TJCA电子认证业务规则.doc

TJCATJCA电子认证业务规则电子认证业务规则 cpscps 版本 2 01 发布日期 二 七年八月 生效日期 二 七年八月 天津信息港电子商务有限公司 版权声明版权声明 天津信息港电子商务有限公司 简称TJCA 完全拥有本文件 的版权 文件中提及的 TJCA 及其图标等 均由天津信息港电子 商务有限公司独立享有版权和其它知识产权 其他任何个人和团体可准确 完整的转载 粘贴或发布本文件 但上述的版权说明和上段主要内容应标注于每个副本开始的显著位 置 未经天津信息港电子商务有限公司的书面同意 任何个人和团 体不得以任何方式 任何途经 电子的 机械的 影印 录制等 进行部分的转载 粘贴或发布本文件 更不得更改本文件的部分词 汇进行转贴 天津信息港电子商务有限公司拥有对本电子认证业务规则的最 终解释权 对任何复制本文件的其他请求 请寄往以下地址 天津信息港电子商务有限公司 地 址 天津市河北区昆纬路88号 联系电话 022 26360038 邮政编码 300140 修订表修订表 版本版本发发布日期布日期备备注注 V1 02006年4月 V2 02007年4月 V2 012007年8月 目目 录录 目目 录录 1 第一章第一章 概括性描述概括性描述 9 1 1 概述 9 1 1 1 TJCA 9 1 1 2 电子认证业务规则 10 1 2 文档名称与标识 10 1 2 1 名称 10 1 2 2 发布与备案 10 1 2 3 标识 11 1 3 电子认证活动参与者 11 1 3 1 电子认证服务机构 Certification Authority 11 1 3 2 注册机构 Registration Authority 11 1 3 3 订户 Subscriber 12 1 3 4 依赖方 Relying Party 12 1 3 5 其他参与者 Other Participants 12 1 4 证书应用 13 1 4 1 适合的证书应用 13 1 4 2 限制的证书应用 14 1 5 策略管理 14 1 5 1 策略文档管理机构 14 1 5 2 联系方式 14 1 5 3 决定 CPS 符合策略的机构 15 1 5 4 CPS 的批准程序 15 1 6 定义与缩写 15 1 6 1 数字证书签发系统 15 1 6 2 电子认证服务系统 16 1 6 3 证书口令 16 1 6 4 证书序列号 16 1 6 5 甄别名 16 1 6 6 通用名称 16 1 6 7 密码管理中心 16 1 6 8 OCSP 16 1 6 9 LDAP 16 1 6 10 PKI 17 1 6 11 CRL 17 1 6 12 数字签名 17 1 6 13 电子签名 17 1 6 14 电子签名人 17 1 6 15 私人密钥 17 1 6 16 公开密钥 18 1 6 17 签名密钥对 18 1 6 18 加密密钥对 18 1 6 19 PKCS 18 1 6 20 证书申请者 18 第二章第二章 信息发布与信息管理信息发布与信息管理 19 2 1 信息发布 19 2 1 1 CPS 的发布 19 2 1 2 TJCA 公众信息的发布 19 2 1 3 证书的发布 19 2 1 4 证书状态信息 19 2 2 发布时间及频率 20 2 2 1 CPS 的发布时间和频率 20 2 2 2 公众信息的发布时间及频率 20 2 2 3 证书的发布时间及频率 20 2 2 4 证书状态信息的发布时间和频率 20 2 3 信息库访问控制 20 第三章第三章 身份标识与鉴别身份标识与鉴别 21 3 1 命名 21 3 1 1 名称类型 21 3 1 2 对名称有意义的要求 21 3 1 3 订户的匿名或伪名 22 3 1 4 理解不同名称形式的规则 22 3 1 5 名称的唯一性 22 3 1 6 商标的识别 鉴证和角色 22 3 2 初始身份验证 22 3 2 1 证明拥有私钥的方法 22 3 2 2 组织机构身份的鉴别 22 3 2 3 个人身份的鉴别 23 3 2 4 域名 或 IP 地址 的确认和鉴别 24 3 2 5 没有验证的订户信息 24 3 2 6 授权确认 24 3 3 密钥更新请求的标识与鉴别 25 3 3 1 常规密钥更新的标识与鉴别 25 3 3 2 吊销后密钥更新的标识与鉴别 25 3 4 吊销请求的标识与鉴别 25 第四章第四章 证书生命周期操作要求证书生命周期操作要求 26 4 1 证书申请 26 4 1 1 证书申请实体 26 4 1 2 申请过程与责任 26 4 2 证书申请处理 26 4 2 1 执行识别与鉴别功能 26 4 2 2 证书申请批准和拒绝 27 4 2 3 处理证书申请的时间 27 4 3 证书签发 27 4 3 1 证书签发过程中注册机构和电子认证服务机构的行为 27 4 3 2 电子认证服务机构对订户的通告 28 4 4 证书的接受 28 4 4 1 构成接受证书的行为 28 4 4 2 电子认证服务机构对证书的发布 28 4 4 3 电子认证服务机构对其他实体的通告 28 4 5 密钥对和证书的使用 29 4 5 1 订户私钥和证书的使用 29 4 5 2 依赖方公钥和证书使用 29 4 6 证书更新 29 4 6 1 证书更新的情形 29 4 6 2 