广东省数字证书认证中心电子认证业务规则.pdf-道客多多

资源描述

1、广东省数字证书认证中心电子认证业务规则广东省数字证书认证中心版本：V 2.0 生效日期：2006.09.30目录一、概括性描述 1 1.1 概述 1 1.2 文档名称与标识 1 1.3 电子认证活动参与者 1 1.3.1 电子认证服务机构 1 1.3.2 注册机构 .1 1.3.3 订户 .1 1.3.4 依赖方 .1 1.3.5 其他参与者 .2 1.4 证书应用 2 1.4.1 适合的证书应用 2 1.4.2 限制的证书应用 2 1.5 策略管理 2 1.5.1 策略文档管理机构 2 1.5.2 联系人 .2 1.5.3 决定CPS 符合策略的机构： .3 1.5.4 CP

2、S批准程序 3 1.6 定义和缩写 3 1.6.1 术语定义一览表 3 1.6.2 缩略语及其含义一览表 4 二、信息发布与信息管理 4 2.1 认证信息的发布 4 2.2 发布的时间和频率 4 2.3 信息库访问控制 5 三、身份标识与鉴别 5 3.1 命名 5 3.1.1 名称类型 .5 3.1.2 对名称意义化的要求 5 3.1.3 订户的匿名或伪名 5 3.1.4 理解不同名称的形式的规则 5 3.1.5 名称的唯一性5 3.1.6 商标的识别、鉴别与角色 5 3.2 初始身份确认 6 3.2.1 证明拥有私钥的方法 6 3.2.2 组织机构身份的鉴别 6 3.2.3 个人身份的鉴

3、别 6 3.2.4 设备身份的鉴别 6 3.2.5 没有验证的订户信息 7 3.2.6 授权确认 .7 3.2.7 互操作准则 .7 13.3 密钥更新请求的标识与鉴别 7 3.3.1 常规密钥的更新的标识与鉴别 7 3.3.2 吊销后密钥更新的标识与鉴别 8 3.4 吊销请求的标识与鉴别 8 四、证书生命周期操作要求 8 4.1 证书申请 8 4.1.1 证书申请实体8 4.1.2 注册过程与责任 8 4.2 证书申请处理 9 4.2.1 识别与鉴别功能 9 4.2.2 证书申请批准和拒绝 9 4.2.2.1 证书申请的批9 4.2.2.2 证书申请的拒绝9 4.2.3 处理证书申请的时间

4、 10 4.3 证书签发 10 4.3.1 电子认证服务机构和注册机构对订户的通告 10 4.4 证书接受 10 4.4.1 构成接受证书的行为 10 4.4.2 电子认证服务机构对证书的发布 10 4.4.3 电子认证服务机构对其他实体的通告 10 4.5 密钥对和证书的使用 10 4.5.1 订户的私钥和证书的使用 10 4.5.2 信赖方公钥和证书的使用 11 4.6 证书更新 11 4.6.1 证书更新的情形 11 4.6.2 请求证书更新的实体 11 4.6.3 证书更新请求的处理 11 4.6.4 颁发新证书时对订户的通告 11 4.6.5 构成接受更新证书的行为 11 4.6.6

5、电子认证服务机构对更新证书的发布 11 4.6.7 电子认证服务机构对其他实体的通告 11 4.7 证书密钥更新 12 4.7.1 证书密钥更新的情形 12 4.7.2 请求证书密钥更新的实体 12 4.7.3 证书密钥更新请求的处理 12 4.7.4 颁发新证书时对订户的通告 12 4.7.5 构成接受密钥更新证书的行为 12 4.7.6 电子认证服务机构对密钥更新证书的发布 12 4.7.7 电子认证服务机构对其他实体的通告 12 4.8 证书变更 12 4.8.1 证书变更的情形 13 4.8.2 请求证书变更的实体 13 4.8.3 证书变更请求的处理 13 4.8.4 颁发新证书时

6、对订户的通告 13 24.8.5 构成接受变更证书的行为 13 4.8.6 电子认证服务机构对变更证书的发布 13 4.8.7 电子认证服务机构对其他实体的通告 13 4.9 证书吊销和挂起 13 4.9.1 证书吊销的情形 13 4.9.2 请求证书吊销的实体 14 4.9.3 吊销请求的流程 14 4.9.3.1 订户主动提出注销申请14 4.9.3.2 订户被强制吊销证14 4.9.4 吊销请求宽限期 14 4.9.5 电子认证服务机构处理吊销请求的时限 15 4.9.6 依赖方检查证书吊销的要求 15 4.9.7 CRL发布频率 15 4.9.8 CRL发布的最大滞后时间 15 4.9

