电子认证服务业务规则

1、电子认证服务业务规则（版本 2.0）发布日期：二七年四月生效日期：二七年四月天津信息港电子商务有限公司版权声明天津市数字证书认证中心(简称为TJCA)由天津信息港电子商务有限公司建设并运营,所负责编写修改的TJCA的电子认证服务业务规则中所涉及的“TJCA”及其图标等，均由天津信息港电子商务有限公司独立享有版权和其它知识产权。天津信息港电子商务有限公司拥有对本电子认证服务业务规则的最终解释权。未经天津信息港电子商务有限公司的书面同意，任何个人和团体不得以任何方式、任何途经（电子的、机械的、影印、录制等）进行部分的转载、粘贴或发布本CPS，更不得更改本文件的部分词汇进行转贴。在被授权情况下，本文

2、副本可以在非独占性的、免收版权许可使用费的基础上进行复制及传播，并应保证复制、传播文件的准确性、完整性。对任何复制本文件的其他请求，请寄往以下地址：天津信息港电子商务有限公司地 址：天津市河北区昆纬路88号联系电话政编码：300140修订表版本发布日期备注V1.02006年4月V2.02007年4月目 录TOC * MERGEFORMAT第一章总则 PAGEREF _Toc168108649 h 11.1 概述 PAGEREF _Toc168108650 h 11.1.1 TJCA PAGEREF _Toc168108651 h 11.1.2 电子认证服务业务规则（

3、CPS） PAGEREF _Toc168108652 h 21.2 TJCA标识 PAGEREF _Toc168108653 h 21.3 文档名称与标识符 PAGEREF _Toc168108654 h 31.3.1 名称 PAGEREF _Toc168108655 h 31.3.2 发布 PAGEREF _Toc168108656 h 31.4 电子认证活动参与者 PAGEREF _Toc168108657 h 31.4.1 电子认证服务机构 PAGEREF _Toc168108658 h 31.4.2 注册审批机构（Registration Authority） PAGEREF _Toc

4、168108659 h 41.4.3 注册分支机构（Registration Authority Branch） PAGEREF _Toc168108660 h 51.4.4 受理点（Business Terminal） PAGEREF _Toc168108661 h 51.4.5 订户（Subscriber） PAGEREF _Toc168108662 h 51.4.6 信任体（Relying Party） PAGEREF _Toc168108663 h 61.4.7 证书申请者（Certificates Applicant） PAGEREF _Toc168108664 h 61.4.8 其

5、他参与者（Other Participants） PAGEREF _Toc168108665 h 71.5 证书应用 PAGEREF _Toc168108666 h 71.5.1 适合的证书应用 PAGEREF _Toc168108667 h 71.5.2 限制的证书应用 PAGEREF _Toc168108668 h 81.6 策略管理 PAGEREF _Toc168108669 h 81.6.1 策略文档管理机构 PAGEREF _Toc168108670 h 81.6.2 决定本CPS符合策略的机构 PAGEREF _Toc168108671 h 91.6.3 公告 PAGEREF _T

6、oc168108672 h 91.6.4 认证业务规则的变更和发布 PAGEREF _Toc168108673 h 91.7 定义与缩写 PAGEREF _Toc168108674 h 101.7.1 TJCA PAGEREF _Toc168108675 h 101.7.2 TJCA认证委员会 PAGEREF _Toc168108676 h 101.7.3 电子认证服务机构（Certificate Authority，CA） PAGEREF _Toc168108677 h 101.7.4 注册机构（Registration Authority，RA） PAGEREF _Toc168108678

7、 h 101.7.5 注册分支机构 PAGEREF _Toc168108679 h 101.7.6 受理点 PAGEREF _Toc168108680 h 111.7.7 发证机构 PAGEREF _Toc168108681 h 111.7.8 TJCA数字证书签发系统 PAGEREF _Toc168108682 h 111.7.9 TJCA灾难恢复策略 PAGEREF _Toc168108683 h 111.7.10 订户（Subscriber） PAGEREF _Toc168108684 h 111.7.11 证书申请者 PAGEREF _Toc168108685 h 111.7.12 证

8、书申请 PAGEREF _Toc168108686 h 111.7.13 证书口令 PAGEREF _Toc168108687 h 121.7.14 证书序列号 PAGEREF _Toc168108688 h 121.7.15 甄别名 PAGEREF _Toc168108689 h 121.7.16 通用名称 PAGEREF _Toc168108690 h 121.7.17 密码管理中心 PAGEREF _Toc168108691 h 121.7.18 OCSP PAGEREF _Toc168108692 h 121.7.19 LDAP PAGEREF _Toc168108693 h 121.

