【導讀】本電子認證業(yè)務(wù)規(guī)則受到完全的版權(quán)保護。本文件中所涉及的“安徽省電子認證管理中。及其標識等，均由安徽省電子認證管理中心有限責任公司獨立享有版權(quán)和其它知識產(chǎn)權(quán)。傳播，并應保證復制、傳播文件的準確性、完整性。

　　

【正文】 稱為二級 CA 用于簽發(fā)證書。安徽CA 由證書認證機構(gòu)（ CA）和證書注冊審批機構(gòu) （ RA）兩大部分組成。以下為安徽 CA 認證系統(tǒng)結(jié)構(gòu)圖示： 注冊機構(gòu)（ Registration Authority） 根據(jù)安徽省信息安全建設(shè)的長遠規(guī)劃，全省各地市、數(shù)字證書各應用行業(yè)（單位）可以建立安徽 CA 數(shù)字證書注冊機構(gòu)。數(shù)字證書注冊機構(gòu)（ Registration Authority），簡稱 RA，是安徽 CA 授權(quán)委托的下屬機構(gòu)，是安徽 CA 數(shù)字認證體系的一個組成部分，在安徽 CA 的統(tǒng)一領(lǐng)導和集中管理下開展業(yè)務(wù)活動。 RA 的業(yè)務(wù)范圍包括：負責收集潛在申請人的標識鑒別文件；執(zhí)行校驗和審核最終 用戶提出請求可信度的初始步驟，并開始向最終用戶發(fā)行數(shù)字證書的工作程序；通過安徽 CA 制定的審核步驟，確定頒發(fā)的證書的有效性和真實性；承擔發(fā)布 CRL 并保證 CRL 準確性與及時性的責任；使用安徽 CA 確定的信息傳輸協(xié)議和標準，與安徽 CA 交換信息。 安徽 CA 負責對 RA 提供技術(shù)支持，對其日常運營業(yè)務(wù)進行指導，由當?shù)匦畔⒑兔艽a 管理機構(gòu)負責監(jiān)管。安徽 CA 定期對數(shù)字證書注冊機構(gòu)系統(tǒng)的安全策略、運營管理制度等進行審核。對存在嚴重安全隱患的數(shù)字證書注冊機構(gòu)，安徽 CA 有權(quán)暫停其受理數(shù)字證書注冊業(yè)務(wù)資格，同時提出處理意 見報省信息化主管部門、省國家密碼管理機構(gòu)審批，由省信息化主管部門、省國家密碼管理機構(gòu)做出最終處置意見。 對于安徽 CA 提供的屬于安徽 CA 專有的技術(shù)、軟件開發(fā)包， RA 只有使用權(quán)，并對其承擔保密義務(wù)。 RA 無權(quán)將未經(jīng)安徽 CA 授權(quán)的屬于安徽 CA 獨有的技術(shù) /產(chǎn)品以任何方式讓第三方知道和使用，并應對泄密承擔相應責任。 安徽 CA 的 RA 系統(tǒng)分為本地 RA 和外部 RA。 本地 RA: 指 RA 服務(wù)器設(shè)立在安徽 CA 的 RA 系統(tǒng)，現(xiàn)分為兩種：一種為安徽 CA 直屬 RA，歸安徽 CA 所有，由安徽 CA 使用，為證書總量相對 較?。ㄔ?5000 以下）的企業(yè)提供證書申請審批、證書信息錄入以及證書發(fā)放并進行部分管理服務(wù)，適合于不建立 RA 系統(tǒng)、沒有 RA 操作人員的企業(yè)和組織使用。另一種為托管 RA，歸托管 RA 的企業(yè)或組織所有，由托管 RA 的企業(yè)或組織使用，為證書總量相對較?。ㄔ?5000 以下）或證書審核嚴格或證書管理復雜的的企業(yè)和組織提供證書申請審批、證書信息錄入以及證書發(fā)放并進行部分管理服務(wù)，適合于需要對 RA 系統(tǒng)功能進行客戶化定制和需要自主管理 RA 系統(tǒng)的企業(yè)和組織使用。 外部 RA： 指 RA 服務(wù)器設(shè)立在企業(yè)或組織中的 RA 系統(tǒng) ，歸企業(yè)或組織所有，由企業(yè)或組織使用，為證書總量較大或證書審核嚴格或證書管理復雜的企業(yè)或組織提供證書申請審批、證書信息錄入以及證書發(fā)放并進行部分管理服務(wù)，采用安全方式與安徽 CA 連接。外部 RA 現(xiàn)分兩種：一種為直連 RA， RA 服務(wù)器通過 Inter 或者專線按照 CA 的接口與安徽 CA 系統(tǒng)直接相連，進行數(shù)據(jù)和指令的傳輸。