7、.9 吊销信息的其他发布形式 15 4.9.10 密钥损害的特别要求 15 4.9.11 证书挂起的情形 15 4.9.12 请求证书挂起的实体 15 4.9.13 挂起请求的流程 16 4.9.14 挂起的期限限制 16 4.10 证书状态服务 16 4.10.1 操作特征 .16 4.10.2 服务可用性 .16 4.10.3 可选特征 .17 4.11 订购结束 17 4.12 密钥生成、备份与恢复 17 4.12.1 密钥生成、备份与恢复的策略与行为 17 五、认证机构设施、管理和操作控制 17 5.1 物理控制 17 5.1.1 场地位置与建筑 17 5.1.1.1 公共区域18

8、5.1.1.2 操作区 18 5.1.1.3 管理区18 5.1.1.4 服务区18 5.1.1.5 核心区18 5.1.2 物理访问 .18 5.1.3 电力与空调 .19 5.1.4 水患防治 .19 5.1.5 火灾防护 .19 5.1.6 介质存储 .20 5.1.7 废物处理 .20 5.1.8 异地备份 .20 5.2 程序控制 20 5.2.1 可信角色 .20 35.2.2 每项任务需要的角色 20 5.2.3 每个角色的识别与鉴别 21 5.2.4 需要职责分割的角色 21 5.3 人员控制 21 5.3.1 资格、经历和无过失要求 21 5.3.2 背景审查程序21 5.3

9、.3 培训要求 .22 5.3.4 再培训周期和要求 22 5.3.5 工作岗位轮换周期和顺序 22 5.3.6 未授权行为的处罚 22 5.3.7 独立合约人的要求 22 5.3.8 提供员工的文档 22 5.4 审计日志程序 23 5.4.1 记录事件的类型 23 5.4.2 处理日志的周期 23 5.4.3 审计日志的保存期限 23 5.4.4 审计日志的保护 23 5.4.5 审计日志备份程序 23 5.4.6 审计收集系统24 5.4.7 对导致事件实体的通告 24 5.4.8 脆弱性评估 .24 5.5 记录归档 24 5.5.1 归档记录的类型 24 5.5.2 归档记录的保存期

10、限 24 5.5.3 归档文件的保护 24 5.5.4 归档文件的备份程序 25 5.5.5 记录时间戳要求 25 5.5.6 归档收集系统25 5.5.7 获得和检验归档信息的程序 25 5.6 电子认证服务机构密钥的更替 25 5.7 损害与灾难恢复 25 5.7.1 事故和损害处理程序 25 5.7.2 计算资源、软件和或/ 数据的损坏 .25 5.7.3 实体私钥损害处理程序 25 5.7.4 灾难后的业务连续性能力 26 5.8 电子认证服务机构或注册机构的终止 .26 六、认证系统技术安全控制 27 6.1 密钥对的生成与安装 27 6.1.1 密钥对的生成27 6.1.2 加密

11、私钥传送给订户 27 6.1.3 公钥传送给证书签发机构 27 6.1.4 电子认证服务机构公钥传送给依赖方 28 6.1.5 密钥的长度 .28 6.1.6 公钥参数的生成和质量检查 28 46.1.7 密钥使用目的28 6.2 私钥保护和密码模块工程控制 28 6.2.1 密码模块的标准和控制 28 6.2.2 私钥多人控制（ m选n ） 28 6.2.3 私钥恢复 .29 6.2.4 私钥备份 .29 6.2.5 私钥归档 .29 6.2.6 私钥导出、导入密码模块 29 6.2.7 私钥在密码模块的存储 29 6.2.8 销毁私钥的方法 30 6.2.9 密码模块的评估 30 6.3

12、密钥对管理的其他方面 30 6.3.1 公钥归档 .30 6.3.2 证书操作期和密钥对使用期限 30 6.4 计算机安全控制 31 6.4.1 特别的计算机安全技术要求 31 6.4.2 计算机安全评估 31 6.5 生命周期技术控制 31 6.5.1 系统开发控制31 6.5.2 安全管理控制31 6.5.3 生命期的安全控制 32 6.6 网络的安全控制 32 七、证书、证书吊销列表和在线证书状态协议 32 7.1 证书 32 7.1.1 版本 33 7.1.2 证书扩展项 33 7.1.3 算法对象标识符 35 7.1.4 名称形式 35 7.1.5 名称限制36 7.2 证书吊销列

