Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona określa wymagania dotyczące urzędów certyfikacji (CA), którzy uczestniczą w programie zaufanego certyfikatu głównego firmy Microsoft ("Program") wraz z wymaganiami dotyczącymi używania każdego z rozszerzonych właściwości użycia kluczy (EKU), które firma Microsoft obecnie obsługuje w ramach programu zaufanego certyfikatu głównego firmy Microsoft.
Znajdź wymagania dotyczące komercyjnych urzędów certyfikacji i urzędów certyfikacji dla instytucji rządowych wraz z informacjami na temat tego, co stanowi urząd certyfikacji dla instytucji rządowych i jak wymagania zmieniają się dla urzędów certyfikacji dla instytucji rządowych w sekcji definicji.
Wskazówka
Dodaj zakładkę do tej strony: https://aka.ms/auditreqs
Wymagania ogólne
Firma Microsoft wymaga, aby każdy urząd certyfikacji składał dowody na coroczny audyt kwalifikacyjny dla urzędu certyfikacji i dowolnego nielimitowanego roota w łańcuchu infrastruktury kluczy publicznych (PKI). Inspekcja kwalifikująca musi spełniać następujące pięć głównych wymagań:
- Audytor musi być zakwalifikowany.
- Inspekcja musi być wykonywana przy użyciu odpowiedniego zakresu.
- Inspekcja musi być wykonywana przy użyciu odpowiedniego standardu.
- Należy przeprowadzić inspekcję, a w odpowiednim przedziale czasu musi zostać wystawiony list zaświadczania.
- Audytor musi ukończyć i przesłać zaświadczanie kwalifikacyjne.
Obowiązkiem urzędu certyfikacji (CA) jest dostarczenie firmie Microsoft kwalifikowanego atestu potwierdzającego wyniki audytu i zgodności z wymaganiami audytu w odpowiednim czasie.
Odp. Kwalifikacje audytora
Microsoft uważa audytora za uprawnionego audytora, jeśli jest niezależną osobą lub firmą, która jest certyfikowana do przeprowadzania audytów urzędu certyfikacji przez jeden z następujących trzech organów: (1) WebTrust, (2) krajowy organ równoważny z ETSI (opublikowany w https://aka.ms/ena) lub (3) w przypadku urzędu certyfikacji rządu, sam rząd. (Aby uzyskać więcej informacji na temat rządowych urzędów certyfikujących, zobacz Wymagania dotyczące rządowych urzędów certyfikujących.)
Jeśli urząd certyfikacji zdecyduje się przeprowadzić audyt WebTrust, firma Microsoft wymaga, aby urząd certyfikacji zatrudnił audytora z licencją WebTrust do przeprowadzenia audytu. Pełna lista audytorów z licencją WebTrust jest dostępna pod adresem https://aka.ms/webtrustauditors. Jeśli urząd certyfikacji zdecyduje się na audyt oparty na ETSI, firma Microsoft wymaga, aby urząd certyfikacji utrzymał upoważnioną jednostkę przez Równoważny Urząd Krajowy (lub "ENAs"). Katalog dopuszczalnych ENA jest oparty na liście pod adresem https://aka.ms/ena. Jeśli urząd certyfikacji jest obsługiwany w kraju, który nie ma równoważnego urzędu krajowego ETSI, firma Microsoft akceptuje audyt przeprowadzony przez audytora, który jest zakwalifikowany w ramach równoważnego organu krajowego w kraju ojczystym audytora.
B. Zakres inspekcji
Zakres audytu musi zawierać wszystkie korzenie, nielimitowane podkorzenie i krzyżowo podpisane, nieuczestniczące korzenie, z wyjątkiem podkorzeni, które są ograniczone do zweryfikowanej domeny. Inspekcja musi również udokumentować pełną hierarchię infrastruktury kluczy publicznych. Ostateczne oświadczenia inspekcji muszą znajdować się w publicznie dostępnej lokalizacji i muszą zawierać daty rozpoczęcia i zakończenia okresu inspekcji. W przypadku audytu WebTrust pieczęcie WebTrust muszą znajdować się również w publicznie dostępnej lokalizacji.
C. Oceny gotowości punktowej w czasie
Firma Microsoft wymaga inspekcji przed rozpoczęciem operacji komercyjnych. W przypadku komercyjnych urzędów certyfikacji, które nie działały jako wystawca certyfikatów przez 90 dni lub dłużej, firma Microsoft akceptuje audyt punktualnej gotowości przeprowadzony przez kwalifikowanego audytora technicznego. Jeśli urząd certyfikacji używa inspekcji gotowości w ustalonym momencie, firma Microsoft wymaga ponownej inspekcji w ciągu 90 dni od wystawienia pierwszego certyfikatu przez urząd certyfikacji. Komercyjny urząd certyfikacji, który już uczestniczy w naszym programie i ubiega się o nowy główny certyfikat do uwzględnienia, jest zwolniony z wymogu audytu w punkcie czasowym i okresowym dla nowych głównych certyfikatów. Powinny być na bieżąco z audytami swoich aktualnych korzeni w programie.