9、7.20 PKI PAGEREF _Toc168108694 h 121.7.21 CRL PAGEREF _Toc168108695 h 131.7.22 认证 PAGEREF _Toc168108696 h 131.7.23 数字证书 PAGEREF _Toc168108697 h 131.7.24 数字签名 PAGEREF _Toc168108698 h 131.7.25 电子签名 PAGEREF _Toc168108699 h 131.7.26 私人密钥 PAGEREF _Toc168108700 h 141.7.27 公开密钥 PAGEREF _Toc168108701 h 141.

10、7.28 签名密钥对 PAGEREF _Toc168108702 h 141.7.29 加密密钥对 PAGEREF _Toc168108703 h 141.7.30 PKCS PAGEREF _Toc168108704 h 14第二章信息发布与信息管理 PAGEREF _Toc168108705 h 152.1 信息发布 PAGEREF _Toc168108706 h 152.1.1 CPS的发布 PAGEREF _Toc168108707 h 152.1.2 TJCA公众信息的发布 PAGEREF _Toc168108708 h 152.1.3 证书的发布 PAGEREF _Toc16810

11、8709 h 152.1.4TJCA信息库 PAGEREF _Toc168108710 h 162.2 发布时间及频率 PAGEREF _Toc168108711 h 162.2.1 电子认证服务业务规则的发布时间和频率 PAGEREF _Toc168108712 h 162.2.2 TJCA公众信息的发布时间及频率 PAGEREF _Toc168108713 h 172.2.3 证书的发布时间及频率 PAGEREF _Toc168108714 h 182.2.4 CRL的发布时间和频率 PAGEREF _Toc168108715 h 182.3 信息访问控制 PAGEREF _Toc1681

12、08716 h 182.3.1 信息的发布与处理 PAGEREF _Toc168108717 h 182.3.2 信息访问控制和安全审计 PAGEREF _Toc168108718 h 192.3.3 信息资料权限管理 PAGEREF _Toc168108719 h 19第三章身份标识与鉴别 PAGEREF _Toc168108720 h 203.1 命名 PAGEREF _Toc168108721 h 203.1.1 名称类型PAGEREF _Toc168108722 h 203.1.2 对名称有意义的要求 PAGEREF _Toc168108723 h 203.1.3 订户的匿名或伪名 P

13、AGEREF _Toc168108724 h 213.1.4 理解不同名称形式的规则 PAGEREF _Toc168108725 h 213.1.5 名称的唯一性 PAGEREF _Toc168108726 h 213.1.6 商标的识别、鉴证和角色 PAGEREF _Toc168108727 h 213.2 初始身份验证 PAGEREF _Toc168108728 h 213.2.1申请者身份的鉴别 PAGEREF _Toc168108729 h 213.2.2 组织机构身份的鉴别 PAGEREF _Toc168108730 h 223.2.3 个人身份的鉴别 PAGEREF _Toc168

14、108731 h 233.2.4 域名(或IP地址)的确认和鉴别 PAGEREF _Toc168108732 h 243.2.5 授权确认 PAGEREF _Toc168108733 h 253.3 密钥更新请求的标识与鉴别 PAGEREF _Toc168108734 h 253.4 吊销请求的标识与鉴别 PAGEREF _Toc168108735 h 26第四章证书生命周期操作要求 PAGEREF _Toc168108736 h 274.1 证书申请 PAGEREF _Toc168108737 h 274.1.1 个人证书 PAGEREF _Toc168108738 h 274.1.2 单位

15、证书（包括国家机构、组织和企事业单位） PAGEREF _Toc168108739 h 284.1.3 设备证书 PAGEREF _Toc168108740 h 284.1.4 代码签名证书 PAGEREF _Toc168108741 h 294.2 证书申请审核 PAGEREF _Toc168108742 h 304.3 证书签发 PAGEREF _Toc168108743 h314.4 密钥的申请和生成 PAGEREF _Toc168108744 h 314.5 证书的发放和接收 PAGEREF _Toc168108745 h 324.6 证书信息的发布 PAGEREF _Toc16810

16、8746 h 324.7 密钥和证书的使用 PAGEREF _Toc168108747 h 334.7.1订户私钥和证书的使用 PAGEREF _Toc168108748 h 334.7.2 密钥及证书的使用说明 PAGEREF _Toc168108749 h 354.7.3 证书和公钥的用途 PAGEREF _Toc168108750 h 354.8 证书及密钥更新 PAGEREF _Toc168108751 h 354.9 证书变更 PAGEREF _Toc168108752 h 364.10 证书补发 PAGEREF _Toc168108753 h 364.11 证书的吊销和挂起 PAG

17、EREF _Toc168108754 h 374.12 证书的恢复 PAGEREF _Toc168108755 h 394.13 证书状态查询 PAGEREF _Toc168108756 h 394.14 终止服务 PAGEREF _Toc168108757 h 394.15 证书介质解锁 PAGEREF _Toc168108758 h 40第五章认证机构设施、管理和操作控制 PAGEREF _Toc168108759 h 415.1 物理控制 PAGEREF _Toc168108760 h 415.1.1 场地位置与建筑 PAGEREF _Toc168108761 h 415.1.2 物理访

