6.4 證書生命周期操作要求

6.4.0 本項說明

此項說明在證書生命周期方面對簽發CA、主體CA、RA、訂戶或其他參與者的要求。在每個子項之內，對簽發CA、主體CA、RA、訂戶或其他參與者可能需要給予分別考慮。

6.4.1　證書申請

該子項用于說明關于主體申請證書時的要求：

—— 誰能夠提交證書申請，如證書主體或RA；

—— 主體在提交證書申請時所使用的注冊過程，以及在此過程中各方的責任。例如，主體在哪里產生密鑰對，并發送一個證書請求到RA。RA驗證該請求，并對其簽名，然后將其發送給CA。為了接收證書申請，CA或RA負有建立注冊過程的責任。同樣，證書申請者負有在其證書申請中提供準確信息的責任。

6.4.2　證書申請處理

該子項用于描述處理證書申請的過程。例如，為了驗證證書申請，簽發CA或RA可能要執行標識和鑒別流程，根據這些步驟，CA或RA將可能依照某些準則或者批準或者拒絕該證書申請。最后，該子項要設置CA或RA必須受理并處理證書申請的時間期限。

6.4.3　證書簽發

該子項用于描述下列與證書簽發相關的元素：

—— 在證書簽發過程中CA的行為，如CA驗證RA簽名和確認RA的權限、并生成證書的過程；

—— CA簽發證書時對訂戶的通告機制，如CA用電子郵件將證書發送給訂戶或RA，或者用電子郵件將允許訂戶到某網站下載證書的信息告知用戶。

6.4.4　證書接受

該子項說明下列內容：

—— 申請者正式接受證書的行為。這種行為可以包括表示接受的確認性步驟、暗示接受的操作、否定證書或其內容失敗。例如，如果CA在一定時間內沒有收到訂戶的任何通知，即可認為訂戶接受了證書；訂戶可能發送一個經過簽名的消息，明示已接受證書；訂戶可能發送一個經過簽名的消息拒絕該證書，在消息中有拒絕的理由并指向證書中的某些字段，而對有關字段的指認是不正確或不完整的。

—— CA對證書的發布，例如CA可以將證書發布到X.500或LDAP信息庫。

—— CA在頒發證書時對其他實體的通告，例如，CA可能發送證書到RA。

6.4.5　密鑰對和證書的使用

該子項用于描述與密鑰對和證書使用相關的責任，包括：

—— 與訂戶使用其私鑰和證書相關的訂戶責任。例如，訂戶可能被要求只能在恰當的應用范圍內使用私鑰和證書，這些應用在CP中設置，并且與有關的證書內容相一致（如密鑰用途字段）。私鑰和證書的使用要遵從于訂戶協議的規定，訂戶只有在接受了相關證書之后才能使用其私鑰，并且在證書到期或被吊銷之后，訂戶必須停止使用私鑰。

—— 與使用訂戶公鑰和證書相關的依賴方責任。例如，依賴方只能在恰當的應用范圍內依賴于證書，這些應用在CP中設置，并且與有關的證書內容相一致（如密鑰用途擴展）。成功地完成公鑰操作依賴于證書的條件，有責任使用CP/CPS中所要求或允許的一種機制來檢查證書狀態，和同意依賴方協議中的有關規定依賴于證書的條件。

