相线、中线、地线。计算机系统安全保护地电阻值、计算机系统防雷保护地电阻值必须符合国家标准建筑物防雷设计规范GB50057和建筑物电子信息系统防雷技术规范GB50343的有关规定。6.4.3 静电防护机房的地板或地面应有静电泄放措施和接地构造,防静电地板、地面的表面电阻或体积电阻应为2.51041.0109,且应具有防火、环保、耐污耐磨性能。6.4.4 水患防治应正确安装水管和密封结构,合理布置水管走向,防止发生水害损失。机房内应进行防水检测,发现水害能及时报警。6.4.5 消防设施建筑材料耐火等级必须符合GBJ45-1982规
29、定。办公区域必须设置火灾自动报警系统和灭火系统,能够使用水喷淋灭火装置,并应配备合理数量的手持灭火器具。认证系统所在机房必须安装火灾自动报警系统和自动灭火系统,火灾探测系统应能同时经过检测温度和烟雾发现火灾的发生,且火灾报警系统应与灭火系统联动。火灾报警系统包括火灾自动探测、区域报警器、集中报警器和控制器等,能够对火灾发生区域以声、光或电的方式发出报警信号,并能以手动或自动的方式启动灭火设备。用于生产系统的灭火系统,不得使用水作灭火介质,必须使用洁净气体灭火装置。宜使用惰性气体如IG541作为灭火介质。凡设置洁净气体灭火系统的机房区域,应配置一定数量的专用空气呼吸器或氧气呼吸器。6.5 支撑设
30、施6.5.1 供配电系统供配电系统布线应采用金属管、硬质塑料管、塑料线槽等;塑料件应采用阻燃型材料;强电与弱电线路应分开布设;线路设计容量应大于设备总用量;应设立独立的配电室,经过配电柜控制供电系统。应使用双路供电,并安装使用在线式UPS对机房供电,保障机房(数据中心)有不间断的供电。当出现意外情况导致供电中断时,在线式UPS应能以不间断的方式进行供电切换并持续向机房提供至少8小时的供电。6.5.2 照明机房工作区域主要照明应采用高效节能荧光灯,照度标准值为500lx,照明均匀度不应小于0.7;主要通道应设置通道疏散照明及疏散指示灯,主机房疏散照明照度值不应低于5lx,其它区域通道疏散照明的照
31、度值不应低于0.5lx。6.5.3 服务通信系统电子认证服务机构应设置与开展认证服务有关的各类通信系统,如客户电话、传真、电子邮件系统,并保障24小时畅通。6.6 RA场地安全 RA系统可建立、运行在电子认证服务机构中,也可建立、运行在RA机构中。运行RA系统并开展RA业务的机构,其运营场地和设施应符合如下要求:1) RA场地应有门禁监控系统,及为RA系统的各类设备提供电力、空气和温湿度控制、消防报警和灭火功能的环境保护设施和相关支撑系统;RA也可选择符合上述条件的IDC放置RA系统设备。 2) 使用了加密机的RA系统,应另设专门的控制区域,对加密设备进行适当保护。7 职能与角色7.1 必须的
32、部门职能电子认证服务机构应设立开展电子认证服务所需的如下职能部门:1)安全策略管理审批电子认证服务机构整体安全策略、证书策略、电子认证业务规则等重要策略文档,监督安全制度、安全策略的执行,对异常情况、安全事故以及其它特殊事件进行处理。2)安全管理制定并贯彻执行公司的安全策略和安全制度。3)运营管理运行、维护和管理认证系统、密码设备及物理环境、场地设施。4)人事管理执行可信雇员背景调查,并对可信雇员进行管理。5)认证服务审批和管理用户证书。6)技术服务:提供技术咨询和支持服务。7.2 必须的岗位角色电子认证服务机构应设置如下必须的岗位角色:1)安全策略管理组织负责人负责安全策略管理组织的管理工作
33、。2)安全管理人员包括安全经理和负责网络与系统安全管理、场地安全管理的专业人员。3)密钥管理员负责CA密钥和证书管理,以及核心区密码设备管理。4)系统维护员负责办公系统和认证系统的维护。5)鉴别与验证员负责用户证书的审批工作。6)客户档案管理员:负责管理客户资料档案。7)客户服务员为客户提供技术咨询与支持、和售后服务。8)审计员负责定期对系统运营状况、业务规范、安全制度执行情况进行检查与审计。9)人事经理负责制定可信雇员政策,对关键岗位人员进行管理。8 认证业务管理8.1 业务规范和协议8.1.1 证书策略和认证业务规则电子认证服务机构应制定证书策略(CP)与电子认证业务规则(CPS)。证书策