18、问控制 PAGEREF _Toc168108762 h 415.1.3 电力和空调 PAGEREF _Toc168108763 h 425.1.4 水患防治 PAGEREF _Toc168108764 h 425.1.5 防火 PAGEREF _Toc168108765 h 425.1.6 介质存储 PAGEREF _Toc168108766 h 425.1.7 废物处理 PAGEREF _Toc168108767 h 435.1.8 异地备份 PAGEREF _Toc168108768 h 435.2 程序控制 PAGEREF _Toc168108769 h 435.2.1 可信角色 PAG

19、EREF _Toc168108770 h 435.2.2 每项任务需要的人数 PAGEREF _Toc168108771 h 445.2.3 每个角色的识别与鉴别 PAGEREF _Toc168108772 h 455.2.4 需要职责分割的角色 PAGEREF _Toc168108773 h 455.3 人员培训 PAGEREF _Toc168108774 h 455.3.1 资格、经历和无过失要求 PAGEREF _Toc168108775 h 455.3.2 背景审查程序 PAGEREF _Toc168108776 h 465.3.3 培训要求 PAGEREF _Toc168108777

20、 h 465.3.4 再培训周期和要求 PAGEREF _Toc168108778 h 465.3.5 工作岗位轮换周期和顺序 PAGEREF _Toc168108779 h 475.3.6 未授权行为的处罚 PAGEREF _Toc168108780 h 475.3.7 独立合约人的要求 PAGEREF _Toc168108781 h 475.3.8 提供给员工的文档 PAGEREF _Toc168108782 h 475.4 审计日志程序 PAGEREF _Toc168108783 h 485.4.1 记录事件的类型 PAGEREF _Toc168108784 h 485.4.2 处理日志

21、的周期 PAGEREF _Toc168108785 h 485.4.3 审计日志的保存期限 PAGEREF _Toc168108786 h 495.4.4 审计日志的保护 PAGEREF _Toc168108787 h 495.4.5 审计日志备份程序 PAGEREF _Toc168108788 h 495.4.6 审计收集系统 PAGEREF _Toc168108789 h 495.4.7 对攻击者的处理 PAGEREF _Toc168108790 h 495.4.8 脆弱性评估 PAGEREF _Toc168108791 h 505.5 记录归档 PAGEREF _Toc168108792

22、 h 505.5.1 归档记录的类型 PAGEREF _Toc168108793 h505.5.2 归档记录的保存期限 PAGEREF _Toc168108794 h 505.5.3 归档文件的保护 PAGEREF _Toc168108795 h 515.5.4 归档文件的备份程序 PAGEREF _Toc168108796 h 515.5.5 记录时间戳要求 PAGEREF _Toc168108797 h 515.5.6 归档收集系统 PAGEREF _Toc168108798 h 525.5.7 获得和检验归档信息的程序 PAGEREF _Toc168108799 h 525.6 电子认证

23、服务机构密钥更替 PAGEREF _Toc168108800 h 525.6.1 密钥更替定义 PAGEREF _Toc168108801 h 525.6.2 根证书有效期 PAGEREF _Toc168108802 h 525.6.3 CRL PAGEREF _Toc168108803 h 535.7 灾难恢复 PAGEREF _Toc168108804 h 535.7.1 事故和损害处理程序 PAGEREF _Toc168108805 h 535.7.2 计算机资源、软件和/或数据的损坏 PAGEREF _Toc168108806 h 535.7.3 实体私钥损害处理程序 PAGEREF

24、_Toc168108807 h 535.7.4 灾难后的业务连续能力 PAGEREF _Toc168108808 h 545.8 电子认证服务机构或注册机构的终止 PAGEREF _Toc168108809 h 54第六章认证系统技术安全控制 PAGEREF _Toc168108810 h 566.1 密钥对的产生和安装 PAGEREF _Toc168108811 h 566.1.1 密钥对的产生 PAGEREF _Toc168108812 h 566.1.2 私钥传递给订户 PAGEREF _Toc168108813 h 566.1.3 公钥传递给证书签发机构 PAGEREF _Toc168

25、108814 h 576.1.4 根公钥的传递 PAGEREF _Toc168108815 h 576.1.5 密钥长度 PAGEREF _Toc168108816 h 576.1.6 公钥参数的产生和质量检查 PAGEREF _Toc168108817 h 576.1.7 密钥使用目的 PAGEREF _Toc168108818 h 576.2 私钥保护与密码模块的控制 PAGEREF _Toc168108819 h 586.2.1 密码模块标准与控制 PAGEREF _Toc168108820 h 586.2.2 私钥多人控制 PAGEREF _Toc168108821 h 586.2.3

