数字证书认证中心电子政务电子认证服务业务规则

广西壮族自治区数字证书认证中心 电子政务电子认证服务业务规则（CPS） 版本号：版本号：V6.V6.0 0 生效日期：2021 年 3 月 5 日 版本修订表 版本号 发布日期 说明 V1.0 2013 年 8 月 依据电子政务电子认证服务业务规则规范制定 V2.0 2017 年 9 月 依据电子政务电子认证服务业务规则规范修订 V3.0 2018 年 10 月 依据电子政务电子认证服务业务规则规范修订 V4.0 2019 年 7 月 依据电子政务电子认证服务业务规则规范修订 V5.0 2019 年 12 月 依据电子政务电子认证服务业务规则规范修订 V6.0 2021 年 3 月 依据电子政务电子认证服务业务规则规范修订 目录目录 1. 概括性描述 . 9 1.1 概述. 9 1.2 文档名称与标识 . 9 1.3 电子认证活动参与者 . 10 1.3.1 电子认证服务机构 . 10 1.3.2 注册机构 . 10 1.3.3 订户 . 11 1.3.4 依赖方 . 11 1.3.5 其他参与者 . 11 1.4 证书应用 . 11 1.4.1 适合证书的应用 . 11 1.4.2 限制的证书应用. 12 1.5 策略管理 . 12 1.5.1 策略文档管理机构 . 12 1.5.2 联系人 . 13 1.5.3 决定 CPS 符合策略的机构 . 13 1.5.4 CPS 批准程序 . 13 1.6 定义和缩略语 . 14 1.6.1 定义 . 14 1.6.2 缩略语 . 2 2. 信息发布与信息管理 . 3 2.1 认证信息的发布 . 3 2.2 发布的时间或频率 . 3 2.3 信息库访问控制 . 3 3. 身份标识与鉴别 . 4 3.1 命名 . 4 3.1.1 名称类型 . 4 3.1.2 DN 说明条款. 4 3.1.3 订户的匿名或伪名 . 5 3.1.4 理解不同名称形式的规则 . 5 3.1.5 名称的唯一性 . 5 3.1.6 商标的识别、鉴别和角色 . 5 3.2 初始身份确认 . 5 3.2.1 证明拥有私钥的方法 . 5 3.2.2 组织机构身份的鉴别 . 5 3.2.3 个人身份的鉴别. 7 3.2.4 政府部门内设机构及个人的身份鉴别 . 8 3.2.5 事件型证书订户身份的鉴别 . 8 3.2.6 云端协同证书订户身份的鉴别. 8 3.2.7 没有验证的订户信息 . 8 3.2.8 授权确认 . 8 3.2.9 互操作准则 . 9 3.3 密钥更新请求的标识与鉴别 . 9 3.3.1 常规密钥更新的标识与鉴别 . 9 3.3.2 证书吊销后密钥更新的标识与鉴别 . 9 3.3.3 证书变更的标识与鉴别 . 9 3.4 证书吊销请求的标识与鉴别 . 10 4. 证书生命周期操作要求. 10 4.1 证书申请 . 10 4.1.1 证书申请实体 . 10 4.1.2 注册过程及各方责任 . 10 4.2 证书申请处理 . 11 4.2.1 执行识别与鉴别功能 . 11 4.2.2 证书申请批准和拒绝 . 11 4.2.3 处理证书申请的时间 . 12 4.3 证书签发 . 12 4.3.1 证书签发中注册机构和电子认证服务机构的行为 . 12 4.3.2 电子认证服务机构和注册机构对订户的通告 . 12 4.3.3 电子认证服务机构对其他实体的通告 . 13 4.4 证书接受 . 13 4.4.1 构成接受证书的行为 . 13 4.4.2 电子认证服务机构对证书的发布 . 13 4.4.3 电子认证服务机构对其他实体的通告 . 13 4.5 密钥对和证书的使用 . 14 4.5.1 订户私钥和证书的使用 . 14 4.5.2 信赖方公钥和证书的使用 . 14 4.6 证书更新 . 15 4.6.1 证书更新的情形. 15 4.6.2 请求证书更新的实体 . 15 4.6.3 证书更新请求的处理 . 