【正文】 取得用戶公鑰后為其簽發(fā)證書，在此過程中也采用國家密碼管理局許可的對稱密鑰算法加密，保證傳輸中數(shù)據(jù)的安全。 電子認證服務(wù)機構(gòu)公鑰傳送給依賴方遼寧CA的根公鑰包含在遼寧CA自簽的根證書中。證書用戶可以從遼寧 CA 的網(wǎng)站上下載遼寧 CA 根證書。 密鑰的長度遼寧 CA 所使用的密鑰對長度支持 1024 位。 公鑰參數(shù)的生成和質(zhì)量檢查公鑰參數(shù)由國密辦許可、遼寧CA 數(shù)字證書簽發(fā)系統(tǒng)支持的硬件生成，同時進行質(zhì)量檢查。 密鑰使用目的在遼寧 CA 證書服務(wù)體系中的密鑰用途和證書類型緊密相關(guān)。遼寧CA 的簽名密鑰用于簽發(fā) RA 證書和證書廢止列表（CRL）。 簽名密鑰用于提供網(wǎng)絡(luò)安全服務(wù)，如信息在傳輸過程中不被篡改、接收方能夠通過數(shù)字證書來確認發(fā)送方的身份、發(fā)送方對于自己發(fā)送的信息不能抵賴等。加密密鑰用于對需在網(wǎng)絡(luò)上傳送的信息進行加密，保證信息除發(fā)送方和接受方外不被其他人竊取、篡改。 私鑰保護和密碼模塊工程控制 密碼模塊的標(biāo)準(zhǔn)和控制遼寧CA 使用國家密碼管理局許可的產(chǎn)品，密碼模塊的標(biāo)準(zhǔn)符合國家規(guī)定的要求。 私鑰多人控制（m選n）遼寧CA 采用多人控制策略激活、使用、停止遼寧CA 的簽名密鑰。 私鑰托管KMC 可以根據(jù)客戶和法律的需要，對加密密鑰進行托管。簽名私鑰從不進行托管，以保證其不可否認性。 私鑰備份證書的持有者可以備份他們的私鑰，以確保這些私鑰的安全。 私鑰歸檔KMC 提供過期的托管私鑰的存檔服務(wù)。、導(dǎo)出密碼模塊在遼寧CA 證書服務(wù)體系中，使用遼寧 CA 的軟件可以把私鑰導(dǎo)入密碼模塊中。私鑰無法從硬件及軟件密碼模塊中導(dǎo)出。必須通過密碼驗證之后，才可能使用存儲在密碼模塊中的私鑰進行加解密操作。 私鑰在密碼模塊的存儲證書的持有者可以將私鑰保存在硬件密碼模塊中，也可以保存在軟件密碼模塊中。遼寧CA 的簽名私鑰保存在硬件密碼模塊中。 激活私鑰的方法在遼寧 CA 證書服務(wù)體系中，必須通過密碼驗證后，方可激活私鑰。 解除私鑰激活狀態(tài)的方法在遼寧 CA 證書服務(wù)體系中，通過終止程序來停止私鑰。 銷毀私鑰的方法凡用戶需要銷毀私鑰，應(yīng)通知遼寧 CA，由 KMC 進行銷毀。 密碼模塊的評估遼寧CA 使用國家密碼管理局許可的密碼模塊，密碼模塊的標(biāo)準(zhǔn)應(yīng)符合國家規(guī)定的要求。所有密碼模塊的使用應(yīng)在遼寧省KMC進行登記備案。 密鑰對管理的其他方面 公鑰歸檔公鑰屬于安全數(shù)據(jù)，由遼寧省 KMC 定期存檔、管理。 證書操作期和密鑰對使用期限遼寧CA 根證書有效期為 10 年，用戶證書由于考慮到安全性，目前提供的證書有效期一般為一年，但系統(tǒng)支持在根證書有效期內(nèi)的任意期限，最短可定制到一天。 激活數(shù)據(jù) 激活數(shù)據(jù)的產(chǎn)生和安裝激活數(shù)據(jù)包括遼寧 CA 提供的證書私鑰口令、被加密的數(shù)據(jù)等。 激活數(shù)據(jù)的保護遼寧CA 采取加解密機制等多種方式保護激活數(shù)據(jù)，以避免未授權(quán)的使用。