请求证书更新的实体 30 4 6 3 证书更新请求的处理 30 4 6 4 颁发新证书时对订户的通告 30 4 6 5 构成接受更新证书的行为 31 4 6 6 电子认证服务机构对更新证书的发布 31 4 6 7 电子认证服务机构在颁发证书时对其他实体的通告 31 4 7 证书密钥更新 31 4 7 1 证书密钥更新的情形 31 4 7 2 请求证书密钥更新的实体 32 4 7 3 证书密钥更新请求的处理 32 4 7 4 颁发新证书对用户的通告 32 4 7 5 构成接受密钥更新证书的行为 32 4 7 6 电子认证服务机构对密钥更新证书的发布 32 4 7 7 电子认证服务机构在颁发证书时对其他实体的通告 33 4 8 证书变更 33 4 8 1 证书变更的情形 33 4 8 2 请求证书变更的实体 33 4 8 3 证书变更请求的处理 33 4 8 4 颁发新证书时对订户的通告 33 4 8 5 构成接受更新证书的行为 34 4 8 6 电子认证服务机构对更新证书的发布 34 4 8 7 电子认证服务机构在颁发证书时对其他实体的通告 34 4 9 证书吊销 34 4 9 1 证书吊销的情形 34 4 9 2 请求证书吊销的实体 35 4 9 3 吊销请求的流程 35 4 9 4 吊销请求宽限期 35 4 9 5 电子认证服务机构处理吊销请求的时限 35 4 9 6 依赖方检查证书吊销的要求 35 4 9 7 吊销信息的其他发布形式 35 4 9 8 密钥损害的特别要求 36 4 10 证书挂起和恢复 36 4 10 1 证书挂起的情形 36 4 10 2 请求证书挂起的实体 36 4 10 3 挂起请求的流程 36 4 10 4 挂起的期限限制 37 4 10 5 证书的恢复 37 4 11 证书状态服务 37 4 11 1 操作特征 37 4 11 2 服务可用性 37 4 12 订购结束 38 4 13 密钥生成 备份与恢复 38 4 13 1 密钥生成 备份与恢复的策略和行为 38 4 13 2 会话密钥的封装与恢复的策略和行为 39 第五章第五章 认证机构设施 管理和操作控制认证机构设施 管理和操作控制 40 5 1 物理控制 40 5 1 1 场地位置与建筑 40 5 1 2 物理访问控制 41 5 1 3 电力和空调 42 5 1 4 水患防治 42 5 1 5 防火 42 5 1 6 介质存储 42 5 1 7 废物处理 42 5 1 8 异地备份 43 5 2 程序控制 43 5 2 1 可信角色 43 5 2 2 每项任务需要的人数 45 5 2 3 每个角色的识别与鉴别 45 5 2 4 需要职责分割的角色 46 5 3 人员控制 46 5 3 1 资格 经历和无过失要求 46 5 3 2 背景审查程序 46 5 3 3 培训要求 47 5 3 4 再培训周期和要求 47 5 3 5 工作岗位轮换周期和顺序 47 5 3 6 未授权行为的处罚 48 5 3 7 独立合约人的要求 48 5 3 8 提供给员工的文档 48 5 4 审计日志程序 49 5 4 1 记录事件的类型 49 5 4 2 处理日志的周期 49 5 4 3 审计日志的保存期限 50 5 4 4 审计日志的保护 50 5 4 5 审计日志备份程序 50 5 4 6 审计收集系统 50 5 4 7 对导致事件实体的通告 51 5 4 8 脆弱性评估 51 5 5 记录归档 51 5 5 1 归档记录的类型 51 5 5 2 归档记录的保存期限 52 5 5 3 档案的保护 52 5 5 4 档案备份程序 53 5 5 5 归档收集系统 53 5 5 6 获得和检验归档信息的程序 53 5 6 电子认证服务机构密钥更替 54 5 7 损害与灾难恢复 54 5 7 1 事故和损害处理程序 54 5 7 2 计算机资源 软件或数据损坏的处理程序 55 5 7 3 实体私钥损害处理程序 55 5 7 4 人员异动的处理程序 56 5 7 5 灾难后的业务连续性能力 56 5 8 电子认证服务机构或注册机构的终止 56 第六章第六章 认证系统技术安全控制认证系统技术安全控制 58 6 1 密钥对的产生和安装 58 6 1 1 密钥对的产生 58 6 1 2 私钥传递给订户 58 6 1 3 公钥传递给电子认证机构 58 6 1 4 电子认证机构公钥传递给依赖方 59 6 1 5 密钥长度 59 6 1 6 公钥参数的产生和质量检查 59 6 1 7 密钥使用目的 59 6 2 私钥保护与密码模块的控制 60 6 2 1 密码模块标准与控制 60 6 2 2 私钥多人控制 60 6 2 3 私钥托管 60 6 2 4 私钥备份 60 6 2 5 私钥归档 61 6 2 6 私钥导入 导出密码模块 61 6 2 7 私钥在密码模块的存储 61 6 2 8 激活私钥的方法 61 6 2 9 解除私钥激活状态的方法 62 6 2 10 销毁私钥的方法 62 6 2 11 密码模块的评估 62 6 3 密钥对管理的其他方面 63 6 3 1 公钥归档 63 6 3 2 证书操作期和密钥对使用期限 63 6 4 激活数据 63 6 4 1 激活数据的产生和安装 63 6 4 2 激活数据的保护 63 6 4 3 激活数据的其他方面 63 6 5 计算机安全控制 