一種為前置機 RA,RA 系統(tǒng)和安徽 CA 的前置機系統(tǒng) (簡稱 FEP)相連，這種方式下，對 CA 系統(tǒng)的安全可靠性控制和集成化程度更高，隱藏了接口的復雜性，為用戶提供更為簡單易用的 RA 開發(fā)接 口。處理方式有兩種：批處理方式和聯(lián)機實時處理方式。 RA 系統(tǒng)一般為兩層結(jié)構(gòu)，分為 RA 服務(wù)器和 RA 受理點 LRA。 LRA 是面向最終用戶的注冊審核機構(gòu)，其主要功能是對用戶提交的資料進行審核，以決定是否同意為該申請者發(fā)放證書。 LRA 的身份由 RA 審核， LRA 的操作員證書由運行 CA 簽發(fā)。 LRA 作為 RA 的下級機構(gòu)，它不直接與 CA 進行數(shù)據(jù)交換， CA 不接收來自 LRA 的證書簽發(fā)請求， LRA 的證書簽發(fā)請求由 RA 轉(zhuǎn)發(fā)給 CA。 RA 服務(wù)器負責安全地和安徽 CA 的 CA 服務(wù)器交換數(shù)據(jù)。對于直屬 RA 的 情況， RA 服務(wù)器和 LRA 均在安徽 CA；對于托管 RA 的情況， RA 服務(wù)器在安徽 CA 但由托管方操作，LRA 設(shè)在托管方；對于外部 RA 的情況， RA 服務(wù)器在組織機構(gòu)的總部，在需要應用證書的分支機構(gòu)設(shè)置 LRA。 受理點 數(shù)字證書受理點也是安徽 CA 數(shù)字認證體系的一個組成部分，其直接隸屬于安徽 CA 或隸屬于安徽 CA 下屬的某個 RA。 受理點的業(yè)務(wù)范圍包括：受理數(shù)字證書業(yè)務(wù)，包括證書申請、證書注銷、證書恢復、證書更新；審核用戶信息的真實性及用戶身份的真實性；保障數(shù)字證書發(fā)放的正確性。 受理點應嚴格 遵守安徽 CA 制定的所有運行策略、操作管理規(guī)范和安全保障措施，嚴密保守客戶及公司的商業(yè)秘密和技術(shù)秘密，承擔因工作人員操作失誤對用戶造成直接經(jīng)濟損失所應承擔的相應責任。 證書持有者 證書持有者，也稱為證書用戶，指持有安徽 CA 頒發(fā)的各類證書且持有與列示于證書安中的公鑰相對應的私鑰的人、物對象或單位組織，包括個人、企業(yè)、團體、提供網(wǎng)上服務(wù)或享受網(wǎng)上服務(wù)的實體和應用服務(wù)器等。 證書依賴方 證書依賴方是指在安徽 CA 證書服務(wù)體系之內(nèi)作為依賴于數(shù)字證書真實性的實體，在電子簽名應用中，即為電子簽 名依賴方。依賴方可以是、也可以不是一個訂戶。在安徽 CA 體系中，是信任安徽 CA 證書，可以對使用安徽 CA 證書機制進行的數(shù)字簽名進行驗證，使用其他安徽 CA 證書用戶的公鑰加密信息的實體。 訂戶 從電子認證服務(wù)機構(gòu)接收證書的實體。在電子簽名應用中，訂戶即為電子簽名人。指證書和證書相關(guān)服務(wù)的使用者，目前安徽 CA 的數(shù)字證書在網(wǎng)上銀行、電子商務(wù)和電子政務(wù)領(lǐng)域有廣泛的應用。 其他參與者 指在安徽 CA 證書應用體系和服務(wù)體系中除上述的電子認證機構(gòu)、數(shù)字證書注冊機構(gòu)、數(shù)字證書受理點、證書持有者、 證書依賴方、證書申請者之外的其他實體，如證書制造機構(gòu)、證書庫服務(wù)提供者以及其他提供電子認證相關(guān)服務(wù)的實體等。 證書應用 適合的證書應用 安徽 CA擁有下表所屬的數(shù)字證書類型。除安徽 CA電子認證業(yè)務(wù)規(guī)則或證書自身禁止， 使用安徽 CA 所規(guī)定的任何證書應由每個證書申請者自由選擇。鑒于安徽 CA 對不同類型證書所提供的服務(wù)及承擔的義務(wù)也有所不同，因此安徽 CA 采取不同的證書價格規(guī)定，并已發(fā)布在安徽 CA 數(shù)字簽名的網(wǎng)站上 。 