《商用密码根证书认证战术》
一、资质审核
1.1 资质要求
申请ca88登陆平台可信浏览器商用密码根证书认证的CA机构,,,,,至少获得以下资质。。。。。。。。
1.1.1 电子认证服务使用密码许可证
由国度密码主管机构-国度密码治理局宣告。。。。。。。。
1.1.2 电子认证服务许可证
由国度电子认证服务主管机构-工信部宣告。。。。。。。。
1.1.3 商用密码软硬件认证证明
由国密商用密码有关认证机构宣告的,,,,,安全出产所用到的商用密码软硬件认证证明。。。。。。。。
1.2 资质有效性
CA机构必须提交在有效期内的资质证明或续期资料证明。。。。。。。。
二、认证证书类别
必须由通过上述“资质审核”的合规主体单元签发的贸易运行密码证书,,,,,能力够申请ca88登陆平台可信浏览器商用密码根证书认证。。。。。。。。
三、审计要求(任选其一)
1.WebTrust审计汇报提供链接和PDF文档。。。。。。。。
2.审计员(内部审计员或第三方审计机构人员)在证书安全出产要求中出具的审计汇报。。。。。。。。有效期肇始功夫在2021.9.1之后的,,,,,提供录像证明安全天生根证书、中级证书的过程;;;;;有效期肇始功夫在2021.9.1之前的,,,,,提供录像证明安全天生中级证书的过程;;;;;
四、证书安全出产要求
4.1 操作以及根基要求
给出全程录像,,,,,并标注以下根基沉要信息。。。。。。。。
4.1.1 安全出产场地
CA机构必须具备切合国度密码主管机构和电子认证服务主管机构要求的场地,,,,,密钥和证书的天生过程必须在该场地安全区内执行。。。。。。。。
4.1.2 安全出产人员
密钥和证书的天生整个过程,,,,,至少3人同时在场,,,,,且其中至少一名审计人员。。。。。。。。
4.1.3 安全出产过程
密钥和证书的天生整个过程,,,,,必须至少2名操作技术员,,,,,严格依照经过审批可沉复操作的剧本进行;;;;;由内部审计人员具体纪录并出具审计汇报,,,,,汇报中应注明这次出产证书的序列号;;;;;过程录像应蕴含上述场地环境的实况取景,,,,,操作员和审计怨佚面画面,,,,,以及天生密钥和证书的全过程,,,,,要有天生证书序列号展示画面。。。。。。。。
五、技术基线要求
5.1 电子认证活动参加者
5.1.1 电子认证服务机构CA
CA(Certification Authority)承担证书签发、更新、撤除、密钥治理、证书查问、证书黑名单(证书撤除列表或 CRL)颁布、政策造订等工作。。。。。。。。
5.1.2 注册机构RA
RA(Registration Authority)掌管订户证书的申请受理、审批和治理,,,,, 直接面向证书订户,,,,,并掌管在订户和 CA 之间传递证书治理信息。。。。。。。。(RA能够设置在CA机构内部,,,,,统一由CA承担RA责任。。。。。。。。)
5.1.3 订户
订户是指向 CA 申请证书的实体,,,,,通常为幼我或机构,,,,,申请证书为受信赖服务器或安全通讯设施提供身份证明。。。。。。。。
5.1.4 依赖方
依赖方是指接受电子认证服务机构的依赖和谈,,,,,独立地判断该战术证书的安全性是否满足其利用的安全需要,,,,,并验证本战术证书和相应署名的实体。。。。。。。。
5.2 CA安全出产要求
5.2.1 根证书密码算法要求
CA机构必须依照《SM2密码算法使用规范》要求天生根证书,,,,,且必须使用256Bit及以上。。。。。。。。
5.2.2 中级证书天生环境要求
CA机构必须依照《信息安全技术 密码??????榘踩蟆烦闪⒚茉恐卫硐低,,,,,该系统在基于第三方商用密码认证的HSM硬件安全??????橹刑焐椭卫砻茉恳约爸な,,,,,且认证方为国度密码主管机构。。。。。。。。
5.2.3 根证书系统要求
CA机构提交的证书必须是由国度电子认证根CA签发的证书,,,,,并且可能在国度电子认证根CA官网查问到。。。。。。。。