13、表 36 7.2.1 版本 36 7.2.2CRL和CRL 条目扩展项 .36 7.3 在线证书状态协议 37 7.3.1OCSP请求 .37 7.3.2OCSP响应 .38 7.3.2OCSP定义的扩展项： .38 八、认证机构审计和其他评估 39 8.1 评估的频率或情形 39 8.2 评估者的资质 39 8.3 评估者与被评估者之间的关系 40 8.4 评估内容 40 8.5 对问题与不足采取的措施 40 8.6 评估结果的传达与发布 40 5九、法律责任和其他业务条款 40 9.1 费用 40 9.2 财务责任 41 9.2.1 保险范围 .41 9.2.2 对最终实体的保险或担保

14、 41 9.2.3 责任免除 .41 9.3 业务信息保密 42 9.3.1 保密信息范围42 9.3.2 不属于保密的信息 43 9.3.3 保护保密信息的责任 43 9.4 个人隐私保密 43 9.4.1 隐私保密方案43 9.4.2 作为隐私处理的信息 43 9.4.3 不被视为隐私的信息 43 9.4.4 保护隐私的责任 43 9.4.5 使用隐私信息的告知与同意 44 9.4.6 依法律或行政程序的信息披露 44 9.4.7 其他信息披露情形 44 9.5 知识产权 44 9.6 陈述与担保 45 9.6.1 电子认证服务机构的陈述与担保 45 9.6.2 注册机构的陈述与担保 45

15、 9.6.3 订户的陈述与担保 45 9.6.4 依赖方的陈述与担保 45 9.6.5 其他参与者的陈述与担保 46 9.7 担保免责 46 9.8 有限责任 46 9.9 赔偿 46 9.10 有效期限与终止 47 9.10.1 有效期限 .47 9.10.2 终止 .47 9.10.3 效力的终止与保留 47 9.11 对参与者的个别通告与沟通 47 9.12 修订 47 9.12.1 修订程序 .47 9.12.2 通知机制和期限 47 9.12.3 必须修改业务规则的情形 47 9.13 争议处理 48 9.14 管辖法律 48 9.15 与适用法律的符合性 48 9.16 一般条款

16、48 9.16.1 完整协议 .48 9.16.2 转让 .48 9.16.3 分割性 .48 69.16.4 强制执行 .49 9.16.5 不可抗力 .49 9.17 其他条款 49 7一、概括性描述 1.1 概述广东省数字证书认证中心（以下简称 GDCA）是为电子签名提供第三方认证服务的电子认证服务机构。 GDCA 的电子认证业务规则详细阐述了 GDCA 在提供认证服务过程中，制定并对外公布有关数字证书的业务类型、证书制作、证书管理、认证作业及信息安全保障的实施规程，包括：证书的申请、审核、签发、撤销、更新、变更、挂失、冻结等操作流程，以及信息公开的要求等内容。对于 GDCA 所提供

17、的认证服务过程的责任范围，本业务规则也给予了明确的规定。 1.2 文档名称与标识本文档称作广东省数字证书认证 (GDCA)中心电子认证业务规则，对象标识符 CPS 为“ Certificate Practice Statement”的缩写。在本文档中，CPS 等同于本节中定义的文档名称和适用名称。 1.3 电子认证活动参与者 1.3.1 电子认证服务机构 GDCA 是根据中华人民共和国电子签名法、电子认证服务管理办法规定，依法设立的第三方电子认证服务机构。GDCA 通过给从事电子交易活动的各方主体颁发数字证书、提供证书验证服务等手段而成为电子认证活动的参与主体。 1.3.2 注册机构 GD

18、CA 的数字证书注册机构是经 GDCA 正式授权后的业务分支机构，包括证书注册审核（RA）中心、证书本地受理（ LRA）点等。注册机构是为 GDCA 的证书申请者建立注册过程的实体。 1.3.3 订户在电子签名应用中，订户即是电子签名人，是接收本机构签发证书的实体。。 1.3.4 依赖方 GDCA 的证书依赖方是指基于对 GDCA 提供电子认证活动中电子签名的信赖而1从事有关活动的实体。该实体可以是，也可以不是 GDCA 的一个证书订户。 1.3.5 其他参与者其他参与者是指为 GDCA 的电子认证活动提供相关服务的其他实体。 1.4 证书应用 1.4.1 适合的证书应用 GDCA 签发