64 6 5 1 特别的计算机安全技术要求 64 6 5 2 计算机的安全评估 64 6 6 生命周期技术控制 64 6 6 1 系统开发控制 64 6 6 2 安全管理控制 65 6 6 3 生命周期安全控制 65 6 7 网络安全控制 66 6 8 时间戳 66 第七章第七章 证书 证书吊销列表和在线证书状态协议证书 证书吊销列表和在线证书状态协议 67 7 1 证书 67 7 1 1 证书版本号 68 7 1 2 证书扩展项 68 7 1 3 密钥算法对象标识符 68 7 1 4 名称形式 68 7 1 5 名称限制 69 7 1 6 证书策略对象标识符 69 7 1 7 策略限制扩展项的用法 69 7 1 8 策略限定符的语法和语义 69 7 1 9 关键证书策略扩展项的处理规则 70 7 2 证书吊销列表 CRL 70 7 2 1 CRL 版本号 70 7 2 2 CRL 和 CRL 条目扩展项 70 7 2 3 CRL 下载 70 7 3 在线证书状态查询协议 OCSP 71 7 3 1 版本号 71 7 3 2 OCSP 扩展项 71 第八章第八章 认证机构审计与评估认证机构审计与评估 72 8 1 审计的频率与情形 72 8 2 审计者的身份与资质 72 8 3 审计者与 TJCA 的关系 73 8 4 审计内容 73 8 5 对问题与不足采取的措施 74 8 6 审计结果的传达与发布 74 第九章第九章 法律责任和其他业务条款法律责任和其他业务条款 75 9 1 费用 75 9 1 1 证书签发和更新费用 75 9 1 2 证书查询费用 75 9 1 3 证书吊销或状态信息的查询费用 75 9 1 4 其他服务费用 75 9 1 5 退款策略 76 9 2 财务责任 76 9 2 1 保险范围 76 9 2 2 其他资产 76 9 2 3 对最终实体的保险或担保 76 9 3 业务信息保密 77 9 3 1 保密信息范围 77 9 3 2 不属于保密的信息 77 9 3 3保护保密信息的责任 77 9 4 个人隐私保密 78 9 4 1隐私保密方案 78 9 4 2 作为隐私处理的信息 78 9 4 3 不被视为隐私的信息 78 9 4 4 保护隐私的责任 79 9 4 5使用隐私信息的告知与同意 79 9 4 6依法律或行政程序的信息披露 79 9 4 7其他信息披露情形 79 9 5 知识产权 80 9 6 陈述与担保 80 9 6 1 电子认证服务机构的陈述与担保 80 9 6 2 注册机构的陈述与担保 81 9 6 3 订户的陈述与担保 81 9 6 4 依赖方的陈述与担保 82 9 6 5 其他参与者的陈述与担保 82 9 7 担保免责 83 9 8 有限责任 83 9 9 赔偿 84 9 9 1 赔偿范围 84 9 9 2 赔偿限额 85 9 10 有效期和终止 86 9 10 1 有效期限 86 9 10 2 终止 86 9 10 3 效力的终止与保留 86 9 11 对参与者的个别通告与沟通 87 9 12 修订 87 9 12 1 修订程序 87 9 12 2 通知机制和期限 87 9 12 3 修订同意 87 9 12 4 必须修改业务规则的情形 88 9 13 争议处理 88 9 14 管辖法律 88 9 15 与适用法律的符合性 88 9 16 一般条款 89 9 16 1 完整协议 89 9 16 2 转让 89 9 16 3 分割性 89 9 16 4 强制执行 89 9 16 5 不可抗力 90 9 17 其他条款 90 第一章第一章 概括性描述概括性描述 1 11 1 概述概述 1 1 11 1 1 TJCATJCA 天津信息港电子商务有限公司负责建设并运营天津市数字证书认证中心 是 权威 公正的第三方电子认证服务机构 简称TJCA 公司严格按照 中华人民 共和国电子签名法 电子认证服务管理办法 中华人民共和国信息产业 部令第35号 等法律法规的要求 为电子签名相关各方提供真实性 可靠性验 证的公众服务活动 天津信息港电子商务有限公司经天津市人民政府信息化办公室批准 于 2000年3月注册成立 2002年起 公司在天津市人民政府信息化办公室和天津市 国家密码管理办公室的指导下 着手筹建符合国家标准的数字证书认证中心和 密钥管理中心 2003年6月20日 公司完成天津市数字证书认证中心和天津市密钥管理中心 工程建设任务 2003年8月21日 公司建成的天津市数字证书认证中心和天津市密钥管理中 心一次性顺利通过国家密码管理委员会办公室组织的审查 2004年10月26日 天津市数字证书认证中心正式揭牌 2005年1月18日 天津市数字证书认证中心和天津市密钥管理中心通过了国 家密码管理委员会办公室组织的技术鉴定 1 1 21 1 2 电子认证业务规则电子认证业务规则 电子认证业务规则 Certification Practices Statement 简称CPS 是 电子认证服务机构对所提供的认证及相关业务的全面描述 电子认证服务管理办法 规定 电子认证服务机构应当按照信息产业部 公布的 电子认证业务规则规范 的要求 制定本机构的电子认证业务规则 TJCA电子认证业务规则 由天津信息港电子商务有限公司按 电子认证 服务管理办法 的要求 依据 电子认证业务规则规范 试行 制定 