内容简介
Q/SY中国石油天然气集团有限公司企业标准
Q/SY 10550—2021 代替Q/SY10550—2017
数字证书管理规范
Specifications for digital certificate management
2021—11-15实施
2021—09—07发布
中国石油天然气集团有限公司 发布 Q/SY10550—2021
目 次
前言
I
范围 2 规范性引用文件
术语和定义 4数字证书格式 4.1 数字证书结构 4.2 人员数字证书内容 4.3 设备数字证书内容角色与职责定义
3
2
5
5.1 业务管理员 5.2 审计管理员 5.3 业务操作员 5.4 审计员 5.5 用户 5.6 职责分离 6 人员数字证书管理 6.1 新办数字证书 6.2 冻结数字证书 6.3 解冻数字证书 6.4 更新数字证书 6.5 补办数字证书 6.6 吊销数字证书 6.7 USBKey解锁 6.8 自助数字证书设备数字证书管理 7.1 新办数字证书 7.2 冻结数字证书 7.3 解冻数字证书 7.4 更新数字证书 7.5 吊销数字证书附录A(规范性) 数字证书管理相关流程参考文献
T
7
门
山
o
24 Q/SY 10550—2021
前言
本文件按照GBT1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的
规定起草,
本文件代替Q/SY10550—2017《数字证书管理规范》,与Q/SY10550—2017相比,除结构调整和编辑性改动外,主要技术变化如下:
a)更改了“数字证书的格式及内容”(见4.2,2017年版的4.2); b)增加了“设备数字证书内容*(见4.3): c)更改了“角色与职责的定义”(见第5章,2017年版的第5章; d)增加了自助数字证书的流程(见6.8): e)增加了“设备数字证书管理”(见第7章)。 本文件由数字和信息化管理部提出。 本文件由中国石油天然气集团有限公司标准化委员会信息技术专业标准化技术委员会归口。 本文件起草单位:数字和信息化管理部、信息技术服务中心、东方地球物理公司、勘探开发研
究院。
本文件主要起草人:靖小伟,高允升、杨志贤。滕征岑。陈希。崔广印。陈靓。彭军。王勇。刘亚玮。 李丽、李晓宇、张帅、魏晨光、高辰、向宠、计明超、鲍天祥、吴冬、宋海宾、李雪岩、石雪梅白函司。胡志刚、王莹。贾文清,韩永强。
本文件及其所代替文件的历次版本发布情况为:
2012年首次发布为Q/SY1550—2012,2017年标准号变更为Q/SY10550—2017 本次为第一次修订。
III Q/SY10550—2021
数字证书管理规范
1范围
本文件规定了数字证书的格式。角色与职责定义,人员和设备数字证书管理的要求。 本文件适用于信息系统、各类设备。总部及所属名企事业单位信息系统用户的数字证书管理。
2规范性引用文件
本文件没有规范性引用文件
3术语和定义
GB/T21053一2007界定的以及下列术语和定义适用于本文件
3.1
PKI系统 PKI system 公开密钥基础设施是支持公钥管理体制的基础设施,提供鉴别,加密,完整性和不可否认性服
务。PKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括CA、RA、资料库等基本逻辑部件和密钥托管,OCSP等可选服务部件,以及所依赖的运行环境。
【来源:GB/T21053-2007,3.2,有修改】 证书注册系统 registration authority system(RA 证书认证系统(是被用户所信任的签发公钥证书及证书吊销列表的管理系统。主要功能是对数字
3.2
证书进行全过程管理)的一个组成部分,主要功能是对数字证书 流程进行全程管理。 3.3
注册分中心RA agentpoint 为用户办理证书申请。身份审核。证书。证书更新、证书注销及密钥恢复等实际业务的受理
点,是一个虚拟机构,由几名管理员组成 3.4
USBKey 一种USB接口的硬件设备,可以存储用户的私钥及数字证书,利用其内置的公钥算法实现对用
户身份的认证,保证用户认证的安全性。 3.5
证书吊销列表certificaterevocation list(CRL)个具有时间戳的列表,在其中列出了所有已经吊销或挂起的数字证书信息。
1 Q/SY 10550—2021
4数字证书格式 4.1 数字证书结构
数字证书内部是一个嵌套式结构,通用的字段符合表1的规定。
表1 数字证书结构
子项
证书项
版本号version(V3)证书序列号serialNumber 签名算法标识符signature 颁发者名称issuer 有效期validity
生效期notBefore 失效期notAfter
主体名称subject 主体公钥信息subjectPublicKeylnfo 颁发者唯一标识符issuerUniqueID 主体唯一标识符subjectUniqueID 扩展域extentions
标准扩展项 standard extensions 自定义扩展项 custom extensions
签名算法SignatureAlgorithm 签名signatureValue
4.2 人员数字证书内容
人员数字证书是以身份管理与认证系统中的员工编号为标识发放的数字证书。根据合规性要求人员数字证书由原来的RSA算法升级为商用密码算法SM2,升级后的证书格式及内容符合表2的规定。
表2 人员数字证书结构
证书项
内容名称
内容说明与举例
数字证书版本号统一使用X.509V3 证书签发时,PKI系统自动生成证书序列号 1.2.156.10197.1.501 如“CN=用户认证中心_SM2,OCNPC,C=CN 生效时间失效时间
证书版本号
基本项 证书序列号
签名算法
签发者项 颁发者
证书有效期 到 有效期从
2