26、 私钥托管 PAGEREF _Toc168108822 h 586.2.4 私钥备份 PAGEREF _Toc168108823 h 586.2.5 私钥归档 PAGEREF _Toc168108824 h 586.2.6 私钥导入、导出密码模块 PAGEREF _Toc168108825 h 596.2.7 私钥在密码模块的存储 PAGEREF _Toc168108826 h 596.2.8 激活私钥的方法 PAGEREF _Toc168108827 h 596.2.9 解除私钥激活状态的方法 PAGEREF _Toc168108828 h 596.2.10 销毁私钥的方法 PAGEREF

27、_Toc168108829 h 606.2.11 密码模块的评估 PAGEREF _Toc168108830 h 606.3 密钥对管理的其他方面 PAGEREF _Toc168108831 h 616.3.1 公钥归档 PAGEREF _Toc168108832 h 616.3.2 证书操作期和密钥对使用期限 PAGEREF _Toc168108833 h 616.4 激活数据 PAGEREF _Toc168108834 h 616.4.1 激活数据的产生和安装 PAGEREF _Toc168108835 h 616.4.2 激活数据的保护 PAGEREF _Toc168108836 h 6

28、16.4.3 激活数据的其他方面 PAGEREF _Toc168108837 h 626.5 计算机安全控制 PAGEREF _Toc168108838 h 626.5.1 特别的计算机安全技术要求 PAGEREF _Toc168108839 h 626.5.2 计算机的安全等级 PAGEREF _Toc168108840 h 626.6 生命周期安全控制 PAGEREF _Toc168108841 h 636.6.1 系统开发控制 PAGEREF _Toc168108842 h 636.6.2 安全管理控制和生命周期的安全控制 PAGEREF _Toc168108843 h 636.7 网络

29、安全控制 PAGEREF _Toc168108844 h 636.8 时间戳 PAGEREF _Toc168108845 h 64第七章证书、CRL及OCSP PAGEREF _Toc168108846 h 657.1 证书 PAGEREF _Toc168108847 h 657.1.1 证书版本号 PAGEREF _Toc168108848 h 667.1.2 证书扩展项 PAGEREF _Toc168108849 h 667.1.3 密钥算法对象标识符 PAGEREF _Toc168108850 h 667.1.4 名称形式 PAGEREF _Toc168108851 h 667.1.5

30、名称限制 PAGEREF _Toc168108852 h 667.1.6 证书策略对象标识符 PAGEREF _Toc168108853 h 677.1.7 策略限制扩展项的用法 PAGEREF _Toc168108854 h 677.1.8 策略限定符的语法和语义 PAGEREF _Toc168108855 h 677.1.9 关键证书策略扩展项的处理规则 PAGEREF _Toc168108856 h 677.2 证书废除列表（CRL） PAGEREF _Toc168108857 h 677.2.1 CRL版本号 PAGEREF _Toc168108858 h 677.2.2 CRL和CR

31、L条目扩展项 PAGEREF _Toc168108859 h 677.2.3 CRL下载 PAGEREF _Toc168108860 h 687.3 在线证书状态查询服务（OCSP） PAGEREF _Toc168108861 h 687.3.1 版本号 PAGEREF _Toc168108862 h 687.3.2 OCSP 扩展项 PAGEREF _Toc168108863 h 68第八章认证机构审计与评估 PAGEREF _Toc168108864 h 698.1 审计的频率与环境 PAGEREF _Toc168108865 h 698.2 审计者的身份与资质 PAGEREF _Toc1

32、68108866 h 708.3 审计者与TJCA的关系 PAGEREF _Toc168108867 h 708.3.1 审计者与TJCA的关系 PAGEREF _Toc168108868 h 708.3.2 审计报告与TJCA的关系 PAGEREF _Toc168108869 h 708.4 审计内容 PAGEREF _Toc168108870 h 718.5 审计结果 PAGEREF _Toc168108871 h 718.6 不足信息的处理 PAGEREF _Toc168108872 h 71第九章法律责任和其他业务条款 PAGEREF _Toc168108873 h 729.1 费用

33、PAGEREF _Toc168108874 h 729.1.1 证书签发和更新费用 PAGEREF _Toc168108875 h 729.1.2 证书查询费用 PAGEREF _Toc168108876 h 729.1.3 证书吊销或状态信息的查询费用 PAGEREF _Toc168108877 h 729.1.4 其他服务费用 PAGEREF _Toc168108878 h 739.1.5 退款策略 PAGEREF _Toc168108879 h 739.2 支付能力 PAGEREF _Toc168108880 h 739.3 商业信息的保密 PAGEREF _Toc168108881 h

