DOC《中国石油PKI系统数字证书及载体》

一旦遗失载体或密码,须及时向中国石油数字证书注册中心综合管理岗报告,以待冻结或重置. 中国石油数字证书注册中心管理员身份变更 A: 超级管理员的证书在证书有效期内不能随意更换.如需更换,经中国石油数字证书注册中心综合管理岗审批后,由运营CA管理员对其进行初始化. B:证书管理员身份变更:当证书管理员离职或岗位变动后,需将原管理员证书注销,然后为接管人员发放管理员证书,并且双方均需填写《中国PKI系统RA管理员服务申请表》,经中国石油数字证书注册中心综合管理岗审批后,存档. 二级代理点管理 二级代理点申请 二级代理点作为中国石油数字证书注册辅助中心,分布在集团公司各所属单位,且每个代理点需设置权限管理员、审计管理员、录入员、审核员和制证员等5个岗位.集团所属企事业单位证书管理员的数字证书单独发放,只作为RA管理员角色使用,不能用以登录IAM系统及其他用途. 二级代理点的操作流程如下: A:新建代理点申请:集团所属企事业单位需填写《中国石油PKI系统RA代理点服务申请表》,填写相关管理员信息,经一级主管领导审批后,将申请表提交给中国石油数字证书注册中心. B:代理点建立过程:集团所属企事业单位新建代理点的申请审批通过以后,中国石油数字证书注册中心权限管理员在RA系统中建立新的代理点.RA中心证书操作员根据申请表上的预定证书管理员信息,按流程颁发数字证书,并由权限管理员授予相应的权限.证书制作完成以后,经由安全渠道交到新代理点证书管理员的手里. 证书管理员要妥善保管自己的数字证书及载体,不得向他人透露;

一旦遗失载体或密码,须及时向中国石油数字证书注册中心报告,以待冻结或重置. C:代理点注销过程:某个集团所属企事业单位代理点被撤销时,需填写《中国石油PKI系统RA代理点服务申请表》,经一级主管领导审批后,将申请表提交给中国石油数字证书注册中心.RA中心的权限管理员删除该代理点各个证书管理员的权限,然后将该代理点删除,并存档. 说明:代理点注销的前提条件是该代理点所属的证书全部注销,否则不能注销代理点. 二级代理点管理员变更 当涉及到权限管理员岗位变动时,申请者需填写《中国石油PKI系统RA管理员服务申请表》,经一级主管领导审批后,提交中国石油数字证书注册中心权限管理岗,由权限管理员修改其权限,并存档. 当审计管理员、录入员、审核员或制证员申请或岗位变动时,需填写《中国石油PKI系统RA管理员服务申请表》,经一级主管领导审批后,提交二级代理点权限管理岗,由权限管理员修改其权限,并存档. RA系统各级管理员申请和变更流程如下图所示:

1、管理员申请流程

2、管理员变更流程 删除员工A的管理员权限,并将其授予员工B,流程如下: 三级代理点管理 RA系统通过设立各级代理点的方式进行管理,各集团所属企事业单位可根据自身的情况决定是否设立下级代理点. 为便于管理,代理点最多只设到第三级,并且三级代理点只设置录入员、审核员和制证员3个岗位,由二级代理点审计管理员进行各项记录审计. 三级代理点的所有申请、审批、授权等流程参照二级代理点的操作流程进行. 数字证书管理 流程总体描述 中国石油PKI系统数字证书管理规范涵盖了涉及证书操作的各种工作流程,分别对应7种用户数字证书业务,6种服务器和机构数字证书业务. 普通用户涉及到的证书操作均按照以下业务流程办理: 证书新办流程:新办证书业务 证书冻结流程:冻结证书业务 证书解冻流程:解冻证书业务 证书更新流程:更新证书业务 证书注销流程:注销证书业务 证书补办流程:补办证书业务 证书解锁流程:解锁证书业务 管理员用户涉及到的证书业务与普通用户证书一致,但操作时需要先将其权限删除再进行上述各........