并报 信息产业部备案 TJCA电子认证业务规则 详细阐述了TJCA在实际工作和运行中应遵循的 各项规范 适用于TJCA TJCA授权机构 TJCA数字证书签约组织机构或个人 TJCA员工 证书申请者 各方必须完整地理解和执行 TJCA电子认证业务规则 所规定的条款 并承担相应的责任和义务 1 21 2 文档名称与标识文档名称与标识 1 2 11 2 1 名称名称 本文档名称为 TJCA电子认证业务规则 1 2 21 2 2 发布与备案发布与备案 本CPS发布形式为TJCA网站 和书面形式 电子认证服务管理办法 第15条规定 电子认证服务机构应当按照信息 产业部公布的 电子认证业务规则规范 的要求 制定本机构的电子认证业务 规则 并在提供电子认证服务前予以公布 向信息产业部备案 电子认证业务 规则发生变更的 电子认证服务机构应当予以公布 并自公布之日起三十日内 向信息产业部备案 本CPS严格按照 电子认证服务管理办法 的要求进行发布和备案 1 2 31 2 3 标识标识 TJCA标识已于2005年9月在国家行政管理总局商标局注册 该标识为 1 31 3 电子认证活动参与者电子认证活动参与者 1 3 11 3 1 电子认证服务机构 电子认证服务机构 CertificationCertification AuthorityAuthority 电子认证服务机构 即电子认证服务提供者 是指为电子签名人和电子签 名依赖方提供电子认证服务的第三方机构 本文的电子认证服务机构指TJCA 为体现证书服务的差异性和多样性 满足不同应用对证书的要求 TJCA可授 权建立下一级CA 即子CA 子CA也属电子认证服务机构范畴 1 3 21 3 2 注册机构 注册机构 RegistrationRegistration AuthorityAuthority 注册机构是为证书申请者建立注册过程的实体 负责对证书申请者进行身 份标识和鉴别 发起或传递证书吊销请求 代表TJCA批准更新证书或更新密钥 的申请 注册机构申请者必须具备法人资格 具体办理流程如下 1 申请者提交书面申请和业务开展计划 2 TJCA对申请者进行资格预审 3 预审通过后 TJCA发出受理通知书 4 TJCA向申请者提供TJCA注册机构建设标准及模版 由申请者按进度进行 建设实施 5 建设实施完成后 TJCA对建设情况进行实质审查 通过后 签署协议 正式授权 注册机构的服务群体超过一定限度时 注册机构可下设注册分支机构 Registration Authority Branch 或受理点 Business Terminal 1 3 31 3 3 订户 订户 SubscriberSubscriber 订户是从TJCA接收数字证书的实体 在电子签名应用中 订户即为电子签 名人 1 3 41 3 4 依赖方 依赖方 RelyingRelying PartyParty 依赖方依赖于证书真实性的实体 可以是个人 软硬件设备或组织机构 在电子签名应用中 即为电子签名依赖方 依赖方可以是 也可以不是一个订 户 1 3 51 3 5 其他参与者 其他参与者 OtherOther ParticipantsParticipants 以上未提及的 在整个TJCA服务架构内参与证书服务提供的其它实体 如 证书库服务提供者 PKI应用技术服务提供者等 1 41 4 证书应用证书应用 1 4 11 4 1 适合的证书应用适合的证书应用 数字证书是由权威公正的电子认证服务机构签发的 标志网络用户身份信 息的电子文档 数字证书又被称为 电子证书 认证证书 等 TJCA签发 的数字证书统一称为 数字证书 包括以下类型 证书类型证书类型证书应用证书应用 个人身份证书 应用于电子签名 数据加密 身份验证 如电 子商务交易 电子政务等 个人E mail证书提供电子邮件的签名和加密应用 组织机构身份证书 应用于电子签名 数据加密 身份验证 如电 子商务交易 电子政务 网上申报纳税和网上 报关等 组织机构E mail证书提供电子邮件的签名和加密应用 个人代码签名证书 应用于代码安全 如 防篡改 可信可靠等安 全保障 组织机构代码签名证书 应用于代码安全 如 防篡改 可信可靠等安 全保障 WEB证书 应用于安全网站的建设 如 实现安全可信站 点 设备证书应用于VPN网关 服务器等设备的安全保证 1 4 21 4 2 限制的证书应用限制的证书应用 TJCA签发的数字证书禁止在任何违反国家法律 法规或破环国家安全的情 形下使用 否则由此造成的法律责任由订户自己承担 1 51 5 策略管理策略管理 1 5 11 5 1 策略文档管理机构策略文档管理机构 TJCA电子认证业务规则 的最高管理机构为TJCA认证委员会 TJCA认证委员会由TJCA管理人员 PKI技术人员和法律顾问组成 是TJCA体 系内的最高策略管理机构和 TJCA电子认证业务规则 审批机构 TJCA认证委员会下设CPS工作小组 负责 TJCA电子认证业务规则 的起草 发布 维护 更新等事宜 TJCA认证委员会负责组织CPS评审小组 对CPS草案进行评审 TJCA认证委员会负责组织CPS实施计划管理小组 对CPS进行实施管理 TJCA认证委员会指定专门机构作为 TJCA电子认证业务规则 的监督机构 负责 TJCA电子认证业务规则 实施的日常监督检查 以保证TJCA的运行符合 