預(yù)制證書策略-東方中訊數(shù)字證書認(rèn)證有限公司

1、東方中訊數(shù)字證書認(rèn)證有限公司(ezca)預(yù)制證書策略(cp)vi. 0版權(quán)歸屬東方中訊數(shù)字證書認(rèn)證有限公司(任何單位和個人不得擅自翻印)2010年1月1概括性描述51. 1概述51.2文檔名稱與標(biāo)識61. 3電子認(rèn)證活動參與者63.2. 3. 1電子認(rèn)證服務(wù)機構(gòu)61. 3. 3證書種類與訂戶61.4證書應(yīng)用72. 1適合的證書應(yīng)用71.4.2限制的證書應(yīng)用71) 5策略管理71.5.1策略文檔管理機構(gòu)71.5.2聯(lián)系方式71.5.3決定cp符合策略的機構(gòu)81. 5. 4 cp批準(zhǔn)程序82信息發(fā)布與信息管理92) 1信息庫93.3. 2認(rèn)證信息的發(fā)布92. 3發(fā)布的時間或頻率924信息庫訪問控制

2、93身份識別與鑒別103. 1命名103.4. 1. 1名稱類型103) 1.2對名稱意義化的要求101. 3訂戶的匿名或偽名103.1.4解釋不同名稱形式的規(guī)則101. 5名稱的唯一性103.1.6商標(biāo)的識別、鑒別和角色102初始身份確認(rèn)101證明擁有私鑰的方法103.2.2組織機構(gòu)身份的鑒別113沒有驗證的訂戶信息113.2.4授權(quán)確認(rèn)113.2.5互操作準(zhǔn)則113密鑰更新請求的標(biāo)識與鑒別113. 1常規(guī)密鑰更新的標(biāo)識與鑒別113. 2吊銷后密鑰更新的標(biāo)識與鑒別113.4吊銷請求的標(biāo)識與鑒別124證書生命周期操作要求131證書申領(lǐng)131. 1證書申領(lǐng)實體134.1.2注冊過程與責(zé)任132證

3、書申領(lǐng)處理131執(zhí)行識別與鑒別功能134.2.2證書申領(lǐng)批準(zhǔn)和拒絕133處理證書申領(lǐng)的時間143證書簽發(fā)143. 1證書簽發(fā)中發(fā)證機構(gòu)和電子認(rèn)證服務(wù)機構(gòu)的行為143. 2電子認(rèn)證服務(wù)機構(gòu)和發(fā)證機構(gòu)對訂戶的通告144) 4證書接受144.4.1構(gòu)成接受證書的行為143.5. 4. 2電子認(rèn)證服務(wù)機構(gòu)對證書的發(fā)布155. 3電子認(rèn)證服務(wù)機構(gòu)對其他實體的通告154. 5密鑰對和證書的使用154.5.1訂戶私鑰和證書的使用154.5.2依賴方公鑰和證書的使用154. 6證書更新164.6. 1證書更新請求的處理164.6.3構(gòu)成接受更新證書的行為164.6. 4電子認(rèn)證服務(wù)機構(gòu)對更新證書的發(fā)布164.

4、 6. 5電子認(rèn)證服務(wù)機構(gòu)對其他實體的通告164. 7證書密鑰更新174. 8證書變更174. 9證書吊銷和掛起174.9. 1證書吊銷的情形174.9.2請求證書吊銷的實體173請求吊銷的流程184.9.5電子認(rèn)證服務(wù)機構(gòu)處理吊銷請求的時限184.9.6依賴方檢查證書吊銷的要求184. 9. 7 crl發(fā)布頻率184. 9. 8 crl發(fā)布的最大滯后時間184.9.9在線的吊銷/狀態(tài)查詢的可用性184.9.11吊銷信息的其他發(fā)布形式194. 9. 12對密鑰遭受安全威脅的特別處理要求1913證書掛起194. 10證書狀態(tài)服務(wù)194. 10. 1操作特征194.10.2服務(wù)可用性194. 12

5、密鑰生成、備份與恢復(fù)195認(rèn)證機構(gòu)設(shè)施、管理和操作控制216認(rèn)證系統(tǒng)技術(shù)安全控制227證書、證書吊銷列表和在線證書狀態(tài)協(xié)議237. 1證書237.1.1版本號237.1.2證書擴展項237.1.3算法對象標(biāo)識符237. 1.4名稱形式247.1.5名稱限制247. 1.6證書策略對象標(biāo)識符247.1.7策略限制擴展項的用法247. 1. 8策略限定符的語法和語義247. 1. 9關(guān)鍵證書策略擴展項的處理規(guī)則247. 2crl257. 3在線證書狀態(tài)協(xié)議258認(rèn)證機構(gòu)審計和其它評估269法律責(zé)任和其他業(yè)務(wù)條款279. 1費用279. 2財務(wù)責(zé)任279. 3業(yè)務(wù)信息保密279. 4個人信息私密性2

6、79. 5知識產(chǎn)權(quán)279. 6陳述與擔(dān)保279. 7免責(zé)條款309. 8有限責(zé)任309. 9ezca承擔(dān)的賠償責(zé)任的限制319. 10有效期限與終止319. 11對參與者的個別通告與溝通319. 12 修訂319. 13爭議處理329. 14管轄法律329. 15與適用法律的符合性329. 16 一般條款 321概括性描述1.1概述東方中訊ca中心，即東方中訊數(shù)字證書認(rèn)證有限公司（英文簡稱ezca）,成 立于2001年4月12h ,注冊資本5000萬元。主要從事數(shù)字證書認(rèn)證、信息安全技術(shù) 服務(wù)等業(yè)務(wù)，是經(jīng)國家密碼管理局、工信部批準(zhǔn)的西南地區(qū)唯一合法從事第三方 電子認(rèn)證服務(wù)的權(quán)威機構(gòu)。證書策略（

