Q/SY
中国石油天然气集团公司企业标准
Q/SY 1550—2012
数字证书管理规范 Specifications for digital certificate management
2012-09－27发布
2012一11一15实施
中国石油天然气集团公司 发布 Q/SY 1550—2012
目 次
前言引言
T
范围规范性引用文件术语和定义数字证书格式角色与职责定义新办数字证书 7冻结数字证书解冻数字证书更新数字证书 10补办数字证书… 11吊销数字证书 12USBKey解锁附录A（规范性附录） 数字证书管理相关流程参考文献…
6
15 Q/SY 1550—2012
前言
本标准按照GB/T1.1一2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。
本标准由中国石油天然气集团公司信息管理部提出本标准由中国石油天然气集团公司标准化委员会信息技术专业标准化技术委员会归口。 本标准起草单位：北京中油瑞飞信息技术有限责任公司。 本标准起草人：杨志贤、吕增江、鲍天祥、雷晓娟、王文路、彭怡。
I Q/SY 1550—2012
引言
随着中国石油天然气集团公司信息化建设的不断深人，信息系统在中国石油天然气集团公司总部及所属各企事业单位发挥的作用日益增强，信息系统安全问题受到普遍关注。为预防和化解信息系统安全风险，最大限度地保障信息系统安全，特编制信息技术专业安全系列企业标准
数字证书管理是信息系统安全管理工作中的重要环节，数字证书中含有通信各方身份信息的一系列数据，提供了一种在网络上验证用户身份的方式，其作用类似于日常生活中的身份证，一且用户的数字证书丢失或被他人盗用，将会造成严重的安全事故。本标准围绕数字证书的下发、使用、信息共享等环节给出了数字证书管理规范，防止数字证书管理不善导致的安全事故。
Ⅲ Q/SY 1550—2012
数字证书管理规范
1范围
本标准规定了数字证书格式和内容，数字证书的申请、冻结、解冻、补办、注销、更新等管理流程及要求。
本标准适用于中国石油天然气集团公司（以下简称中国石油）总部及所属各企事业单位所有非涉密信息系统用户（包括数字证书管理员用户）的数字证书管理。 2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T21053一2007信息安全技术　公钥基础设施PKI系统安全等级保护技术要求
3术语和定义
下列术语和定义适用于本文件，
3. 1
公开密钥基础设施 public key infrastructure 公开密钥基础设施是支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性
服务。
[GB/T21053—2007，术语3.1]
3. 2
PKI 系统 PKI system 通过颁发与管理公钥证书的方式为终端用户提供服务的系统，包括CA、RA、资料库等基本逻
辑部件和密钥托管、OCSP等可选服务部件以及所依赖的运行环境。
[GB/T 21053—2007，术语 3.2] 信息系统 information system 中国石油信息管理部统一建设以及各所属企事业单位自行建设的所有与中国石油身份管理与统
3.3
认证服务平台集成的系统。 3. 4
数字证书 digital certificate 又称为证书，是由证书认证系统签名的包含公开密钥、公开密钥拥有者信息、签发者信息、有效
期以及扩展信息的数字文件 3. 5
证书认证系统 (CA) certificate authority system 又称为证书签发系统，是被用户所信任的签发公钥证书及证书吊销列表的管理系统。主要功能是 Q/SY 1550—2012 对数字证书进行全过程管理。 3.6
证书注册系统(RA) registration authority system 是证书认证系统的一个组成部分，主要功能是对数字证书注册流程进行全程管理。 RA代理点 RA agent point 为用户办理证书申请、身份审核、证书、证书更新、证书注销以及密钥恢复等实际业务的受
3.7
理点，是一个虚拟机构，由几名管理员组成。为满足数字证书管理要求，各单位均设立二级RA代理点，可根据用户数量及分布等情况考虑是否设立下级代理点， 3.8
USBKey 一种USB接口的硬件设备，可以存储用户的私钥以及数字证书，利用其内置的公钥算法实现对
用户身份的认证，保证用户认证的安全性。 数字证书格式 4.1数字证书结构
