PDF《网证通电子认证业务规则》

网证通电子认证业务规则 V5.

6版 生效日期:2019年4月2日www.cnca.net 广东省电子商务认证有限公司 Guangdong Electronic Certification Authority 网证通电子认证业务规则 V5.6 广东省电子商务认证有限公司 第1页修订历史版本 修订日期 修订说明 V1.0

2000 年 为初次提供电子认证服务编写.命名为《网证通认证业务操 作规范》 ,试行版. V2.0

2003 年3月1日为符合《广东省电子交易条例》而修订. V3.0

2005 年7月20 日 为符合《中华人民共和国电子签名法》而修订.更名为《网 证通认证业务声明》 . V4.0

2007 年6月1日为更符合《电子认证业务规则规范(试行) 》而重新编写, 并修订错误描述.更名为《网证通电子认证业务规则》 . V4.1

2011 年5月1日对订户的定义、初始身份确认、火灾预防和保护、CA 业务 终止、注册机构业务终止等内容进行了修订.增加了证书变 更操作规范、入侵侦测报警系统控制方法、证书密钥用法、 审计依据等内容.更正了不规范名称的文字描述. V4.2

2013 年2月1日为符合《粤港电子签名证书互认证书策略》而修订,主要是 补充了有关粤港互认证书的明确描述. V4.3

2013 年7月1日详细说明了 审计日志的备份 的具体操作方式,增加了归 档记录种类列表的内容,将档案保存期限由五年改为十年, 并详细说明了 OCSP 的操作方式及所提供的信息. V4.4

2015 年3月31 日就NETCA 增加 SM2 算法的根及相关证书格式标准、算法 OID、密钥长度等进行了描述;

修订 3.2.3 个人的身份确 认 ,明确在签发满足《粤港电子签名证书互认证书策略》 的数字证书时, 面对面审核查验证明其个人身份的原件 是NETCA 必须采取的方式;

对 4.11 订购结束 中 证 书在有效期内被注销 的情形做出解释. V4.5

2015 年9月25 日 修改 1.4.1 适用的证书应用 中 机构证书 的适用范围 定义;

增加 3.2.2 机构的身份确认 中证照种类;

修订 9.1.1 证书签发和更新费用 ,明晰证书类型对应的市场售价范 围. V5.0

2017 年5月2日增加支持多根的运营政策.修订和补充了相关章节,文章整 体结构未作变化.主要根据 1.3.1 章补充,其他章节作相应 的修订.并在兼容之前证书策略的前提下支持不同等级 CA 颁发证书的策略区分.增加了附录 A、B、C. V5.1

2017 年9月12 日CCS NETCA Root L3 和CCS NETCA Root L2 下各签发二 级CA,因此修订附录 B. V5.2

2018 年5月7日若干勘误,以及签发 SM2 L1 体系和 NETCA L3 Sub2 CA 而修订相关章节. 网证通电子认证业务规则 V5.6 广东省电子商务认证有限公司 第2页V5.3

2018 年9月6日CCS NETCA Root L1 下签发二级 CA 以及添加扩展密钥用 途自定义项,因此修订相关附录. V5.4

2018 年9月28 日CCS NETCA Root L1 下签发二级 CA 以及添加扩展密钥用 途自定义项,因此修订相关附录. V5.5

2018 年11 月30 日 新增 3.2.4 机构中个人的身份确认 , 以及更新 1.1 概述 中的《粤港电子签名证书互认证书策略》链接地址. V5.6

2019 年4月2日NETCA 下签发三级 CA 而修订相关附录,以及修订密码模 块、证书策略等章节的描述. 网证通电子认证业务规则 V5.6 广东省电子商务认证有限公司 第3页目录第1章概括性描述

6 1.1 概述.6 1.2 文档名称与标识.6 1.3 认证体系的成员.7 1.4 证书应用.10 1.5 策略管理.11 1.6 定义和缩写.12 第2章信息发布与信息管理

15 2.1 信息库.15 2.2 认证信息的发布.15 2.3 发布时间或频率.16 2.4 对信息的访问控制.16 第3章身份标识与鉴别.17 3.1 命名.17 3.2 初始身份确认.18 3.3 证书(密钥)更新请求中的身份鉴别.22 3.4 证书注销请求中的身份鉴别.22 第4章证书生命周期操作规范.22 4.1 证书申请.22 4.2 证书申请处理.23 4.3 证书签发.23 4.4 证书接受.24 4.5 密钥对和证书的使用.24 4.6 证书更新.25 4.7 证书密钥更新.26 4.8 证书变更.26 4.9 证书的注销和挂起.27 4.10 证书状态服务.28 4.11 订购结束.28 4.12 密钥生成、备份和恢复.29 第5章认证机构设施、管理和操作控制.29 5.1 物理控制.29 5.2 操作过程控制.31 5.3 人员控制.32 5.4 审计日志程序.33 5.5 记录归档.35 5.6 CA 的密钥更替