7、cp, certification pol icy ）是關(guān)于認(rèn)證機構(gòu)（ca, certification authority ）制訂的一組規(guī)則，表明證書對特定群體的適用 范圍，或?qū)Σ煌踩枨箢愋偷倪m用規(guī)則。本證書策略的適用范圍為：ezca發(fā)放的預(yù)制證書，此處的預(yù)制證書是指由 ezca按照本cp7. 1. 4的規(guī)則定義證書dn后，訂戶申領(lǐng)安全的存儲介質(zhì)（如usbkey） 時，發(fā)證機構(gòu)須對訂戶的身份進行審核，訂戶自助提交相關(guān)信息生成數(shù)字證書， 將證書的dn信息與訂戶的身份信息綁定。訂戶使用自己存儲介質(zhì)內(nèi)的私鑰對自助 提交信息進行數(shù)字簽名，在發(fā)證機構(gòu)對簽名數(shù)據(jù)進行驗證成功后，將用戶的數(shù)字 證書與應(yīng)

8、用系統(tǒng)進行關(guān)聯(lián)，完成激活操作。當(dāng)預(yù)制證書與訂戶身份信息綁定后， 該預(yù)制證書方可生效。此處的綁定是指將證書的dn信息與訂戶的身份信息（包括但不限于企業(yè)名 稱、組織機構(gòu)編碼、安全的存儲介質(zhì)編號）在數(shù)據(jù)庫中建立對應(yīng)的關(guān)系，以便使 該證書對應(yīng)確定的實體。此處的關(guān)聯(lián)是指將證書的dn信息與應(yīng)用系統(tǒng)的信息（包括但不限于發(fā)證機構(gòu) 名稱、應(yīng)用系統(tǒng)類型等）在數(shù)據(jù)庫中建立對應(yīng)的關(guān)系，以便使該證書用于特定的 應(yīng)用當(dāng)中。此處的激活是指訂戶接受證書后，對訂戶自助提交身份信息進行數(shù)字簽名， 發(fā)證機構(gòu)對訂戶提交的信息進行審核驗證操作。1.2文檔名稱與標(biāo)識本文檔的名稱為ezca預(yù)制證書策略（cp）（“cp” ）,已注冊的對象標(biāo)

9、 識符（oid）為 2. 5. 29. 32. 0.1.3電子認(rèn)證活動參與者本文中所包含的電子認(rèn)證活動參與者有：電子認(rèn)證服務(wù)機構(gòu)、發(fā)證機構(gòu)、訂 戶、依賴方以及其它參與者，下面將分別進行描述。1.3.1電子認(rèn)證服務(wù)機構(gòu)在預(yù)制證書業(yè)務(wù)中，制證系統(tǒng)設(shè)在ezca處，ezca按照本cp7. 1.4的規(guī)則定義證 書dn后，預(yù)先在安全的存儲介質(zhì)（如usbkey）中生成并植入證書，且承擔(dān)證書查 詢、證書黑名單（又稱證書吊銷列表或crl）發(fā)布、政策制定等工作。132發(fā)證機構(gòu)在預(yù)制證書業(yè)務(wù)中，預(yù)植后的證書發(fā)放給訂戶的工作由發(fā)證機構(gòu)承擔(dān)。發(fā)證 機構(gòu)須對訂戶提交的資料進行審核，以決定是否為該訂戶發(fā)放證書；并須將證書

10、dn信息與訂戶的身份信息進行綁定，并與應(yīng)用系統(tǒng)進行關(guān)聯(lián)后，該證書方可被有 效使用。在成為ezca預(yù)制證書的發(fā)證機構(gòu)之前，發(fā)證機構(gòu)須與ezca簽署預(yù)制證書合 作協(xié)議，承擔(dān)相應(yīng)的權(quán)利和義務(wù)。1.3.3證書種類與訂戶本證書策略的適用范圍為ezca發(fā)放的預(yù)制證書。訂戶指使用ezca預(yù)制證書的所有終端訂戶，僅包括企業(yè)。在電子簽名應(yīng)用 中，訂戶即為電子簽名人。1.3.4依賴方依賴方是指基于對電子簽名預(yù)制證書或者電子簽名的信賴從事有關(guān)活動的人。依賴方可以是、也可以不是訂戶。135其它參與者在預(yù)制證書業(yè)務(wù)中除了電子認(rèn)證服務(wù)機構(gòu)（ezca）、發(fā)證機構(gòu)、訂戶和依賴 方以外的參與者稱為其它參與者。1.4證書應(yīng)用1.

11、4.1適合的證書應(yīng)用在證書的dn信息與訂戶的身份信息綁定、并與應(yīng)用系統(tǒng)關(guān)聯(lián)后，預(yù)制證書方 能根據(jù)應(yīng)用系統(tǒng)的要求用于不同的應(yīng)用領(lǐng)域。ezca預(yù)制證書的訂戶僅包括企業(yè)，用于實現(xiàn)企業(yè)在網(wǎng)上信息傳遞過程中安全 級別較高的身份驗證、信息加密和數(shù)字簽名等功能。1.4.2限制的證書應(yīng)用在證書的dn信息與訂戶的身份信息綁定、并與應(yīng)用系統(tǒng)關(guān)聯(lián)前，預(yù)制證書不 能被有效使用。此外，ezca的數(shù)字證書不能在如下方面使用：1、任何與國家或地方法律、法規(guī)規(guī)定相違背的應(yīng)用系統(tǒng)；2、ezca不認(rèn)可的證書應(yīng)用系統(tǒng)；3、訂戶在接受證書后未成功激活之前。15策略管理1.5.1策略文檔管理機構(gòu)本cp的制定與修訂由ezca工程中心負(fù)責(zé)

