审核要求 - Microsoft 受信任根证书计划

本页规定了参与 Microsoft 受信任的根证书计划 (“计划 ) ”的证书颁发机构 () CA 的要求,以及要求使用 Microsoft 当前支持的每个 EKU 作为 Microsoft 受信任的根证书计划的一部分。

你将在下面找到商业 CA 和政府 CA 的要求以及有关什么构成政府 CA 的信息。 (请参阅) 下方的“定义”。 此外,你还会找到有关政府 CA 的要求如何变化的信息。

注意

用书签标记此页面:https://aka.ms/auditreqs


一般要求

Microsoft 要求每个 CA 每年提交其符合审核条件的证据,以及其 PKI 链中的任何无限制根。 合格审核必须满足以下五个主要要求:

  1. 审核者必须符合条件,
  2. 必须在适当范围内执行审核,
  3. 必须运用正确的标准执行审核,并且
  4. 必须执行审核且必须在适当时间段内颁发证明信,并且
  5. 审核者必须完成并提交合格证明。

CA 有责任及时向 Microsoft 提供审核结果的合格证明并遵守审核要求。

A. 审核者的资格

如果审核者是经以下三个颁发机构之一认证可执行证书颁发机构审核的独立个人或公司,则 Microsoft 会将其视为合格审核者:(1) WebTrust、(2) ETSI 等效国家机构(发布于 https://aka.ms/ena),或 (3) 政府本身(对于政府 CA 而言)。 (有关政府 CA 的详细信息,请参阅下面的“政府 CA 要求”。)

如果 CA 选择获取 WebTrust 审核,则 Microsoft 将要求该 CA 始终让获得 WebTrust 许可的审核员执行审核。 获得 WebTrust 许可的审核者的完整列表位于 https://aka.ms/webtrustauditors。 如果 CA 选择获取基于 ETSI 的审核,Microsoft 要求 CA 保留等效国家授权机构 (或“ENA”) 的授权实体。 可接受 ENA 的目录基于位于 https://aka.ms/ena 的列表。 如果 CA 在没有 ETSI 等效国家管理局的国家/地区运营,Microsoft 将接受审核员在审计师所在国家/地区的等效国家管理局下合格的审核。

B. 审核范围

审核的作用域必须包括所有根、无限制子根和交叉签名非注册根、根下,但限制为已验证域的子根除外。 审核还必须记录完整的 PKI 层次结构。 最终审核报表必须放在可公开访问的位置,并且必须包含审核期间的开始和结束日期。 就 WebTrust 审核而言,WebTrust 印章也必须是在可公开访问的位置。

C. 时间点准备情况评估

Microsoft 要求在开始商业操作之前进行审核。 对于尚未作为证书颁发机构运营 90 天或更长时间的商业 CA,Microsoft 将接受由合格的审核员进行的时间点准备情况审核。 如果 CA 使用时间点准备情况审核,Microsoft 将需要在 CA 颁发其第一个证书后的 90 天内进行跟进审核。 已在计划当中并申请包含新根的商业 CA 无需遵守新根时间点和时间段审核要求。 相反,他们应了解计划中现有根审核的最新资讯。

D. 评估与审核者证明之间的时间段

Microsoft 要求 CA 每年获得一致性审核。 为了确保 Microsoft 已获得准确反映 CA 的当前商业惯例的信息,审核产生的证明信必须注有日期并且在从证明信中指定的结束日期开始的 3 个月内由 Microsoft 接收。

E. 审核证明

Microsoft 要求每个审核者完成并向 Microsoft 提交合格证明。 合格证明要求审核者完成合格证明信。

Microsoft 会使用工具自动分析审核函,以验证合格证明信的准确度。 此工具位于常见证书颁发机构数据库 (CCADB) 中。 请与审核者共同确保合格证明信满足以下要求。 如果审核函不属于以下任何类别,则 Microsoft 向 CA 发送一封邮件,要求他们更新其审核函。

所有 CA

  1. 审核函必须采用英语撰写
  2. 审核函必须采用“文本可搜索”PDF 格式。
  3. 审核函必须拥有 CCADB 中记录的审核函中的审核者姓名。
  4. 审核函必须列出 SHA1 指纹或已审核根的 SHA256 指纹。
  5. 审核函必须列出审核函撰写日期。
  6. 审核函必须指出接受审核的时间段的开始日期和结束日期。 请注意,此时间段不是审核者位于站点的时间段。
  7. 审核函必须包含 CCADB 中所记录的 CA 全名。
  8. 审核函必须列出审核期间采用的审核标准。 请参阅 WebTrust/ETSI 准则 https://aka.ms/auditreqs,并列出所参考的审核标准的完整名称和版本。

提交 Webtrust 审核的 CA

  1. 对于由经过认证的 WebTrust 审核者执行的审核,必须将审核函上传到 https://cert.webtrust.org

提交 ETSI 审核的 CA

  1. 对于由过经认证的 ETSI 审核者执行的审核,应将审核函上传到其审核者的网站。 如果审核者无法在其网站上张贴,则在提交审核函时,CA 必须提供审核者的姓名和电子邮件。 Microsoft 代表将会联系该审核者,以便验证审核函的真实性。
  2. CA 可以采用 EN 319 411-2 或 411-2 策略提交审核。