安徽 CA 數(shù)字證書種類及應用范圍 證書種類 應用范圍 個人安全電子郵件證書 安全電子郵件傳送或向需要客戶驗證的 Web 服務(wù)器表明身份 個人身份證書 個人在網(wǎng)上活動中表明身份 企業(yè)或機構(gòu)安全電子郵件證書 安全電子郵件傳送或向需要客戶驗證的 Web 服務(wù)器表明身份 企業(yè)或機構(gòu)身份證書 在企業(yè)的電子商務(wù)活動中表明企業(yè)身份 服務(wù)器證書 用于表明服務(wù)器身份，主要用于網(wǎng)站交易服務(wù)器 個人代碼簽名證書 代表軟件開發(fā)者身份，對其開發(fā)的軟件進行數(shù)字簽名 企業(yè)代碼簽名證書 代表軟件開發(fā)企業(yè)身份，對其開發(fā)的軟件進行數(shù)字簽名 ...... …… 限制的證書應用 證書服務(wù)系統(tǒng)有證書申請禁止功能，其發(fā)布在由安徽 CA 簽名的列表上，同時發(fā)布在則由此造成的法律后果由用戶自己承擔。 策略管理 策略權(quán)威為首席信息官員，負責收集、協(xié)調(diào)策略權(quán)威（ PA）小組的建議和意見，使其 達成一致意見，同時負責開發(fā)、維護認證策略文件（ CP）。 PA 和其小組成員負責對該 CPS進行審核，以確保 CPS 文件與 CP 文件保持一致。通常根據(jù)需要 PA 小組每年舉行 4 次 會議。 PA 小組的其他成員可由來自于人力資源部，財務(wù)部，法律顧問部，審計部，安全部，運維部以及技術(shù)支持部等部門的代表組成。 策略文檔管理機構(gòu) 本電子認證業(yè)務(wù)規(guī)則由安徽 CA 決定其制訂、更新、發(fā)布等事宜，安徽 CA 完全擁有本電子認證業(yè)務(wù)規(guī)則的版權(quán)。 聯(lián)系人 聯(lián)系人：安徽 CA 技術(shù)部 地址：安徽省合肥市太湖路 99 號 電話： 05515205726 5205729 傳真： 05515205719 電子郵址： 決定 CPS 符合策略的機構(gòu) 安徽省電 子認證管理中心有限責任公司總經(jīng)理辦公會擁有對安徽 CA 電子認證業(yè)務(wù)規(guī)則的決策權(quán)和審批權(quán)。 CPS 批準程序 CPS 批準主要分為計劃、編寫、審議和發(fā)布四個階段： （ 1） 計劃：安徽 CA 根據(jù)相關(guān)法律政策和運營策略提出 CPS 編寫（修訂）計劃。 （ 2） 編寫：組成 CPS 編寫（修訂）小組，完成具體條款編寫工作。 （ 3） 審議：編寫（修訂）后的 CPS 遞交安徽 CA 總經(jīng)理辦公會，并由部門和決策層審議。 （ 4） 發(fā)布：安徽 CA 總經(jīng)理辦公會審議通過后，在征詢安徽 CA 律師的意見后，通過安徽 CA 網(wǎng)站或 其他形式正式對外發(fā)布。 定義和縮寫 定義 （ 1）公鑰基礎(chǔ)設(shè)施（ PKI）：是利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。它能夠為所有網(wǎng)絡(luò)應用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系，提供互聯(lián)網(wǎng)環(huán)境的身份鑒別、信息加解密、數(shù)據(jù)完整性和不可否認性服務(wù)。 （ 2）認證中心（ CA）：受用戶信任的，負責創(chuàng)建和簽發(fā)數(shù)字證書的權(quán)威機構(gòu)。 CA 是認證中心的英文 Certification Authority 的縮寫。 CA 中心，又稱為數(shù)字證書認證中心。 CA中心作為電子交易 中受信任的第三方，負責為電子商務(wù)環(huán)境中各個實體頒發(fā)數(shù)字證書，以證明各實體身份的真實性，并負責在交易中檢驗和管理證書。 （ 3）注冊機構(gòu)（ RA）：負責用戶證書的申請、審批和證書管理部分工作，面向證書用戶?？梢苑譃楸镜?RA 和外部 RA 兩種。 （ 4）本地 RA：指 RA 服務(wù)器設(shè)立在安徽 , /SPANCA 的 RA 系統(tǒng)，分為直屬 RA 和托管 RA 兩種。 （ 5）直屬 RA：指歸安徽 CA 所有，由安徽 CA 使用，為證書總量相對較?。