5.2.4 证书体式要求
CA机构必须依照《信息安全技术 公钥基础设施数字证书体式》签发证书。。。。。。。。证书内容蕴含但不限于正确的主题名称、使用者可选名称、CRL列表或OCSP(1.3.6.1.5.5.7.48.1)地址以及证书宣告机构宣告者(1.3.6.1.5.5.7.48.2)证书链接。。。。。。。。
5.2.5 CP/CPS框架要求
CA机构必须遵循《电子认证业务规定规范》编写CP/CPS文档。。。。。。。。
5.2.6 CP/CPS获取
CA机构必须提供线上CP/CPS颁布页面或pdf并实时更新守护。。。。。。。。
5.2.7 订户申请鉴证
CA机构必须在CP或CPS中具体列出对于订户证书申请域名或IP的鉴证步骤和具体步骤。。。。。。。。
5.2.8 本地主机名和私有IP地址证书
由于5.2.7鉴证无法实现,,,,,不允许CA机构向本地主机名和私有IP地址签发证书。。。。。。。。
5.2.9 私钥治理要求
CA机构必须做到在5.2.2中提及的密钥治理系统中天生的私钥,,,,,进行妥善治理保;;;;,,,,,预防泄露。。。。。。。。
5.3 CA运营时效要求
5.3.1 根证书有效期
CA机构的SLL根证书总有效期不宜超过30年;;;;;且自入根申请之日起,,,,,渣滓有效期需超过或蹬宗5年。。。。。。。。
5.3.2 订户证书有效期
CA机构签发的订户证书总有效期不宜超过398天。。。。。。。。
5.3.3 CA机构事务响应机造
CA机构必须成立健全沉大或垂危事务汇报机造。。。。。。。。
蕴含但不限于如下事务:
1.私钥泄露
2.谬误证书签发
3.设施故障
当有以上或其他沉大或者垂危严沉事务产生时,,,,,CA机构应在24幼时内以书面大局通知我司有关人员,,,,,并在72幼时内对事务做出齐全汇报。。。。。。。。
5.3.4 OCSP响应更新机造
CA机构提供的OCSP响应法式在签发或撤销订户证书应在7日内更新为宜;;;;; ARL/CRL更新机造
订户证书CRL 在有订户证书被撤除时,,,,,应在7日内更新。。。。。。。。
5.4 CA服务要求
5.4.1 反馈机造
CA机构必要在CP/CPS或其它官方渠路提供针对证书的反馈方式,,,,,反馈对象可所以电子认证活动的一个或多个参加者。。。。。。。。
5.4.2 出产环境模拟
CA机构能够有选择地对入根证书搭建测试网站,,,,,选择领域蕴含部署有效的,,,,,过期的,,,,,撤除的订户证书三类为必。。。。。。。。;;;;蕴含谬误主题名称、谬误的使用者可选名称、不蕴含CRL同时无OCSP地址等等扩大字段为可选,,,,,供查抄核验。。。。。。。。
5.5 建议要求
5.5.1 证书版本
建议证书体式全数使用X.509 V3体式。。。。。。。。
5.5.2 根证书系统更新机造
建议签发新CA的7日内更新2.6规范的在线信息库以及pdf版本。。。。。。。。
5.5.3 测试CA分支链
建议签发CA测试分支链,,,,,在订户正式部署线上环境前解决各类规范问题并不会影响线上已有正式CA链证书。。。。。。。。
六、补充注明
1. 本认证战术诠释权归ca88登陆平台所有,,,,,我司可随时凭据政策、市场或其他内表部原因调整更新本认证战术。。。。。。。。
2. 本认证战术产生扭转时,,,,,我司有官僚求CA机构出具新战术所需的对应资料,,,,,并凭据新的认证战术沉新审核已通过认证的根证书。。。。。。。。
3. 对于无法通过沉新审核的证书,,,,,我司有权从认证根证书列表中移除其证书。。。。。。。。
4. 对于证书运营过程中违反本认证战术的CA机构,,,,,我司有权从认证根证书列表中移除其证书。。。。。。。。
5. 证书面对被移除风险时,,,,,CA机构应积极与我司沟通协商,,,,,对其已签发的证书进行妥善措置。。。。。。。。