15 4.6.4 颁发新证书时对订户的通告 . 16 4.6.5 构成接受更新证书的行为 . 16 4.6.6 电子认证服务机构对更新证书的发布 . 16 4.6.7 电子认证服务机构对其他实体的通告 . 16 4.7 证书密钥更新 . 16 4.7.1 证书密钥更新的情形 . 16 4.7.2 请求证书密钥更新的实体 . 17 4.7.3 证书密钥更新请求的处理 . 17 4.7.4 颁发新证书时对订户的通告 . 17 4.7.5 构成接受密钥更新证书的行为 . 17 4.7.6 电子认证服务机构对密钥更新证书的发布 . 17 4.7.7 电子认证服务机构对其他实体的通告 . 17 4.8 证书补办 . 17 4.9 证书变更 . 17 4.10 证书吊销 . 18 4.10.1 证书吊销的情形. 18 4.10.2 请求证书吊销的实体 . 19 4.10.3 吊销请求的流程. 19 4.10.4 吊销请求宽限期. 19 4.10.5 电子认证服务机构处理吊销请求的时限 . 19 4.10.6 依赖方检查证书吊销的要求 . 20 4.10.7 CRL 发布频率. 20 4.10.8 CRL 发布的最大滞后时间 . 21 4.10.9 CRL 备份及频率 . 21 4.10.10 证书吊销对证书持有者或依赖方的通告 . 21 4.11 证书状态服务 . 21 4.11.1 操作特征 . 21 4.11.2 服务可用性 . 21 4.11.3 可选特征 . 21 4.12 订购结束 . 22 4.12 密钥生成、备份与恢复 . 22 4.12.1 密钥生成、备份与恢复的策略与行为 . 22 4.12.2 会话密钥的封装与恢复的策略与行为 . 23 5. 认证机构设施、管理和操作控制 . 24 5.1 物理控制 . 24 5.1.1 场地位置与建筑 . 24 5.1.2 物理访问 . 25 5.1.3 电力与空调 . 25 5.1.4 水患防治 . 26 5.1.5 火灾防护 . 26 5.1.6 介质存储 . 27 5.1.7 废物处理 . 27 5.1.8 异地备份 . 27 5.2 程序控制 . 27 5.2.1 可信角色 . 27 5.2.3 每个角色的识别与鉴别 . 28 5.2.4 需要职责分割的角色 . 28 5.3 人员控制 . 29 5.3.1 资格、经历和无过失要求 . 29 5.3.2 背景审查程序 . 29 5.3.3 培训要求 . 30 5.3.4 再培训周期和要求 . 30 5.3.5 工作岗位轮换周期和顺序 . 30 5.3.6 违规行为的处罚. 30 5.3.7 外包服务方的要求 . 31 5.3.8 提供给员工的文档 . 31 5.3.9 人员异动的管理. 31 5.4 审计日志程序 . 31 5.4.1 记录事件的类型. 31 5.4.2 处理日志的周期. 31 5.4.3 审计日志的保存期限 . 31 5.4.4 审计日志的保护. 32 5.4.5 审计日志备份程序 . 32 5.4.6 审计收集系统 . 32 5.4.7 对导致事件实体的通告 . 33 5.4.8 脆弱性评估 . 33 5.5 记录归档 . 33 5.5.1 归档记录的类型. 33 5.5.2 归档记录的内容. 33 5.5.3 归档记录的保存期限 . 33 5.5.4 归档文件的保护. 34 5.5.5 归档文件的备份程序 . 34 5.5.6 记录时间戳要求. 34 5.5.7 获得和检验归档信息的程序 . 34 5.6 电子认证服务机构密钥更替 . 34 5.7 损害与灾难恢复 . 35 5.7.1 事故和损害处理程序 . 35 5.7.2 计算资源、软件和/或数据的损坏 . 35 5.7.3 实体私钥损害处理程序 . 36 5.7.4 灾难后的业务连续性能力 . 36 5.8 电子认证服务机构或注册机构的终止 . 36 6. 认证系统技术安全控制. 37 6.1 密钥对的生成和安装 . 