34、 749.3.1 保密的商业信息 PAGEREF _Toc168108882 h 749.3.2 非保密的商业信息 PAGEREF _Toc168108883 h 749.4 个人信息的保密 PAGEREF _Toc168108884 h 759.4.1 保密的个人信息 PAGEREF _Toc168108885 h 759.4.2 非保密的个人信息 PAGEREF _Toc168108886 h 759.5 知识产权 PAGEREF _Toc168108887 h 769.6 免责 PAGEREF _Toc168108888 h 769.7 责任范围 PAGEREF _Toc16810888

35、9 h 779.7.1 TJCA的责任 PAGEREF _Toc168108890 h 789.7.2 注册机构的职责PAGEREF _Toc168108891 h 789.7.3 注册分支机构的职责 PAGEREF _Toc168108892 h 799.7.4 受理点的职责 PAGEREF _Toc168108893 h 799.7.5 订户的职责 PAGEREF _Toc168108894 h 799.8 有效期和终止 PAGEREF _Toc168108895 h 809.9 争议解决 PAGEREF _Toc168108896 h 809.10 监管和适用的法律 PAGEREF _T

36、oc168108897 h 809.11 其他规定 PAGEREF _Toc168108898 h 819.11.1 完整协议 PAGEREF _Toc168108899 h 819.11.2 转让 PAGEREF _Toc168108900 h 819.11.3 分割性 PAGEREF _Toc168108901 h 819.11.4 强制执行 PAGEREF _Toc168108902 h 829.11.5 不可抗力 PAGEREF _Toc168108903 h 829.11.6 规则生效 PAGEREF _Toc168108904 h 82第一章总则1.1 概述1.1.1TJCA天津市

37、数字证书认证中心（Tianjin Digital Certificate Authority Center即TJCA）简称TJCA，由天津信息港电子商务有限公司建设并运营，是权威、公正的第三方电子认证服务机构。TJCA严格按照中华人民共和国电子签名法、电子认证管理办法等法律法规的要求，向公众（政府机构、企事业单位及个人）提供身份认证和信息服务等。TJCA严格按照信息产业部、国家密码主管部门的各项要求从事认证服务，获得国家密码主管部门签发的电子认证服务使用密码许可证，并通过了国家和天津市安全测评部门的安全认证。TJCA电子认证服务业务规则由天津信息港电子商务有限公司制定，服从于中国的法律，包括且

38、不限于中华人民共和国刑法、中华人民共和国人大常委会颁发的关于互联网安全防护措施的决定、中华人民共和国计算机安全管理条例、中华人民共和国商用密码管理条例、中华人民共和国电子签名法等。从2003年起，TJCA作为专业的第三方认证服务机构，正式对外提供数字认证服务。在遵循国际PKI体系标准的基础上，结合中国的实际情况，对外提供第三方电子认证服务。包括数字证书的申请、吊销、查询、举证等，以及与此相关的各类实体、角色、程序、组织、条款和法律等。1.1.2电子认证服务业务规则（CPS）TJCA、TJCA授权的注册机构、注册分支机构、受理点、TJCA授权或协议的单位等实体，统称为TJCA认证体系内的实体或T

39、JCA关联实体。TJCA认证体系内的实体和TJCA数字订户，必须完整地理解和执行TJCA电子认证服务业务规则所规定的条款，承担相应的责任和义务。TJCA电子认证服务业务规则详细阐述了TJCA实际工作和运行应遵循的各项规范。电子认证服务业务规则作为实际应用和操作的文件依据，适用于TJCA、TJCA授权机构、TJCA数字证书签约单位、TJCA实体内员工、申请证书的单位和个人。作为公告，向社会公布TJCA关于证书服务的基本立场和观点。在证书有效期内为证书申请者提供相关的咨询服务。TJCA认证体系中涉及的单位和个人，必须完整理解和准确解释TJCA电子认证服务业务规则的内容。1.2 TJCA标识TJCA

40、是天津市数字证书认证中心（Tianjin Digital Certificate Authority Center）的缩写形式。TJCA所拥有的品牌的商标为：1.3 文档名称与标识符1.3.1名称本文档名称为电子认证服务业务规则，是TJCA对所提供的认证及相关业务的全面描述。1.3.2发布本电子认证服务业务规则文档将在TJCA网站上发布。网址是。1.4 电子认证活动参与者1.4.1电子认证服务机构TJCA和TJCA下层CA统称为电子认证服务机构。TJCA是所有TJCA下层机构和实体的根。在严格保密和安全机制控制下，TJCA根据根证书有效期的策略，自己生成密钥对，自己签发根证。TJCA根据授权和