34、略要对电子认证服务机构签发的证书的类型、适用的环境、适用的应用、认证要求、安全保障要求等方面做出广泛而全面的规定。电子认证业务规则须阐述电子认证服务机构如何贯彻实施其证书策略。认证业务规则的编写应符合GB/T YYYYYYYY 信息技术 安全技术 公钥基础设施 证书策略与认证业务声明框架的要求。电子认证服务机构应对证书策略与电子认证业务规则进行有效管理,设有负责撰写、修改、审核、发布和管理的部门,并制定相应管理流程。电子认证服务机构应根据其业务内容的变化,及时修改、调整其证书策略与电子认证业务规则。证书策略与电子认证业务规则,以及其修改版本,须经认证机构的安全策略管理组织批准后才能公开发布。8
35、.1.2 客户协议提供公共服务的电子认证服务机构,应对其提供的证书业务同客户签订或经过某种方式向客户明示相应的法律协议,这些协议对客户和电子认证服务机构所承担的责任和义务以协议的形式给出明确的规定和说明。一般的法律协议有,订户协议、信赖方协议、服务协议等。当电子认证服务机构以外的实体要作为电子认证服务机构的一个RA注册机构提供认证业务时,电子认证服务机构与该实体须经过相应的协议明确规定双方,特别是作为RA的一方,应该承担的责任和义务,包括该证书拥有者(证书用户)和信赖方应承担的责任和义务。8.2 用户证书生命周期管理8.2.1 证书申请与审核电子认证服务机构应明确制定各类证书申请所需的信息和条
36、件,如申请者姓名、域名、公司名、地址、联系方式、机构资质证明、域名所有权证明等信息和材料。电子认证服务机构应根据认证业务规则,制定严格的证书申请审核流程和规范,鉴别证书申请者提供的身份信息的真伪,验证证书申请者的身份,确认是证书申请者所声称的人、机构在申请证书。电子认证服务机构在证书申请审核过程中,应保留完整的审核记录,以供日后审计、审查、责任追踪和界定使用。8.2.2 证书签发电子认证服务机构必须在完成规定的证书申请审核后,才能签发证书。证书签发需有记录。8.2.3 证书存储与发布对于签发的数字证书,电子认证服务机构应保存在专门的证书库中,并对外公开发布,可供依赖方查询、获取。8.2.4 证
37、书更新证书用户在证书有效期到达前,能够申请更新证书,已过期或撤销的证书不能更新。对证书用户提交的证书更新请求,电子认证服务机构必须进行审核,审核的方式包括手工和自动两种方式。手工审核的过程、要求在安全保障性方面应与证书申请等同。对于自动审核方式,证书更新请求必须用原证书私钥签名,认证系统验证签名的有效性并自动签发更新证书。对于自动审核方式,电子认证服务机构须确保能经过一定的方式控制哪些证书可自动更新,防止非授权的更新。8.2.5 证书撤销电子认证服务机构应制定证书撤销管理策略和流程。证书撤销有三种发起方式:由证书用户发起,由电子认证服务机构,或者由依赖方发起。1) 用户申请撤销证书,电子认证服
38、务机构必须明确规定撤销证书申请接受方式,如经过电话、邮件、在线申请等,以及审核程序。2) 电子认证服务机构如发现用户证书申请资料存在虚假情况、不能满足证书签发条件等,或者发生(或怀疑发生)电子认证服务机构根私钥泄露、认证系统存在安全隐患威胁用户证书安全等,能够不经过证书用户本人同意,予以撤销证书。3) 当依赖方提出证书撤销申请时,如证书仅用于依赖方的系统,能够不经过证书用户本人同意,予以撤销证书。证书撤销后,电子认证服务机构必须在周期性签发的CRL中,于最近的下次更新时间发布所撤销证书,或签发临时CRL发布所撤销证书;电子认证服务机构如提供OCSP服务,必须立即更新OCSP查询数据库,确保实时
39、发布所撤销证书。证书撤销后,应经过电话、邮件、在线等方式,及时告知用户或依赖方证书撤销结果。电子认证服务机构必须记录所有证书撤销请求和相关操作结果。8.2.6 证书冻结电子认证服务机构可根据具体业务需要,制定证书冻结策略和流程,包括冻结请求、条件、宽限期及冻结状态的发布等。证书冻结有三种发起方式:由证书用户发起,由电子认证服务机构,或者由依赖方发起。1) 用户申请冻结证书,电子认证服务机构必须明确规定冻结证书申请接受方式,如经过电话、邮件、在线申请等,以及审核程序。2) 电子认证服务机构如发现用户证书申请资料存在虚假情况、不能满足证书签发条件等,或者发生(或怀疑发生)电子认证服务机构根私钥泄露
40、、认证系统存在安全隐患威胁用户证书安全等,能够不经过证书用户本人同意,予以冻结证书。3) 当依赖方提出证书冻结申请时,如证书仅用于依赖方的系统,能够不经过证书用户本人同意,予以冻结证书。冻结的证书需在CRL中发布,当被冻结证书失效后,将不再出现在CRL中。在证书有效期内,对被冻结的证书有三种处理方式:1) 被冻结证书有效性无法验证,用户和依赖方不能使用证书;2) 被冻结证书转为正式撤销;3) 被冻结证书解冻,从CRL中删除,重新转为有效证书。证书冻结后,电子认证服务机构必须在周期性签发的CRL中,于最近的下次更新时间发布所冻结证书,或签发临时CRL发布所冻结证书;电子认证服务机构如提供OCSP
