本页列出了证书颁发机构 (CA) 加入 Microsoft 受信任的根证书计划(简称“计划”)的要求,以及使用 Microsoft 当前在 Microsoft 受信任的根证书计划中支持的每个扩展密钥用法 (EKU) 的要求。
查找关于商业 CA 和政府 CA 的要求信息,以及什么构成政府 CA 的信息和政府 CA 要求如何变化的信息,可以在定义部分找到。
提示
用书签标记此页面:https://aka.ms/auditreqs
常规要求
Microsoft 要求每个 CA 每年提交其符合审核条件的证据,以及其公钥基础设施 (PKI) 链中的任何非受限根的审核证据。 合格审核必须满足以下五个主要要求:
- 审核者必须符合条件。
- 必须在适当范围内执行审核。
- 必须运用正确的标准执行审核。
- 必须执行审核且必须在适当时间段内颁发证明信。
- 审核者必须完成并提交合格证明。
CA 有责任及时向 Microsoft 提供审核结果的合格证明并遵守审核要求。
A. 审核者的资格
如果审核者是经以下三个颁发机构之一认证可执行证书颁发机构审核的独立个人或公司,则 Microsoft 会将其视为合格审核者:(1) WebTrust、(2) ETSI 等效国家机构(发布于 https://aka.ms/ena)或 (3) 政府本身(对于政府 CA 而言)。 (有关政府 CA 的详细信息,请参阅政府 CA 要求)。
如果 CA 选择获取 WebTrust 审核,则 Microsoft 要求 CA 聘请 WebTrust 授权审核者来执行审核。 获得 WebTrust 许可的审核者的完整列表位于 https://aka.ms/webtrustauditors。 如果 CA 选择获取基于 ETSI 的审核,则 Microsoft 将要求该 CA 保留由等效国家机构(或“ENA”)授权的实体。 可接受的 ENA 的目录基于位于 https://aka.ms/ena 的列表。 如果 CA 在一个没有 ETSI 等效国家主管机关的国家或地区运营,Microsoft 接受由审核员本国具备等效国家主管机关资格的审核员执行的审核。
B. 审核范围
审核的范围必须包括所有根、无限制的子根和根下的交叉签名未注册根,但不包括仅限于已验证域的子根。 审核还必须记录完整的 PKI 层次结构。 最终审核报表必须放在可公开访问的位置,并且必须包含审核期间的开始和结束日期。 就 WebTrust 审核而言,WebTrust 印章也必须是在可公开访问的位置。
°C 特定时点准备状态评估
Microsoft 要求在开始商业运营之前进行审核。 对于尚未作为证书颁发机构运营 90 天或更长时间的商业 CA,Microsoft 接受由合格的审核员进行的时间点准备情况审核。 如果 CA 采用定点准备审核,Microsoft 要求在 CA 发出首个证书后的 90 天内进行后续审核。 已参与我们项目的商业 CA,申请将新根包含在内时,无需遵守新根的时间点和时间段审核要求。 相反,他们应了解计划中现有根审核的最新资讯。
D. 评估与审核者证明之间的时间段
Microsoft 要求 CA 每年进行一次合格审核。 为了确保 Microsoft 已获得准确反映 CA 的当前商业惯例的信息,审核产生的证明信必须注有日期并且在从证明信中指定的结束日期开始的三个月内由 Microsoft 接收。
E. 审核证明
Microsoft 要求每个审核者完成并向 Microsoft 提交合格证明。 合格证明要求审核者完成合格证明信。
Microsoft 会使用工具自动分析审核函,以验证合格证明信的准确度。 此工具位于常见证书颁发机构数据库 (CCADB) 中。 请与你的审核者共同确保合格证明信满足以下要求。 如果审核函不属于以下任何类别,则会向 CA 发送一封邮件,要求他们更新其审核函。
所有 CAS
- 审核函必须采用英语撰写
- 审核函必须采用“文本可搜索”PDF 格式。
- 审核信必须包含在 CCADB 中记录的审核者姓名。
- 审核函必须列出已审核根的 SHA1 指纹或 SHA256 指纹。
- 审核函必须列出审核函撰写日期。
