审核要求 - Microsoft 受信任根证书计划
本页列出了证书颁发机构 (CA) 加入 Microsoft 受信任的根证书计划(简称“计划”)的要求,以及使用 Microsoft 当前在 Microsoft 受信任的根证书计划中支持的每个 EKU 的要求。
你将在下面找到商业 CA 和政府 CA 的要求,以及有关政府 CA 构成的信息。 (请参阅下面的“定义”)。 此外,你还将找到有关政府 CA 要求变更情况的信息。
注意
用书签标记此页面:https://aka.ms/auditreqs
常规要求
Microsoft 要求每个 CA 每年提交 CA 及其 PKI 链中所有非受限根的合格审核证据。 合格审核必须满足以下五个主要要求:
- 审核者必须符合条件,
- 必须在适当范围内执行审核,
- 必须运用正确的标准执行审核,并且
- 必须执行审核且必须在适当时间段内颁发证明信,并且
- 审核者必须完成并提交合格证明。
CA 有责任及时向 Microsoft 提供审核结果的合格证明并遵守审核要求。
A. 审核者的资格
如果审核者是经以下三个颁发机构之一认证可执行证书颁发机构审核的独立个人或公司,则 Microsoft 会将其视为合格审核者:(1) WebTrust、(2) ETSI 等效国家机构授权(发布于 https://aka.ms/ena),或 (3) 政府本身(对于政府 CA 而言)。 (有关政府 CA 的详细信息,请参阅下面的“政府 CA 要求”。)
如果 CA 选择获取 WebTrust 审核,则 Microsoft 要求 CA 聘请 WebTrust 授权审核者来执行审核。 获得 WebTrust 许可的审核者的完整列表位于 https://aka.ms/webtrustauditors。 如果 CA 选择获取基于 ETSI 的审核,则 Microsoft 将要求该 CA 保留由等效国家机构(或“ENA”)授权的实体。 可接受 ENA 的目录基于位于 https://aka.ms/ena 的列表。 如果 CA 在没有 ETSI 等效国家机构的国家/地区中运营,则 Microsoft 将接受符合审核者本国的等效国家机构的规定的审核者执行审核。
B. 审核范围
审核范围必须包括根下的所有根、非限制子根和交叉签名的未注册根,已验证域的子根除外。 审核还必须记录完整的 PKI 层次结构。 最终审计报表必须支持公开访问,并且必须包含审计期间的开始和结束日期。 WebTrust 审核的 WebTrust 印章也必须支持公开访问。
°C 时间点准备情况评估
Microsoft 要求在开始商业运营之前进行审核。 对于以证书颁发者身份运行不满 90 天的商业 CA,Microsoft 可接受由合格审核者执行的时间点准备情况审核。 如果 CA 使用时间点准备审核,Microsoft 需在 CA 发出首个证书后的 90 天内接受后续审核。 已在计划当中并申请包含新根的商业 CA 无需遵守新根时间点和时间段审核要求。 相反,他们应了解计划中现有根审核的最新资讯。
D. 评估与审核者证明之间的时间段
Microsoft 要求 CA 每年进行一次合格审核。 为确保 Microsoft 拥有准确反映 CA 当前业务实践的信息,Microsoft 所收到的审核证明信件的日期必须在证明信件上明确标注的结束日期后 3 个月内(含 3 个月)。
E. 审核证明
Microsoft 要求每个审核者完成并向 Microsoft 提交合格证明。 合格证明要求审核者完成合格证明信。
Microsoft 会使用工具自动分析审核函,以验证合格证明信的准确度。 此工具位于常见证书颁发机构数据库 (CCADB) 中。 请与审核者共同确保合格证明信满足以下要求。 如果审核函不属于以下任何类别,则 Microsoft 向 CA 发送一封邮件,要求他们更新其审核函。
所有 CA
- 审核函必须采用英语撰写
- 审核函必须采用“文本可搜索”PDF 格式。
- 审核函必须拥有 CCADB 中记录的审核函中的审核者姓名。
