中国证券登记结算有限责任公司数字证书认证业务指南（试行）-樊翔律师网

　　1.1　概述

　　中国证券登记结算有限责任公司（以下简称“中国结算或我公司”）通过CA系统提供数字证书服务。《中国证券登记结算有限责任公司数字证书业务指南（试行）》（以下简称“本指南”）是中国结算CA系统对数字证书服务生命周期中的业务实践（如证书申请、签发、补办、更新、冻结、解冻、作废）所遵循规范的详细描述和声明，是证书管理、证书服务、证书应用、证书责任等规则的集合。

　　本文档的编写遵从《中华人民共和国电子签名法》、《电子认证服务管理办法》、《电子认证服务密码管理办法》和《中国证券登记结算有限责任公司数字证书认证业务指引（试行）》（以下简称“数字证书业务指引”）。

　　证书申请者、证书订户、证书服务代理机构及其代理网点、依赖方及其它参与者，必须完整地理解和执行本指南所规定的条款，承担相应的责任和义务。

　　1.2　术语定义和缩写

　　1.2.1 中国结算CA系统

　　中国证券登记结算有限责任公司CA系统，简称中国结算CA系统。

　　1.2.2 市场参与者

　　市场参与者，是指自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者，证券公司、基金管理公司、期货公司、商业银行、保险公司、信托公司、合格境外机构投资者、人民币合格境外投资者等特殊法人机构投资者及其产品，以及上市公司等数字证书使用者，承担证券期货市场公共职能的机构、承担证券

　　期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构，证券期货行业协会等自律性社会团体，其他证券期货经营机构等证书服务代理及使用机构，以及中国结算认可的其他主体。

　　1.2.3 私钥

　　在公钥密码体系中，用户的密钥对中只有用户本身才能持有的密钥。

　　1.2.4 公钥

　　在公钥密码体系中，用户的密钥对中可以被其它用户所持有的密钥。

　　1.2.5 数字证书

　　由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。

　　1.2.6 证书持有者

　　拥有中国结算CA系统签发的证书的个人、机构或其它实体。

　　1.2.7 证书主体

　　证书主体是证书公钥对应的实体，它可以是个人、机构、域名等。

　　1.2.8 USB KEY

　　一种USB接口的硬件设备，它内臵单片机或智能卡芯片，有一定的存储空间，可以存储客户的私钥以及数字证书。

　　1.2.9 证书甄别名

　　证书甄别名（Distinguished Name，简称证书DN），是用来在数字证书的主体名称域中唯一标识证书用户的名称，体现用户的唯一性。

　　1.2.10 电子签名

　　具有识别签名人身份和表明签名人认可签名数据的功能的技术手段。

　　1.2.11 数字签名

　　通过使用非对称密码加密系统对电子数据进行加密、解密变换来实现的一种电子签名。本指南中提及的签名为数字签名。

　　1.2.12 CRL

　　证书作废列表（Certificate Revocation List）的简称，又称证书撤销列表，是证书作废状态的公布形式，CRL就像信用卡的黑名单，它通知其他证书用户某些证书不再有效。

　　1.2.13 LDAP

　　轻量级目录访问协议，用于查询、下载以及发布证书作废列表（CRL）。

　　1.3　数字证书业务参与者

　　1.3.1 中国结算CA系统

　　中国结算CA系统实现证书签发、补办、更新、冻结、解冻、作废、证书查询、以及证书作废列表发布等功能。

　　中国结算CA系统是一个树状结构，由根CA、运营CA组成，根CA是运营CA的根结点。通常，根CA只签发运营CA证书，运营CA则根据本指南的要求，向证书申请者签发证书。

　　1.3.2 注册机构

　　注册机构（RA），又称证书业务受理机构，包括RA服务器和证书服务代理机构及其代理网点，负责受理有关证书业务申请。其中，证书服务代理机构及其代理网点是面向最终证书申请者的注册机构，其主要功能是对申请者提交的资料进行审核，鉴别申请者的身份标识，以决定是否同意为该申请者发放证书以及进行证书管理。