D. Okres między oceną a zaświadczeniem audytora
Firma Microsoft wymaga, aby urząd certyfikacji uzyskał coroczną inspekcję zgodności. Aby upewnić się, że firma Microsoft ma informacje, które dokładnie odzwierciedlają bieżące praktyki biznesowe urzędu certyfikacji, pismo zaświadczania wynikające z inspekcji musi być datowane i otrzymane przez firmę Microsoft nie więcej niż trzy miesiące od daty zakończenia określonej w liście zaświadczania.
E. Zaświadczenie inspekcji
Firma Microsoft wymaga, aby każdy audytor ukończył i przesłał do niej zaświadczenie kwalifikacyjne. Atestacja kwalifikacyjna wymaga, aby audytor uzupełnił list atestacyjny.
Firma Microsoft używa narzędzia do automatycznego analizowania listów audytorskich w celu zweryfikowania dokładności listu uwierzytelniającego. To narzędzie znajduje się w bazie danych wspólnego urzędu certyfikacji (CCADB). Skontaktuj się z audytorem, aby upewnić się, że List Poświadczający Kwalifikacje spełnia następujące wymagania. Jeśli pismo audytowe zakończy się niepowodzeniem w dowolnej z tych kategorii, do organizacji certyfikującej wysyłana jest poczta z prośbą o zaktualizowanie pisma audytowego.
WSZYSTKIE CAS
- List inspekcji musi być napisany w języku angielskim
- Litera inspekcji musi być w formacie PDF z możliwością wyszukiwania tekstu.
- List kontrolny musi mieć nazwę audytora w liście inspekcji, jak zapisano w CCADB.
- List audytu musi zawierać odcisk palca SHA1 lub SHA256 certyfikowanych korzeni.
- List inspekcji musi zawierać datę zapisu listu inspekcji.
- List inspekcji musi zawierać daty rozpoczęcia i zakończenia okresu, który został poddany inspekcji. Należy pamiętać, że ten okres nie jest okresem, w jaki audytor był na miejscu.
- List inspekcji musi zawierać pełną nazwę urzędu certyfikacji zarejestrowaną w programie CCADB.
- List inspekcji musi zawierać listę standardów inspekcji, które były używane podczas inspekcji. Odwołuj się do wytycznych WebTrust/ETSI lub https://aka.ms/auditreqs podaj pełną nazwę i wersję odwołanych standardów inspekcji.
Urzędy certyfikacji przesyłające audyty Webtrust
Inspekcje przeprowadzone przez certyfikowanych audytorów WebTrust muszą mieć swoje listy audytowe przekazane do https://cert.webtrust.org.
Urzędy certyfikacji składające audyty ETSI
- Audyty przeprowadzone przez certyfikowanych audytorów ETSI powinny mieć swoje listy kontrolne przekazane do strony internetowej audytora. Jeśli audytor nie publikuje na swojej stronie internetowej, urząd certyfikacji musi podać nazwę i adres e-mail audytora podczas przesyłania listu kontrolnego. Przedstawiciel firmy Microsoft skontaktuje się z audytorem, aby zweryfikować autentyczność listu.
- Urzędy certyfikacji mogą przesyłać audyty zgodnie z polityką EN 319 411-2 lub 411-2.
F. Przesyłanie audytu
Aby przesłać inspekcje roczne, zapoznaj się z instrukcjami programu CCADB dotyczącymi tworzenia przypadku inspekcji znalezionego tutaj: https://ccadb.org/cas/updates.
Jeśli urząd certyfikacji aplikuje do magazynu root i nie znajduje się w programie CCADB, powinien wysłać swoje zaświadczenie audytowe na adres msroot@microsoft.com.
Konwencjonalne standardy audytu CA
Program akceptuje dwa typy standardów inspekcji: WebTrust i ETSI. Dla każdego z EKU po lewej stronie firma Microsoft wymaga audytu zgodnego ze wskazanym standardem.
Uwaga
Od lutego 2024 r. dostawcy certyfikatów muszą zapewnić, że główne urzędy certyfikacji, które obsługują główne funkcje S/MIME, oraz wszystkie podrzędne urzędy certyfikacji zdolne do wystawiania certyfikatów S/MIME, zostały i będą podlegać audytowi zgodnie z najnowszą wersją co najmniej jednego z poniższych zestawów kryteriów.