- 审核函必须列出 SHA1 指纹或已审核根的 SHA256 指纹。
- 审核函必须列出审核函撰写日期。
- 审核函必须指出接受审核的时间段的开始日期和结束日期。 请注意,此时间段不是审核者位于站点的时间段。
- 审核函必须包含 CCADB 中所记录的 CA 全名。
- 审核函必须列出审核期间采用的审核标准。 请参阅 WebTrust/ETSI 准则 https://aka.ms/auditreqs,并列出所参考的审核标准的完整名称和版本。
提交 Webtrust 审核的 CA
- 对于由经过认证的 WebTrust 审核者执行的审核,必须将审核函上传到 https://cert.webtrust.org。
提交 ETSI 审核的 CA
- 对于由过经认证的 ETSI 审核者执行的审核,应将审核函上传到其审核者的网站。 如果审核者无法在其网站上张贴,则在提交审核函时,CA 必须提供审核者的姓名和电子邮件。 Microsoft 代表将会联系该审核者,以便验证审核函的真实性。
- CA 可以采用 EN 319 411-2 或 411-2 策略提交审核。
F. 审核提交
若要提交年度审核,请参阅 https://ccadb.org/cas/updates 上有关如何创建审核案例的 CCADB 说明。
如果 CA 应用于根存储而非 CCADB 中,则应通过电子邮件将其审核证明发送到 msroot@microsoft.com。
常规 CA 审核标准版
计划接受两类审核标准:WebTrust 和 ETSI。 Microsoft 要求左边的每个 EKU 都要进行符合所标记标准的审核。
请注意:自 2024 年 2 月起,CA 提供商必须确保其支持 S/MIME 的根 CA 和所有能够颁发 S/MIME 证书的从属 CA 已经并且将继续根据最新版本(至少是以下一套标准之一)进行审核。
- 适用于证书颁发机构的 WebTrust 原则和标准 – S/MIME
- ETSI EN 119 411-6 LCP、NCP 或 NCP+
A. WebTrust 审核
如今,Microsoft 要求证书颁发机构提供 WebTrust 信任服务原则和条件,并且要求对 2018 年 1 月 1 日及之后任何时间段的审核语句提供代码签名。 针对其根启用代码签名 EKU 的任何 CA 均需如此。 如果 CA 在根上启用了代码签名 EKU,但没有主动颁发代码签名证书,则此类 CA 可能需要联系 msroot@microsoft.com,以将 EKU 状态设置为“NotBefore”。
| 条件 | 面向 CA 的 WebTrust 2.1 版 | SSL 基线与网络安全 2.3 版 | 扩展验证 SSL 1.6.2 版 | 扩展验证代码签名 1.4.1 版 | 公开受信任的代码签名证书 1.0.1 版 | 适用于证书颁发机构的 WebTrust 原则和标准 – S/MIME |
|---|---|---|---|---|---|---|
| 服务器身份验证(非 EV) | X | X | ||||
| 仅限服务器身份验证(非 EV)和客户端身份验证 | X | X | ||||
| 服务器身份验证 (EV) | X | X | X | |||
| 仅限服务器身份验证 (EV) 和客户端身份验证 | X | X | X | |||
| EV 代码签名 | X | X | ||||
| 非 EV 代码签名和时间戳 | X | X | ||||
| 安全邮件 (S/MIME) | X | X | ||||
| 客户端身份验证(无服务器身份验证) | X | |||||
| 文档签名 | X |
B. 基于 ETSI 的审核
注释 1:如果 CA 使用基于 ETSI 的审核,则该 CA 必须每年执行全面审核,并且 Microsoft 不会接受监督审核。 注释 2:必须根据 CA/浏览器论坛要求审核所有 ETSI 审核语句,并且必须在审核函中声明是否符合这些要求。 ACAB'c [https://acab-c.com] 提供了符合 Microsoft 要求的指导。