6.4.6　證書更新

該子項用于描述下列與證書更新相關的元素。證書更新的意思是在不改變證書中訂戶或其他參與方的公鑰或其他任何信息的情況下，為訂戶簽發一張新證書：

—— 進行證書更新的條件，如證書已到期，但策略允許繼續使用相同的密鑰對；

—— 誰可以請求更新，如訂戶、RA或CA可以自動更新訂戶證書；

—— 為簽發新證書，CA或RA處理更新請求的過程，如使用令牌，比如口令，來重新鑒別訂戶、或使用與原始簽發證書相同的過程；

—— 頒發新證書給訂戶時的通告；

—— 接受更新證書的行為；

—— CA對更新證書的發布；

—— CA在頒發證書時對其他實體的通告。

6.4.7　證書密鑰更新

針對訂戶或其他參與者生成一對新密鑰并申請為新公鑰簽發一個新證書，該子項描述下列元素：

—— 證書密鑰更新的條件，如因私鑰泄漏而吊銷證書之后、或者證書到期并且密鑰對的使用期也到期之后；

—— 誰可以請求證書密鑰更新，如訂戶；

—— 為簽發新證書，CA或RA處理密鑰更新請求的過程；

—— 頒發新證書給訂戶時的通告；

—— 接受密鑰更新證書的行為；

—— CA對密鑰更新證書的發布；

—— CA在頒發證書時對其他實體的通告。

6.4.8　證書變更

該子項描述的下列元素，針對于因為改變證書中除訂戶公鑰之外的信息而簽發新證書的情形：

—— 證書變更的條件，如名稱改變、角色改變、因重組而造成的DN改變；

—— 誰可以請求證書變更，如訂戶、人力資源部門或RA；

—— 為簽發新證書，CA或RA處理證書變更請求的過程，如采用與原始證書簽發相同的過程；

—— 頒發新證書給訂戶時的通告；

—— 接受變更證書的行為；

—— CA對變更證書的發布；

—— CA在頒發證書時對其他實體的通告。

6.4.9　證書吊銷和掛起

該子項說明下列內容：

—— 證書掛起的條件和證書必須吊銷的條件，例如訂戶雇傭期滿、密碼令牌丟失或懷疑私鑰泄漏；

—— 誰可以請求吊銷證書，例如對最終用戶證書而言，訂戶、RA或CA；

—— 證書吊銷請求的流程，如由RA簽署的消息、由訂戶簽署的消息或由RA電話通知；

—— 訂戶可用的寬限期，訂戶必須在此時間內提出吊銷請求；

—— CA必須處理吊銷請求的時間；

—— 為檢查其所依賴證書的狀態，依賴方可以或必須使用的檢查機制；

—— 如果使用CRL，其發布頻率是多少；

—— 如果使用CRL，產生CRL并將其發布到信息庫的最大延遲是多少（也就是在生成CRL之后，在將其發布到信息庫中所用的處理和通信相關最長延遲）；

—— 在線證書狀態查詢的可用性，例如OCSP和可提交狀態查詢的Web網站；

—— 依賴方執行在線吊銷狀態查詢的要求；

—— 吊銷信息的其他可用傳播途徑；

—— 當因為私鑰泄漏而造成證書吊銷或掛起時，上述規定的不同之處（與其他原因造成吊銷或掛起相對）；

—— 證書掛起的條件；

—— 誰可以請求證書掛起，例如對于最終用戶證書而言，訂戶、人力資源部門、訂戶的上級、或者RA；

—— 請求證書掛起的過程，如由訂戶或RA簽署的消息、或由RA電話請求；

—— 證書掛起的最長時間。

6.4.10　證書狀態服務

該子項說明依賴方可用的證書狀態查詢服務，包括：

—— 證書狀態查詢服務的操作特點；

—— 這些服務的可用性，以及服務不可用時的適用策略；

—— 這些服務的其他可選特征。

6.4.11　訂購結束

該子項說明訂戶結束訂購CA的服務時所使用的過程，包括：

00050—— 結束訂購時的證書吊銷（依賴于結束訂購是因為證書到期，還是因為服務終止，可能會有所不同）。

6.4.12　密鑰托管與恢復

該子項包含下列元素，說明與私鑰托管和恢復相關的策略和業務實踐（通過CA或其他可信第三方）：

—— 包含密鑰托管和恢復的策略和實踐的文檔標識，或此類策略和實踐一覽表；

—— 包含會話密鑰封裝和恢復的策略和實踐的文檔標識，或此類策略和實踐一覽表。