- Zasady i kryteria WebTrust dla urzędów certyfikacji — S/MIME
- ETSI TS 119 411-6 LCP, NCP lub NCP+
Odp. Inspekcje zaufania w sieci Web
Microsoft będzie teraz wymagać zasad i kryteriów WebTrust Trust Services dla urzędów certyfikacji — Podpisu Kodu do wszystkich oświadczeń inspekcji dotyczących okresów rozpoczynających się od 1 stycznia 2018 r. Będzie to wymagane dla każdego urzędu certyfikacji, który ma włączony EKU podpisywania kodu dla całości źródła. Jeśli urząd certyfikacji ma włączony klucz EKU podpisywania kodu na root, ale nie aktywnie wystawia certyfikatów podpisywania kodu, może skontaktować się z msroot@microsoft.com aby ustawić stan EKU na "NotBefore."
| Kryterium | WebTrust dla Certyfikacji w wersji 2.1 | Podstawowy standard SSL z zabezpieczeniem sieci, wersja 2.3 | Rozszerzona walidacja SSL w wersji 1.6.2 | Rozszerzone podpisywanie kodu weryfikacji w wersji 1.4.1 | Publicznie zaufane certyfikaty podpisywania kodu w wersji 1.0.1 | Zasady i kryteria WebTrust dla Urzędów Certyfikacji — S/MIME |
|---|---|---|---|---|---|---|
| Uwierzytelnianie serwera (inne niż EV) | X | X | ||||
| Uwierzytelnianie serwera (inne niż EV) i tylko uwierzytelnianie klienta | X | X | ||||
| Uwierzytelnianie serwera (EV) | X | X | X | |||
| Uwierzytelnianie serwera (EV) i uwierzytelnianie tylko klienta | X | X | X | |||
| Podpisywanie kodu EV | X | X | ||||
| Podpisywanie kodu innego niż EV i sygnatura czasowa | X | X | ||||
| Zabezpieczona wiadomość e-mail (S/MIME) | X | X | ||||
| Uwierzytelnianie klienta (bez uwierzytelniania serwera) | X | |||||
| Podpisywanie dokumentów | X |
B. Inspekcje oparte na systemie ETSI
Uwaga 1: Jeśli urząd certyfikacji korzysta z inspekcji opartej na ETSI, musi wykonać pełną inspekcję rocznie, a firma Microsoft nie zaakceptuje inspekcji nadzoru. Uwaga 2: Wszystkie oświadczenia audytowe ETSI muszą być audytowane pod kątem wymagań CA/Browser Forum, a zgodność z tymi wymaganiami musi być wskazana w liście audytowym. AcAB'c https://acab-c.com przedstawił wskazówki, które spełniają wymagania firmy Microsoft.
| Kryterium | EN 319 411-1: zasady DVCP, OVCP lub PTC-BR | EN 319 411-1: Zasady EVCP | EN 319 411-2: Zasady QCP-w/QEVCP-w (oparte na EN 319 411-1, EVCP) | EN 319 411-1: LCP, NCP, NCP+ polityki | EN 319 411-2: QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd policies (na podstawie EN 319 411-1, NCP/NCP+) | ETSI EN 319 411-1, LCP, NCP lub NCP+ zmienione przez ETSI TS 119 411-6 lub ETSI EN 319 411-2, QCP-n, QCP-I, QCP-n-qscd lub QCP-I-qscd zmienione przez ETSI TS 119 411-6 |
|---|---|---|---|---|---|---|
| Uwierzytelnianie serwera (inne niż EV) | X | |||||
| Uwierzytelnianie serwera (inne niż EV) i tylko uwierzytelnianie klienta | X | |||||
| Uwierzytelnianie serwera (EV) | X | |||||
| Uwierzytelnianie serwera (EV) oraz wyłącznie uwierzytelnianie klienta | X | X | ||||
| Podpisywanie kodu EV | X | X | ||||
| Podpisywanie kodu innego niż EV i sygnatura czasowa | X | X | ||||
| Zabezpieczona wiadomość e-mail (S/MIME) | X | X | X | |||
| Uwierzytelnianie klienta (bez uwierzytelniania serwera) | X | X | ||||
| Podpisywanie dokumentów | X | X |
Wymagania dla urzędów certyfikacyjnych instytucji rządowych
Urzędy certyfikacji dla instytucji rządowych mogą zdecydować się na uzyskanie wcześniej opisanych audytów WebTrust lub ETSI wymaganych dla komercyjnych urzędów certyfikacji lub na przeprowadzenie równoważnego audytu. Jeśli urząd certyfikacji dla instytucji rządowych zdecyduje się uzyskać inspekcję opartą na protokole WebTrust lub ETSI, firma Microsoft traktuje urząd certyfikacji dla instytucji rządowych jako komercyjny urząd certyfikacji. Urząd certyfikacji dla instytucji rządowych może następnie działać bez ograniczania certyfikatów, które wystawia.