12、。工程中心組成“cp編寫組”，運營部、客服部、市場部派人參加?？偨?jīng)理也可以根據(jù)需要臨時設(shè)立“cp編寫組”，并指定編寫組負(fù)責(zé)人。1.5.2聯(lián)系方式如對本cp有任何疑問，請聯(lián)系:部門：工程中心電話真8000郵件：dfzxcasjezca. org地址：重慶市北部新區(qū)高新園星光大道62號海王星科技大廈a區(qū)8樓1.5.3決定cp符合策略的機構(gòu)總經(jīng)理審批同意后，方可對外發(fā)布cp。發(fā)布形式應(yīng)符合行業(yè)主管部門等相關(guān) 主管部門的要求。1.5.4 cp批準(zhǔn)程序“cp編寫組”負(fù)責(zé)起草或修訂cp形成討論稿（或cp修訂內(nèi)容），并征求公司 領(lǐng)導(dǎo)和各部門負(fù)責(zé)人意見，

13、經(jīng)討論、修改達(dá)成一致意見后形成送審稿。“cp編寫組”負(fù)責(zé)將cp送審稿提交公司法律顧問審閱。在取得法律顧問的意 見書后，“cp編寫組”將經(jīng)法律顧問審閱過的cp送審稿連同法律顧問的意見書提 交工程中心，由工程中心確定cp文本格式和版本號，形成定稿。cp定稿經(jīng)工程中心主任審閱后，報總經(jīng)理審批?？偨?jīng)理審批同意后方可對外 發(fā)布。發(fā)布形式應(yīng)符合行業(yè)主管部門等相關(guān)主管部門要求，包括但不限于網(wǎng)站公 布和向客戶或合作對象書面提交。發(fā)布工作由工程中心協(xié)調(diào)相關(guān)部門完成，并將 cp電子版及法律顧問的意見書交行政部存檔。cp的網(wǎng)上發(fā)布遵照網(wǎng)站管理辦法執(zhí)行。自cp發(fā)布之日起，所有以各種形式對外提供的cp須與網(wǎng)站公布的cp

14、保持一致。2信息發(fā)布與信息管理2.1信息庫ezca信息庫是一個對外公開的信息庫，它能夠保存、取回證書及與證書有關(guān) 的信息。ezca預(yù)制證書信息庫包括但不限于以下內(nèi)容：證書、crl、ocsp、預(yù)制證 書管理平臺、cps、cp、預(yù)制證書服務(wù)協(xié)議、技術(shù)支持手冊、ezca網(wǎng)站信息以及 ezca不定期發(fā)布的信息。ezca信息庫不會對從ezca發(fā)出的任何證書和證書吊銷信 息進行修改，而只會準(zhǔn)確地描述上述內(nèi)容。2.2認(rèn)證信息的發(fā)布證書狀態(tài)可以通過預(yù)制證書管理平臺，ocsp、crl獲得。cps、cp、預(yù)制證書服務(wù)協(xié)議、技術(shù)支持手冊等信息可從ezca網(wǎng)站(http: /www. ezca. org )上獲得。2

15、.3發(fā)布的時間或頻率cps、cp以及相關(guān)業(yè)務(wù)規(guī)則在完成1. 5.4所述的批準(zhǔn)流程后的15個工作日內(nèi) 發(fā)布到ezca網(wǎng)站上；預(yù)制證書狀態(tài)信息實時發(fā)布到0csp中；預(yù)制證書的吊銷信 息將在證書吊銷后24小時內(nèi)更新信息庫，根據(jù)需要，也可以人工方式實時發(fā)布 最新crl。2.4信息庫訪問控制ezca的安全訪問控制機制確保只有經(jīng)過授權(quán)的人員才能編寫和修改信息庫中的信息，但不限制對這些信息的閱讀權(quán)。3身份識別與鑒別3j命名3.1.1名稱類型ezca的預(yù)制證書采用x. 500定義的甄別名稱（dn）標(biāo)準(zhǔn)來唯一標(biāo)識一個安全 的存儲介質(zhì)（如usbkey ） , dn的詳細(xì)規(guī)則定義見本cp的7.1.4。3.1.2對名

16、稱意義化的要求dn （ distinguished name ）:唯一甄別名，在數(shù)字證書的主體名稱域中，用 來唯一標(biāo)識一個安全的存儲介質(zhì)（如usbkey）。dn的定義有特定的規(guī)則，并具有特定的意義，見本cp .1.3訂戶的匿名或偽名無3.1.4解釋不同名稱形式的規(guī)則dn的命名規(guī)則由ezca定義，詳見本cp7. 1. 4的說明。3.1.5名稱的唯一性ezca保證其簽發(fā)的證書，其主題甄別名，在ezca的信任域內(nèi)是唯一的。3.1.6商標(biāo)的識別、鑒別和角色無3.2初始身份確認(rèn)3.2.1證明擁有私鑰的方法在預(yù)制證書業(yè)務(wù)中，ezca制訂了嚴(yán)格的管理流程，從技術(shù)與制度上保證了在 生成證書時，與