本CPS的要求 1 5 21 5 2 联系方式联系方式 通信地址 天津市河北区昆纬路88号 天津信息港电子商务有限公司 邮政编码 300140 联系电话 022 26360038 传 真 022 26360037 网站地址 1 5 31 5 3 决定决定 CPSCPS 符合策略的机构符合策略的机构 TJCA电子认证业务规则 严格按照信息产业部的 电子认证业务规则规 范 试行 要求编写 接受信息产业部的审查监督 以及备案要求 TJCA认证委员会作为最高策略管理机构 是 TJCA电子认证业务规则 符 合策略的决定机构 1 5 41 5 4 CPSCPS 的批准程序的批准程序 1 TJCA认证委员会下设的CPS工作小组编写或修订CPS草案后 由TJCA认 证委员会组织评审小组对CPS草案进行评审 2 评审过程中 可提出修改意见 由CPS工作小组进行修改 评审通过后 形成CPS评审稿和评审报告 3 评审小组将CPS评审稿及评审报告提交TJCA认证委员会进行审批 4 审批通过后 CPS工作小组负责按要求进行发布及备案 1 61 6 定义与缩写定义与缩写 1 6 11 6 1 数字证书签发系统数字证书签发系统 简称证书签发系统 指签发 管理数字证书的软件系统 1 6 21 6 2 电子认证服务系统电子认证服务系统 简称认证系统 指电子认证服务机构采用密码技术为社会公众提供第三方 电子认证服务的系统 包含数字证书签发系统 运行网络 以及计算机等硬件 环境 1 6 31 6 3 证书口令证书口令 指证书中私钥的保护口令 1 6 41 6 4 证书序列号证书序列号 指唯一标识证书的32位字母组合 1 6 51 6 5 甄别名甄别名 DN Distinguished Name 包含订户的主题信息 1 6 61 6 6 通用名称通用名称 CN Common Name 甄别名中的一项 1 6 71 6 7 密码管理中心密码管理中心 KMC Key Management Center 负责密钥的产生 存储 归档等管理工作 1 6 81 6 8 OCSPOCSP OCSP Online Certificate Status Protocol 在线查询数字证书状态协 议 用于支持实时查询数字证书状态 1 6 91 6 9 LDAPLDAP LDAP Lightweight Directory Access Protocol 轻量级目录访问协 议 用于查询 下载数字证书以及数字证书吊销列表 1 6 101 6 10 PKIPKI PKI Public Key Infrastructure 公开密钥基础设施 1 6 111 6 11 CRLCRL CRL Certificate Rovocation List 数字证书吊销列表 1 6 121 6 12 数字签名数字签名 通过使用非对称密码加密系统对电子数据进行加密 解密变换来实现的一 种电子签名 TJCA电子认证业务规则 中提及的签名为数字签名 1 6 131 6 13 电子签名电子签名 指数据电文中以电子形式所含 所附用于识别签名人身份并表明签名人认 可其中内容的数据 1 6 141 6 14 电子签名人电子签名人 指持有电子签名制作数据并以本人身份或者以其所代表的名义实施电子签 名的人 1 6 151 6 15 私人密钥私人密钥 Private Key 简称私钥 是一种不能公开 由持有者秘密保管的数字密钥 用于创建电子签名 解密报文或与相应的公开密钥一起加密机要文件等 1 6 161 6 16 公开密钥公开密钥 Public Key 简称公钥 是可以公开的数字密钥 用于验证相应的私人密 钥签名的报文 也可以用来加密报文 文件 由相应的私人密钥解密等 1 6 171 6 17 签名密钥对签名密钥对 包含一对私人密钥和公开密钥 主要用于订户的签名和验证 证书申请者 申请证书时一般由客户端或服务器端产生 1 6 181 6 18 加密密钥对加密密钥对 包含一对私人密钥和公开密钥 主要用于订户信息的加解密 证书申请者 申请证书时由KMC产生 1 6 191 6 19 PKCSPKCS PKCS Public Key Cryptography Standard 公开密钥密码算法标准 1 6 201 6 20 证书申请者证书申请者 Certificates Applicant 是请求TJCA颁发数字证书 期望成为TJCA订户 的个人或组织机构 第二章第二章 信息发布与信息管理信息发布与信息管理 2 1 信息发布信息发布 TJCA信息包括四类 分别为CPS TJCA公众信息 证书 和证书状态信息 TJCA为该信息库的运营者 有责任保证信息准确和及时发布 2 1 12 1 1 CPSCPS 的发布的发布 TJCA通过网站 和书面形式发布CPS 2 1 22 1 2 TJCATJCA 公众信息的发布公众信息的发布 TJCA公众信息包括TJCA面向公众的的通知 通告 公告 声明等 TJCA通 过网站或报纸 电台 电视台等媒体发布公众信息 2 1 32 1 3 证书的发布证书的发布 证书在签发成功后 TJCA通过目录服务器发布该证书 2 1 42 1 4 证书状态信息证书状态信息 证书状态信息包括CRL和OCSP TJCA通过网站发布证书状态信息 2 22 2 发布时间及频率发布时间及频率 2 2 12 2 1 CPSCPS 