Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Auf dieser Seite werden die Anforderungen für Zertifizierungsstellen (ZS), die am Microsoft Trusted Root Certificate Program („Programm“) teilnehmen, sowie die Anforderungen für die Verwendung der einzelnen EKUs (erweiterte Schlüsselverwendungseigenschaften), die Microsoft derzeit im Rahmen des Microsoft Trusted Root Certificate Program unterstützt, erläutert.
Im Abschnitt Definitionen finden Sie die Anforderungen für kommerzielle behördliche Zertifizierungsstellen sowie Informationen darüber, was eine behördliche Zertifizierungsstelle ausmacht und wie sich die Anforderungen für diese ändern.
Tipp
Diese Seite zu Lesezeichen hinzufügen: https://aka.ms/auditreqs
Allgemeine Anforderungen
Microsoft verlangt, dass jede Zertifizierungsstelle jährlich einen Nachweis eines qualifizierenden Audits für die Zertifizierungsstelle und alle nicht beschränkten Stammzertifizierungsstellen innerhalb ihrer PKI-Kette (Public Key-Infrastruktur) übermittelt. Eine qualifizierende Überwachung muss die folgenden fünf Hauptanforderungen erfüllen:
- Der Auditor muss qualifiziert sein.
- Das Audit muss im richtigen Umfang durchgeführt werden.
- Das Audit muss mithilfe des richtigen Standards durchgeführt werden.
- Das Audit muss durchgeführt werden, und das Nachweisschreiben muss innerhalb des richtigen Zeitraums ausgestellt werden.
- Der Auditor muss einen qualifizierenden Nachweis ausfüllen und übermitteln.
Es liegt in der Verantwortung der Zertifizierungsstelle, Microsoft rechtzeitig einen qualifizierenden Nachweis für die Ergebnisse des Audits sowie die Einhaltung der Auditanforderungen zu übermitteln.
A. Qualifikationen des Auditors
Microsoft betrachtet einen Auditor als qualifiziert, wenn es sich um eine unabhängige Person oder ein unabhängiges Unternehmen handelt, die bzw. das für die Durchführung von Zertifizierungsstellenaudits durch eine dieser drei Behörden zertifiziert ist: (1) WebTrust, (2) eine ETSI-äquivalente nationale Autorität (veröffentlicht unter https://aka.ms/ena) oder (3) im Fall einer behördlichen Zertifizierungsstelle die Behörde selbst. (Weitere Informationen zu behördlichen Zertifizierungsstellen finden Sie unter Anforderungen an behördliche Zertifizierungsstellen.)
Wenn sich eine Zertifizierungsstelle für den Erhalt einer WebTrust-Überwachung entscheidet, fordert Microsoft die Zertifizierungsstelle auf, einen WebTrust-lizenzierten Auditor für die Durchführung der Überwachung einzusetzen. Die vollständige Liste der WebTrust-lizenzierten Prüfer finden Sie unter https://aka.ms/webtrustauditors. Wenn sich eine Zertifizierungsstelle für eine ETSI-basierte Prüfung entscheidet, verlangt Microsoft von der Zertifizierungsstelle, dass sie eine von einer gleichwertigen nationalen Behörde (oder „ENAs“) autorisierte Stelle beauftragt. Ein Katalog an akzeptablen ENAs basiert auf der Liste unter https://aka.ms/ena. Wenn eine Zertifizierungsstelle in einem Land betrieben wird, das nicht über eine entsprechende nationale ETSI-Autorität verfügt, akzeptiert Microsoft ein von einem Auditor durchgeführtes Audit, der unter einer entsprechenden nationalen Autorität im Land des Auditors qualifiziert ist.