　　注册机构有责任妥善保存客户的数据，不允许将客户的数据透露给与证书申请无关的任何单位或个人，不允许用作商业利益方面的用途。

　　1.3.3 证书服务代理机构

　　证书服务代理机构，是指经中国结算事先授权，并与中国结算签订数字证书业务代理协议后，代理中国结算开展数字证书有关业务的证券公司、商业银行及中国结算境外B股结算会员。

　　基金管理公司、期货公司、保险公司、证券期货行业协会等其他机构也可以申请成为证书服务代理机构，经中国结算同意，并与中国结算签订相关协议后，代理中国结算开展相关证书服务业务。

　　证书服务代理机构作为中国结算授权开展数字证书服务的机构，负责证书用户信息的审核、整理汇总、统计分析、与中国结算CA系统进行数据交换，并负责管理和服务其下属的证书服务代理网点。每个证书服务代理机构可以将其分支机构申请成为证书服务代理网点，也可以直接向证书申请者提供服务。

　　证书申请者申请证书时，证书服务代理机构及其代理网点有责任验证申请者提供信息的准确性、可靠性和完整性，在确保符合实名制要求的前提下，为申请者提供证书服务。

　　证书服务代理机构及其代理网点的管理参照中国结算开户代理机构管理有关规定执行，并遵循《数字证书业务指引》等有关规定。

　　1.3.4 证书申请者

　　又称证书申请实体、证书申请人，指向中国结算或中国结算授权的证书服务代理机构及其代理网点提出证书签发申请的市场参与者。证书申请一旦获得批准，证书申请者无论是否已经接受证书，申请者自动成为证书订户。

　　1.3.5 订户

　　又称证书订户，即证书持有者，是指从中国结算CA系统接受证书的市场参与者，包括已经申请并拥有中国结算CA系统签发的证书的个人、机构或其它实体。在电子签名应用中，即为电子签名人。

　　1.3.6 依赖方

　　依赖于中国结算CA系统签发的数字证书真实性的实体。在电子签名应用中，即为电子签名依赖方。依赖方可以是、也可以不是一个中国结算CA系统的订户。

　　1.3.7 其它参与者

　　在数字证书认证活动中除了中国结算CA系统、注册机构、证书服务代理机构及其代理网点、申请者、订户和依赖方以外的参与者称为其它参与者。

　　1.4　证书应用

　　1.4.1 证书类型

　　中国结算CA系统签发的数字证书为中国结算的证券登记结算业务提供身份认证服务。目前，中国结算CA系统签发的数字证书类型主要有个人证书和企业证书。

　　个人证书-用于确认个人的网上身份，面向境内、外自然人投资者及其它自然人申请者，在网上信息传递过程中提供身份验证、数字签名等功能。

　　企业证书-用于确认企业的网上身份，面向境内、外法人投资者及其它企业申请者，在网上信息传递过程中提供身份验证、数字签名等功能。

　　为保证签名私钥（以下简称“私钥”）的安全性和唯一性，证书申请者的签名/验签密钥对由申请者在申请者端生成。

　　中国结算CA系统签发的证书分为硬证书和软证书。其中，硬证书一般需使用USB Key、加密机等密码类硬件设备生成密钥对，密钥对中的私钥不出硬件设备，并需证书申请者设臵USB Key的PIN码保护私钥，中国结算CA系统签发的证书由证书申请者下载到USB Key中；软证书一般使用浏览器、微软CSP程序等软件生成密钥对，密钥对中的私钥存储在计算机硬盘中，并需证书申请者设臵一定复杂度和长度的口令对私钥进行防护，采取一定的安全防护措施对该计算机进行保护，中国结算CA系统签发的证书由证书申请者下载到计算机中或其它存储介质中。