19、的数字证书常见的应用范围包括电子商务、电子政务、其他社会信息化应用。 1.4.2 限制的证书应用 GDCA 签发的数字证书禁止的应用范围包括： 1、根据中华人民共和国电子签名法第三条规定，民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。前款规定不适用下列文书：（一）涉及婚姻、收养、继承等人身关系的；（二）涉及土地、房屋等不动产权益转让的；（三）涉及停止供水、供热、供气、供电等公用事业服务的；（四）法律、行政法规规定的不适用电子文书的其他情形。 2、

20、GDCA 与订户约定的证书禁止应用范围。 1.5 策略管理 GDCA 技术与运营策略委员会是公司 CPS 策略制定的最高权威机构，审定批准CPS，委员会主任及委员会常务秘书是 GDCA 电子认证业务策略工作的组织者。 1.5.1 策略文档管理机构策略文档管理机构为 GDCA 运营服务中心运营管理部。 1.5.2 联系人 GDCA 关于本文档管理的联系方式如下： 2联系人：GDCA 运营服务中心运营管理部邮件地址：GDCA 联系电话：020-83487228 传真：020-83486610 1.5.3 决定 CPS 符合策略的机构： GDCA 技术与运营策略委员会是公司 CPS 策略制定的

21、最高权威机构，审定批准CPS，是 CPS 符合策略的机构。 1.5.4 CPS 批准程序按照信息产业部公布的电子认证业务规则规范的要求，本机构的 CPS 由 GDCA技术与运营策略委员会主任及委员会常务秘书组织相关人员拟定文档，提交 GDCA技术与运营策略委员会审核。经该委员会批准后， GDCA 根据电子认证服务管理办法中规定，在本机构提供电子认证服务前予以公布，并向信息产业部备案。对于本CPS 的变更， GDCA 须在自公布之日起的三十日之内向信息产业部备案。 1.6 定义和缩写 1.6.1 术语定义一览表电子签名认证证书电子认证服务提供者签发的用以证明证书持有人的电子签名、身份、资格

22、即其他有关信息的电子文件。数字证书使用数字签名作为识别签名人身份和表明签名人认可签名数据的一种电子签名认证证书。电子签名具有识别签名人身份和表明签名人认可签名数据的功能的技术手段。数字签名通过使用非对称密码加密系统对电子记录进行加密、解密变换来实现的一种电子签名。电子签名人是指持有电子签名制作数据并以本人身份或者以其所代表的名义实施电子签名的人电子签名依赖方是指基于对电子签名认证证书或者电子签名的信赖而从事有关活动的人。私钥（电子签名制作数据）在电子签名过程中使用的，将电子签名与电子签名人可靠地联系3起来的字符、编码等数据。公钥（电子签名验证数据）是指订户验证电子签

23、名的数据。 1.6.2 缩略语及其含义一览表 GDCA Guang Dong Certificate Authority 广东省数字证书认证中心 CA Certificate Authority 电子认证服务机构 KM Key Management Center 密钥管理中心 RA Registration Authority 注册审核服务机构 LRA Local Registration Authority 本地注册受理点 LDAP Lightweight Directory Access Protocol 轻型目录访问协议 CPS Certification Practice Statem

24、ent 电子认证业务规则 CRL Certificate Rovoke List 证书撤消列表 CSR Certificate Signing Request 证书签名请求 OCSP Online Certificate Status Protocol 在线证书状态协议 PIN Personal Indentification Number 证书个人识别码 PKCS Public KEY Cryptography Standards 公共密钥密码标准 PKI Public Key Infrastructure 公共密钥基础设施 X.509 国际电信同盟认证体系的证书标准二、信息发布与信息管

25、理 2.1 认证信息的发布 GDCA 电子认证信息库包括以下内容： CPS、证书、 CRL，该信息库的运营实体为 GDCA 机构本身。GDCA 的职责是使发布的认证信息及时可靠。 2.2 发布的时间和频率 GDCA通过网站方式公布本机构制定的 CPS。对于因认证业务需要进行的 CPS的不定期变更，GDCA 也将通过文档版本升级的形式，以原有公布方式予以及时发布。 4GDCA 的 CRL 发布周期为 24 小时，即在 24 小时内发布最新 CRL。 2.3 信息库访问控制对于以网站方式公布的 CPS 认证信息，GDCA 允许任何公众进行查询和访问。证书和 CRL 通过 LDAP 方式予以发布，

26、同时提供 OCSP 在线验证方式。 GDCA 采取授权和安全审计等安全管理手段，保证了证书、CRL 等认证信息库的登陆和访问控制三、身份标识与鉴别 3.1 命名 3.1.1 名称类型 GDCA 签发的数字证书格式中，遵循国际电信联盟（ITU ）提出的 X.509 版本和Internet 工程任务组（IETF ）颁布的 ORC3280 规定，对证书持有人唯一标识符包含在证书的“DN”项中。该项标识了本证书所提到的最终实体的唯一身份标识。 3.1.2 对名称意义化的要求 DN 项中的名称标识符具有一定的代表性意义，可为个人订户的身份证号码、机构订户的组织机构代码等。 3.1.3 订户的匿名或伪