B. Der Umfang der Überwachung
Der Umfang des Audits muss alle Stämme, nicht beschränkten untergeordneten Stämme und kreuzsignierten nicht registrierten Stämme unter dem Stamm umfassen, mit Ausnahme von untergeordneten Stämmen, die auf eine verifizierte Domäne beschränkt sind. Die Überwachung muss auch die vollständige PKI-Hierarchie dokumentieren. Die abschließenden Auditstatements müssen öffentlich zugänglich sein sowie Start- und Enddatum des Auditzeitraums angeben. Bei eines WebTrust-Audits müssen die WebTrust-Siegel ebenfalls öffentlich zugänglich sein.
C. Punktuelle Bereitschaftsbewertungen (Point in Time)
Microsoft erfordert vor dem Beginn des kommerziellen Betriebs eine Überwachung. Für kommerzielle Zertifizierungsstellen, die 90 Tage oder mehr nicht als Zertifikataussteller verwendet wurden, akzeptiert Microsoft ein punktuelles Bereitschaftsaudit, das von einem qualifizierten Auditor durchgeführt wird. Wenn die Zertifizierungsstelle eine punktuelle Bereitschaftsüberwachung verwendet, fordert Microsoft innerhalb von 90 Tagen nach Ausstellen des ersten Zertifikats durch die Zertifizierungsstelle eine Folgeüberwachung an. Eine kommerzielle Zertifizierungsstelle, die sich bereits in unserem Programm um die Einwahl eines neuen Stamms bewirbt, ist von der Point-in-Time- und Period-in-Time-Überwachungsanforderung für die neuen Stämme ausgenommen. Stattdessen sollten sie bei Überwachungen ihrer vorhandenen Stämme im Programm auf dem neuesten Stand sein.
D: Zeitraum zwischen der Bewertung und dem Nachweis des Prüfers
Microsoft verlangt, dass die Zertifizierungsstelle jährlich eine konforme Überwachung erhält. Um sicherzustellen, dass Microsoft über Informationen verfügt, welche die aktuellen Geschäftspraktiken der Zertifizierungsstelle genau widerspiegeln, darf das aus dem Audit resultierende Nachweisschreiben nicht mehr als drei Monate nach dem im Nachweisschreiben angegebenen Enddatum von Microsoft datiert und empfangen werden.
E. Audit-Nachweis
Microsoft erfordert, dass jeder Prüfer einen qualifizierten Nachweis ausfüllt und an Microsoft übermittelt. Ein qualifizierender Nachweis erfordert, dass der Prüfer ein qualifiziertes Nachweisschreiben ausfüllt.
Microsoft verwendet ein Tool zum automatischen Analysieren von Nachweisschreiben, um die Genauigkeit des qualifizierten Nachweisschreibens zu überprüfen. Dieses Tool befindet sich in der Common Certification Authority Database (CCADB). Wenden Sie sich an Ihren Auditor, um sicherzustellen, dass das qualifizierte Nachweisschreiben die folgenden Anforderungen erfüllt. Wenn das Auditschreiben eine dieser Kategorien nicht erfüllt, wird eine E-Mail an die Zertifizierungsstelle zurückgesendet, in der diese aufgefordert wird, ihr Auditschreiben zu aktualisieren.
ALLE ZERTIFIZIERUNGSSTELLEN
- Das Nachweisschreiben muss in englischer Sprache geschrieben werden.
- Das Nachweisschreiben muss im PDF-Format „Text Searchable“ vorliegen.
- Das Nachweisschreiben muss den Namen des Prüfers aufweisen, wie im CCADB aufgezeichnet.
- Das Nachweisschreiben muss entweder den Fingerabdruck SHA1 oder SHA256 der überwachten Stämme auflisten.
- Das Nachweisschreiben muss das Datum auflisten, an dem es geschrieben wurde.
- Das Nachweisschreiben muss das Start- und Enddatum des überwachten Zeitraums angeben. Beachten Sie, dass dieser Zeitraum nicht der Zeitraum ist, in dem der Auditor vor Ort war.
- Das Nachweisschreiben muss den vollständigen Namen der Zertifizierungsstelle enthalten, wie in CCADB aufgezeichnet.
