Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona określa wymagania dotyczące urzędów certyfikacji (CA), którzy uczestniczą w programie zaufanego certyfikatu głównego firmy Microsoft ("Program") wraz z wymaganiami dotyczącymi używania każdego z rozszerzonych właściwości użycia kluczy (EKU), które firma Microsoft obecnie obsługuje w ramach programu zaufanego certyfikatu głównego firmy Microsoft.
Znajdź wymagania dotyczące komercyjnych urzędów certyfikacji i urzędów certyfikacji dla instytucji rządowych wraz z informacjami na temat tego, co stanowi urząd certyfikacji dla instytucji rządowych i jak wymagania zmieniają się dla urzędów certyfikacji dla instytucji rządowych w sekcji definicji.
Napiwek
Dodaj zakładkę do tej strony: https://aka.ms/auditreqs
Wymagania ogólne
Firma Microsoft wymaga, aby każdy urząd certyfikacji składał dowody na roczną inspekcję kwalifikującą się dla urzędu certyfikacji i dowolnego niezatwierdzonego katalogu głównego w łańcuchu infrastruktury kluczy publicznych (PKI). Inspekcja kwalifikująca musi spełniać następujące pięć głównych wymagań:
- Audytor musi być zakwalifikowany.
- Inspekcja musi być wykonywana przy użyciu odpowiedniego zakresu.
- Inspekcja musi być wykonywana przy użyciu odpowiedniego standardu.
- Należy przeprowadzić inspekcję, a w odpowiednim przedziale czasu musi zostać wystawiony list zaświadczania.
- Audytor musi ukończyć i przesłać zaświadczanie kwalifikacyjne.
Obowiązkiem urzędu certyfikacji jest zapewnienie firmie Microsoft kwalifikującego się zaświadczania do wyników inspekcji i zgodności z wymaganiami inspekcji w odpowiednim czasie.
Odp. Kwalifikacje audytora
Firma Microsoft uważa audytora za uprawnionego audytora, jeśli jest niezależną osobą lub firmą, która jest certyfikowana do przeprowadzania inspekcji urzędu certyfikacji przez jedno z tych trzech urzędów: (1) WebTrust, (2) równoważny krajowy organ ETSI (opublikowany w https://aka.ms/ena) lub (3) w przypadku urzędu certyfikacji rządu, sam rząd. (Aby uzyskać więcej informacji na temat urzędów certyfikacji dla instytucji rządowych, zobacz Wymagania dotyczące urzędu certyfikacji dla instytucji rządowych).
Jeśli urząd certyfikacji zdecyduje się uzyskać inspekcję sieci WebTrust, firma Microsoft wymaga, aby urząd certyfikacji zachował audytora z licencją WebTrust w celu przeprowadzenia inspekcji. Pełna lista audytorów z licencją WebTrust jest dostępna pod adresem https://aka.ms/webtrustauditors. Jeśli urząd certyfikacji zdecyduje się uzyskać inspekcję opartą na ETSI, firma Microsoft wymaga od urzędu certyfikacji zachowania autoryzowanej jednostki przez równoważny urząd krajowy (lub "ENAs"). Wykaz dopuszczalnych umów ENA jest oparty na liście pod adresem https://aka.ms/ena. Jeśli urząd certyfikacji jest obsługiwany w kraju, który nie ma równoważnego urzędu krajowego ETSI, firma Microsoft akceptuje audyt przeprowadzony przez audytora, który jest zakwalifikowany w ramach równoważnego organu krajowego w kraju ojczystym audytora.
B. Zakres inspekcji
Zakres inspekcji musi zawierać wszystkie katalogi główne, niezwiązane podrooty i nierejestrowane krzyżowo katalogi główne, z wyjątkiem podrootów, które są ograniczone do zweryfikowanej domeny. Inspekcja musi również udokumentować pełną hierarchię infrastruktury kluczy publicznych. Ostateczne oświadczenia inspekcji muszą znajdować się w publicznie dostępnej lokalizacji i muszą zawierać daty rozpoczęcia i zakończenia okresu inspekcji. W przypadku inspekcji sieci WebTrust uszczelnienia WebTrust muszą również znajdować się w publicznie dostępnej lokalizacji.
C. Oceny gotowości do punktu w czasie
Firma Microsoft wymaga inspekcji przed rozpoczęciem operacji komercyjnych. W przypadku komercyjnych urzędów certyfikacji, które nie działały jako wystawca certyfikatów przez 90 dni lub dłużej, firma Microsoft akceptuje inspekcję gotowości do punktu w czasie przeprowadzoną przez kwalifikowanego audytora. Jeśli urząd certyfikacji używa inspekcji gotowości do punktu w czasie, firma Microsoft wymaga inspekcji kontynuacji w ciągu 90 dni od wystawiania pierwszego certyfikatu przez urząd certyfikacji. Komercyjny urząd certyfikacji już w naszym programie ubiegający się o nowy katalog główny, który ma zostać uwzględniony, jest wykluczony z wymogu inspekcji punktu w czasie i okresu dla nowych katalogów głównych. Zamiast tego powinny być aktualne w sprawie inspekcji istniejących korzeni w programie.
