PDF《广西壮族自治区数字证书认证中心》

广西壮族自治区数字证书认证中心 电子政务电子认证业务规则(CPS) 版本号:CPS2.

0 生效日期:2017年9月18日 广西壮族自治区数字证书认证中心有限公司 广西壮族自治区数字证书认证中心有限公司电子政务电子认证业务规则

1 版本修订表 版本号 发布日期 说明 V1.0

2013 年8月依据《电子政务电子认证服务业 务规则规范》制定 V2.0

2017 年9月依据《电子政务电子认证服务业 务规则规范》修订 广西壮族自治区数字证书认证中心有限公司电子政务电子认证业务规则

2 目录 1. 概括性描述.9 1.1 概述

9 1.2 文档名称与标识

10 1.2.2 版本

10 1.2.3 标识

10 1.3 电子认证活动参与者

10 1.3.1 电子认证服务机构.10 1.3.2 注册机构.11 1.3.3 订户.11 1.3.4 依赖方.11 1.3.5 其他参与者.12 1.4 证书应用

12 1.4.1 证书订户性质.12 1.4.2 限制的证书应用.13 1.5 策略管理

13 1.5.1 策略文档管理机构.13 1.5.2 联系人.13 1.5.3 决定 CPS 符合策略的机构

14 1.5.4 CPS 批准程序.14 1.6 定义和缩写

14 2. 信息发布与信息管理.16 2.1 认证信息的发布

16 2.2 发布的时间或频率

17 2.3 信息库访问控制

17 3. 身份标识与鉴别.17 3.1 命名

17 3.1.1 各类数字证书 CN 的取值方式

18 3.1.2 DN 说明条款.19 3.2 初始身份确认

19 3.2.1 证明拥有私钥的方法

19 3.2.2 组织机构身份的鉴别

19 3.2.3 个人身份的鉴别.21 3.2.4 设备证书的鉴别.21 3.2.5 没有验证的订户信息

22 3.2.6 授权确认.22 3.2.7 互操作准则.22 3.3 密钥更新请求的标识与鉴别.23 广西壮族自治区数字证书认证中心有限公司电子政务电子认证业务规则

3 3.3.1 常规密钥更新的标识与鉴别

23 3.3.2 吊销后密钥更新的标识与鉴别

23 3.4 吊销请求的标识与鉴别

23 4. 证书生命周期操作要求.24 4.1 证书申请

24 4.1.1 证书申请实体.24 4.1.2 注册过程与责任.24 4.2 证书申请处理

24 4.2.1 执行识别与鉴别功能

24 4.2.2 证书申请批准和拒绝

25 4.2.3 处理证书申请的时间

25 4.3 证书签发

26 4.3.1 证书签发中注册机构和电子认证服务机构的行为

26 4.3.2 电子认证服务机构和注册机构对订户的通告

26 4.4 证书接受

26 4.4.1 构成接受证书的行为

26 4.4.2 电子认证服务机构对证书的发布

27 4.4.3 电子认证服务机构对其他实体的通告

27 4.5 密钥对和证书的使用

27 4.5.1 订户私钥和证书的使用

27 4.5.2 信赖方公钥和证书的使用

27 4.6 证书更新

28 4.6.1 证书更新的情形.28 4.6.2 请求证书更新的实体

29 4.6.3 证书更新请求的处理

29 4.6.4 颁发新证书时对订户的通告

29 4.6.5 构成接受更新证书的行为

29 4.6.6 电子认证服务机构对更新证书的发布

29 4.6.7 电子认证服务机构对其他实体的通告

30 4.7 证书密钥更新

30 4.7.1 证书密钥更新的情形

30 4.7.2 请求证书密钥更新的实体

30 4.7.3 证书密钥更新请求的处理

30 4.7.4 颁发新证书时对订户的通告

30 4.7.5 构成接受密钥更新证书的行为

30 4.7.6 电子认证服务机构对密钥更新证书的发布

31 4.7.7 电子认证服务机构对其他实体的通告

31 4.8 证书变更

31 4.9 证书吊销和挂起

31 4.9.1 证书吊销的情形.31 4.9.2 请求证书吊销的实体

32 4.9.3 吊销请求的流程.32 4.9.4 吊销请求宽限期.32 4.9.5 电子认证服务机构处理吊销请求的时限

32 广西壮族自治区数字证书认证中心有限公司电子政务电子认证业务规则

4 4.9.6 依赖方检查证书吊销的要求

33 4.9.7 CRL 发布频率.34 4.9.8 CRL 发布的最大滞后时间

34 4.10 证书状态服务.34 4.10.1 操作特征.34 4.10.2 服务可用性.34 4.10.3 可选特征.34 4.11 订购结束

35 4.12 密钥生成、备份与恢复.35 4.12.1 密钥生成、备份与恢复的策略与行为

35 4.12.2 会话密钥的封装与恢复的策略与行为

36 5. 认证机构设施、管理和操作控制.36 5.1 物理控制

36 5.1.1 场地位置与建筑.36 5.1.2 物理访问.37 5.1.3 电力与空调.38 5.1.4 水患防治.39 5.1.5 火灾防护.39 5.1.6 介质存储.40 5.1.7 废物处理.40 5.1.8 异地备份.40 5.2 程序控制