　　硬证书和软证书的使用范围依据《数字证书业务指引》等有关规定执行。

　　证书申请者可以根据实际需要和安全风险，自主判断和决定采用相应类型的证书。

　　中国结算提醒您：为了保护您的个人信息安全，建议您选择和使用硬证书。

　　除非在本指南中特别声明，中国结算及其授权的证书服务代理机构没有义务承担因任何使用证书而产生的额外经济赔偿责任。

　　1.4.2 限制的证书应用

　　中国结算CA系统签发的证书禁止在任何违反国家及地方法律、法规或破坏国家安全的应用系统使用，否则由此造成的法律后果由订户自己承担。

　　中国结算CA系统签发的软证书禁止在中国结算证券登记结算业务中涉及证券划转等资产权属变更以及涉及证券抵押、冻结等权利受限的业务系统中使用，否则由此造成的法律后果由订户自己承担。

2　证书注册机构管理

　　2.1　证书服务代理机构管理

　　对于授权加入的证书服务代理机构，中国结算CA系统为其签发一张接入证书，作为该证书服务代理机构在证书系统内的唯一身份标识，证书服务代理机构接入证书需为硬证书。中国结算CA系统根据证书服务代理机构的签名，对其进行身份鉴别，以判断该证书服务代理机构是否为中国结算认可的机构，具有何种权限，是否接受其提交的各类服务请求和服务信息。

　　（一）证书服务代理资格申请

　　1.申请对象及条件

　　（1）凡符合《数字证书业务指引》中有关规定的证券公司、商业银行及中国结算境外B股结算会员，可向中国结算申请取得证书服务代理资格。

　　基金管理公司、期货公司、保险公司等其他机构也可以申请成为证书服务代理机构。

　　（2）有开展业务所具备的人员、场地、技术系统、设备。

　　（3）管理规范、制度健全。

　　2. 申请材料

　　（1）《证书服务代理申请书》；

　　（2）《证书服务代理资格申请表》；

　　（3）法人有效证明文件复印件（加盖申请单位公章）；

　　（4）组织机构代码证复印件（加盖申请单位公章）；

　　（5）法人代表证明书；

　　（6）《中国结算CA系统准入测试情况报告表》（加盖申请单位公章）；

　　（7）《中国证券登记结算有限责任公司数字证书认证业务代理及使用协议》（以下简称“证书服务代理协议”）四份；

　　（8）根据《数字证书业务指引》及本指南等有关规定制定的数字证书认证业务管理细则等业务制度，技术方案及相关准备情况。内容应包括但不限于：数字证书认证业务相关人员管理（含见证人员、复核人员、客服人员及其他业务受理人员的岗位职责、行为约束和人员安排）、采用临柜、见证及《数字证书业务指引》规定方式以外的其他方式办理证书业务的流程（含证书签发、更新、补办、冻结、解冻、作废等操作）、设备配臵及维护、空白证书存储介质USBKEY及证书业务注册申请资料保管、印章管理、技术支持及风险控制措施等内容，见证人员管理、见证方式及其他方式办理证书业务的流程可参照中国结算《证券账户非现场开户实施暂行办法》中见证开户、网上开户有关规定制定。对于申请采用《数字证书业务指引》规定方式以外的其他方式代理发放数字证书的申请机构（包括新申请机构或已取得证书服务代理资格但仅采用临柜或见证方式开展证书业务的证书服务代理机构），在向中国结算报备其他方式的情况说明、业务流程、技术方案及风险控制措施等申请材料后，还需经中国结算同意后方可实施。但向中国结算进行报备，并不能免除证书服务代理机构依法合规地开展数字证书业务的法律责任；

　　（9）提供《证书服务代理机构内部网络适用性说明》，主要描述证书服务代理机构证书接入系统与中国结算CA系统之间证书业务数据的传递方式（专线、互联网或其他方式）、网络管理、安全措施；证书服务代理机构与其所授权的分支机构间证书业务数据的传递方式（modem拨号联网、DDN或其他方式）、安全措施；以及证书服务代理机构总部汇总数据处理、传递方式、网络管理、安全措施等与证书业务相关的情况；