27、名本 CPS 规定，GDCA 的订户在进行数字证书申请时不能够使用匿名或伪名。 3.1.4 理解不同名称的形式的规则 X.500 标准的唯一名称形式为 DN。DN 项包括：CN、OU 、 O、L 、S 、 C 子项。 3.1.5 名称的唯一性 GDCA 数字证书的主体名称项具有唯一性。当同一订户申请多张证书时，遵循先申请者优先使用 DN 项，后申请者在 DN 项增加附加识别信息予以区别的原则。 3.1.6 商标的识别、鉴别与角色 GDCA 不接受使用商标作为名称标识符的订户申请。 53.2 初始身份确认 3.2.1 证明拥有私钥的方法 GDCA 在证书签发时，根据证书申请信息中的信息，GDC

28、A 首先利用数据摘要算法进行计算，再用申请信息中的公钥对申请信息中的签名解密，然后进行比较，如果相等则证明数字证书的申请者拥有与签名验证公钥对应的签名私钥。 3.2.2 组织机构身份的鉴别 GDCA 在接到组织机构类订户的证书申请后，向该订户签发证书前，必须对该组织机构身份进行查验和鉴别。鉴别要求如下： 1、组织机构的授权办理人携带本人身份证原件、机构工商营业执照登记证、组织机构代码证原件及复印件亲自到证书申请现场。 2、核对办理人身份证、机构工商营业执照登记证、组织机构代码证原件与复印件是否一致。 3、核对办理人身份证、机构工商营业执照登记证、组织机构代码证信息与申请表相应信息是否一致。 4

29、、确认组织机构接受 GDCA“数字证书申请责任书”中的各项条款。 5、检查该订户提交申请材料的完整性。 3.2.3 个人身份的鉴别 GDCA 在接到个人类订户的证书申请后，向该订户签发证书前，必须对该证书申请者的个人身份进行查验和鉴别。鉴别要求如下： 1、证书申请个人携带本人身份证原件及复印件亲自到证书申请现场。通过面对面核实方式确认该订户的真实身份。 2、核对申请者身份证原件与复印件是否一致。 3、核对申请者身份证原件信息与申请表相应信息是否一致。 4、确认该申请者接受 GDCA“数字证书申请责任书”中的各项条款。 5、检查该订户提交申请材料的完整性。 3.2.4 设备身份的鉴别 GDCA

30、在接到订户的设备证书申请后，向该订户签发设备证书前，必须对该证6书申请者及申请设备的身份进行查验和鉴别。鉴别要求如下： 1、订户为组织机构的身份鉴别按照本 CPS$3.2.2 节描述执行。订户为个人的身份鉴别按照$3.2.3 节描述执行。 2、核查证书订户与设备的责任关系证明材料与订户的身份证明材料是否一致。 3.2.5 没有验证的订户信息在初始身份确认中，不作验证的订户信息列表如下：个人订户信息组织机构订户信息设备信息 1、开户银行 1、单位开户银行 1、设备订户初始身份确认中，不作验证的个人或组织机构订户信息。 2、银行帐号 2、单位银行帐号 2、设备类型 3、移动电话 3、单位注

31、册资金 3、MAC 地址 4、工作地址 4、单位英文或拼音 5、传真 5、传真 3.2.6 授权确认个人订户或机构订户在 GDCA 的数字证书申请表上加盖单位有效公章后，则证明本机构对个人或办理人进行 GDCA 证书申请的授权确认。 3.2.7 互操作准则经过 GDCA 的合法授权后，注册机构可对订户的证书申请执行以上的初始身份确认方法。 3.3 密钥更新请求的标识与鉴别 3.3.1 常规密钥的更新的标识与鉴别 GDCA在接到注册机构或订户的常规密钥更新请求后，将使用该订户证书中的当前有效密钥对对包含新密钥的密钥更新请求进行签名，作为对常规密钥更新的标识与鉴别。 73.3.2 吊销后密钥更