41 5.2.1 可信角色.41 5.2.3 每个角色的识别与鉴别

42 5.2.4 需要职责分割的角色

42 5.3 人员控制

43 5.3.1 资格、经历和无过失要求

43 5.3.2 背景审查程序.43 5.3.3 培训要求.44 5.3.4 再培训周期和要求.44 5.3.5 工作岗位轮换周期和顺序

45 5.3.6 未授权行为的处罚.45 5.3.7 独立合约人的要求.45 5.3.8 提供给员工的文档.45 5.4 审计日志程序

46 5.4.1 记录事件的类型.46 5.4.2 处理日志的周期.46 5.4.3 审计日志的保存期限

46 5.4.4 审计日志的保护.46 5.4.5 审计日志备份程序.47 5.4.6 审计收集系统.47 5.4.7 对导致事件实体的通告

48 5.4.8 脆弱性评估.48 5.5 记录归档

48 广西壮族自治区数字证书认证中心有限公司电子政务电子认证业务规则

5 5.5.1 归档记录的类型.48 5.5.2 归档记录的保存期限

48 5.5.4 归档文件的备份程序

49 5.5.5 记录时间戳要求.49 5.5.7 获得和检验归档信息的程序

49 5.6 电子认证服务机构密钥更替.49 5.7 损害与灾难恢复

50 5.7.1 事故和损害处理程序

50 5.7.2 计算资源、软件和/或数据的损坏

50 5.7.3 实体私钥损害处理程序

51 5.7.4 灾难后的业务连续性能力

51 5.8 电子认证服务机构或注册机构的终止.51 6. 认证系统技术安全控制.52 6.1 密钥对的生成和安装

52 6.1.1 密钥对的生成.52 6.1.2 私钥传送给订户.52 6.1.3 公钥传送给证书签发机构

53 6.1.4 电子认证服务机构公钥传送给依赖方

53 6.1.5 密钥的长度.53 6.1.6 公钥参数的生成和质量检查

53 6.1.7 密钥使用目的.53 6.2 私钥保护和密码模块工程控制.54 6.2.1 密码模块的标准和控制

54 6.2.2 私钥多人控制(m 选n)54 6.2.3 私钥托管.55 6.2.4 私钥备份.55 6.2.5 私钥归档.55 6.2.6 私钥导入、导出密码模块