41、协议签发下一级的证书。TJCA将决定在什么时间、什么地点、由什么人监督、怎么实施TJCA根密钥对的更新和切换。TJCA必须建立完善的安全机制，以保证根私钥的安全性。在时机成熟的时候，TJCA将建立异地备份中心。TJCA所签发的证书与每一个证书申领实体的公钥绑定。TJCA承诺，在有效期内的证书，将采用证书网站和证书黑名单服务（Certificate Revocation List Service），公布该证书可以公开的信息和状态。TJCA将根据业务需要，与TJCA服务框架体系中未涉及的其他电子认证服务机构建立交叉认证关系。交叉认证是指两个完全独立的，采用各自认证策略的证书认证中心建立相互信任关系

42、，从而使双方的客户可以实现互相认证。当TJCA需要建立与某CA交叉认证关系时，即信任某电子认证服务机构发放的证书，TJCA将审查该电子认证服务机构目前已在执行的证书业务相关文件、承诺以及操作规程。所有信任TJCA的机构，如果要接受与TJCA建立交叉认证关系的CA所发放的证书，必须自行检查该CA的业务声明及其他证书业务相关的文件。交叉认证并不表示TJCA批准了或赋予了其他独立电子认证服务机构的任何权力。1.4.2注册审批机构（Registration Authority）注册审批机构作为电子认证服务机构授权委托的下属机构，负责订户信息的审核、整理汇总、统计分析、与上级CA进行数据交换、管理和服务

43、下层注册分支机构和下层受理点。每个注册机构可以按照行业或行政地域分成多个注册分支机构或直接连接受理点，可以直接对最终订户提供服务。注册机构可以根据客户群体的发展需要，遵循TJCA认证体系地域或行业的划分情况，授权建立相应的受理点或注册分支机构。注册机构有责任不将客户的数据透露给与证书申请无关的任何单位或个人，不允许用于牟取商业利益。注册机构必须获得电子认证服务机构的授权。地区、行业、机构均可以申请成为TJCA的注册机构。注册机构性质包含授权、品牌、独立法人等。注册机构（RA）作为电子认证服务机构授权委托的证书服务注册受理机构，负责订户信息的审核、整理汇总、统计分析、与CA机构进行数据交换、管理

44、和服务下属分支机构，包括分理中心（RAB）和下属受理点(RAT)等。每个RA可以按照行业、行政地域或其他因素分成多个RAB，或直接连接RAT，对最终订户提供服务。RA应遵循本CPS以及TJCA的授权，建立相应的RAB或RAT。RA有责任妥善保存订户的申请信息，不允许将订户的申请信息透露给与证书申请无关的任何单位或个人，不允许用于牟取商业利益。RA必须获得TJCA及其子CA的授权，根据授权从事各类证书服务，并依据授权拓展相应的下级服务机构。地区、行业、机构等均可以申请成为TJCA架构内的注册机构。1.4.3注册分支机构（Registration Authority Branch）与注册机构功能类

45、似。当注册机构服务的群体超过一定限度时，在注册机构下面设注册分支机构。注册分支机构的上级是注册机构，下级是受理点。注册分支机构由注册机构或电子认证服务机构授权建立或撤消。注册分支机构是可选项，即根据客户群体大小决定是否设注册分支机构。注册分支机构性质包含授权、品牌、独立法人等。1.4.4受理点（Business Terminal）经过TJCA审查，TJCA授权特定单位或实体，负责办理和审批数字证书申请。数字证书申请手续、过程和要求，必须与TJCA正在实施的电子认证服务业务规则以及TJCA的CA受理点授权协议书一致。受理点负责向TJCA授权的注册机构或TJCA授权的注册分支机构提供证书申请实体的

46、信息，包括申请实体的名称、可以表明身份的证件号码和联系方法（通信地址、电子邮箱、电话等）。受理点根据这些信息为申请实体制作证书或根据申请实体的要求为申请实体自行申请提供技术支持。1.4.5 订户（Subscriber）订户包括个人、单位、服务器、网站等提供网上服务和享受网上服务的各种实体，以及其他持有TJCA各类证书的人、物或单位组织。1.4.6 信任体（Relying Party）在TJCA证书服务体系范围内，用证书进行网上作业的订户称为TJCA的信任体。信任体必须是TJCA证书服务体系中订户，享有相应的利益，包括TJCA可能提供的证书保障，以及TJCA电子认证服务业务规则中涉及的权益。1.