17、此張證書相對應(yīng)的私鑰只留存在安全的存儲介質(zhì)中，不會留存任 何備份。當(dāng)訂戶申領(lǐng)證書時，發(fā)證機構(gòu)須對其身份進行審核，并將證書的dn信息與訂戶的身份信息進行綁定，并與應(yīng)用系統(tǒng)進行關(guān)聯(lián)后，此證書才能被訂戶有效 使用。此時，訂戶是其簽名私鑰的唯一持有者。ezca要求訂戶妥善保管自己的簽 名私鑰。3.2.2組織機構(gòu)身份的鑒別組織機構(gòu)訂戶在申領(lǐng)證書前或在其它發(fā)證機構(gòu)綁定新的應(yīng)用前應(yīng)指定并授權(quán) 證書的申領(lǐng)代表，接受證書申領(lǐng)的有關(guān)條款，承擔(dān)相應(yīng)的責(zé)任。鑒別組織機構(gòu)的 身份時，指定證書申領(lǐng)者須向發(fā)證機構(gòu)審核人員提供有效證明文件。ezca授權(quán)的 發(fā)證機構(gòu)將復(fù)核并驗證申領(lǐng)文件的真實性，并進行批準(zhǔn)申領(lǐng)或拒絕申領(lǐng)的操作。

18、3.2.3沒有驗證的訂戶信息無3.2.4授權(quán)確認(rèn)當(dāng)申請者代表個人或組織機構(gòu)申請證書時，需要出示足夠的證明信息以證明 個人或組織機構(gòu)是否真實存在，申請者是否已獲得個人或組織機構(gòu)的授權(quán)。ezca 或發(fā)證機構(gòu)有責(zé)任確認(rèn)該授權(quán)信息，并將授權(quán)信息妥善保存。3.2.5互操作準(zhǔn)則訂戶在某個發(fā)證機構(gòu)申領(lǐng)了 ezca簽發(fā)的預(yù)制證書后，也可至ezca授權(quán)的其它 發(fā)證機構(gòu)進行新的注冊過程，將原有的證書與新的應(yīng)用系統(tǒng)進行關(guān)聯(lián)后，可實現(xiàn) 一張證書在不同發(fā)證機構(gòu)應(yīng)用系統(tǒng)中的應(yīng)用。3.3密鑰更新請求的標(biāo)識與鑒別訂戶證書到期后，訂戶需對原有證書進行更新。在更新時產(chǎn)生一個新的密鑰 對代替過期的密鑰對，稱作“密鑰更新”。在密鑰更

19、新時，證書的dn未改變。若為一個現(xiàn)存的加密密鑰對申請一個新證書，則稱為“證書更新”。3.3.1常規(guī)密鑰更新的標(biāo)識與鑒別常規(guī)密鑰更新的流程詳見本cp的4. 7。3.3.2吊銷后密鑰更新的標(biāo)識與鑒別證書吊銷后的密鑰更新等同于訂戶重新申請證書，訂戶證書吊銷后的密鑰更新處理流程見本cp的4. 2。3.4吊銷請求的標(biāo)識與鑒別證書吊銷請求的標(biāo)識與鑒別流程見本cp的4. 9. 3。4證書生命周期操作要求4.1證書申領(lǐng)411證書申領(lǐng)實體任何具有獨立法人資格的企事業(yè)單位、社會團體等各類組織機構(gòu)需要在應(yīng)用 中進行基于數(shù)字證書的身份鑒別、需要采用數(shù)字簽名及實現(xiàn)信息加密時，可向 ezca或其授權(quán)的發(fā)證機構(gòu)提出證書申請

20、。4.1.2注冊過程與責(zé)任1、最終訂戶最終訂戶須明確表示其愿意接受訂戶協(xié)議中所規(guī)定的相關(guān)責(zé)任與義務(wù)（訂戶 協(xié)議公布 在ezca網(wǎng)站上），并需要提供真實、準(zhǔn)確的申請信息；2、發(fā)證機構(gòu)發(fā)證機構(gòu)須與ezca簽訂東方中訊數(shù)字證書服務(wù)協(xié)議。在預(yù)制證書業(yè)務(wù) 中，發(fā)證機構(gòu)須對訂戶提交的資料進行審核，以決定是否為該訂戶發(fā)放證書；并 須將證書的dn信息與訂戶的身份信息進行綁定、與應(yīng)用系統(tǒng)進行關(guān)聯(lián)后，此證書 方可被有效使用。4.2證書申領(lǐng)處理421執(zhí)行識別與鑒別功能證書申領(lǐng)者向發(fā)證機構(gòu)提交初始的證書申領(lǐng)請求，以及申請將證書關(guān)聯(lián)新的 應(yīng)用時，發(fā)證機構(gòu)須按照以下規(guī)定對訂戶的申領(lǐng)材料進行審查；機構(gòu)訂戶：參照3.2.2節(jié)

21、的規(guī)定。4.2.2證書申領(lǐng)批準(zhǔn)和拒絕發(fā)證機構(gòu)對證書申領(lǐng)者提交的申領(lǐng)信息及身份信息進行鑒別，鑒別其是否完整、真實、有效。經(jīng)鑒別符合要求后，將批準(zhǔn)申領(lǐng)。如果申領(lǐng)者未能通過審核,發(fā)證機構(gòu)將拒絕申領(lǐng)者的申領(lǐng)，并通知申領(lǐng)者。4.2.3處理證書申領(lǐng)的時間ezca及發(fā)證機構(gòu)將在合理的時間內(nèi)完成證書申領(lǐng)處理。在申領(lǐng)者提交的資料 齊全且符合要求的情況下，處理證書申領(lǐng)的時間不超過5個工作日。4.3證書簽發(fā)4.3.1證書簽發(fā)中發(fā)證機構(gòu)和電子認(rèn)證服務(wù)機構(gòu)的行為ezca制訂了嚴(yán)格的管理流程，從技術(shù)與制度上保證了在生成證書時，與此證 書相對應(yīng)的私鑰只留存在安全的存儲介質(zhì)中，ezca不會留存任何備份。當(dāng)訂戶申領(lǐng)證書時，發(fā)證