的发布时间和频率的发布时间和频率 如果TJCA对CPS进行修改 补充 调整 TJCA将在修改 补充 调整获得批 准后24小时内发布最新版本 并将与原有CPS共同列出 以便检索 2 2 22 2 2 公众信息的发布时间及频率公众信息的发布时间及频率 TJCA公众信息在获得批准后 24小时内进行发布 2 2 32 2 3 证书的发布时间及频率证书的发布时间及频率 TJCA系统每成功签发一张证书 即自动将该证书进行发布 2 2 42 2 4 证书状态信息的发布时间和频率证书状态信息的发布时间和频率 证书状态发生变更后 将于24小时内自动发布 2 32 3 信息库访问控制信息库访问控制 已发布的CPS TJCA公众信息 证书状态信息属于公开信息 TJCA 允许 订户通过网站自行访问和查询 TJCA设置了信息访问控制和安全审计措施 保证只有经过授权的TJCA工 作人员才能对信息库内容进行必要的编写和修改 第三章第三章 身份标识与鉴别身份标识与鉴别 3 13 1 命名命名 3 1 13 1 1 名称类型名称类型 TJCA使用符合X 500 甄别名规定的命名规则 TJCA签发的证书的实体名可 以是人员姓名 组织机构名 域名 TJCA 证书的主题域中包含X 500 甄别名 TJCA的主题甄别名由以下几项组 成 Country C Organization O Organizational Unit OU Common Name CN E mail 地址 E 3 1 23 1 2 对名称有意义的要求对名称有意义的要求 标识名称所采用的订户识别信息 必须具有明确的 可追溯的 肯定的代 表意义 3 1 33 1 3 订户的匿名或伪名订户的匿名或伪名 TJCA 不接受任何匿名或者伪名 仅接受有明确意义的名称作为唯一标识符 3 1 43 1 4 理解不同名称形式的规则理解不同名称形式的规则 依X 500 甄别名命名规则解释 3 1 53 1 5 名称的唯一性名称的唯一性 TJCA签发给某个实体的证书 其主题甄别名 在CA信任域内是唯一的 但 对于签发的双证书 一个签名证书 一个加密证书 是属于同一实体的两个 证书 具有同样的主题甄别名 证书的密钥用法扩展项不同 3 1 63 1 6 商标的识别 鉴证和角色商标的识别 鉴证和角色 TJCA签发的证书的主题甄别名中不包含商标名 3 23 2 初始身份验证初始身份验证 3 2 13 2 1 证明拥有私钥的方法证明拥有私钥的方法 在TJCA体系中 私钥保存在安全介质中发放给订户 因此要求证书申请者 妥善保管自己的私钥 证书申请者被视为其私钥的唯一持有者 3 2 23 2 2 组织机构身份的鉴别组织机构身份的鉴别 TJCA对组织机构证书申请者的身份进行鉴别需要验证相关合法证件 组织 机构授权的经办人按要求填写证书申请表加盖公章后 携带以下证件到TJCA进 行身份审核验证 1 批准组织机构成立的有关文件原件及复印件一份 根据组织机构性质选 择 如企业提供工商营业执照等 2 组织机构代码证原件及复印件一份 3 经办人身份证原件和复印件一份 4 申请者对经办人的书面委托授权书 并加盖公章 证书申请者有义务保证申请材料的真实有效 并承担与此相关的法律责任 证书申请者在证书申请表上盖章即表示接受证书申请的有关条款 并承担相应 的责任 TJCA 和其授权的证书服务机构在规定期限内保存证书申请者的全部申请 材料 TJCA在进行了法律规定的有限审查后 不承担对申请资料文件进行合法性 甄别的义务 3 2 33 2 3 个人身份的鉴别个人身份的鉴别 TJCA对个人证书申请者的身份进行鉴别需要验证相关合法证件 个人或授 权的经办人按要求填写证书申请表并签字盖章后 携带以下证件到TJCA进行身 份审核验证 1 个人身份证件原件及复印件一份 证件视个人情况而不同 可以是居民 身份证 护照 军官证等国家法律法规认可的身份证件 2 如果是委托办理 需同时递交申请者和受托者的上述证件原件及复印件 一份 以及申请者亲笔签名的授权书一份 证书申请者有义务保证申请材料的真实有效 并承担与此相关的法律责任 证书申请者在证书申请表上签字盖章即表示接受证书申请的有关条款 并承担 相应的责任 TJCA和其授权的证书服务机构在规定期限内保存证书申请者的全部申请材 料 TJCA在进行了法律规定的有限审查后 不承担对申请者申请资料文件进行 合法性甄别的义务 3 2 43 2 4 域名域名 或或 IPIP 地址地址 的确认和鉴别的确认和鉴别 如果证书的名称为域名 或IP地址 除了在对申请者递交的书面材料进行 审核外 TJCA需要申请者提供额外的域名 IP地址 使用权证明材料 以确定申 请者是否有权使用相应的域名 IP地址 TJCA在进行了法律规定的有限审查后 不承担对申请者申请资料文件进行合法性甄别的义务 申请者自行负责材料真 实性 3 2 53 2 5 没有验证的订户信息没有验证的订户信息 TJCA将前面未列出 且并不影响订户身份追溯的信息称为没有验证的订户 信息 如组织机构证书申请中电话号码 个人证书申请中所署组织机构名称等 项 3 2 63 2 6 授权确认授权确认 证书申请者申请某一类型的证书时 TJCA和其授权的证书服务机构还需审 核申请经办人的身份和资格 包括必需的身份资料和授权证明文件 组织机构 或个人在TJCA数字证书申请文件上签字或加盖公章后 