41、服务,必须立即更新OCSP查询数据库,确保实时发布所冻结证书。冻结的证书解冻后,电子认证服务机构应在周期性签发的CRL中,于最近的下次CRL更新中删除冻结的证书,电子认证服务机构如提供OCSP服务,应立即更新OCSP查询数据库,确保解冻的证书变为有效。证书冻结和解冻后,应经过电话、邮件、在线等方式,及时告知用户或依赖方冻结结果。电子认证服务机构必须记录所有证书冻结请求和相关操作结果。8.2.7 证书状态查询电子认证服务机构应能够为用户和依赖方提供证书状态查询服务(包括证书撤销列表和/或在线证书状态查询),并在CP和CPS中发布证书状态查询服务策略;在相关协议中,应明确提示证书用户和依赖方,使用
42、证书时必须使用证书状态查询服务。1) CRL查询电子认证服务机构必须能够提供证书撤销列表(CRL)查询服务,CRL发布必须符合标准;必须明确规定CRL发布周期和发布时间,宜每天签发CRL;根据证书策略或当发生严重私钥泄露情况时,电子认证服务机构应签发临时CRL;根据证书策略和依赖方协议,用户和依赖方应及时检查、下载临时CRL。在证书有效期内的,被撤销证书必须一直保留在CRL中直至证书过期失效,被冻结证书,在冻结期内必须保留在CRL中直至解冻。当被撤销和被冻结证书过期时,应从CRL中删除。电子认证服务机构发布的所有CRL必须定期归档保存,在证书失效后至少保留五年。2) OCSP查询电子认证服务机
43、构必须能够提供在线证书状态查询(OCSP)服务,查询数据格式和响应查询结果必须符合国家有关标准;必须保证查询服务响应速度和并发查询性能满足服务要求;必须保证查询结果的实时性和准确性。8.2.8 证书归档电子认证服务机构应制定证书归档策略,定期对过期失效以及被撤销的证书进行归档。在证书失效至少5年后,方可销毁归档数据。8.3 用户证书密钥管理电子认证服务机构必须说明所提供的证书类型及密钥对产生的方式,并告知证书用户和依赖方认证机构是否保存有用户证书私钥的备份。8.3.1 用户证书密钥产生、传递和存储。一般情况下,用户的签名证书的密钥对由用户自己在其密码设备中生成,并由用户控制。但在某些特定的安排
44、下,允许电子认证服务机构代用户在其密码设备中生成签名证书密钥对。若签名证书的密钥对由电子认证服务机构代用户在其密码设备中生成,则电子认证服务机构必须经过安全途经将保存有签名证书私钥的密码设备传递给用户,确保证书私钥在传递过程中不被盗用、损坏或泄漏,并对传递过程进行跟踪和记录。无论何种情况,电子认证服务机构不得拥有用户签名私钥的备份。用户加密证书密钥对可由用户自己产生,或者由电子认证服务机构经过密钥管理中心集中生成,并经过安全的途径传送给用户。若加密证书密钥对由电子认证服务机构经过密钥管理中心集中生成,则加密证书私钥在传送到用户的过程中,不能以明文形式出现。当电子认证服务机构经过密钥管理中心为用
45、户生成加密证书密钥对时,电子认证服务机构可将加密证书私钥加密保存在密钥库中,以便在必要的时候恢复用户加密证书私钥。8.3.2 用户证书私钥激活数据产生、传递和存储一般情况下,用户证书密钥对及其私钥激活数据由用户自己产生和保存,但在某些特定的安排下,用户证书密钥对及其私钥激活数据可由电子认证服务机构代用户在其密码设备中产生。在后者的情况下,电子认证服务机构代用户产生的私钥激活数据必须有足够的安全强度并经过一定的安全方式传送给用户,确保激活数据在传递过程中不被泄漏,并对传递过程进行跟踪和记录。8.3.3 用户证书私钥恢复电子认证机构不得保存用户签名证书的私钥备份。电子认证机构保留有用户加密证书的私
46、钥备份,则只能应用户自己要求或司法恢复需要的目的,电子认证服务机构才能对用户加密证书的私钥进行恢复。电子认证服务机构须制定严格的用户证书私钥恢复的管理规定和流程,私钥恢复必须有多人参与才能完成,且对操作过程及结果需进行记录。8.3.4 用户证书密钥对更新用户在进行证书更新时应同时更新证书的密钥对。若出于特别的原因和安排,允许用户在进行证书更新时不更新证书的密钥对,那么,电子认证服务机构须确保这种方式是安全的,且必须为不更新的密钥对规定一个适合的、安全的最大期限,在这个期限后,该密钥不能再使用。8.3.5 用户证书私钥归档和销毁电子认证服务机构不得拥有用户签名证书私钥,用户证书签名证书的私钥,由用户自己根据需要进行管理和销毁。用户加密证书的密钥对由电子认证服务机构的密钥管理中心产生,在用户密钥对、证书失效后,电子认证服务机构应以加密的方式