32、新的标识与鉴别证书被吊销后，对密钥更新的鉴别将按照该订户初始身份的验证过程进行。 3.4 吊销请求的标识与鉴别 GDCA 对证书吊销请求的鉴别要求包括： 1、订户本人申请吊销证书； 2、订户没有履行双方合同规定的义务。四、证书生命周期操作要求 GDCA 签发的数字证书有效期为 2 年，自 CA 认证系统签发之日算起。一个完整的证书生命周期包括申请、验证、签发、发布、挂失 /解挂、冻结/ 解冻、更新、注销、吊销、归档等过程。 4.1 证书申请 4.1.1 证书申请实体在GDCA 证书申请过程中，参与申请的实体包括订户、依赖方、注册机构、 GDCA等。 4.1.2 注册过程与责任 1、证书

33、的注册过程（离线） z 订户填写相应的证书申请表单。 z 订户携带相应的身份证明材料（具体详见 GDCA 网站）到 GDCA 的注册机构（RA 或 LRA）进行证书申请，注册机构审核通过后，录入申请资料。 z 注册机构向 GDCA 提交证书请求，通过应用安全协议发送至 GDCA。 z 由 GDCA 生成订户证书，同时将密钥保存在存储介质中，交付给订户。 2、证书的注册过程（在线） z 订户登录网站在线填写证书申请表单后提交。 z 注册机构通过证书注册服务审核（RA）系统对订户信息进行查验。 z 注册机构向 GDCA 提交证书请求，通过应用安全协议发送至 GDCA。 z 由 GDCA 生成订户证

34、书，同时将密钥保存在存储介质中。 8z 订户携带申请表以及身份证明材料领取证书。注册机构对申请资料及证明材料进行一致性和完整性的检查，审核通过后，将证书交付给订户。 3、责任 z 订户有责任向 GDCA 提供真实、完整和准确的证书申请信息和资料。 z 注册机构有责任对订户提供的证书申请信息与身份证明资料的一致性进行查验。 4.2 证书申请处理 4.2.1 识别与鉴别功能 1、机构身份鉴别 A. 机构授权证书申请代理人在证书的申请表格及申请责任书上签字表示该单位接受证书申请的有关条款, 并承担相应的责任。 B. 对证书申请机构的身份鉴别按以下方式进行 z GDCA 注册机构当面审核机构证书申

35、请授权代理人的真实身份。 z GDCA 注册机构核查机构申请资料的一致性和完整性。 2、个人身份的鉴别 A. 鉴定个人的识别和鉴别通过以下方法中的一种来进行 z GDCA 注册机构将个人身份证明原件和复印件进行核对，。 z GDCA 注册机构已经确认个人的身份，那么 GDCA 或注册机构可以信任现有的证明材料。 4.2.2 证书申请批准和拒绝 4.2.2.1 证书申请的批准 GDCA 注册机构成功完成了证书申请所有必需的确认步骤并提交证书请求后，GDCA 通过发行正式证书来批准证书申请，一旦证书被发行， CA 将没有继续的责任去调查证书信息的正确性。 4.2.2.2 证书申请的拒绝如果

36、申请者未能成功通过身份鉴别， GDCA 将拒绝申请者的证书申请，并立即通9知申请者证书申请失败。被拒绝的证书申请者可随后再次提出申请。 4.2.3 处理证书申请的时间 GDCA 自受理证书申请至订户接受证书，完成整个证书申请的时间为 5 个工作日。 4.3 证书签发 4.3.1 电子认证服务机构和注册机构对订户的通告 GDCA 根据证书的申请对象而不同，将对订户的通告可以分为以下几种方式： 1、通过面对面的方式，通知订户（如申请者到受理点领取等方式）； 2、通过电子邮件（e-mail ）方式通知； 3、邮政信函通知； 4、经过已经确认安全的通道通知； 5、其他 GDCA 认为安全可行的方式。

37、 4.4 证书接受 4.4.1 构成接受证书的行为证书申请订户委托 GDCA 的注册机构下载证书，下载的证书被保存在客户端安全设备数字证书载体中，证书下载完毕即视为订户接受证书。GDCA 提供必要的措施保证订户在获取到数字证书载体前，该证书不被使用。 4.4.2 电子认证服务机构对证书的发布订户接受证书后，GDCA 在其规定的时间内将该订户证书发布到 GDCA 的目录服务系统。 4.4.3 电子认证服务机构对其他实体的通告 GDCA 签发证书后，将通过安全可靠的传递方式将证书发送到提交申请的注册审核机构。 4.5 密钥对和证书的使用 4.5.1 订户的私钥和证书的使用订户只能在本 CPS