则证明其对办理人员的 授权确认 3 3 密钥更新请求的标识与鉴别密钥更新请求的标识与鉴别 3 3 13 3 1 常规密钥更新的标识与鉴别常规密钥更新的标识与鉴别 TJCA订户需要在证书即将到期或怀疑密钥外泄等导致安全危险的情况下进 行密钥更新 通常 订户密钥有效期为一年 密钥到期后必须更新 并向TJCA 申请重新签发证书 当订户对密钥的安全有顾虑时 需立即向TJCA申请重新签 发证书 并同时更新密钥 国家密码主管部门对密钥的管理 更新等有规定的 TJCA将严格予以执行 3 3 23 3 2 吊销后密钥更新的标识与鉴别吊销后密钥更新的标识与鉴别 证书吊销后的密钥更新 其操作流程等同于订户向TJCA申请新的数字证书 3 43 4 吊销请求的标识与鉴别吊销请求的标识与鉴别 订户吊销证书的标识和鉴别 分为以下三种情况 1 订户到TJCA内的证书服务机构 递交吊销申请并由TJCA进行身份鉴别 2 如果由于条件的限制无法进行现场审核时 TJCA将首先采取证书挂起的 方式让证书暂时失效 直到完成身份鉴别以后 再对证书进行吊销处理 3 TJCA在认为确实必要时 有权吊销订户证书 而不需要对订户身份进 行鉴别 吊销请求的身份标识和鉴别 其具体流程同原始身份鉴别 第四章第四章 证书生命周期操作要求证书生命周期操作要求 4 14 1 证书申请证书申请 4 1 14 1 1 证书申请实体证书申请实体 证书申请者包括具有合法身份的中华人民共和国公民及在中国境内的外国 公民和具有独立法人资格的组织机构 4 1 24 1 2 申请过程与责任申请过程与责任 证书申请者按照要求填写证书申请表 并准备相关的身份证明材料 TJCA 或证书服务机构依据身份鉴别规范对证书申请者的身份进行鉴别 并决 定是否受理申请 申请过程中各方责任为 证书申请者应提供真实 完整和准确地信息 TJCA 应对证书申请者的身份进行查验 并对材料进行审查 4 24 2 证书申请处理证书申请处理 4 2 14 2 1 执行识别与鉴别功能执行识别与鉴别功能 证书申请者递交证书申请材料 TJCA或证书服务机构需对申请者的身份信 息进行完整性 有效性 可靠性 真实性的鉴别 并在申请表上记录鉴别者的 姓名 结果及鉴别日期等 鉴别证书申请者所递交的材料是否真实 鉴别证书申请者递交的材料和信息是否准确 鉴别受托者的身份以及其所代表的组织机构和个人的授权是否合法 鉴别证书申请者是否接受证书协议中的各项条款并签订协议 4 2 24 2 2 证书申请批准和拒绝证书申请批准和拒绝 如果证书申请者能够通过鉴别 TJCA将批准该申请并为其签发证书 如果 证书申请者未能通过鉴别 TJCA将拒绝该申请 并将结果通知证书申请者 4 2 34 2 3 处理证书申请的时间处理证书申请的时间 在收到证书申请者提交的申请资料后 TJCA或证书服务机构将在24小时内 处理证书申请 4 34 3 证书签发证书签发 4 3 14 3 1 证书签发过程中注册机构和电子认证服务机构的行为证书签发过程中注册机构和电子认证服务机构的行为 证书申请被批准后 由TJCA授权的签证官统一签发证书 签发过程包括 密钥对申请 证书制作 证书发布 通知订户并证书发放 4 3 24 3 2 电子认证服务机构对订户的通告电子认证服务机构对订户的通告 TJCA对订户的通告有以下几种方式 面对面方式 电子邮件或邮政信函方式 其他TJCA认为安全可行的方式 4 44 4 证书的接受证书的接受 4 4 14 4 1 构成接受证书的行为构成接受证书的行为 TJCA收费后以面对面或其他安全可信方式将证书发放给证书申请者 就意 味着证书申请者已经接受数字证书 正式成为TJCA订户 订户接受数字证书后 应妥善保存其私钥 4 4 24 4 2 电子认证服务机构对证书的发布电子认证服务机构对证书的发布 证书签发后 认证系统自动将该证书发布到目录服务器中 订户可通过 TJCA网站获取证书的信息 4 4 34 4 3 电子认证服务机构对其他实体的通告电子认证服务机构对其他实体的通告 认证系统自动将签发的证书发布到目录服务器中 以供订户查询 TJCA注 册机构 注册分支机构 受理点等作为TJCA的其它实体 均可通过网站查询方 式得到所需信息 4 54 5 密钥对和证书的使用密钥对和证书的使用 4 5 14 5 1 订户私钥和证书的使用订户私钥和证书的使用 订户只能在指定的范围内应用其私钥和证书 订户应妥善保存其证书对应的私钥 订户不可在证书已经过期或吊销的情况下继续使用证书及对应的私钥 4 5 24 5 2 依赖方公钥和证书使用依赖方公钥和证书使用 依赖方只能在合法的应用范围内依赖于证书 依赖方可以通过查看证书以了解对方的身份 通过公钥验证对方电子签名 的真实性 实现通信的不可抵赖性 并实现通信双方数据传输的保密性和完整 性 依赖方验证证书的有效性包括三个方面的内容 用TJCA的证书验证证书中的签名 确认该证书是TJCA签发的 并且证 书的内容没有被篡改 检验证书的有效期 确认该证书在有效期之内 查询证书状态 确认该证书没有被注销 4 64 6 证书更新证书更新 4 6 14 6 1 证书更新的情形证书更新的情形 证书更新是指在不改变证书中信息的情况下 为订户签发一张新证书 在 证书上都有明确的证书有效期 表明该证书的起始日期与截至日期 TJCA为订 户签发的证书设置一年有效期 