- Das Nachweisschreiben muss die Überwachungsstandards auflisten, die während der Überwachung verwendet wurden. Lesen Sie die WebTrust- bzw. ETSI-Richtlinien oder https://aka.ms/auditreqs, und listen Sie den vollständigen Namen und die Version der verwendeten Auditstandards auf.
Zertifizierungsstellen, die Webtrust-Überwachungen übermitteln
Überwachungen, die von zertifizierten WebTrust-Prüfern durchgeführt werden, müssen ihre Nachweisschreiben in https://cert.webtrust.org hochgeladen haben.
Zertifizierungsstellen, die ETSI-Überwachungen übermitteln
- Bei Überprüfungen, die von zertifizierten ETSI-Prüfern durchgeführt werden, sollten ihre Prüfschreiben auf die Website ihres Prüfers hochgeladen werden. Wenn der Auditor dies nicht auf seiner Website veröffentlicht, muss die Zertifizierungsstelle den Namen und die E-Mail-Adresse des Auditors angeben, wenn sie das Auditschreiben einreicht. Ein Microsoft-Vertreter wird sich an den Auditor wenden, um die Echtheit des Schreibens zu bestätigen.
- Zertifizierungsstellen können Überwachungen entweder mit der Richtlinie EN 319 411-2 oder 411-2 übermitteln.
F. Audit-Einreichung
Informationen zum Einreichen der jährlichen Audits finden Sie in den CCADB-Anweisungen zum Erstellen eines Auditfalls: https://ccadb.org/cas/updates.
Wenn sich die Zertifizierungsstelle auf den Stammspeicher bewirbt und sich nicht in der CCADB befindet, sollte sie den Auditnachweis per E-Mail an msroot@microsoft.com senden.
Herkömmliche Zertifizierungsstellen-Überwachungsstandards
Das Programm akzeptiert zwei Arten von Überwachungsstandards: WebTrust und ETSI. Für jeden EKU auf der linken Seite erfordert Microsoft eine Überwachung, die dem markierten Standard entspricht.
Hinweis
Ab Februar 2024 müssen ZS-Anbieter sicherstellen, dass für ihre S/MIME-fähigen Stamm-ZS und alle untergeordneten ZS, die S/MIME-Zertifikate ausstellen können, mindestens ein Audit basierend auf der neuesten Version der folgenden Kriterien durchgeführt wurde.
- WebTrust-Prinzipien und -Kriterien für Zertifizierungsstellen – S/MIME
- ETSI TS 119 411-6 LCP, NCP oder NCP+
A. WebTrust-Überwachungen
Microsoft verlangt nun die WebTrust Trust Services-Prinzipien und -Kriterien für Zertifizierungsstellen: Codesignatur für alle Überwachungsschreiben mit Zeiträumen ab dem 1. Januar 2018. Dies ist für jede Zertifizierungsstelle erforderlich, welche die Codesignatur-EKU für ihre Stämme aktiviert hat. Wenn eine Zertifizierungsstelle die EKU für die Codesignatur auf einem Stamm aktiviert hat, aber keine Codesignaturzertifikate aktiv ausstellt, kann sie sich an die msroot@microsoft.com-Adresse wenden, damit der EKU-Status auf „NotBefore“ festgelegt wird.