38、$1.4.1 中规定的应用范围内使用私钥和证书。 104.5.2 信赖方公钥和证书的使用信赖方只能在本 CPS$1.4.1 中规定的应用范围内使用公钥和证书。 4.6 证书更新 4.6.1 证书更新的情形 GDCA 产生的证书以及 CA 自身的根证书都有有效期限。在所有的证书上都有明确的证书有效期，表明该证书的起始日期与截至日期。订户须在证书有效期结束前20 日之内到 GDCA 注册机构完成换领新证书的证书更新。 4.6.2 请求证书更新的实体请求证书更新的实体为证书订户。 4.6.3 证书更新请求的处理 1、订户可到证书申请的注册机构进行证书更新申请。 2、证书订户填写“证书更新申请表

39、”表单。 3、注册机构对申请订户的身份进行查验与鉴别，鉴别要求同本 CPS 中 $3.2.2、$3.2.3 节描述。 4、GDCA 注册机构先注销旧证书后，再为证书订户发放新证书。 4.6.4 颁发新证书时对订户的通告 GDCA 通过电话、电子邮件等方式将新证书的颁发相关信息告知订户。 4.6.5 构成接受更新证书的行为证书申请订户委托 GDCA 的注册机构下载证书，下载的证书被保存在客户端安全设备数字证书载体中，证书下载完毕即视为订户接受更新证书。GDCA 提供必要的措施保证订户在获取到数字证书载体前，该更新证书不被使用。 4.6.6 电子认证服务机构对更新证书的发布订户接受证书后，

40、GDCA 在其规定的时间内将该订户更新后的证书发布到 GDCA的目录服务系统。 4.6.7 电子认证服务机构对其他实体的通告 GDCA 签发更新证书后，将通过安全可靠的传递方式发送证书到提交申请的注册审核机构。 114.7 证书密钥更新 4.7.1 证书密钥更新的情形 GDCA 的证书密钥更新包括但不限于以下情形： 1、证书私钥泄露而吊销证书。 2、证书到期。 3、证书密钥到期。 4、基于技术、政策安全原因，GDCA 要求证书密钥更新。 4.7.2 请求证书密钥更新的实体请求证书密钥更新的实体为证书订户。 4.7.3 证书密钥更新请求的处理 1、GDCA 对证书密钥更新请求的处理通过证书更新

41、请求处理流程完成。 2、GDCA 证书密钥更新请求的处理流程同本 CPS$4.6.3 节描述。 4.7.4 颁发新证书时对订户的通告 GDCA 通过电话、电子邮件方式将新证书的颁发相关信息告知订户。 4.7.5 构成接受密钥更新证书的行为证书申请订户委托 GDCA 的注册机构下载证书，下载的证书被保存在客户端安全设备数字证书载体中，证书下载完毕即视为订户接受密钥更新证书。GDCA 提供必要的措施保证订户在获取到数字证书载体前，该更新证书不被使用。 4.7.6 电子认证服务机构对密钥更新证书的发布订户接受证书后， GDCA 在其规定的时间内将该订户更新后的证书发布到 GDCA的目录服务系统

42、。 4.7.7 电子认证服务机构对其他实体的通告 GDCA 签发更新证书后，将通过安全可靠的传递方式将发送证书到提交申请的注册机构。 4.8 证书变更证书变更，以甄别名（以下简称 DN）的改变为例进行描述。 124.8.1 证书变更的情形 1.、订户的 DN：当与 DN 有关的元素发生改变时，例如：申请人的姓名改变。申请人的 DN 必须在 GDCA 数据库和目录中完成改变，申请人的新证书发放应当使用申请人的新 DN。 4.8.2 请求证书变更的实体请求证书变更的实体为证书订户。 4.8.3 证书变更请求的处理 1、GDCA 对证书变更请求的处理通过证书更新请求处理流程完成。 2、GD

43、CA 证书变更请求的处理流程同本 CPS$4.6.3 节描述 4.8.4 颁发新证书时对订户的通告 GDCA 通过电子邮件方式将新证书的颁发相关信息告知订户。 4.8.5 构成接受变更证书的行为证书申请订户委托 GDCA 的注册机构下载证书，下载的证书被保存在客户端安全设备数字证书载体中，证书下载完毕即视为订户接受更新证书。GDCA 提供必要的措施保证订户在获取到数字证书载体前，该更新证书不被使用。 4.8.6 电子认证服务机构对变更证书的发布订户接受证书后，GDCA 在其规定的时间内将该订户证书发布到 GDCA 的目录服务系统。 4.8.7 电子认证服务机构对其他实体的通告 GDCA