D. Okres między oceną a zaświadczeniem audytora
Firma Microsoft wymaga, aby urząd certyfikacji uzyskał coroczną inspekcję zgodności. Aby upewnić się, że firma Microsoft ma informacje, które dokładnie odzwierciedlają bieżące praktyki biznesowe urzędu certyfikacji, pismo zaświadczania wynikające z inspekcji musi być datowane i otrzymane przez firmę Microsoft nie więcej niż trzy miesiące od daty zakończenia określonej w liście zaświadczania.
E. Zaświadczenie inspekcji
Firma Microsoft wymaga ukończenia każdego audytora i przesłania do firmy Microsoft zaświadczania kwalifikacyjnego. Zaświadczanie kwalifikacyjne wymaga, aby audytor uzupełnił list kwalifikacyjny zaświadczania.
Firma Microsoft używa narzędzia do automatycznego analizowania listów inspekcji w celu zweryfikowania dokładności kwalifikowanego listu zaświadczania. To narzędzie znajduje się w bazie danych wspólnego urzędu certyfikacji (CCADB). Skontaktuj się z audytorem, aby upewnić się, że list kwalifikacyjny zaświadczania spełnia następujące wymagania. Jeśli list inspekcji zakończy się niepowodzeniem w dowolnej z tych kategorii, do urzędu certyfikacji zostanie wysłana wiadomość z prośbą o zaktualizowanie listu inspekcji.
WSZYSTKIE CAS
- List inspekcji musi być napisany w języku angielskim
- Litera inspekcji musi być w formacie PDF z możliwością wyszukiwania tekstu.
- List kontrolny musi mieć nazwę audytora w liście inspekcji, jak zapisano w CCADB.
- List inspekcji musi zawierać odcisk palca SHA1 lub ODCISK PALCA SHA256 przeprowadź inspekcję katalogów głównych.
- List inspekcji musi zawierać datę zapisu listu inspekcji.
- List inspekcji musi zawierać daty rozpoczęcia i zakończenia okresu, który został poddany inspekcji. Należy pamiętać, że ten okres nie jest okresem, w jaki audytor był na miejscu.
- List inspekcji musi zawierać pełną nazwę urzędu certyfikacji zarejestrowaną w programie CCADB.
- List inspekcji musi zawierać listę standardów inspekcji, które były używane podczas inspekcji. Odwołuj się do wytycznych WebTrust/ETSI lub https://aka.ms/auditreqs podaj pełną nazwę i wersję odwołanych standardów inspekcji.
Urzędy certyfikacji przesyłające inspekcje zaufania w sieci Web
Inspekcje przeprowadzone przez certyfikowanych audytorów WebTrust muszą mieć swoje listy inspekcji przekazane do https://cert.webtrust.orgprogramu .
Urzędy certyfikacji przesyłające inspekcje ETSI
- Audyty przeprowadzone przez certyfikowanych audytorów ETSI powinny mieć swoje listy kontrolne przekazane do strony internetowej audytora. Jeśli audytor nie publikuje na swojej stronie internetowej, urząd certyfikacji musi podać nazwę i adres e-mail audytora podczas przesyłania listu kontrolnego. Przedstawiciel firmy Microsoft skontaktuje się z audytorem, aby zweryfikować autentyczność listu.
- Urzędy certyfikacji mogą przesyłać inspekcje z zasadami EN 319 411-2 lub 411-2.
F. Przesyłanie inspekcji
Aby przesłać inspekcje roczne, zapoznaj się z instrukcjami programu CCADB dotyczącymi tworzenia przypadku inspekcji znalezionego tutaj: https://ccadb.org/cas/updates.
Jeśli urząd certyfikacji stosuje się do magazynu głównego i nie znajduje się w programie CCADB, powinien wysłać wiadomość e-mail na msroot@microsoft.comadres .
Konwencjonalne Inspekcja standardowa urzędu certyfikacji
Program akceptuje dwa typy standardów inspekcji: WebTrust i ETSI. Dla każdego z jednostek EKU po lewej stronie firma Microsoft wymaga inspekcji zgodnej ze standardem oznaczonym.
Uwaga
Od lutego 2024 r. dostawcy urzędu certyfikacji muszą zapewnić, że główne urzędy certyfikacji z włączoną funkcją S/MIME i wszystkie podrzędne urzędy certyfikacji zdolne do wystawiania certyfikatów S/MIME zostały poddane inspekcji względem najnowszej wersji, co najmniej jednego z poniższych zestawów kryteriów.