| Kriterien | WebTrust für Zertifizierungsstellen v2.1 | SSL-Baseline mit Netzwerksicherheit v2.3 | Erweiterte Validierung SSL v1.6.2 | Erweiterte Validierung Codesignierung v1.4.1 | Öffentlich vertrauenswürdige Codesignaturzertifikate v1.0.1 | WebTrust-Prinzipien und -Kriterien für Zertifizierungsstellen – S/MIME |
|---|---|---|---|---|---|---|
| Serverauthentifizierung (Non-EV) | X | X | ||||
| Serverauthentifizierung (nicht EV) und nur Clientauthentifizierung | X | X | ||||
| Serverauthentifizierung (EV) | X | X | X | |||
| Serverauthentifizierung (EV) und nur Clientauthentifizierung | X | X | X | |||
| EV-Codesignierung | X | X | ||||
| Nicht-EV-Codesignatur und Zeitstempel | X | X | ||||
| Gesicherte E-Mails (S/MIME) | X | X | ||||
| Clientauthentifizierung (ohne Serverauthentifizierung) | X | |||||
| Unterzeichnen von Dokumenten | X |
B. ETSI-basierte Audits
Hinweis 1: Wenn eine Zertifizierungsstelle eine ETSI-basiertes Audit verwendet, muss sie jährlich ein vollständiges Audit durchführen. Microsoft akzeptiert keine Überwachungsaudits. Hinweis 2: Alle ETSI-Auditstatements müssen anhand der Anforderungen des Zertifizierungsstellen- bzw. Browserforums verfasst sein, und die Konformität mit diesen Anforderungen muss im Auditschreiben angegeben werden. Der ACAB'c https://acab-c.com hat Anleitungen bereitgestellt, die die Microsoft-Anforderungen erfüllen.
| Kriterien | EN 319 411-1: DVCP-, OVCP- oder PTC-BR-Richtlinien | EN 319 411-1: EVCP-Richtlinie | EN 319 411-2: QCP-w-/QEVCP-w-Richtlinie (basierend auf EN 319 411-1, EVCP) | EN 319 411-1: LCP-, NCP-, NCP+-Richtlinien | EN 319 411-2: QCP-n-, QCP-n-qscd-, QCP-l-, QCP-l-qscd-Richtlinien (basierend auf EN 319 411-1, NCP/NCP+) | ETSI EN 319 411-1-, LCP-, NCP- oder NCP+-Richtlinien gemäß ETSI TS 119 411-6 oder ETSI EN 319 411-2-, QCP-n-, QCP-I-, QCP-n-qscd- oder QCP-I-qscd-Richtlinien gemäß ETSI TS 411-6 |
|---|---|---|---|---|---|---|
| Serverauthentifizierung (Non-EV) | X | |||||
| Serverauthentifizierung (nicht EV) und nur Clientauthentifizierung | X | |||||
| Serverauthentifizierung (EV) | X | |||||
| Serverauthentifizierung (EV) und nur Clientauthentifizierung | X | X | ||||
| EV-Codesignierung | X | X | ||||
| Nicht-EV-Codesignatur und Zeitstempel | X | X | ||||
| Gesicherte E-Mails (S/MIME) | X | X | X | |||
| Clientauthentifizierung (ohne Serverauthentifizierung) | X | X | ||||
| Unterzeichnen von Dokumenten | X | X |
Anforderungen an behördliche Zertifizierungsstellen
Behördliche Zertifizierungsstellen können entweder die oben beschriebenen WebTrust- oder ETSI-basierten Audits erhalten, die für kommerzielle ZS erforderlich sind, oder ein äquivalentes Audit verwenden. Wenn sich eine behördliche Zertifizierungsstelle für eine WebTrust- oder ETSI-basierte Überwachung entscheidet, behandelt Microsoft die behördliche Zertifizierungsstelle als kommerzielle Zertifizierungsstelle. Die behördliche Zertifizierungsstelle kann dann ohne Einschränkung der ausgestellten Zertifikate arbeiten.
A. Einschränkungen für äquivalente Audits
Wenn die behördliche Zertifizierungsstelle sich gegen die Verwendung einer WebTrust- oder ETSI-Überwachung entscheidet, kann sie eine äquivalente Überwachung durchführen. Bei einem äquivalenten Audit („EA“) wählt die behördliche Zertifizierungsstelle einen Drittanbieter aus, um das Audit durchzuführen. Die Überprüfung hat zwei Zwecke: (1) zeigen, dass die behördliche Zertifizierungsstelle die lokalen Gesetze und Vorschriften zum Betrieb einer Zertifizierungsstelle erfüllt, und (2) zeigen, dass die Überwachung mit dem relevanten WebTrust- oder ETSI-Standard konform ist.