47、4.7证书申请者（Certificates Applicant）证书申请者是请求TJCA颁发证书的个人、企业和组织机构。每一个期望作为TJCA或其下级操作子CA的证书订户的实体，都可以成为TJCA的证书申请者，根据其想要获得的证书类型，按照本CPS的规定提供必要的信息，完成申请过程。如果证书申请者不能提供TJCA所需的信息，其申请过程将延迟或终止。一经提交证书申请，所有的证书申请者就已授权TJCA可进行安全问题的调查。所有这些调查必须符合相关的隐私权和相关法律法规的要求，申请人同意协助TJCA采用后者认为适当的并与本CPS一致的方式，来确定所有的事实、发生环境和其他相关信息。如果该证书申请经过

48、了发证机构的所有必要鉴别程序并鉴别合格，TJCA将依照本CPS的规定为申请者签发一份证书，以证明已经批准了申请者的证书申请。如果申请者未能成功通过鉴别，TJCA将拒绝申请者的证书申请，并通知申请者鉴别失败，同时向申请者提供失败的原因（法律禁止的除外）。被拒绝的证书申请者可再次提出申请。TJCA内的发证机构只有在经过证书申请者的同意后才签发证书。证书申请者一旦提交了证书申请，尽管事实上还没有接受证书，但仍被视为该订户已同意接受发证机构为其签发证书。同时，发证机构可以根据其独立判断，拒绝给任何主体签发证书，并且不对因此导致的任何损失或费用承担任何责任和义务。1.4.8其他参与者（Other Par

49、ticipants）为以上未提及的隶属于TJCA证书体系的实体，如网站提供者等与PKI服务相关的参与者。1.5 证书应用1.5.1适合的证书应用TJCA数字证书目前已经在电子政务公共服务、电子交易、电子办公、电子公证、公共服务等领域应用，为建设互联网络的信任环境开展了基础性的服务。证书申请者可以根据实际需要，自主判断和决定采用相应合适的证书种类。TJCA及其操作子CA签发的证书，从功能上可以满足下列安全需要：身份认证-保证采用TJCA信任服务的订户身份的真实性。验证信息完整性-保证采用TJCA证书和数字签名时，可以验证信息在传递过程中是否被篡改，发送和接收的信息是否完整一致。验证数字签名-对信

50、任体交易不可抵赖性的依据即数字签名进行验证。必须指出，对于任何电子通信或交易，不可抵赖性应根据法律和争议解决办法裁定。保证机密性-机密性保证传送方和接收方信息的机密，不会被泄露给其他未经合法授权方。但TJCA对机密性事件没有承担相应责任的义务。在TJCA中，TJCA目前支持两种不同信任等级的订户证书：正式证书和测试证书。正式证书的申请者必须通过规定的物理身份认证和TJCA需要的鉴别程序，有效期一般为1年。测试证书有效期一般不超过3个月。涉及证书签发、申请、受理、操作、管理、使用的单位和个人，应熟悉本CPS中的术语、条件、需求、建议以及权益等内容。证书申请者、订户和依赖方等各类主体可以根据实际需

51、要，自主判断和决定采用相应合适的证书类型，以及了解证书的应用类型、应用范围，选择自己的应用方式。除非在本CPS中特别声明，TJCA没有义务承担任何因使用证书产生的额外的经济赔偿责任。1.5.2限制的证书应用证书禁止在任何违反国家法律、法规或破环国家安全的情形下使用，否则由此造成的法律后果由订户自己承担。1.6 策略管理1.6.1策略文档管理机构根据中华人民共和国电子签名法、电子认证服务管理办法和电子认证服务业务规则规范的要求，TJCA制定本电子认证服务业务规则（CPS），并指定专门的机构TJCA认证委员会作为策略的最高管理机构。TJCA认证委员会作为TJCA框架内第三方电子认证服务所有策略的最

52、高管理机构，由TJCA召集管理人员、PKI技术人员和法律顾问组成，负责审核批准CPS，并作为CPS实施检查监督的最高决定机构。TJCA安全管理部作为CPS的工作机构，负责起草CPS并根据要求提出修改报告，并负责此方面的对外咨询服务。1.6.2决定本CPS符合策略的机构作为电子认证业务的主管部门，信息产业部发布了电子认证服务业务规则规范，TJCA根据规范的要求，制定本电子认证服务业务规则（CPS），并提交信息产业部备案。TJCA保证其制订和发布的CPS，其执行、解释、翻译和有效性均符合和适用于中华人民共和国的法律规定。安全管理部作为认证服务策略的工作部门，负责本CPS实施的日常监督检查，保证TJ

53、CA内的运行符合本CPS的要求。1.6.3 公告所有公告和通知将在TJCA网站上公布。TJCA网站地址： HYPERLINK 。1.6.4认证业务规则的变更和发布TJCA有权对TJCA电子认证服务业务规则（CPS）进行预期或非预期的修改。修改过的电子认证服务业务规则，将根据电子认证服务管理办法的要求，在规定的时间内向信息产业部进行备案。在本CPS作出任何变动之前，TJCA认证委员会将对安全管理部提供的变更建议报告进行研究，最终作出是否变更的决定。TJCA将在决定形成决议后，在TJCA网站公布变更后的CPS。对本CPS所做的修改将于TJCA发布之日起立即生效，所进行的修改将取代以往CPS各版本中