22、機構(gòu)需對訂戶的身份進行審核，審核通過后將訂戶 的身份信息與證書的dn信息進行綁定、與應(yīng)用系統(tǒng)進行關(guān)聯(lián)后，并對綁定和關(guān)聯(lián) 后的信息進行數(shù)字簽名后通過安全的通道傳送至ezca, ezca校驗安全接入簽名， 記錄用戶信息和關(guān)聯(lián)信息，并對安全接入簽名信息和時間信息進行數(shù)字簽名后保 存。4.3.2電子認(rèn)證服務(wù)機構(gòu)和發(fā)證機構(gòu)對訂戶的通告ezca簽發(fā)證書后，由于該證書尚未進行激活，還無法進行應(yīng)用，因此ezca對 于其簽發(fā)的證書不會對訂戶進行通告。發(fā)證機構(gòu)在審核訂戶身份后，無論是拒絕還是批準(zhǔn)訂戶的證書申請，發(fā)證機 構(gòu)有義務(wù)告知訂戶申請結(jié)果。4.4證書接受4.4.1構(gòu)成接受證書的行為當(dāng)訂戶填寫證書申請表，并提供

23、真實、準(zhǔn)確的身份信息經(jīng)發(fā)證機構(gòu)審核通 過，并同意預(yù)制證書服務(wù)協(xié)議的約定，申領(lǐng)到預(yù)制證書后即視為訂戶已經(jīng)接 受此證書。4.4.2電子認(rèn)證服務(wù)機構(gòu)對證書的發(fā)布ezca在簽發(fā)預(yù)制證書的同時會將該證書發(fā)布到公開的信息庫和指定的數(shù)據(jù)庫 中。在綁定身份、關(guān)聯(lián)應(yīng)用后會將該信息記錄在指定的數(shù)據(jù)庫中，并通過安全的 機制向依賴方提供查詢服務(wù)。4.4.3電子認(rèn)證服務(wù)機構(gòu)對其他實體的通告證書與證書狀態(tài)信息向其它實體進行通告。證書關(guān)聯(lián)的應(yīng)用信息與綁定的身 份信息不對其它實體進行通告。4.5密鑰對和證書的使用4.5.1訂戶私鑰和證書的使用訂戶在使用私鑰和證書時須遵循以下約定：1、訂戶只能在規(guī)定的范圍內(nèi)（在本cp.4中定義

24、）使用私鑰和證書，并對使 用行為承擔(dān)責(zé)任；2、訂戶在使用證書時必須遵守預(yù)制證書服務(wù)協(xié)議及ezca cps和本cp的要 求；3、訂戶應(yīng)當(dāng)妥善保存其私鑰和證書，避免他人未經(jīng)本人授權(quán)而使用本人證書 情形的發(fā)生。4.5.2依賴方公鑰和證書的使用在依賴方接受數(shù)字簽名信息后需要：1、獲得數(shù)字簽名對應(yīng)的證書及信任鏈；2、確認(rèn)該簽名對應(yīng)的證書是依賴方信任的證書；3、證書的用途適用于對應(yīng)的簽名；4、使用證書上的公鑰驗證簽名；5、確認(rèn)數(shù)字簽名對應(yīng)的證書狀態(tài)正常，沒有進入crl列表。依賴方需要采用 合適的軟（硬）件進行數(shù)字簽名的驗證工作，包括驗證證書鏈及鏈中所有證書的 數(shù)字簽名。46證書更新證書更新指訂戶證書到期后

25、頒發(fā)新證書的操作。4.6.1證書更新請求的處理（一）在證書到期之前，訂戶既可以自行登錄ezca提供的預(yù)制證書管理平臺進 行密鑰更新，也可以向發(fā)證機構(gòu)提交密鑰更新申請。訂戶自行登錄ezca提供的預(yù)制證書管理平臺進行密鑰更新時，須利用原始證 書登錄該平臺，通過驗證后方可進行密鑰更新。訂戶向發(fā)證機構(gòu)提交密鑰更新申請時，發(fā)證機構(gòu)對以下申請材料進行審查： 機構(gòu)訂戶：參照3.2. 2節(jié)的規(guī)定。（二）在證書到期之后，訂戶只能向發(fā)證機構(gòu)提交密鑰更新申請進行密鑰更 新，密鑰更新請求的處理同上。4.6.2頒發(fā)更新證書時對訂戶的通告訂戶通過預(yù)制證書管理平臺更新證書時，訂戶更新后即可使用新證書，無須 ezca對訂戶進

26、行通告。訂戶向發(fā)證機構(gòu)提出更新申請時，發(fā)證機構(gòu)在審核訂戶身份后，無論是拒絕 還是批準(zhǔn)訂戶的更新申請，均有義務(wù)告知訂戶申請結(jié)果。4.6.3構(gòu)成接受更新證書的行為當(dāng)訂戶使用原有的證書登錄預(yù)制證書管理平臺，通過驗證并完成更新后即構(gòu) 成接受更新的行為；或當(dāng)訂戶向發(fā)證機構(gòu)提出證書更新請求，并提供真實、準(zhǔn)確 的身份信息經(jīng)發(fā)證機構(gòu)審核通過，發(fā)證機構(gòu)將更新后的證書交還給訂戶，亦視為 訂戶接受更新證書的行為。4.6.4電子認(rèn)證服務(wù)機構(gòu)對更新證書的發(fā)布更新后的證書會在更新的同時被ca機構(gòu)發(fā)布到公開的信息庫和指定的數(shù)據(jù)庫 中。4.6.5電子認(rèn)證服務(wù)機構(gòu)對其他實體的通告更新后的證書會在更新的同時被ca機構(gòu)發(fā)布到公開的