55 6.2.7 私钥在密码模块的存储

55 6.2.8 激活私钥的方法.56 6.2.9 解除私钥激活状态的方法

56 6.2.10 销毁私钥的方法.56 6.2.11 密码模块的评估.56 6.3 密钥对管理的其他方面

57 6.3.1 公钥归档.57 6.3.2 证书操作期和密钥对使用期限

57 6.4 激活数据

57 6.4.1 激活数据的产生和安装

57 6.4.2 激活数据的保护.58 6.4.3 激活数据的其他方面

58 6.5 计算机安全控制

58 6.5.1 特别的计算机安全技术要求

58 6.5.2 计算机安全评估.59 6.6 生命周期技术控制

59 广西壮族自治区数字证书认证中心有限公司电子政务电子认证业务规则

6 6.6.1 系统开发控制.59 6.6.2 安全管理控制.59 6.6.3 生命期的安全控制.59 6.7 网络的安全控制

60 6.8 时间戳.60 7. 证书、证书吊销列表和在线证书状态协议

60 7.1 证书

60 7.1.1 版本号.60 7.1.2 证书扩展项.61 7.1.3 算法对象标识符.62 7.1.4 名称形式.62 7.2 证书吊销列表

64 7.2.1 版本号.64 7.2.2 CRL 和CRL 条目扩展项

64 7.3 在线证书状态协议

64 7.3.1 版本号.64 7.3.2 OCSP 扩展项.64 8. 认证机构审计和其他评估.64 8.1 评估的频率或情形

64 8.2 评估者的资质

65 8.3 评估者与被评估者之间的关系.65 8.4 评估内容

66 8.5 对问题与不足采取的措施

66 8.6 评估结果的传达与发布

66 9. 法律责任和其他业务条款.66 9.1 费用

66 9.1.1 证书签发和更新费用

66 9.1.2 证书查询费用.67 9.1.3 证书吊销或状态信息的查询费用

67 9.1.4 其他服务费用.67 9.1.5 退款策略.67 9.2 财务责任

68 9.3 业务信息保密

68 9.3.1 保密信息范围.68 9.3.2 不属于保密的信息.69 9.3.3 保护保密信息的责任

69 9.4 个人隐私保密

70 9.4.1 隐私保密方案.70 9.4.2 作为隐私处理的信息

70 9.4.3 不被视为隐私的信息

70 9.4.4 保护隐私的责任.70 9.4.5 使用隐私信息的告知与同意

71 广西壮族自治区数字证书认证中心有限公司电子政务电子认证业务规则

7 9.4.6 依法律或行政程序的信息披露

71 9.4.7 其他信息披露情形.71 9.5 知识产权

71 9.6 陈述与担保

72 9.6.1 电子认证服务机构的陈述与担保

72 9.6.2 注册机构的陈述与担保

73 9.6.3 订户的陈述与担保.73 9.6.4 依赖方的陈述与担保

74 9.6.5 其他参与者的陈述与担保

74 9.7. 赔偿责任限制

74 9.7.1. 赔偿责任范围.74 9.7.2. 对最终实体的赔偿担保.75 9.7.3. 责任免除.75 9.8 有限责任

77 9.9 赔偿

77 9.10 有效期限与终止.78 9.10.1 有效期限.78 9.10.2 终止.78 9.10.3 效力的终止与保留.78 9.11 对参与者的个别通告与沟通

79 9.12 修订.79 9.12.1 修订程序.79 9.12.2 通知机制和期限.79 9.12.3 必须修改业务规则的情形.79 9.13 争议处理.80 9.14 管辖法律.80 9.15 与适用法律的符合性

80 9.16 一般条款.81 9.16.1 完整协议.81 9.16.3 分割性.81 9.16.4 强制执行.81 9.16.5 不可抗力.81 9.17 其他条款.82 第10 章 支持服务管理.82 10.1 服务内容

82 10.1.1 面向证书持有者订户的服务支持.82 10.1.2 面向应用提供方的服务支持.83 10.2 服务方式

83 10.2.1 坐席服务.83 10.2.2 在线服务.83 10.2.3 现场服务.84 10.2.4 满意度调查.84 10.2.5 投诉处理.84 10.2.6 培训.84 广西壮族自治区数字证书认证中心有限公司电子政务电子认证业务规则

8 10.3 服务质量.84 10.4 证书应用集成支持服务.85 10.4.1 证书应用集成内容.85 10.4.2 证书应用接口.86 10.4.3 证书应用集成服务.87 10.4.4 决策支持信息服务.87 广西壮族自治区数字证书认证中心有限公司电子政务电子认证业务规则

9 1. 概括性描述 1.1 概述 广西壮族自治区数字证书认证中心电子认证业务规则 (以下简称 GXCA E-GOV CPS )由广西壮族自治区数字证书认证中心有限公司 按照国家密码管理局《电子政务电子认证服务管理办法》的要求,依据《电子政务电子认证服务业务规则规范》制定.以规范广西壮族自 治区数字证书认证中心有限公司(以下简称 GXCA )的电子政务电 子认证业务的管理,保障认证体系的可靠,维护电子认证的权威性, 有效地防范安全风险.明确规定GXCA 在审核、签发、发布、存档和 注销数字证书等证书生命周期管理以及相关的业务应遵循的各项操 作规范.? GXCA严格按照《中华人民共和国电子签名法》和《电子政务电子 认证服务管理办法》、《电子政务电子认证服务业务规则规范》等法 律法规要求,向电子政务用户提供电子认证服务.GXCA 认证体系内 的成员包括有GXCA(根CA)、注册机构(业务受理点,即RA)、数字 证书订户、证书依赖方等成员,组成体系完整的GXCA 电子认证架构, 为订户提供网上安全可靠的电子身份认证服务.? GXCA 认证体系内的所有成员都必须严格遵循和执行GXCA E-GOV CPS,并承担相应的责任. 广西壮族自治区数字证书认证中心有限公司电子政务电子认证业务规则

10 1.2 文档名称与标识 本文档名称是 《广西壮族自治区数字证书认证中心电子政务电子 认证业务规则》 ,简称为 GXCA E-GOV CPS,是GXCA 在颁发电子政务 证书........