54、的任何冲突和指定条款。TJCA将对本CPS进行严格的版本控制。所有修改在TJCA网站上公布。1.7 定义与缩写1.7.1TJCA天津市数字证书认证中心（Tianjin Digital Certificate Authority Center即TJCA）简称TJCA，由天津信息港电子商务有限公司建设并运营，是权威、公正的第三方电子认证服务机构。1.7.2TJCA认证委员会TJCA体系内的最高策略管理监督机构和本CPS一致性决定机构。1.7.3电子认证服务机构（Certificate Authority，CA）TJCA及授权的下级操作子CA称为电子认证服务机构，也就是证书认证机构，是颁发证书的实体

55、。1.7.4注册机构（Registration Authority，RA）负责处理证书申请者和订户的服务请求，并将其提交给认证服务机构，为最终证书申请者建立注册过程的实体，负责对证书申请者进行身份标识和鉴别，发起或传递证书吊销请求，代表电子认证服务机构批准更新证书或更新密钥的申请。1.7.5注册分支机构CA注册分支机构。与TJCA签署注册分支机构协议，被TJCA授权发行TJCA证书的代理机构，隶属于注册机构。功能同CA注册机构。1.7.6受理点与TJCA签署受理点协议，被TJCA授权发行TJCA证书的代理机构。1.7.7发证机构包含TJCA授权的注册机构、注册分支机构、受理点证书发放机构。发证

56、机构为证书申请者发放TJCA证书。1.7.8TJCA数字证书签发系统为TJCA证书申请者签发、管理数字证书的软件系统。1.7.9TJCA灾难恢复策略TJCA灾难恢复策略指TJCA在灾难发生时执行的计划和程序，可以由TJCA独立的审查员或管理者验证。1.7.10 订户（Subscriber）订户包括个人、单位、服务器、网站等提供网上服务和享受网上服务的各种实体，以及其他持有TJCA各类证书的人、物或单位组织。1.7.11 证书申请者证书申请者（Certificate Applicant）请求TJCA颁发证书的个人、企业、组织机构。1.7.12 证书申请 由证书申请者提交给TJCA的请求，TJCA

57、根据此请求为订户颁发证书。1.7.13 证书口令 证书口令指证书中私钥的保护口令。1.7.14 证书序列号 唯一标识证书的32位字母组合。1.7.15 甄别名 甄别名（Distinguished Name）简称DN，包含订户的主题信息。1.7.16 通用名称 通用名称（Common Name）简称CN，甄别名中的一项。1.7.17 密码管理中心 密码管理中心简称KMC，负责密钥的产生、存储、归档等管理工作。1.7.18 OCSPOCSP（Online Certificate Status Protocol），即在线查询数字证书状态协议，用于支持实时查询数字证书状态。1.7.19 LDAPLDA

58、P（Lightweight Directory Access Protocol），即轻量级目录访问协议，用于查询、下载数字证书以及数字证书废止列表（CRL）。1.7.20 PKIPKI（Public Key Infrastructure），公开密钥基础设施。1.7.21 CRLCRL（Certificate Rovocation List），即数字证书废止列表的英文简称。CRL中记录所有在原定失效日期到达之前被废止的数字证书的订户数字证书序列号，供数字证书使用者在认证对方数字证书时查询使用。CRL 通常又被称为数字证书黑名单。内容通常还包含列表发行人的姓名、发行日期、下次废止列表的预定发行日期

59、、遭更新或废止的数字证书序号，并说明遭更新或废止的时间与理由。声明了主体的名字或签发中心的身份，确定签名者的身份，包括签名者的公开密钥，表明了数字证书的操作时限，还包括数字证书的序列号。1.7.22 认证 认证（Certification）指不同实体在进行网上交易之前，通过可信赖的、中立的第三方（如TJCA）对身份进行审核，并由第三方出具证明证实其身份的可靠性和合法性的过程。1.7.23 数字证书数字证书是一种电子认证服务机构签发的电子文件。本CPS中提及的数字证书，包括签名证书和加密证书。1.7.24 数字签名通过使用非对称密码加密系统对电子数据进行加密、解密变换来实现的一种电子签名。本CP

60、S中提及的签名为数字签名。1.7.25 电子签名电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。1.7.26 私人密钥私人密钥（Private Key），是一种不能公开、由持有者秘密保管的数字密钥，用于创建电子签名、解密报文或与相应的公开密钥一起加密机要文件等。1.7.27 公开密钥公开密钥（Public Key），可以公开的数字密钥，用于验证相应的私人密钥签名的报文，也可以用来加密报文、文件，由相应的私人密钥解密等。1.7.28 签名密钥对包含一对私人密钥和公开密钥。主要用于订户的签名和验证。证书申请者申请证书时一般由客户端或服务器端产生。1.7