Wenn sich eine behördliche Zertifizierungsstelle für den Erhalt eines EA entscheidet, schränkt Microsoft den Umfang der Zertifikate ein, die von dieser ausgestellt werden können. Behördliche Zertifizierungsstellen, die Serverauthentifizierungszertifikate ausstellen, müssen das Stammverzeichnis auf von der Regierung gesteuerte Domänen beschränken. Behörden müssen die Ausstellung anderer Zertifikate auf ISO3166-Ländercodes beschränken, über die das Land die souveräne Kontrolle hat.
Behördliche Zertifizierungsstellen müssen außerdem die entsprechenden Basiseanforderungen des CAB-Forums für Zertifizierungsstellen akzeptieren und übernehmen, die auf der Art der von der Root ausgestellten Zertifikate basieren. Die Programm- und Überwachungsanforderungen lösen diese Anforderungen jedoch in jedem Aspekt ab, in dem sie in Konflikt stehen.
Alle behördlichen Zertifizierungsstellen, die am Programm teilnehmen, unterliegen den oben genannten EA-Anforderungen. Alle behördlichen Zertifizierungsstellen, die vor dem 1. Juni 2015 Teil des Programms sind, unterliegen unmittelbar nach Ablauf ihres aktuellen Audits den oben beschriebenen EA-Anforderungen.
B. Inhalt von Berichten äquivalenter Audits
Microsoft verlangt von allen behördlichen Zertifizierungsstellen, die einen EA übermitteln, einen Nachweisschreiben des Prüfers, der Folgendes angibt:
- Bestätigt, dass das Audit von einer unabhängigen Stelle ausgestellt wurde, die von der Behörde der behördlichen Zertifizierungsstelle für die Durchführung des Audits autorisiert ist
- Listet die Kriterien der Behörde der behördlichen Zertifizierungsstelle für die Auditorqualifikation auf und zertifiziert, dass der Auditor diese Kriterien erfüllt
- Listet die speziellen Statuten, Regeln und/oder Vorschriften auf, anhand derer der Auditor die Vorgänge der behördlichen Zertifizierungsstelle bewertet hat
- Zertifiziert die Einhaltung der Anforderungen durch die behördliche Zertifizierungsstelle gemäß den benannten Statuten, Regeln und/oder Vorschriften
- Stellt Informationen bereit, die beschreiben, wie die Anforderungen dieser Statuten den jeweiligen WebTrust- oder ETSI-Audits entsprechen
- Listet Zertifizierungsstellen und Drittanbieter auf, die von der behördlichen Zertifizierungsstelle autorisiert wurden, Zertifikate im Namen der behördlichen Zertifizierungsstelle innerhalb einer Zertifikatkette auszustellen
- Dokumentiert die vollständige PKI-Hierarchie
- Gibt das Start- und Enddatum des Überwachungszeitraums an.
Definitionen
Behördliche Zertifizierungsstelle
Eine „behördliche Zertifizierungsstelle“ ist eine Organisation, welche die Government Program Agreement unterzeichnet.
Kommerzielle Zertifizierungsstelle
Eine „kommerzielle Zertifizierungsstelle“ ist eine Organisation, welche die Commercial Program Agreement unterzeichnet.
Zertifizierungsstelle
„Zertifizierungsstelle“ oder „CA“ bezeichnet eine Stelle, die digitale Zertifikate gemäß den örtlichen Gesetzen und Vorschriften ausstellt.
Lokale Gesetze und Vorschriften
„Lokale Gesetze und Vorschriften“ bezeichnet die für eine Zertifizierungsstelle geltenden Gesetze und Vorschriften, nach denen die Zertifizierungsstelle zur Ausstellung digitaler Zertifikate berechtigt ist und die geltenden Richtlinien, Regeln und Standards für die Ausstellung, Aufrechterhaltung oder den Widerruf von Zertifikaten, einschließlich Audithäufigkeit und -verfahren festgelegt.