- 审核函必须指出接受审核的时间段的开始日期和结束日期。 请注意,此时间段不是审核者位于站点的时间段。
- 审核函必须包含 CCADB 中所记录的 CA 全名。
- 审核函必须列出审核期间采用的审核标准。 请参阅 WebTrust/ETSI 准则 https://aka.ms/auditreqs,并列出所参考的审核标准的完整名称和版本。
提交“Webtrust”审核的认证机构(CA)
对于由经过认证的 WebTrust 审核者执行的审核,必须将审核函上传到 https://cert.webtrust.org。
提交 ETSI 审核的 CA
- 对于由过经认证的 ETSI 审核者执行的审核,应将审核函上传到其审核者的网站。 如果审核者无法在其网站上张贴,则在提交审核函时,CA 必须提供审核者的姓名和电子邮件。 Microsoft 代表会联系该审核者,以便验证审核函的真实性。
- CA 可以采用 EN 319 411-2 或 411-2 策略提交审核。
F. 审核提交
若要提交年度审核,请参阅 https://ccadb.org/cas/updates 上有关如何创建审核案例的 CCADB 说明。
如果 CA 正在申请加入根证书存储,而非 CCADB,则他们应通过电子邮件将其审核证明发送到 msroot@microsoft.com。
常规的 CA 审核标准
计划接受两类审核标准:WebTrust 和 ETSI。 对于左侧的每个 EKU,Microsoft 要求进行符合指定标准的审核。
注意
自 2024 年 2 月起,CA 提供商必须确保其支持 S/MIME 的根 CA 和所有能够颁发 S/MIME 证书的从属 CA 已经并且将继续根据最新版本(至少是以下一套标准之一)进行审核。
- 适用于证书颁发机构的 WebTrust 原则和标准 – S/MIME
- ETSI TS 119 411-6 LCP、NCP 或 NCP+
A. WebTrust 审计
从2018年1月1日或之后开始的任何审计期间,Microsoft 将要求证书颁发机构遵循适用于代码签名的 WebTrust 证书颁发机构信任服务原则和标准。 将要求所有启用代码签名 EKU 的根 CA 都这样做。 如果 CA 在根上启用了代码签名 EKU,但没有实际颁发代码签名证书,则此类 CA 可联系 msroot@microsoft.com,以更改 EKU 状态为“NotBefore”。
| 条件 | 面向认证机构的 WebTrust 2.1版 | SSL 基准与网络安全 v2.3 | 扩展验证 SSL 1.6.2 版 | 扩展验证代码签名 v1.4.1 | 公开受信任的代码签名证书 1.0.1 版 | 适用于证书颁发机构的 WebTrust 原则和标准 – S/MIME |
|---|---|---|---|---|---|---|
| 服务器身份验证(非 EV) | X | X | ||||
| 仅限服务器身份验证(非 EV)和客户端身份验证 | X | X | ||||
| 服务器身份验证 (EV) | X | X | X | |||
| 仅限服务器身份验证 (EV) 和客户端身份验证 | X | X | X | |||
| EV 代码签名 | X | X | ||||
| 非 EV 代码签名和时间戳 | X | X | ||||
| 安全邮件 (S/MIME) | X | X | ||||
| 客户端身份验证(无服务器身份验证) | X | |||||
| 文档签名 | X |
B. 基于 ETSI 的审核
注释 1:如果 CA 使用基于 ETSI 的审核,则该 CA 必须每年执行全面审核,并且 Microsoft 不会接受监督审核。 注释 2:所有 ETSI 稽核声明均应根据 CA/浏览器论坛要求进行审核,且在审核函中必须声明对这些要求的符合情况。 ACAB'c https://acab-c.com 提供了符合 Microsoft 要求的指导。