44、签发更新变更证书后，将通过安全可靠的传递方式将发送证书到提交申请的注册机构 4.9 证书吊销和挂起 4.9.1 证书吊销的情形当发现以下的情况，证书必须被吊销： z 私钥失窃、篡改、未经授权的泄露和其它安全威胁； z 证书主体( 无论是 CA 还是订户) 违反了 CPS 规定的重要职责； 13z CPS 中职责的履行被延迟或受不可抗力的阻碍；自然灾害；计算机或通信失败；法律、规章或其它法律的改变；政府行为；或其它超过个人控制的原因并且对他人信息构成威胁的； z 订户主动提出吊销请求； z GDCA 发现订户在申请时提供的证明材料不真实； z GDCA 已经履行催缴义务后，订户仍未缴纳服务费。

45、 4.9.2 请求证书吊销的实体请求证书吊销实体为订户、注册机构、GDCA。 4.9.3 吊销请求的流程 4.9.3.1 订户主动提出注销申请 1、订户向注册机构提出证书注销申请，并填写 “证书吊销（注销）申请表单”。注册机构核实申请吊销实体的身份和授权实体的身份。 2、注册机构将“证书吊销（注销）申请表”提交给 CA 中心。 3、CA 中心将完成订户证书的注销。一旦订户的证书被注销，CA 中心将通过订户的电话、Email 地址等方式通知订户，订户的证书已被注销。 4.9.3.2 订户被强制吊销证书 1、如果注册机构申请吊销订户的证书，则注册机构必须填写 “证书吊销申请表“并提交给 CA 中

46、心。 2、所有吊销证书的命令必须被归档并由授权证书吊销的实体签字。该文档必须是一种不可否认的形式 ( 例如，一份有签名的文件，一张有数字签名的电子表单) 。文档必须由提交“证书吊销申请表单”的实体( 例如 RA， LRA 或 GDCA业务操作员) 以正式记录的形式保存。 4.9.4 吊销请求宽限期如果出现密钥泄露或有泄露嫌疑等事件，吊销要求必须在泄密或有泄密嫌疑 8小时以内发现提出。其他吊销原因的吊销要求必须在变更的 48 小时内提出。 144.9.5 电子认证服务机构处理吊销请求的时限 GDCA 处理吊销请求的周期为 24 小时。 4.9.6 依赖方检查证书吊销的要求 GDCA 提供在线吊

47、销状态查询，依赖方可在GDCA 的网站上（ http:/www.GDCA）进行查询。 4.9.7 CRL 发布频率 GDCA 的 CRL 发布周期为 24 小时，即在 24 小时内发布最新 CRL。但在特殊紧急情况下可以使 CRL 立即生效（假使网络传输条件能够保证），CRL 的立即生效由GDCA 制定的发布策略决定。 4.9.8 CRL 发布的最大滞后时间 GDCA 的 CRL 发布最大滞后时间为发布周期之后的 24 小时内。 4.9.9 吊销信息的其他发布形式 GDCA 不提供吊销信息的其他发布形式。 4.9.10 密钥损害的特别要求除本 CPS 中$4.9.1 规定的情形外，当订户或注

48、册机构的证书密钥已经失密或者可能已经失密时，必须及时向 GDCA 提出证书吊销请求。 4.9.11 证书挂起的情形证书挂起的情形包括证书挂失和证书冻结 2种，当发现包括但不限于以下的情况，证书将被冻结： z 证书密钥受损； z 订户违反了 CPS 规定的重要职责； z CPS 中职责的履行被延迟或受不可抗力的阻碍；自然灾害；计算机或通信失败；法律、规章或其它法律的改变；政府行为；或其它超过个人控制的原因并且对他人信息构成威胁的；当发现包括但不限于以下的情况，证书将挂失： z 订户主动提出挂失请求。 4.9.12 请求证书挂起的实体请求证书挂失实体为订户、请求证书冻结实体为 GDCA。

49、154.9.13 挂起请求的流程证书挂失请求流程为： 1、订户向 CA 中心提出证书挂失申请，并填写 “证书挂失申请表单”。注册机构核实申请挂失实体的身份和授权实体的身份，如果挂失原因是密钥受损，要根据 GDCA 的 CPS 和安全管理规范的相关规定验证订户身份。订户必须提供表单上所有的必须信息，同时确保填写在表单上的信息是真实和准确的。 2、注册机构将“证书挂失申请表”提交给 GDCA。 3、注册机构向 GDCA 提交挂失申请， GDCA 将完成订户证书的挂失。一旦订户的证书被挂失， GDCA 将通过订户的电话、 Email 地址等方式通知订户，订户的证书已被挂失。证书冻结请求流程为： 1、如果注册机构申

展开阅读全文