36 网证通电子认证业务规则 V5.6 广东省电子商务认证有限公司 第4页5.7 损害和灾难恢复.36 5.8 CA 或RA 业务终止.37 第6章认证系统技术安全控制.38 6.1 密钥对的生成和安装.38 6.2 私钥保护与密码模块的控制.39 6.3 密钥对的其它管理.41 6.4 激活数据.41 6.5 计算机和网络安全控制.42 6.6 生命周期技术控制.43 6.7 网络安全性控制.43 6.8 数字时间戳.43 第7章证书、CRL 和OCSP

44 7.1 证书.44 7.2 CRL.46 7.3 OCSP.46 第8章认证机构审计和其他评估.47 8.1 审计的依据.47 8.2 审计的形式.47 8.3 审计或评估的频率.47 8.4 审计或评估人员的资质.47 8.5 审计或评估人员与 NETCA 的关系.48 8.6 审计或评估的内容.48 8.7 对问题与不足采取的措施.48 8.8 审计或评估结果的传达与发布.48 第9章法律责任和其它业务条款.48 9.1 费用.48 9.2 财务责任.49 9.3 业务信息保密.49 9.4 个人隐私保密.50 9.5 知识产权.51 9.6 陈述与担保.52 9.7 担保免责.53 9.8 NETCA 偿付责任及其限制.54 9.9 订户和依赖方责任.54 9.10 有效期限与终止.55 9.11 对参与者的个别通告与沟通.55 9.12 修订.55 9.13 争议处理.56 9.14 管辖法律.56 9.15 与适用法律的符合性.56 网证通电子认证业务规则 V5.6 广东省电子商务认证有限公司 第5页9.16 一般条款.57 9.17 其它条款.58 附录 A. 常用自定义扩展项

59 用户证书服务号.59 企业机构身份标识.59 个人身份标识.59 前证书微缩图.60 附录 B. 体系结构.61 B.1. NETCA Root ClassA.61 B.2. CCS NETCA Root L3.61 B.3. CCS NETCA Root L2.62 B.4. CCS NETCA Root L1.62 B.5. CCS NETCA SM2 Root L1

63 B.6. ROOTCA.63 附录 C. 数字证书格式模板

64 附录 D. 扩展密钥用途自定义项.65 D.1. 电子发票.65 D.2. DG-EGOV

65 网证通电子认证业务规则 V5.6 广东省电子商务认证有限公司 第6页第1章 概括性描述 1.1 概述 《网证通电子认证业务规则》 (以下简称 NETCA CPS )是广东省电子商 务认证有限公司按照工业和信息化部 《电子认证服务管理办法》 的要求, 依据 《电 子认证业务规则规范(试行) 》制定.以规范广东省电子商务认证有限公司(以 下简称 NETCA 1)的电子认证业务的管理,保障认证体系的可靠,维护电子 认证的权威性,有效地防范安全风险.明确规定 NETCA 在审核、签发、发布、 存档和注销数字证书等证书生命周期管理以及相关的业务应遵循的各项操作规 范. NETCA 按照《中华人民共和国电子签名法》及《电子认证服务管理办法》 等法律法规要求,向公众提供电子认证服务.NETCA 认证体系内的成员包括有 NETCA(证书颁发机构,即CA) 、注册机构(业务受理点,即RA) 、数字证书 订户、证书依赖方等成员,组成体系完整的 NETCA 电子认证架构,为订户提供 网上安全可靠的电子身份认证服务. NETCA 认证体系内的所有成员都必须严格遵循和执行 NETCA CPS,并承 担相应的责任. 随着数字证书应用的推广, NETCA 认证体系内建立和运营了多个根 CA, 并 对多个根 CA 进行不同等级的划分, 以适应订户的不同的应用需求. 同时, NETCA 也在国家根 CA 下运营了一个二级 CA.订户可以选择合适自己的根 CA 所签发 的数字证书. 当前 NETCA CPS 版本在颁发证书策略 OID 为1.3.6.1.4.1.18760.1.

10、 1.3.6.1.4.1.18760.20.10.

3、1.3.6.1.4.1.18760.20.10.2 的证书时满足《中华人 民共和国电子签名法》要求的一般性策略证书的颁发,该类证书可用于可靠性签 名.同时,NETCA CPS 在颁发证书策略 OID 为2.16.156.339.1.1.1.2.1 (自然人 2) / 2.16.156.339.1.1.2.2.1 (法人 3)的证书(以下简称 粤港互认证书 )时亦满 足《粤港电子签名证书互认证书策略》 . 1.2 文档名称与标识 1.2.1 名称 本文档的名称是《网证通电子认证业务规则》 ,简称为 NETCA CPS,是NETCA 在颁发证书过程中所采取的业务操作规则规范.之前的版本亦称为《广 东省电子商务认证有限公司认证业务声明》 ,为指同一文件.

