公众及商务类通用证书策略版本2.1.doc

公众及企业类通用证书策略版本2.1 2008.3.11 目 录 1 介绍 1 1.1 概述 1 1.2 本文档名称以及识别 1 1.3 PKI各参与方 1 1.3.1 PKI职权机构 1 联邦首席信息官委员会 1 联邦PKI策略机构（FPKIPA） 2 联邦PKI运营机构 2 联邦PKI运营机构负责人 2 实体的主CA 2 C4CA 2 证书状态服务器 3 1.3.2 注册机构 3 1.3.3 使用者（订户） 3 1.3.4 依赖方 3 1.3.5 其他参与方 4 1.4 证书用途 4 1.4.1 正确的用途 4 1.4.2 禁止的用途 4 1.5 策略管理 4 1.5.1 本证书策略的管理机构 4 1.5.2 联系人 4 1.5.3遵循本证书策略的CPS确认机关 4 1.5.4 CPS批准程序 5 2 证书公开和存储责任 5 2.1 存储 5 2.2 认证信息的发布 5 2.3 发布时间或频率 5 2.4 证书库的访问控制 5 3 身份确认和验证 6 3.1 命名 6 3.2 初始身份确认 6 3.3 密钥更新请求中的身份确认和验证 6 3.4 证书撤销请求中的身份确认及验证 6 4 证书生命周期运行要求 7 4.1 证书申请 7 4.2 证书申请程序 7 4.3证书发放 7 4.4 证书的接受 7 4.5 密钥对和证书用途 7 4.6 证书的续期 7 4.7 证书密钥更新(re-key) 7 4.8 证书修改 7 4.9 证书撤销与暂停 8 4.10 证书状态服务 8 4.11 使用结束 8 4.12 密钥托管与恢复 8 5 设施、管理和运营控制 8 5.1 物理控制 8 5.2 程序控制 8 5.3 人员控制 8 5.4 审计日志程序 9 5.5 记录管理 9 5.6 密钥更换 9 5.7 灾难恢复 9 5.8 CA或RA终止服务 9 6 技术方面的安全控制 9 6.1 密钥对的产生与安装 9 6.1.1 密钥对的产生 9 6.1.2私钥分发到用户 9 6.1.3 公钥分发到证书发行机构 10 6.1.4 CA的公钥分发到依赖方 10 6.1.5 密钥长度 10 6.1.6 公钥参数的产生与质量检查 10 6.1.7 密钥用途 10 6.2 私钥保护和加密模块的工程控制 10 6.3 密钥对管理的其他方面 11 6.4 激活数据 11 6.5 计算机安全控制 11 6.6 生命周期技术控制 11 6.7 网络安全控制 11 6.8 时间戳 11 7 证书，证书撤销列表（CRL），在线证书状态协议（OCSP）的属性 11 8 审计、评估 11 9 其他商业和法律事务 12 9.1 费用 12 9.2财务责任 12 9.3 商业信息必威体育官网网址 12 9.4 个人隐私 12 9.5 知识产权 12 9.6 声明与保证 12 9.6.1 CA声明与保证 12 9.6.2 RA 声明与保证 12 9.6.3 使用者声明与保证 13 9.6.4 依赖方声明与保证 13 9.6.5其他参与方声明与保证 13 9.7保证的免责说明 13 9.8 责任限制 13 9.9 赔偿 13 9.10 期限与终止 13 9.10.1 期限 13 9.10.2 终止 13 9.10.3终止的效力和遗留 14 9.11 个人通知及与参与方的沟通 14 9.12 修正 14 9.12.1 修正程序 14 9.12.2 通知机制与周期 14 9.12.3 在什么情况下修改OID 14 9.13 争议解决条款 14 9.14 适用法律条款 14 9.15 适用法律的遵守 14 9.16 杂项 15 9.16.1 全部协议 15 9.16.2 转入 15 9.16.3条文各别有效性 15 9.16.4 强制执行（律师费及放弃权利） 15 9.16.5 不可抗力 15 9.17 其他规则 15 参考文献 15 附录A 缩写 16 附录B C4CA基本要求 16 B.1 介绍 16 B.2 公开和存储责任 17 B.3 身份验证和确认 17 B.3.1 命名 17 B.3.1.1 名字类型 17 B.3.1.2 名字的有效性 17 B.3.1.3 使用者的匿名或者假名 17 B.3.1.4 各种名字形式的解释规则 17 B.3.1.5 名字的唯一性 17 B.3.1.6 商标的识别，认证和作用 17 B.3.2 初始身份确认 17 B.3.2.1 证明拥有私钥的方法 17 B.3.2.2 组织的身份的鉴定 17 B.3.2.3个人的身份的鉴定 18 B.3.2.4 未证实的用户信息 18 B.3.2.5 认证中心的验证 18 B.3.2.6 互操作标准 18 B.3.3 密钥更新(re-key)请求中的身份确认和验证 18 B.3.3.1 日常密