Odp. Równoważne ograniczenia inspekcji
Jeśli Rządowy Urząd Certyfikacji zdecyduje się nie używać audytu WebTrust lub ETSI, może uzyskać równoważny audyt. W równoważnym audycie ("EA"), rządowy urząd certyfikacji wybiera inną firmę do przeprowadzenia audytu. Inspekcja ma dwa cele: (1), aby wykazać, że urząd certyfikacji rządu jest zgodny z lokalnymi przepisami i przepisami dotyczącymi operacji urzędu certyfikacji, oraz (2) w celu wykazania, że inspekcja jest zasadniczo zgodna z odpowiednim standardem WebTrust lub ETSI.
Jeśli urząd certyfikacji dla instytucji rządowych zdecyduje się uzyskać umowę EA, firma Microsoft ogranicza zakres certyfikatów, które może wystawiać urząd certyfikacji dla instytucji rządowych. Urzędy certyfikacji dla instytucji rządowych, które wystawiają certyfikaty uwierzytelniania serwera, muszą ograniczyć certyfikat główny do domen kontrolowanych przez rząd. Rządy muszą ograniczyć wystawianie wszelkich innych certyfikatów do ISO3166 kodów kraju, nad którymi kraj ma suwerenną kontrolę.
Rządowe urzędy certyfikacji muszą również zaakceptować i przyjąć odpowiednie wymagania podstawowe forum CAB dla urzędów certyfikacji w zależności od typu wydawanych certyfikatów głównego urzędu. Jednak wymagania dotyczące programu i wymagania inspekcji zastępują te wymagania w każdym aspekcie, w którym są w konflikcie.
Wszystkie rządowe urzędy certyfikacji wchodzące w program podlegają powyższym wymaganiom EA. Wszystkie rządowe urzędy certyfikacji, które są częścią programu przed 1 czerwca 2015 r., będą podlegać wcześniej opisanym wymaganiom EA natychmiast po wygaśnięciu ich bieżącego audytu.
B. Zawartość równoważnego raportu inspekcji
Microsoft wymaga, aby wszystkie urzędy certyfikacji dla instytucji rządowych, które składają EA, dostarczyły od audytora list poświadczający, który:
- Potwierdza, że audyt jest wystawiany przez niezależną agencję, która jest upoważniona przez rząd do przeprowadzenia audytu.
- Wymienia kryteria ustalone przez rządowy urząd certyfikacji dotyczące kwalifikacji audytora i potwierdza, że audytor te kryteria spełnia.
- Wymienia konkretne statuty, zasady i/lub przepisy, względem których audytor ocenił operacje rządowych CA.
- Potwierdza zgodność urzędu certyfikacji rządu z wymaganiami określonymi w wymienionych statutach, zasadach i/lub przepisach.
- Zawiera informacje opisujące, w jaki sposób wymagania ustawy są równoważne z odpowiednimi inspekcjami WebTrust lub ETSI.
- Wyświetla listę urzędów certyfikacji i podmiotów trzecich upoważnionych przez urząd certyfikacji rządu do wystawiania certyfikatów w imieniu urzędu certyfikacji rządu w łańcuchu certyfikatów.
- Dokumentuje pełną hierarchię infrastruktury kluczy publicznych.
- Zawiera datę rozpoczęcia i zakończenia okresu inspekcji.
Definicje
Rządowy urząd certyfikacji
"Rządowy Urząd Certyfikacji" to podmiot, który podpisuje Rządową Umowę Programową.
Komercyjny urząd certyfikacji
"Komercyjny urząd certyfikacji" to jednostka, która podpisuje umowę programową.
Urząd certyfikacji
"Urząd certyfikacji" lub "CA" oznacza jednostkę, która wystawia certyfikaty cyfrowe zgodnie z lokalnymi prawami i przepisami.
Lokalne prawo i regulacje
"Lokalne przepisy i przepisy" oznaczają przepisy prawa i przepisy dotyczące urzędu certyfikacji, zgodnie z którym urząd certyfikacji jest upoważniony do wystawiania certyfikatów cyfrowych, które ustanowiły odpowiednie zasady, reguły i standardy wystawiania, utrzymywania lub odwoływania certyfikatów, w tym częstotliwości inspekcji i procedury.