27、信息庫和指定的數(shù)據(jù)庫中，訂戶和依賴方可以在信息庫上自行查詢。此外，ezca也會將更新后的證書狀態(tài)信息向訂戶進行過新應(yīng)用綁定的其它發(fā) 證機構(gòu)進行通告。4.7證書密鑰更新無48證書變更無4.9證書吊銷和掛起4.9.1證書吊銷的情形如有下列情況中的任何一種情況發(fā)生，則訂戶的證書將被吊銷：1）訂戶申領(lǐng)預(yù)制證書時，提供的資料不真實；2）訂戶未履行證書服務(wù)協(xié)議約定的義務(wù)；3）訂戶書面申請吊銷數(shù)字證書；4）證書的安全性不能得到保證，如相信或懷疑密鑰泄漏或遭受攻擊，忘記或 泄漏了證書使用口令，存放證書的介質(zhì)損壞或被鎖定等；5）法律、行政法規(guī)規(guī)定的其他情況。吊銷分為主動吊銷和被動吊銷。主動吊 銷是指由訂戶提出吊

28、銷申請，由發(fā)證機構(gòu)審核通過后吊銷證書的情形；被動吊銷 是指當(dāng)發(fā)證機構(gòu)或ca確認(rèn)訂戶違反證書應(yīng)用規(guī)定、約定或訂戶主體已經(jīng)消亡等情 況發(fā)生時，采取吊銷證書的手段以停止對該證書的證明。當(dāng)出現(xiàn)上述提到的第1、2種情況時，適用于被動吊銷，第3種情況適用于主動吊銷，第4、5種情 況則既可能出現(xiàn)被動吊銷，也可能出現(xiàn)主動吊銷。4.9.2請求證書吊銷的實體在符合本cp4. 9. 1所述的情形下，請求證書吊銷的實體與本cp4. 1. 1證書申請 實體相同。另外，發(fā)證機構(gòu)或ezca也可以在本cp4.9. 1所述的情形下主動吊銷訂戶的證書。4.9.3請求吊銷的流程最終訂戶吊銷證書時可按以下流程進行：1）訂戶（或其授權(quán)

29、委托人）填寫書面申請表并簽名或蓋章，同時提交相應(yīng)的 證明材料，向發(fā)證機構(gòu)提出吊銷證書請求。2）接到吊銷申請的發(fā)證機構(gòu)，驗證申請者身份及吊銷理由的正當(dāng)性，并對審 核資料進行歸檔保存。3）發(fā)證機構(gòu)在驗證吊銷申請后吊銷證書。4）ezca及時將證書吊銷信息發(fā)布到ezca信息庫中，并且吊銷信息會及時通知 關(guān)聯(lián)過應(yīng)用的發(fā)證機構(gòu)。4.9.4吊銷請求寬限期訂戶一旦發(fā)現(xiàn)需要吊銷證書，應(yīng)及時向發(fā)放該證書的發(fā)證機構(gòu)或關(guān)聯(lián)過新應(yīng) 用的發(fā)證機構(gòu)提出吊銷請求。4.9.5電子認(rèn)證服務(wù)機構(gòu)處理吊銷請求的時限ezca或其授權(quán)的證書發(fā)證機構(gòu)從收到吊銷請求并審核完成后，會立即將證書 吊銷。說明：訂戶在正式提出證書吊銷申請后不得在交

30、易中繼續(xù)使用此證書，否 則由此產(chǎn)生的后果，由訂戶自行承擔(dān)。4.9.6依賴方檢查證書吊銷的要求依賴方應(yīng)當(dāng)檢查他們所信任的證書是否被吊銷，檢查方式是通過查詢ezca發(fā) 布的crl完成。4.9.7 crl發(fā)布頻率crl發(fā)布頻率為24小時一次，在發(fā)布的同時對原有內(nèi)容進行更新。4.9.8 crl發(fā)布的最大滯后時間ezca在生成crl的24小時后會更新信息庫。499在線的吊銷/狀態(tài)查詢的可用性ezca提供在線的吊銷/狀態(tài)查詢，該服務(wù)7*24小時可用。4.9.10在線的吊銷查詢要求依賴方在信賴一張證書前須確定證書的狀態(tài)，查詢方式為檢查crl或ocsp, ezca沒有設(shè)置任何讀取權(quán)限。4.9.11吊銷信息的其

31、他發(fā)布形式除crl與ocsp之外，尚無其它發(fā)布形式。4.9.12對密鑰遭受安全威脅的特別處理要求當(dāng)訂戶發(fā)現(xiàn)、或有充足的理由發(fā)現(xiàn)其密鑰遭受安全威脅時，應(yīng)及時地提出證 書吊銷請求。4.9.13證書掛起ezca對于預(yù)制證書目前無此業(yè)務(wù)。4.10證書狀態(tài)服務(wù) 4.10.1操作特征證書狀態(tài)可以通過預(yù)制證書管理平臺，ocsp、ldap的目錄查詢服務(wù)獲得。4.10.2服務(wù)可用性ezca提供7*24小時不間斷證書狀態(tài)查詢服務(wù)。4/m訂購結(jié)束以下三種情形將被視為訂購結(jié)束：1、證書到期后即視為訂購結(jié)束。2、在證書有效期內(nèi)，訂戶主動提出對證書進行吊銷視為訂購結(jié)束，ezca將 按照“證書吊銷流程”處理訂戶申請。3、被