4
数字证书内部是 是一个嵌套式结构，具体格式见表1。
表1数字证书结构格式
版本号version（V3）证书序列号 serialNumber 签名算法标识符signature 颁发者名称issuer 有效期validity 生效期notBefore 失效期notAfter 主体名称 subject 主体公钥信息subjectPublicKeylnfo 颁发者唯一标识符issuerUniqueID 主体唯一标识符 subjectUniqueID 扩展域extentions 标准扩展项 standard extensions 自定义扩展项customextensions 签名算法signatureAlgorithm 签名 signatureValue
2 Q/SY 1550—2012
4. 2 数字证书内容
数字证书内容见表2。
表 2 数字证书内容
内容名称证书版本号证书序列号算法标识证书有效期
内容说明与举例
证书项
类别必备 （系统要求)
数字证书版本号统一使用x.509V3 根据证书注册系统分区，自动生成证书序列号 必备
基本项
必备必备必备必备可选必备必选 (管理要求)
SHA-1 系统证书最长有效期
签发者项 证书签发者通用名 如“中国石油数字证书管理中心”
用户姓名
证书持有者名，如“张三”、“李四”
申请者项 电子邮件地址 如 “zhangsan@cnpc. com. cn"
(主体项)
主体公钥信息密钥用途员工编号
系统自动生成签名或加密企业员工的唯一标识（HR系统中的员工编码） 必选
可选必选
申请者扩展项身份证号码（主体扩展项）所在单位名称
企业员工所在的单位名称员工所在单位的单位代码（HR系统中的单位编码） 必选
所在单位代码发布点IP地址或域名 包括LDAP的域名和OCSP的域名
必选必备必备
签名算法项 签名算法标识 SHA-1
签名数据
系统对上述信息的签名结果
角色与职责定义权限管理员
5
5. 1
负责完成以下工作：
所在代理点基本信息的维护、修改和管理，建立和撤销下级代理点； b) 对本级和下级代理点的其他管理员权限进行管理；
a)
各单位权限管理员根据本标准制定本单位数字证书管理制度，明确考核制度，有效控制人为因素导致的USBKey损坏和遗失。 审计管理员负责完成以下工作：
c)
5. 2
对本级和下级代理点其他角色的管理员所有操作记录进行审计和统计；为本单位其他管理员提供制证记录等统计数据
a) b)
录入员负责完成以下工作：
5.3
3 Q/SY 1550—2012
a）接受用户提交的新办、冻结、解冻、更新、补办、注销和解锁等各种证书业务申请； b）核实证书业务申请人或代办人身份： c） 检查用户提交的相关申请表单是否符合规范，履行手续是否完备 d) 对于审核员退回的用户数据与用户进行确认； e) 完成证书信息录人； f）收集、管理各证书业务操作的申请表单并存档。
5.4　审核员
负责完成以下工作： a）根据证书业务申请表审核录人员提交的数据是否正确； b）实施证书的冻结、解冻和注销操作。
5.5 制证员
负责完成以下工作： a）完成证书的制作、更新、补办以及USBKey的日常管理
根据证书业务申请表将制作好证书的USBKey发放给用户； c) 回收、登记和管理各级单位、部门已损坏或不再使用的USBKey。
b)
5. 6 用户
使用USBKey登录信息系统的人员，按流程向录人员申请数字证书，使用并妥善保管。 职责分离
5.7
以上各类管理员要求职责分离，当单位人员不足时，可按以下原则设置相应管理员：
权限管理员由一人担任；录人员和制证员由一人担任；
a) b) c) 审计管理员和审核员由一人担任
6新办数字证书
所有信息系统用户均需使用数字证书登录系统。
6.1 6. 2 6.3数字证书申请分为个人用户证书申请和批量用户证书申请，个人用户申请需填写PKI系统数字
可由本人或其主管部门按流程（见图A.1）向RA代理点提出新办数字证书申请。 证书用户服务申请表（见表A.1），批量用户申请需填写PKI系统数字证书批量用户服务申请表（见表 A. 2)。 7冻结数字证书 7.1用户USBKey丢失，不确定能否找回时需要按流程（见图A.2）提出证书冻结申请。 7. 2 由于安全管理、其他工作方面的需要或用户无法正常发起时，用户的主管部门可以按流程（见图A.2）直接向RA代理点提出冻结申请。 7.3用户本人或其主管部门需填写PKI系统数字证书用户服务申请表（见表A.1）。
4