| 条件 | EN 319 411-1:DVCP、OVCP 或 PTC-BR 策略 | EN 319 411-1:EVCP 策略 | EN 319 411-2:QCP-w 策略(基于 EN 319 411-1、EVCP) | EN 319 411-1:LCP、NCP、NCP+ 策略 | EN 319 411-2:QCP-n、QCP-n-qscd、QCP-l、QCP-l-qscd 策略(基于 EN 319 411-1、NCP/NCP+) | EN 119 411-6:LCP、NCP 或 NCP+ |
|---|---|---|---|---|---|---|
| 服务器身份验证(非 EV) | X | |||||
| 仅限服务器身份验证(非 EV)和客户端身份验证 | X | |||||
| 服务器身份验证 (EV) | X | |||||
| 仅限服务器身份验证 (EV) 和客户端身份验证 | X | X | ||||
| EV 代码签名 | X | X | ||||
| 非 EV 代码签名和时间戳 | X | X | ||||
| 安全邮件 (S/MIME) | X | X | X | |||
| 客户端身份验证(无服务器身份验证) | X | X | ||||
| 文档签名 | X | X |
政府 CA 要求
政府 CA 可能会选择获取商业 CA 要求的上述 WebTrust 或基于 ETSI 的审核,或者可能会使用等效审核。 如果政府 CA 选择获取基于 WebTrust 或 ETSI 的审核,则 Microsoft 会将政府 CA 视为商业 CA。 然后,政府 CA 可以在不限制其所颁发的证书的情况下操作。
A. 等效审核限制
如果政府 CA 选择不使用 WebTrust 或 ETSI 审核,可能会获得等效的审核。 在等效审核(“EA”)中,政府 CA 可选择第三方执行审核。 审核有两个用途:(1) 证明政府 CA 遵守与证书颁发机构运营相关的当地法律和法规,以及 (2) 证明审核大体上符合相关 WebTrust 或 ETSI 标准。
如果政府 CA 选择获取 EA,Microsoft 将限制政府 CA 颁发证书的范围。 颁发服务器身份验证证书的政府 CA 必须将根限制在政府控制的域。 政府必须将任何其他证书的颁发限制为ISO3166国家/地区代码,国家有权控制这些证书。 政府必须将所有证书的颁发范围限制在该国拥有主权控制权的 ISO3166 国家代码范围内。
政府 CA 还必须根据根颁发的证书类型接受并采用针对 CA 的适当 CAB 基线要求。 但是,计划要求和审核要求在这些要求冲突的任何方面将取代这些要求。
加入该计划的所有政府 CA 都将遵循上述 EA 要求。 所有 2015 年 6 月 1 日前加入该计划的政府 CA 在其审计到期后应立即遵守上述 EA 要求。
B. 等效审核报告的内容
Microsoft 要求所有提交 EA 的政府 CA 提供审核者出具的证明信,以证明:
- 证实审核由政府 CA 的政府授权进行审核的独立机构签发;
- 列出政府 CA 的政府对于审核者资格的条件,并证实审核者满足此条件;
- 列出审核者针对其评估政府 CA 的操作的特定法令、规则和/或法规;
- 证明政府 CA 遵守命名适用法令、规则和/或法规中列出的要求;
- 提供说明法令要求如何等效于相应 WebTrust 或 ETSI 审核的信息;
- 列出证书链中的证书颁发机构以及政府 CA 授权代表其颁发证书的第三方;
- 记录完整的 PKI 层次结构;和
- 提供审核周期的开始日期和结束日期。
定义
政府 CA
“政府 CA”是指签署政府计划协议的实体。
商业 CA
“商业 CA”是指签署商业计划协议的实体。
证书颁发机构
“证书颁发机构”或“CA”表示根据本地法律法规颁发数字证书的实体。
本地法律和法规
“本地法律和法规”是指适用于 CA 的法律和法规,将根据其授权 CA 颁发数字证书,这些法律阐明了适用于颁发、维护或吊销证书的策略、规则和标准,包括审核频率和过程。