32、動吊銷視為訂購結(jié)束。4.12密鑰生成、備份與恢復(fù)在預(yù)制證書業(yè)務(wù)中，ezca制訂了嚴(yán)格的管理流程，從技術(shù)與制度上保證了在 生成證書時，與此張證書相對應(yīng)的私鑰在存儲介質(zhì)中生成且只留存在存儲介質(zhì) 中，不會留存任何備份。5認(rèn)證機構(gòu)設(shè)施、管理和操作控制證書簽發(fā)在ezca機房中的ca區(qū)域中，具有物理三層保護。對于物理訪問控 制，ezca通過門禁磁卡、指紋識別鑒別不同人員，并確定相應(yīng)的權(quán)限。所有訪問 均有日志記錄，并做到全程可審計。其余要求均與cps相同。6認(rèn)證系統(tǒng)技術(shù)安全控制本章規(guī)定參見cps。7證書.證書吊銷列表和在線證書狀態(tài)協(xié)議7.1證書711版本號ezca簽發(fā)的證書格式符合x. 509 v3標(biāo)準(zhǔn)，這

33、一版本信息包含在證書版本屬 性內(nèi)。7丄2證書擴展項x. 509 v3證書的擴充部分主要包括:1.2. 1頒發(fā)機構(gòu)密鑰標(biāo)識符ezca最終訂戶證書及中級ca證書中包含簽發(fā)ca密鑰標(biāo)識符擴展項，當(dāng)證書 簽發(fā)者包含主題密鑰標(biāo)識擴展項時，簽發(fā)ca密鑰標(biāo)識符由160位的簽發(fā)證書的ca 進行sha-1散列運算后的值構(gòu)成；否則，它將包含簽發(fā)ca的主題和序列號。該擴展 項的criticality域設(shè)置為false07. 1.2. 2主題密鑰標(biāo)識符當(dāng)證書包含主題密鑰標(biāo)識符擴展項時，該值由證書主題的公鑰產(chǎn)生。使用該擴展項時，其擴展域的criticality域設(shè)為false07.1.2. 3密鑰用法密鑰用法指明已認(rèn)證

34、的公開密鑰用于何種用途，該項定義遵照rfc3280之規(guī) 定。7. 1. 2. 4 basic constraints:基本限制基本限制項用來標(biāo)識證書的主體是否是一個ca,通過該ca可能存在的認(rèn)證路 徑有多長，該項定義遵照rfc3280之規(guī)定。7. 1. 2. 5 crl 分布點系統(tǒng)簽發(fā)的證書包含crl的分發(fā)點擴展項，依賴方可根據(jù)該擴展項提供的地址 和協(xié)議下載crlo該擴展項的critical ity項設(shè)為false。7.1.3算法對象標(biāo)識符ezca簽發(fā)的證書符合rfc 3280標(biāo)準(zhǔn)，采用sha-1 rsa算法簽名。7丄4名稱形式ezca簽發(fā)的證書采用x. 500定義的甄別名稱(dn)標(biāo)準(zhǔn)來唯一

35、標(biāo)識一張證書使 用者的身份信息。dn必須包括以下五部分：(1 ) cncn部分包括13個字符，由數(shù)字和字母組為訂戶使用存儲介質(zhì)編號該編號在 發(fā)證機構(gòu)內(nèi)唯一。示例:cn=6000000000166, cn=6000000000194(2 ) ou0u部分用來表示訂戶組織機構(gòu)編碼。示例:ou=1234567890(3)00部分用來表示訂戶名稱信息。示例：0=東方中訊數(shù)字?jǐn)?shù)字認(rèn)證有限公司(4 ) cc部分用來表示中國的英文簡稱，全部大寫。示例:c=cn7.1.5名稱限制ezca簽發(fā)的預(yù)制證書，其名稱須嚴(yán)格按照7.1.4的規(guī)則來定義。7.1.6證書策略對象標(biāo)識符證書使用對象標(biāo)識符(0id)為2. 5.

36、 29. 32. 07.1.7策略限制擴展項的用法未使用本擴展域7.1.8策略限定符的語法和語義未使用本擴展域7.1.9關(guān)鍵證書策略擴展項的處理規(guī)則未使用本擴展域7.2crl同cps7.3在線證書狀態(tài)協(xié)議同cps認(rèn)證機構(gòu)審計和其它評估同cps9法律責(zé)任和其他業(yè)務(wù)條款9.1費用同cps9.2財務(wù)責(zé)任同cps9.3業(yè)務(wù)信息保密同cps9.4個人信息私密性同cps9.5知識產(chǎn)權(quán)同cps9.6陳述與擔(dān)保9.6.1電子認(rèn)證服務(wù)機構(gòu)的陳述與擔(dān)保1、ezca確保預(yù)制證書私鑰是唯一的。2、當(dāng)預(yù)制證書與訂戶身份信息的綁定經(jīng)發(fā)證機構(gòu)和ezca數(shù)字簽名確認(rèn)后，該預(yù)制證書即可生效。3、ezca向發(fā)證機構(gòu)提供預(yù)制證書綁

37、定信息的查詢。4、ezca依法制定和修訂電子認(rèn)證業(yè)務(wù)規(guī)則（簡稱cps）、預(yù)制證書策 略(簡稱cp),并公布于ezca網(wǎng)站(),明確ezca預(yù)制證書的功 能、使用證書、各方的權(quán)利、義務(wù)以及ezca的責(zé)任范圍，前述cps及本cp自通過 ezca網(wǎng)站()公布之日起對發(fā)證機構(gòu)、訂戶及依賴方具有法律約束 力，但本cp第9.12.2款除外。5、ezca為訂戶提供7*24小時熱線支持服務(wù)( 4007353922 ) , 5*8小時服務(wù)監(jiān) 督電話( , ezca將在1個工作日內(nèi)對訂戶的意見和建議做出響 應(yīng)。6、在訂戶通過數(shù)字證書對交易