　　（10）对于所采用的密码类硬件设备产品需提供由国家密码管理局等部门出具的有关资质证明文件复印件（加盖申请单位公章）；

　　（11）由密码类硬件设备生成的符合PKCS#10标准格式的证书服务代理机构接入证书请求文件（算法：RSA，位数：2048位，中国结算CA系统基于该证书请求文件为证书服务代理机构签发用于生产环境的接入证书）。

　　3.受理流程及要求

　　中国结算审核申请机构提交的证书服务代理业务申请材料。审核通过的，中国结算与申请机构签订证书服务代理协议，并签发证书服务代理机构接入证书。同时将签订的证书服务代理协议（两份）寄还申请机构。

　　对于申请采用《数字证书业务指引》规定方式以外的其他方式代理发放数字证书的申请机构（包括新申请机构或已取得证书服务代理资格但仅采用临柜或见证方式开展证书业务的证书服务代理机构），应获中国结算同意后，方可实施。

　　申请机构在申请证书服务代理资格前还须完成证书接入系统建设，并通过中国结算CA系统准入测试（证书接入系统具体要求和测试参见我公司《中国结算CA系统准入测试方案》、《中国结算CA系统对外服务接口规范》和《中国结算CA系统准入测试测试用例》等相关技术文档），做好系统连通调试工作及其它相关技术准备，以保证证书代理服务业务可正常开展。

　　（二）证书服务代理机构信息变更

　　已获得证书服务代理资格的证书服务代理机构，若机构名称、机构营业执照注册号、机构组织机构代码号等发生变更的，须及时向中国结算申请更新证书服务代理机构备案资料。

　　1. 申请材料

　　证书服务代理机构名称变更的，需提交以下材料：

　　（1）上述证书服务代理资格申请所需材料；

　　（2）营业部网点证书业务专用章报备表；

　　（3）证书服务代理机构营业执照发证机关出具的变更证明复印件；

　　（4）证监会的更名批复复印件（如有）。

　　证书服务代理机构营业执照注册号和组织机构代码号发生变更的，需提交以下材料：

　　（1）《证书服务代理机构信息登记表》；

　　（2）法人有效证明文件复印件（加盖申请单位公章）；

　　（3）证书服务代理机构营业执照注册号变更的，需提供发证机关出具的变更证明复印件；证书服务代理机构组织机构代码号发生变更的，需提供变更后的组织机构代码证复印件。

　　2.受理流程及要求

　　证书服务代理机构信息变更可通过邮寄方式申报，具体方式为：

　　（1）根据要求填写相关信息，将《证书服务代理机构信息登记表》、证书服务代理机构营业执照、证书服务代理机构组织机构代码证、证书服务代理机构经营业务许可证、证书服务代理机构营业执照发证机关出具的变更证明、证监会的更名批复（如有）等证件的复印件（需加盖单位公章）通过邮寄的方式一并提交中国结算。

　　（2）中国结算审核申请机构提交的证书服务代理业务申请材料。审核通过后办理证书服务代理机构信息变更，对于需重新签订证书认证业务代理及使用协议的，中国结算将签订的证书认证业务代理及使用协议（两份）寄还申请机构。