| 条件 | EN 319 411-1:DVCP、OVCP 或 PTC-BR 策略 | EN 319 411-1:EVCP 策略 | EN 319 411-2: QCP-w/QEVCP-w 策略(基于 EN 319 411-1、EVCP) | EN 319 411-1:LCP、NCP、NCP+ 策略 | EN 319 411-2:QCP-n、QCP-n-qscd、QCP-l、QCP-l-qscd 策略(基于 EN 319 411-1、NCP/NCP+) | ETSI EN 319 411-1、LCP、NCP 或 NCP+ 策略,由 ETSI TS 119 411-6 或 ETSI EN 319 411-2 修正,QCP-n、QCP-I、QCP-n-qscd 或 QCP-I-qscd 策略,由 ETSI TS 119 411-6 修正。 |
|---|---|---|---|---|---|---|
| 服务器身份验证(非 EV) | X | |||||
| 仅限服务器身份验证(非 EV)和客户端身份验证 | X | |||||
| 服务器身份验证 (EV) | X | |||||
| 仅限服务器身份验证 (EV) 和客户端身份验证 | X | X | ||||
| EV 代码签名 | X | X | ||||
| 非 EV 类型代码签名和时间戳 | X | X | ||||
| 安全邮件 (S/MIME) | X | X | X | |||
| 客户端身份验证(无服务器身份验证) | X | X | ||||
| 文档签名 | X | X |
政府 CA 要求
政府 CA 可以选择获取商业 CA 所需的前述 WebTrust 或基于 ETSI 的审核,或者使用等效审核。 如果政府 CA 选择获取基于 WebTrust 或 ETSI 的审核,则 Microsoft 会将政府 CA 视为商业 CA。 然后,政府 CA 可以在不限制其所颁发的证书的情况下操作。
A. 等效审核限制
如果政府 CA 选择不使用 WebTrust 或 ETSI 审核,可能会获得等效的审核。 在等效审核 ("EA") 中,政府 CA 可选择第三方执行审核。 审核有两个用途:(1) 证明政府 CA 遵守与证书颁发机构运营相关的当地法律和法规,以及 (2) 证明审核大体上符合相关 WebTrust 或 ETSI 标准。
如果政府 CA 选择获取 EA,则 Microsoft 会限制政府 CA 可以颁发的证书的范围。 颁发服务器身份验证证书的政府 CA 必须将根限制在政府控制的域。 政府必须将任何其他证书的颁发限制在该国拥有主权控制的 ISO3166 国家代码范围内。
政府 CA 还必须根据根证书发行的类型,接受并采用 CAB 论坛适用的基线要求。 但是,计划要求和审核要求在这些要求冲突的任何方面将取代这些要求。
加入该计划的所有政府 CA 都将遵循上述 EA 要求。 2015 年 6 月 1 日之前加入计划的所有政府 CA 在其当时审核到期后将立即遵循前述 EA 要求。
B. 等效审核报告的内容
Microsoft 要求所有提交 EA 的政府 CA 提供审核者出具的证明信,以证明:
- 证明审核由政府授权的独立机构签发,该机构由政府CA授权进行审核。
- 列出政府 CA 对审核员资格的标准,并确认审核员符合这些标准。
- 列出审计员评估政府认证机构操作过程所依据的特定法令、规则和/或法规。
- 证明政府认证机构遵守指定相关法令、规则和/或法规中列出的要求。
- 提供详细信息,描述该法规的要求如何等同于相应的 WebTrust 或 ETSI 审计标准。
- 列出证书链中的证书颁发机构以及政府 CA 授权代表其颁发证书的第三方。
- 记录完整的 PKI 层次结构。
- 提供审核周期的开始日期和结束日期。
定义
政府证书认证机构 (CA)
“政府 CA”是指签署政府计划协议的实体。
商业证书颁发机构
“商业 CA”是指签署商业计划协议的实体。
证书颁发机构
“证书颁发机构”或“CA”表示根据本地法律法规颁发数字证书的实体。
本地法律和法规
“本地法律和法规”是指适用于 CA 的法律和法规,将根据其授权 CA 颁发数字证书,这些法律阐明了适用于颁发、维护或吊销证书的策略、规则和标准,包括审核频率和过程。