37 6.1.1 密钥对的生成 . 37 6.1.2 私钥传送给订户. 38 6.1.3 公钥传送给证书签发机构 . 38 6.1.4 电子认证服务机构公钥传送给依赖方 . 38 6.1.5 密钥的长度 . 38 6.1.6 公钥参数的生成和质量检查 . 38 6.1.7 密钥使用目的 . 38 6.2 私钥保护和密码模块工程控制 . 39 6.2.1 密码模块的标准和控制 . 39 6.2.2 私钥多人控制（m 选 n） . 39 6.2.3 私钥托管 . 39 6.2.4 私钥备份 . 40 6.2.5 私钥归档 . 40 6.2.6 私钥导入、导出密码模块 . 40 6.2.7 私钥在密码模块的存储 . 40 6.2.8 激活私钥的方法. 40 6.2.9 解除私钥激活状态的方法 . 40 6.2.10 销毁私钥的方法 . 40 6.2.11 密码模块的评估 . 41 6.3 密钥对管理的其他方面 . 41 6.3.1 公钥归档 . 41 6.3.2 证书操作期和密钥对使用期限 . 41 6.4 激活数据 . 42 6.4.1 激活数据的产生和安装 . 42 6.4.2 激活数据的保护. 42 6.4.3 激活数据的其他方面 . 42 6.5 计算机安全控制 . 42 6.5.1 特别的计算机安全技术要求 . 42 6.5.2 计算机安全评估. 43 6.6 生命周期技术控制 . 43 6.6.1 系统开发控制 . 43 6.6.2 安全管理控制 . 43 6.6.3 生命期的安全控制 . 43 6.7 网络的安全控制 . 44 6.8 时间戳 . 44 7. 证书、证书吊销列表和证书状态协议 . 44 7.1 证书. 44 7.1.1 版本号 . 44 7.1.2 证书扩展项 . 44 7.1.3 算法对象标识符. 45 7.1.4 名称形式 . 45 7.2 证书吊销列表 . 47 7.2.1 版本号 . 47 7.2.2 CRL 和 CRL 条目扩展项 . 47 7.3 证书状态协议 . 47 7.3.1 版本号 . 47 7.3.2 OCSP 扩展项 . 47 8. 认证机构审计和其他评估 . 47 8.1 评估的频率或情形 . 47 8.2 评估者的资质 . 48 8.3 评估者与被评估者之间的关系 . 48 8.4 评估内容 . 48 8.5 对问题与不足采取的措施 . 49 8.6 评估结果的传达与发布 . 49 9. 法律责任和其他业务条款 . 49 9.1 费用 . 49 9.1.1 证书签发和更新费用 . 49 9.1.2 证书查询费用 . 49 9.1.3 证书吊销或状态信息的查询费用 . 50 9.1.4 其他服务费用 . 50 9.1.5 退款策略 . 50 9.2 财务责任 . 50 9.3 业务信息保密 . 50 9.3.1 保密信息范围 . 50 9.3.2 不属于保密的信息 . 51 9.3.3 保护保密信息的责任 . 51 9.4 个人隐私保密 . 52 9.4.1 隐私保密方案 . 52 9.4.2 作为隐私处理的信息 . 53 9.4.3 不被视为隐私的信息 . 53 9.4.4 用户个人信息的收集 . 53 9.4.5 个人信息的存储. 54 9.4.6 用户个人信息的使用 . 54 9.4.7 用户个人信息的使用 . 54 9.4.8 用户个人信息的共享 . 55 9.4.9 CA 对于用户个人信息的管理 . 55 9.4.9 个人信息的查阅 . 55 9.4.10 个人信息的删除和更改 . 56 9.5 知识产权 . 56 9.6 陈述与担保 . 56 9.6.1 电子认证服务机构的陈述与担保 . 56 9.6.2 注册机构的陈述与担保 . 57 9.6.3 订户的陈述与担保 . 57 9.6.4 依赖方的陈述与担保 . 58 9.6.5 其他参与者的陈述与担保 . 58 9.7. 赔偿责任限制 . 59 9.7.1. 赔偿责任范围。