F. 审核提交

若要提交年度审核,请参阅 https://ccadb.org/cas/updates 上有关如何创建审核案例的 CCADB 说明。

如果 CA 正在应用到根存储中,并且不在 CCADB 中,则应向其发送审核证明 msroot@microsoft.com的电子邮件。


常规 CA 审核标准

计划接受两类审核标准:WebTrust 和 ETSI。 对于左侧的每个 EKU,Microsoft 要求进行符合所标记标准的审核。

A. WebTrust 审核

如今,Microsoft 要求证书颁发机构提供 WebTrust 信任服务原则和条件,并且要求对 2018 年 1 月 1 日及之后任何时间段的审核语句提供代码签名。 针对其根启用代码签名 EKU 的任何 CA 均需如此。 如果 CA 在根上启用了代码签名 EKU,但不主动颁发代码签名证书,则他们可能会联系 msroot@microsoft.com 该证书,让 EKU 状态设置为“NotBefore”。

条件 面向 CA 的 WebTrust 2.1 版 SSL 基线与网络安全 2.3 版 扩展验证 SSL 1.6.2 版 扩展验证代码签名 1.4.1 版 公开受信任的代码签名证书 1.0.1 版
服务器身份验证(非 EV) X X
仅限服务器身份验证(非 EV)和客户端身份验证 X X
服务器身份验证 (EV) X X X
仅限服务器身份验证 (EV) 和客户端身份验证 X X X
EV 代码签名 X X
非 EV 代码签名和时间戳 X X
受保护的电子邮件 (S/MIME) X
客户端身份验证(不带服务器身份验证) X
文档签名 X

B. 基于 ETSI 的审核

注释 1:如果 CA 使用基于 ETSI 的审核,则该 CA 必须每年执行全面审核,并且 Microsoft 不会接受监督审核。 注释 2:必须根据 CA/浏览器论坛要求审核所有 ETSI 审核语句,并且必须在审核函中声明是否符合这些要求。 ACAB'c [https://acab-c.com ] 提供了符合 Microsoft 要求的指导。

条件 EN 319 411-1:DVCP、OVCP 或 PTC-BR 策略 EN 319 411-1:EVCP 策略 EN 319 411-2:QCP-w 策略(基于 EN 319 411-1、EVCP) EN 319 411-1:LCP、NCP、NCP+ 策略 EN 319 411-2:QCP-n、QCP-n-qscd、QCP-l、QCP-l-qscd 策略(基于 EN 319 411-1、NCP/NCP+)
服务器身份验证(非 EV) X
仅限服务器身份验证(非 EV)和客户端身份验证 X
服务器身份验证 (EV) X
仅限服务器身份验证 (EV) 和客户端身份验证 X X
EV 代码签名 X X
非 EV 代码签名和时间戳 X X
受保护的电子邮件 (S/MIME) X X
客户端身份验证(不带服务器身份验证) X X
文档签名 X X

政府 CA 要求

政府 CA 可能会选择获取商业 CA 要求的上述 WebTrust 或基于 ETSI 的审核,或者可能会使用等效审核。 如果政府 CA 选择获取 WebTrust 审核或基于 ETSI 的审核,则 Microsoft 会将该政府 CA 视为商业 CA。 然后,政府 CA 可以在不限制其所颁发的证书的情况下操作。

A. 等效审核限制

如果政府 CA 选择不使用 WebTrust 或 ETSI 审核,则可能会获取等效审核。 在等效的审核 (“EA”) 中,政府 CA 选择第三方来执行审核。 审核有两个用途:(1) 证明政府 CA 遵守与证书颁发机构运营相关的当地法律和法规,以及 (2) 证明审核大体上符合相关 WebTrust 或 ETSI 标准。

如果政府 CA 选择获取 EA,则 Microsoft 将限制政府 CA 可以颁发的证书的范围。 颁发服务器身份验证证书的政府 CA 必须将根限制为政府控制的域。 政府必须将任何其他证书的颁发限制为该国家/地区有最高控制权的 ISO3166 国家/地区代码。

政府 CA 还必须根据根发出的证书类型,接受并适应 CA 的相应 CAB 论坛基线要求。 但是,计划要求和审核要求在这些要求冲突的任何方面将取代这些要求。

加入该计划的所有政府 CA 都将遵循上述 EA 要求。 2015 年 6 月 1 日之前加入计划的所有政府 CA 在其当时审核到期后将立即遵循上述 EA 要求。

B. 等效审核报告的内容

Microsoft 要求提交 EA 以提供审核员生成的证明信的所有政府 CA:

  1. 证明审计是由由政府 CA 政府授权进行审计的独立机构颁发的:
  2. 列出政府 CA 政府审核员资格标准,并认证审计师符合此标准:
  3. 列出审计师评估政府 CA 运营依据的特定法规、规则和/或法规:
  4. 认证政府 CA 符合命名的法规、规则和/或法规中列出的要求:
  5. 提供描述法规要求如何等效于相应的 WebTrust 或 ETSI 审核的信息, () ;
  6. 列出由政府 CA 授权在证书链中代表政府 CA 颁发证书的证书颁发机构和第三方:
  7. 记录完整的 PKI 层次结构;以及
  8. 提供审核期间的开始和结束日期。

定义

政府 CA

“政府 CA”是指签署政府计划协议的实体。

商业 CA

“商业 CA”是指签署商业计划协议的实体。

证书颁发机构

“证书颁发机构”或“CA”是指根据当地法律法规颁发数字证书的实体。

本地法律和法规

“地方法律法规”是指适用于 CA 的法律和法规,根据该法规,CA 有权颁发数字证书,该证书规定了颁发、维护或撤销证书的适用策略、规则和标准,包括审核频率和程序。