本标准规定了通过证书策略和认证业务说明对PKI进行管理,以及将公钥证书用于金融服务行业的要求框架。同时也定义了风险管理的控制目标和控制程序。
本标准适用于开放、封闭和契约环境中的PKI系统进行区分,并且根据金融服务行业信息系统控制目标进一步定义了运行的业务。本标准的目的在于帮助实施者定义支持多证书策略的PKI业务,包括数字签名、远程鉴别和数字加密的使用。
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 3
4 缩略语 8
5 公钥基础设施(PKI) 9
5.1 概述 9
5.2 PKI简介 9
5.3 商业要求对PKI环境的影响 10
5.4 功能 14
5.5 商业视角 17
5.6 证书策略(CP) 18
5.7 认证业务说明(CPS) 20
5.8 证书策略和认证业务说明间的关系 21
5.9 协议 21
5.10 时间戳 22
6 证书策略和认证业务说明要求 23
6.1 证书策略(CP) 23
6.2 认证业务说明(CPS) 24
7 认证机构控制目标 25
7.1 概述 25
7.2 CA 环境控制目标 25
7.3 CA 密钥生命周期管理控制目标 27
7.4 主体密钥生命周期管理控制目标 28
7.5 证书生命周期管理控制目标 28
7.6 CA 证书生命周期管理控制 29
8 认证机构控制程序 30
8.1 概述 30
8.2 CA 环境控制 30
8.3 CA 密钥生命周期管理控制 41
8.4 主体密钥生命周期管理控制 44
8.5 证书生命周期管理控制 48
8.6 CA 证书生命周期管理控制 53
附录A (资料性附录) 根据证书策略进行管理 55
A.1 证书策略引言和目的 55
A.2 证书策略的定义 55
A.3 在证书内建立策略 55
A.4 命名的证书策略下的证书适用性 57
A.5 交叉认证,证书链、策略映射和证书策略 57
A.6 证书类型 58
A.7 证书分类和命名 59
A.8 证书策略规定 60
A.9 证书策略管理 61
附录B(资料性附录) 认证业务说明的要素 62
B.1 概述 62
B.2 引言 62
B.3 一般规定 63
B.4 认证与鉴别 64
B.5 操作要求 66
B.6 物理的、程序性的和人员的安全控制 68
B.7 技术上的安全控制 69
B.8 证书和CRL框架 71
B.9 实施管理 72
附录C (资料性附录) 对象标识符(OID) 74
C.1 为什么有OID 74
C.2 什么是OID 74
C.3 OID的注册 74
C.4 为什么需要OID并且如何对它们进行管理 75
附录D (资料性附录) CA 密钥生成过程 76
D.1 概述 76
D.2 角色和责任 76
D.3 CA 密钥生成过程脚本 77
D.4 CA 密钥生成过程程序 77
附录E (资料性附录) 将RFC2527映射到RFC3647 79
参考文献 85