1 NETCA 在表示机构时为 广东省电子商务认证有限公司 简称,在表示产品和服务时为品牌名称. 网 证通 与 NETCA 具有相同的含义.

2 自然人 证书类型归属于 1.4 证书应用 中的 个人证书 .

3 法人 证书类型归属于 1.4 证书应用 中的 机构证书 . 网证通电子认证业务规则 V5.6 广东省电子商务认证有限公司 第7页1.2.2 版本 本NETCA CPS 是NETCA 发布的第十六个版本,当前版本号为 V5.6. 1.2.3 标识 NETCA CPS 的标识(OID ) 为:1.3.6.1.4.1.18760.12 ;

其中1.3.6.1.4.1.18760 为广东省电子商务认证有限公司的 OID. 1.3 认证体系的成员 1.3.1 电子认证服务机构 NETCA 是根据 《中华人民共和国电子签名法》 及 《电子认证服务管理办法》 规定依法设立的电子认证服务机构 (简称 CA) , 是网上安全电子交易中具有权威 性和公正性的可信赖的第三方机构.NETCA 为电子事务的各参与方签发标识其 身份的数字证书,并对数字证书进行更新、注销等一系列管理.NETCA 设立认 证(安全)策略管理委员会,进行相关业务管理活动.NETCA 下设服务中心、 服务分中心及业务受理点(RA) ,为公众提供相应的电子认证服务(受理、审核 和颁发数字证书等)及服务咨询. 1.3.1.1 NETCA 的根 NETCA 建立的自有根包括以下五个: 序号 根CA 名称 说明

1 NETCA Root ClassA NETCA Root ClassA 是NETCA 电子认证服务系统 的RSA 算法根的名称,甄别名为 CN=NETCA Root ClassA, O=NETCA Certificate Authority, C=CN, 密钥长度为RSA

2048 位,使用SHA1WithRSAEncryption 签名算法签发证书, 有效 期为

30 年.

2 CCS NETCA Root L3 CCS NETCA Root L3 是NETCA 电子认证服务系统 的RSA 算法根的名称,甄别名为 CN= CCS NETCA Root L3, O=NETCA Certificate Authority, C=CN, 密钥长度为RSA

4096 位,使用SHA256WithRSAEncryption 签名算法签发证书, 有效期为

20 年. 网证通电子认证业务规则 V5.6 广东省电子商务认证有限公司 第8页序号 根CA 名称 说明

3 CCS NETCA Root L2 CCS NETCA Root L2 是NETCA 电子认证服务系统 的RSA 算法根的名称,甄别名为 CN= CCS NETCA Root L2, O=NETCA Certificate Authority, C=CN, 密钥长度为RSA

4096 位,使用SHA256WithRSAEncryption 签名算法签发证书, 有效期为

20 年.

4 CCS NETCA Root L1 CCS NETCA Root L1 是NETCA 电子认证服务系统 的RSA 算法根的名称,甄别名为 CN= CCS NETCA Root L1, O=NETCA Certificate Authority, C=CN, 密钥长度为RSA

4096 位,使用SHA256WithRSAEncryption 签名算法签发证书, 有效期为

20 年.

5 CCS NETCA SM2 Root L1 CCS NETCA SM2 Root L1 是NETCA 电子认证服务 系统的 SM2 算法根的名称,甄别名为 CN= CCS NETCA SM2 Root L1 , O=NETCA Certificate Authority,C=CN,密钥长度为 SM2

256 位,使用 SM3WithSM2Encryption 签名算法签发证书, 有效 期为

30 年. 1.3.1.2 国家根下的独立运营 CA 序号 根CA 名称 说明 - ROOTCA(国家 根CA) ROOTCA(国家根 CA)是NETCA 电子认证服务系 统加入国家根 CA 认证体系的根 CA 名称,甄别名为 CN=ROOTCA,O=NRCAC,C=CN,密钥长度为 SM2

256 位,使用 SM3WithSM2Encryption 签名 算法签发证书,有效期为

30 年.

6 NETCA(二级运 营CA) NETCA 为加入国家根 CA 认证体系的二级 CA 名称, 甄别名为 CN=NETCA,O= NETCA Certificate Authority,C=CN,密钥长度为 SM2

256 位,使用 SM3WithSM2Encryption 签名算法签发证书, 有效 网证通电子认证业务规则 V5.6 广东省电子商务认证有限公司 第9页期为

20 年. 1.3.1.3 各CA 的区别与划分 根据审核方式的不同........