订户应当在证书有效期到期前 到TJCA或其授 权的注册机构申请更新证书 证书更新的具体情形如下 证书的有效期将要到期 其他情形 如 怀疑证书私钥泄密等危害证书安全性等 4 6 24 6 2 请求证书更新的实体请求证书更新的实体 订户可以请求证书更新 订户包括TJCA个人证书 组织机构证书及设备等 证书的持有者 4 6 34 6 3 证书更新请求的处理证书更新请求的处理 处理证书更新请求可采取在线人工更新和在线自动更新两种方式 1 人工更新方式 对于证书信息发生改变的订户或者应订户的请求 可由TJCA或证书服务机 构来处理证书更新请求 为订户制作新的证书 主要包含以下内容 订户在对证书进行更新时 必须填写相应的更新申请表 将原证书交由TJCA 并交付规定的服务费用后 由TJCA对证书进行更 新 同时做私钥更新 2 在线自动更新方式 对于证书信息无须改变的订户 在证书即将过期时 订户可依据TJCA授权 自助进行在线自动更新操作 获取新证书 证书更新后 TJCA将在网站中发布证书 以供查询 4 6 44 6 4 颁发新证书时对订户的通告颁发新证书时对订户的通告 人工更新方式 对订户的通告有以下几种方式 通过面对面的方式 通知证书更新已完成 新证书已颁发 用电子邮件或邮政信函通知订户 其他TJCA认为安全可行的方式通知订户 在线自动更新方式 在自动完成更新 给订户颁发新证书时 在线更新系 统会自动通知证书更新已完成 新证书已颁发 4 6 54 6 5 构成接受更新证书的行为构成接受更新证书的行为 人工更新方式 当更新证书签发后 TJCA或证书服务机构将证书当面或寄 送给订户 就表示订户接受了更新证书 在线更新方式 当订户对在线系统提示证书更新已完成 新证书已颁发进 行确认时 就表示订户接受了更新证书 4 6 64 6 6 电子认证服务机构对更新证书的发布电子认证服务机构对更新证书的发布 TJCA在签发更新证书后 认证系统自动将该证书发布到目录服务器中 订 户可通过TJCA网站获取证书的信息 4 6 74 6 7 电子认证服务机构在颁发证书时对其他实体的通告电子认证服务机构在颁发证书时对其他实体的通告 认证系统自动将签发的更新证书发布到目录服务器中 以供订户查询 TJCA注册机构 注册分支机构 受理点等作为TJCA的其它实体 均可通过网站 查询方式得到所需信息 4 74 7 证书密钥更新证书密钥更新 4 7 14 7 1 证书密钥更新的情形证书密钥更新的情形 证书密钥更新指订户或电子认证活动其他参与者生成一对新密钥并申请为 新公钥签发一个新证书 证书更新的具体情形如下 因私钥泄漏而注销证书 证书无法继续获得信任 证书无法正常使用 证书丢失 证书的有效期将要到期 其他 4 7 24 7 2 请求证书密钥更新的实体请求证书密钥更新的实体 订户可以请求证书密钥更新 订户包括TJCA个人证书 组织机构证书及设 备等证书的持有者 4 7 34 7 3 证书密钥更新请求的处理证书密钥更新请求的处理 同4 6 3 4 7 44 7 4 颁发新证书对用户的通告颁发新证书对用户的通告 同4 6 4 4 7 54 7 5 构成接受密钥更新证书的行为构成接受密钥更新证书的行为 同4 6 5 4 7 64 7 6 电子认证服务机构对密钥更新证书的发布电子认证服务机构对密钥更新证书的发布 同4 6 6 4 7 74 7 7 电子认证服务机构在颁发证书时对其他实体的通告电子认证服务机构在颁发证书时对其他实体的通告 同4 6 7 4 84 8 证书变更证书变更 4 8 14 8 1 证书变更的情形证书变更的情形 在证书有效期内 当证书信息发生变化时 订户必须向TJCA提出证书变更 的要求 4 8 24 8 2 请求证书变更的实体请求证书变更的实体 订户可以请求证书变更 订户包括持有TJCA签发的个人 组织机构及设备 等各类证书的证书持有人 4 8 34 8 3 证书变更请求的处理证书变更请求的处理 订户向TJCA提出信息变更要求时 必须填写相关申请表 以及主管部门 的证明或授权书 并递交相应的有效证件原件及复印件 由TJCA对证书进行变 更操作 证书变更后 证书的有效期保持不变 证书变更后 订户应妥善保存与之对应的私钥 证书变更后 TJCA将在网站中发布证书 以供查询 4 8 44 8 4 颁发新证书时对订户的通告颁发新证书时对订户的通告 证书变更后 对订户的通告有以下几种方式 1 通过面对面的方式 通知证书变更已完成 新证书已颁发 2 用电子邮件或邮政信函通知订户 3 其他 TJCA 认为安全可行的方式通知订户 4 8 54 8 5 构成接受更新证书的行为构成接受更新证书的行为 同 4 4 1 4 8 64 8 6 电子认证服务机构对更新证书的发布电子认证服务机构对更新证书的发布 同 4 4 2 4 8 74 8 7 电子认证服务机构在颁发证书时对其他实体的通告电子认证服务机构在颁发证书时对其他实体的通告 同4 4 3 4 94 9 证书吊销证书吊销 4 9 14 9 1 证书吊销的情形证书吊销的情形 吊销分为主动吊销和被动吊销 证书在有效期内 如果出现下列情况 TJCA和其授权的证书服务机构可以吊销证书 订户请求吊销证书 订户申请证书服务时 提供的信息不真实 订户未能履行与TJCA之间的协议的义务 如未缴纳费用等 证书的安全性不能得到保证 如私钥丢失