- Zasady i kryteria zaufania sieci Web dla urzędów certyfikacji — S/MIME
- ETSI TS 119 411-6 LCP, NCP lub NCP+
Odp. Inspekcje zaufania w sieci Web
Firma Microsoft będzie teraz wymagać zasad i kryteriów usług zaufania sieci Web dla urzędów certyfikacji — podpisywanie kodu dla jakichkolwiek oświadczeń inspekcji z okresami rozpoczynającymi się od 1 stycznia 2018 r. Będzie to wymagane dla każdego urzędu certyfikacji, który ma włączony klucz EKU podpisywania kodu dla swoich katalogów głównych. Jeśli urząd certyfikacji ma włączony klucz EKU podpisywania kodu w katalogu głównym, ale nie aktywnie wystawia certyfikatów podpisywania kodu, może uzyskać msroot@microsoft.com dostęp do stanu EKU ustawionego na "NotBefore".
| Kryterium | Sieć WebTrust dla urzędu certyfikacji w wersji 2.1 | Punkt odniesienia protokołu SSL z zabezpieczeniami sieci w wersji 2.3 | Rozszerzona walidacja SSL w wersji 1.6.2 | Rozszerzone podpisywanie kodu weryfikacji w wersji 1.4.1 | Publicznie zaufane certyfikaty podpisywania kodu w wersji 1.0.1 | Zasady i kryteria zaufania sieci Web dla urzędów certyfikacji — S/MIME |
|---|---|---|---|---|---|---|
| Uwierzytelnianie serwera (inne niż EV) | X | X | ||||
| Uwierzytelnianie serwera (inne niż EV) i tylko uwierzytelnianie klienta | X | X | ||||
| Uwierzytelnianie serwera (EV) | X | X | X | |||
| Uwierzytelnianie serwera (EV) i tylko uwierzytelnianie klienta | X | X | X | |||
| Podpisywanie kodu EV | X | X | ||||
| Podpisywanie kodu innego niż EV i sygnatura czasowa | X | X | ||||
| Zabezpieczona wiadomość e-mail (S/MIME) | X | X | ||||
| Uwierzytelnianie klienta (bez uwierzytelniania serwera) | X | |||||
| Podpisywanie dokumentów | X |
B. Inspekcje oparte na systemie ETSI
Uwaga 1: Jeśli urząd certyfikacji korzysta z inspekcji opartej na ETSI, musi wykonać pełną inspekcję rocznie, a firma Microsoft nie zaakceptuje inspekcji nadzoru. Uwaga 2: Wszystkie oświadczenia inspekcji ETSI muszą być poddawane inspekcji pod kątem wymagań urzędu certyfikacji/forum przeglądarki i zgodności z tymi wymaganiami muszą być określone w liście inspekcji. AcAB'c https://acab-c.com przedstawił wskazówki, które spełniają wymagania firmy Microsoft.
| Kryterium | EN 319 411-1: zasady DVCP, OVCP lub PTC-BR | EN 319 411-1: Zasady EVCP | EN 319 411-2: Zasady QCP-w/QEVCP-w (oparte na EN 319 411-1, EVCP) | EN 319 411-1: LCP, NCP, NCP+ policies | EN 319 411-2: QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd policies (na podstawie EN 319 411-1, NCP/NCP+) | ETSI EN 319 411-1, LCP, NCP lub NCP+ zasady zmienione przez ETSI TS 119 411-6 lub ETSI EN 319 411-2, QCP-n, QCP-I, QCP-n-qscd lub QCP-I-qscd zmienione przez ETSI TS 411-6 |
|---|---|---|---|---|---|---|
| Uwierzytelnianie serwera (inne niż EV) | X | |||||
| Uwierzytelnianie serwera (inne niż EV) i tylko uwierzytelnianie klienta | X | |||||
| Uwierzytelnianie serwera (EV) | X | |||||
| Uwierzytelnianie serwera (EV) i tylko uwierzytelnianie klienta | X | X | ||||
| Podpisywanie kodu EV | X | X | ||||
| Podpisywanie kodu innego niż EV i sygnatura czasowa | X | X | ||||
| Zabezpieczona wiadomość e-mail (S/MIME) | X | X | X | |||
| Uwierzytelnianie klienta (bez uwierzytelniania serwera) | X | X | ||||
| Podpisywanie dokumentów | X | X |
Wymagania dotyczące urzędu certyfikacji dla instytucji rządowych
Urzędy certyfikacji dla instytucji rządowych mogą zdecydować się na uzyskanie wcześniej opisanych kontroli sieci WebTrust lub ETSI wymaganych przez komercyjne urzędy certyfikacji lub do korzystania z równoważnej kontroli. Jeśli urząd certyfikacji dla instytucji rządowych zdecyduje się uzyskać inspekcję opartą na protokole WebTrust lub ETSI, firma Microsoft traktuje urząd certyfikacji dla instytucji rządowych jako komercyjny urząd certyfikacji. Urząd certyfikacji dla instytucji rządowych może następnie działać bez ograniczania certyfikatów, które wystawia.