未授權(quán)用戶企圖使用激活數(shù)據(jù)達到預(yù)定的數(shù)目時，激活數(shù)據(jù)會自動鎖定。 計算機安全控制 特別的計算機安全技術(shù)要求遼寧 CA 的數(shù)字證書簽發(fā)系統(tǒng)的數(shù)據(jù)文件和設(shè)備由遼寧 CA 系統(tǒng)管理員維護，未經(jīng)遼寧 CA系統(tǒng)管理員授權(quán)，其它人員不能操作和控制遼寧 CA 系統(tǒng)；遼寧 CA 系統(tǒng)部署在多級不同廠家的防火墻之內(nèi)，確保系統(tǒng)網(wǎng)絡(luò)安全；遼寧 CA系統(tǒng)密碼有最小密碼長度要求，而且必須符合復(fù)雜度要求；遼寧 CA 系統(tǒng)管理員定期更改系統(tǒng)密碼。 計算機安全評估遼寧 CA 使用的密碼設(shè)備是通過國家密碼管理局批準(zhǔn)生產(chǎn)的密碼設(shè)備。 生命周期技術(shù)控制 系統(tǒng)開發(fā)控制遼寧 CA 的軟件設(shè)計和開發(fā)過程遵循以下原則：l 第三方的驗證和審核l 安全風(fēng)險和可靠性設(shè)計 安全管理控制遼寧 CA 的配置以及任何修改和升級都會記錄在案并進行控制，遼寧 CA 采取一種靈活的管理體系來控制和監(jiān)視系統(tǒng)的配置，以防止未授權(quán)的修改。 網(wǎng)絡(luò)的安全控制遼寧CA有防火墻以及其他訪問控制機制保護，其配置只允許已授權(quán)的機器訪問。 只有經(jīng)過授權(quán)的遼寧CA員工才能夠進入遼寧CA 簽發(fā)系統(tǒng)、遼寧CA注冊系統(tǒng)、遼寧 CA目錄服務(wù)器、遼寧CA證書發(fā)布系統(tǒng)等設(shè)備或系統(tǒng)。所有授權(quán)用戶必須有合法的安全令牌，并且通過密碼驗證。 時間戳遼寧CA暫時不提供時間戳服務(wù)。、證書吊銷列表和在線證書狀態(tài)協(xié)議 證書遼寧CA簽發(fā)的證書符合《公鑰和屬性證書框架（GB/T ）》中聲明的證書格式。 版本號V3 證書擴展項遼寧CA頒發(fā)的證書除支持IETF RFC3280中定義的擴展項外，還支持私有擴展項。遼寧CA采用的IETF RFC3280中定義的擴展項有：●頒發(fā)機構(gòu)密鑰標(biāo)識符 Authority Key Identifier●主題密鑰標(biāo)識符 Subject Key Identifier●密鑰用法 Key Usage●基本限制 Basic Constraints●CRL分發(fā)點 CRL Distribution Points私有擴展項有：● ”” 個人身份標(biāo)識碼● ”” 個人社會保險號● ”” 企業(yè)組織機構(gòu)代碼● ”” 企業(yè)工商注冊號● ”” 企業(yè)國稅號● ”” 企業(yè)地稅號 名稱形式 甄別名格式。一個完整的名稱應(yīng)當(dāng)符合下面的格式，如：屬性值舉例Country（C） =國家CNOrganization（O） =個人證書和設(shè)備證書：單位名稱單位證書：上級主管單位遼寧CAOrganizational Unit （OU） =個人證書：“@”+身份識別碼單位證書：“@”+企業(yè)代碼證號
3：.1系中，通過終止程序來停止私鑰，