38、信息進行加密和簽名的條件下，ezca保證交 易信息的保密性和完整性。如果發(fā)生糾紛，ezca將依據(jù)不同情況承擔(dān)下述義務(wù)：同cps7、對于下列情況之一，ezca有權(quán)吊銷所簽發(fā)的數(shù)字證書：訂戶申領(lǐng)預(yù)制證書時，提供的資料不真實；訂戶未履行本cp約定的義務(wù)或者訂戶違反本cp中所做的陳述和/或保證 的；訂戶書面申請吊銷數(shù)字證書；證書的安全性不能得到保證；法律、行政法規(guī)及規(guī)章等規(guī)范性法律文件規(guī)定的其他情況。8、ezca不保證訂戶與依賴方所從事的具體民事活動的真實性、合法性，也不 保證相關(guān)協(xié)議能否履行或能否實現(xiàn)有關(guān)方的交易目的。9.6.2發(fā)證機構(gòu)的陳述與擔(dān)保及義務(wù)1、根據(jù)ezca制訂的策略和運行管理規(guī)則，對訂

39、戶的證書申請材料進行審核， 通過審查確保預(yù)制證書與確定的實體進行綁定，并將與預(yù)制證書綁定的用戶身份 信息進行數(shù)字簽名后傳送至ezca;2、發(fā)證機構(gòu)應(yīng)制訂合理的業(yè)務(wù)流程，確保將預(yù)制證書發(fā)放給訂戶之前，對預(yù) 制證書進行妥善保管，并確保在未與訂戶身份信息進行綁定之前不會被訂戶使 用；3、如發(fā)證機構(gòu)對訂戶的證書申請材料審查沒有通過，發(fā)證機構(gòu)有向訂戶進行 告知的義務(wù)；4、發(fā)證機構(gòu)應(yīng)在合理的時間內(nèi)完成證書申請?zhí)幚?。在申請者提交資料齊全且符合要求的情況下，處理證書申請的時間不超過5個工作日；5、發(fā)證機構(gòu)須對訂戶的信息及與認(rèn)證相關(guān)的信息妥善保存，保存期限為數(shù)字 證書失效后五年；6、發(fā)證機構(gòu)應(yīng)使訂戶明確地知道關(guān)

40、于使用第三方數(shù)字證書的意義、數(shù)字證書 的功能、使用范圍、使用方式、密鑰管理以及丟失數(shù)字證書的后果和處理措施、 法律責(zé)任限制；7、發(fā)證機構(gòu)有義務(wù)通知訂戶閱讀ezca發(fā)布的cp、cps和預(yù)制證書服務(wù)協(xié) 議以及其它相關(guān)規(guī)定，在訂戶完全知曉并同意cp、cps和預(yù)制證書服務(wù)協(xié)議 內(nèi)容的前提下，為訂戶辦理數(shù)字證書。9.6.3訂戶的陳述與擔(dān)保及義務(wù)1、訂戶應(yīng)遵循誠實、信用原則，申領(lǐng)預(yù)制證書時，應(yīng)當(dāng)提供真實、完整和準(zhǔn) 確的信息和資料，并在這些信息、資料發(fā)生改變時及時通知發(fā)證機構(gòu)。如因訂戶 故意或過失提供的資料不真實或資料改變后未及時通知，造成的損失由訂戶自己 承擔(dān)。2、訂戶須使用經(jīng)合法途徑獲得的相關(guān)軟件。3、

41、訂戶應(yīng)合法使用ezca數(shù)字證書，并對使用數(shù)字證書的行為負(fù)責(zé)。4、訂戶應(yīng)當(dāng)妥善保管含有預(yù)制證書的usbkey。如因故意或過失導(dǎo)致他人盜 用、冒用預(yù)制證書時，訂戶應(yīng)承擔(dān)由此產(chǎn)生的責(zé)任。5、如訂戶使用的預(yù)制證書的usbkey丟失或密碼泄漏，或者訂戶不希望繼續(xù)使 用數(shù)字證書，或者訂戶主體不存在，訂戶或法定權(quán)利人應(yīng)當(dāng)立即申請吊銷該數(shù)字 證書。6、訂戶應(yīng)在發(fā)證機構(gòu)或指定網(wǎng)站進行證書更換或展期。7、訂戶通過本cp進行的任何行為（“該行為”）應(yīng)當(dāng)符合法律及任何行政法 律和規(guī)章等規(guī)范性法律文件的規(guī)定，ezca對該行為不承擔(dān)任何法律責(zé)任。9.6.4依賴方的陳述與擔(dān)保及義務(wù)依賴方聲明和承諾：1、使用適當(dāng)?shù)能浖?或

42、硬件進行數(shù)字簽名的驗證或其它操作；2、確信在交易前檢查crl獲知證書狀態(tài)和驗證簽名；3、只在符合相關(guān)策略和ezca的cps及本cp規(guī)定的證書應(yīng)用范圍內(nèi)信任該證書;4、確認(rèn)證書鏈的合法性；5、同意cps、本cp中關(guān)于ezca責(zé)任限制的規(guī)定;6、依賴方依賴本cp進行的任何行為（“該行為”）應(yīng)當(dāng)符合法律及任何行政 法律和規(guī)章等規(guī)范性法律文件的規(guī)定，ezca對該行為不承擔(dān)任何法律責(zé)任。9.6.5其它參與者的陳述與擔(dān)保其他參與者應(yīng)遵循本cp的規(guī)定。9.7免責(zé)條款1、證書申請人或訂戶故意提供或未按照要求提供不準(zhǔn)確和/或不真實和/或不 完整的信息而獲得ezca簽發(fā)的預(yù)制證書，訂戶在使用該證書時引起的責(zé)任，ezca 不予承擔(dān)任何法律責(zé)任。2、由于非ezca原因造成的設(shè)備故障、網(wǎng)絡(luò)中斷導(dǎo)致證書報錯、交易中斷或其 他事故造成的損失，ezca不