ㄔ?5000以下）的企業(yè)提供證書申請審批、證書信息錄入以及證書發(fā)放并進行部分管理服務(wù)的 RA 系統(tǒng)。 （ 6）托管 RA：指歸托管 RA 的企業(yè)或組織所有，由托管 RA 的企業(yè)或組織使用，為證書總量相對較小（在 5000 以下）或證書審核嚴格或證書管理復雜的的企業(yè)和組織提供證書申請審批、證書信息錄入以及證書發(fā)放并進行部分管理服務(wù)的 RA 系統(tǒng)。 （ 7）外部 RA：指 RA 服務(wù)器設(shè)立在企業(yè)或組織中的 RA 系統(tǒng)，歸企業(yè)或組織所有，由企業(yè)或組織使用，為證書總量較大（在 5000 以上）或證書審核嚴格或證書管理復雜的企業(yè)或組織提供證書申請審批、證書信息錄入以及證書發(fā)放并進行部分管理服務(wù)的 RA 系統(tǒng)。分為直連 RA 和前置機 RA 兩種安全方式與安徽 CA 連接。 （ 8）直連 RA：指采用 RA 服務(wù)器通過 Inter 或者專線按照 CA 的接口與安徽 CA 系統(tǒng)直接相連，進行數(shù)據(jù)和指令的傳輸?shù)姆绞?RA 系統(tǒng)。 （ 9）前置機 RA：指 RA 系統(tǒng)和安徽 CA 的前置機系統(tǒng) (簡稱 FEP)相連，由前置機系統(tǒng)進行處理后再通過前置機系統(tǒng)和 CA 服務(wù)器進行數(shù)據(jù)和指令的傳輸?shù)姆绞?RA 系統(tǒng)。 （ 10）數(shù)字證書（ Digital Certificate）：經(jīng) CA 數(shù)字簽名的包含數(shù)字證書使用者身份公開信息和公開密鑰的電子文件。由于 Inter 網(wǎng)電子商務(wù) 系統(tǒng)技術(shù)使某些敏感或有價值的數(shù)據(jù)有被濫用的風險 . 為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性 ,保密性等，防范交易及支付過程中的欺詐行為，必須在網(wǎng)上建立一種信任機制。這就要求參加電子商務(wù)的各方都必須擁有合法的身份，并且在網(wǎng)上能夠有效無誤的被進行驗證。數(shù)字證書提供了一種在 Inter 上驗證身份的方式，其作用類似于司機的駕駛執(zhí)照或日常生活中的身份證。 （ 11）證書吊銷列表（ CRL）：證書吊銷列表 (Certificate Revocation List，簡稱 CRL)，是一種包含注銷的證書列表的簽名數(shù)據(jù)結(jié)構(gòu)。 CRL 是證書注銷狀態(tài)的公布形式， CRL 就像信用卡的黑名單，它通知其他證書用戶某些電子證書不再有效。 （ 12）在線證書狀態(tài)協(xié)議（ OCSP）： IETF 頒布的用于檢查數(shù)字證書在某一交易時間是否有效的標準。 （ 13）證書策略（ CP， Certificate Policy）：一套命名的規(guī)則集，用以指明證書對一個特定團體和（或者）具有相同安全需求的應用類型的適用性。例如，一個特定的 CP 可以指明某類證書適用于鑒別從事企業(yè)到企業(yè)（ BtoB）交易活動的參與方，針對給定價格范圍內(nèi)的產(chǎn)品和服務(wù)。 （ 14）電子認證業(yè)務(wù)規(guī)則（ CPS）：電子認證業(yè)務(wù)規(guī)則（ Certificate practice Statement）是關(guān)于 CA 的頒發(fā)和管理證書的運做規(guī)范的描述。包括 CA 整體運行規(guī)范和證書的頒發(fā)、管理、吊銷和密鑰以及證書更新的操作規(guī)范等事務(wù)。 （ 15）訂戶 ( Subscriber)：被頒發(fā)給一個證書的證書主體。 （ 16）依賴方 (Relying party)：證書的接收者，他依賴于該證書和（或）該證書所驗證的數(shù)字簽名。在本標準中，術(shù)語“證書使用者”與“依賴方”可互換使用。 （ 17）私鑰（ Private key）：在公鑰基礎(chǔ)設(shè)施 PKI 中為一個密碼串，由特定算法與公鑰一起生成，用于解密信息或進行數(shù)字簽名。在數(shù)字簽名中又稱為電子簽名制作數(shù)據(jù)