Odp. Równoważne ograniczenia inspekcji
Jeśli urząd certyfikacji rządu zdecyduje się nie używać inspekcji WebTrust lub ETSI, może uzyskać równoważną inspekcję. W równoważnej inspekcji ("EA"), urząd certyfikacji rządu wybiera inną firmę do przeprowadzenia inspekcji. Inspekcja ma dwa cele: (1), aby wykazać, że urząd certyfikacji rządu jest zgodny z lokalnymi przepisami i przepisami dotyczącymi operacji urzędu certyfikacji, oraz (2) w celu wykazania, że inspekcja jest zasadniczo zgodna z odpowiednim standardem WebTrust lub ETSI.
Jeśli urząd certyfikacji dla instytucji rządowych zdecyduje się uzyskać umowę EA, firma Microsoft ogranicza zakres certyfikatów, które może wystawiać urząd certyfikacji dla instytucji rządowych. Urzędy certyfikacji dla instytucji rządowych, które wystawiają certyfikaty uwierzytelniania serwera, muszą ograniczyć katalog główny do domen kontrolowanych przez instytucje rządowe. Rządy muszą ograniczyć wystawianie wszelkich innych certyfikatów do ISO3166 kodów kraju, nad którymi kraj ma suwerenną kontrolę.
Urzędy certyfikacji dla instytucji rządowych muszą również zaakceptować i przyjąć odpowiednie wymagania podstawowe forum cab dla urzędów certyfikacji na podstawie typu certyfikatów głównych problemów. Jednak wymagania dotyczące programu i wymagania inspekcji zastępują te wymagania w każdym aspekcie, w którym są w konflikcie.
Wszystkie urzędy certyfikacji dla instytucji rządowych wchodzące w program podlegają powyższym wymaganiom umowy EA. Wszystkie urzędy certyfikacji dla instytucji rządowych, które są częścią programu przed 1 czerwca 2015 r., będą podlegać wcześniej opisanym wymaganiom EA natychmiast po wygaśnięciu ich bieżącej kontroli.
B. Zawartość równoważnego raportu inspekcji
Firma Microsoft wymaga, aby wszystkie urzędy certyfikacji dla instytucji rządowych, które przedstawiły umowę EA w celu dostarczenia od audytora listu zaświadczanego, który:
- Potwierdza, że kontrola jest wystawiana przez niezależną agencję, która jest upoważniona przez rząd rządu do przeprowadzenia kontroli.
- Wymienia kryteria rządu urzędu certyfikacji rządu dotyczące kwalifikacji audytorów i potwierdza, że audytor spełnia te kryteria.
- Wymienia konkretne statuty, zasady i/lub przepisy, względem których audytor ocenił operacje urzędów certyfikacji rządu.
- Potwierdza zgodność urzędu certyfikacji rządu z wymaganiami określonymi w nazwanych statutach, przepisach i/lub przepisach.
- Zawiera informacje opisujące, w jaki sposób wymagania ustawy są równoważne z odpowiednimi inspekcjami WebTrust lub ETSI.
- Wyświetla listę urzędów certyfikacji i podmiotów trzecich upoważnionych przez urząd certyfikacji rządu do wystawiania certyfikatów w imieniu urzędu certyfikacji rządu w łańcuchu certyfikatów.
- Dokumentuje pełną hierarchię infrastruktury kluczy publicznych.
- Zawiera datę rozpoczęcia i zakończenia okresu inspekcji.
Definicje
Urząd certyfikacji dla instytucji rządowych
"Urząd certyfikacji dla instytucji rządowych" to jednostka, która podpisuje umowę programową dla instytucji rządowych.
Komercyjny urząd certyfikacji
"Komercyjny urząd certyfikacji" to jednostka, która podpisuje umowę programową.
Urząd certyfikacji
"Urząd certyfikacji" lub "URZĄD certyfikacji" oznacza jednostkę, która wystawia certyfikaty cyfrowe zgodnie z lokalnymi przepisami i przepisami.
Lokalne przepisy i przepisy
"Lokalne przepisy i przepisy" oznaczają przepisy prawa i przepisy dotyczące urzędu certyfikacji, zgodnie z którym urząd certyfikacji jest upoważniony do wystawiania certyfikatów cyfrowych, które ustanowiły odpowiednie zasady, reguły i standardy wystawiania, utrzymywania lub odwoływania certyfikatów, w tym częstotliwości inspekcji i procedury.