　　（三）证书服务代理机构资格撤销

　　证书服务代理机构被行政撤销或注销时，需向中国结算申请证书服务代理机构资格撤销。

　　（1）至少提前90天以书面形式告知中国结算；

　　（2）提供证书服务代理业务切换方案；

　　（3）向证书服务代理业务承接方提供认证相关信息，包括但不限于：证书办理资料、证书信息库、最新的证书状态资料等。

　　中国结算对申请机构提交的申请材料进行审核，审核通过后，关闭申请机构证书服务代理业务权限，证书服务代理资格终止。

　　（四）注意事项

　　（1）文档的具体格式暂不限，但内容必须详实、清晰，落款必须注明机构全称、日期，并加盖申请单位公章；

　　（2）本业务指南相关业务表单的格式，可参见本公司网站“技术专区-CA认证-下载专区”或新版网站“服务支持-业务表格-CA认证”栏目下公布的业务表单。

　　2.2　证书服务代理网点管理

　　（一）证书服务代理网点新增

　　1.申请机构对象及条件

　　取得证书服务代理资格的证券公司下属营业网点和商业银行的分支机构经申请可以成为证书服务代理网点。

　　2.申请材料

　　（1）按规定刻制的证书业务专用章样章（具体要求见《证书业务专用章报备表》和附件《证书业务专用章样式及说明》）；

　　（2）新增证书服务代理网点的营业执照复印件；

　　（3）新增证书服务代理网点的《证券经营机构营业许可证》复印件；

　　（4）证监会同意设立营业部的批复复印件（如有）。

　　3.受理流程

　　证书服务代理网点新增申请通过邮寄方式直接申报，具体方式为：

　　（1）根据要求填写相关信息，并将申请材料及《证书业务专用章报备表》一并邮寄中国结算；

　　（2）中国结算审核申请机构提交的申请材料，审核通过后新增证书服务代理网点。

　　（二）证书服务代理网点撤销

　　已获准证书代理服务资格的证书服务代理机构不再具备证书代理服务资格时，其所属的证书服务代理网点或已获准证书代理服务资格的证书服务代理网点不再具备证书代理服务资格时，需向中国结算申请证书服务代理网点撤销。

　　1. 申请材料

　　（1）证监会同意撤销的批复复印件（如有）；

　　（2）证书服务代理网点证书服务代理业务资料移交情况说明。

　　2. 受理流程

　　证书服务代理网点撤销通过邮寄方式直接申报，具体方式为：

　　（1）根据要求填写相关信息，并将申请材料一并邮寄中国结算；

　　（2）中国结算审核申请机构提交的申请材料，审核通过后撤销证书服务代理网点。

　　（三）证书服务代理网点信息变更

　　已获准证书服务代理资格的证书服务代理网点，代理网点名称、代理网点营业执照注册号发生变更，须向中国结算申请证书服务代理网点变更。

　　2.申请材料

　　（1）按规定刻制的证书业务专用章样章（证书服务代理网点名称变更提供）；

　　（2）证书服务代理网点的营业执照复印件（证书服务代理网点名称变更和营业执照变更提供）；

　　（3）提供证书服务代理网点的《证券经营机构营业许可证》复印件（证书服务代理网点名称变更提供）；

　　（4）证监会同意变更的批复或关于营业场所变更备案的回执等其他材料复印件（如有，证书服务代理网点名称变更提供）。

　　2.受理流程

　　证书服务代理网点信息变更通过邮寄直接申报，具体方式为：

　　（1）根据要求填写相关信息，并将申请材料及《证书业务专用章报备表》一并邮寄中国结算；

　　（2）中国结算审核申请机构提交的申请材料，审核通过后变更证书服务代理网点信息；

　　（四）注意事项

　　1．证书服务代理机构及其代理网点的地址、联系人、联系电话等信息变更，无须提交纸质材料。

　　2．通过邮寄方式申请办理业务的，证书服务代理机构应确保邮寄的复印件与原件一致，应在复印件上注明“已审核，与原件一致”字样并加盖公司公章。

3　证书业务办理

　　中国结算CA系统根据本指南办理数字证书签发、更新、补办、冻结、解冻、作废等证书业务，并明确在业务流程中各个参与方的责任与义务。

　　3.1　证书业务申请实体

　　自然人投资者，普通法人机构投资者、合伙企业及非法人创投企业等非法人机构投资者，证券公司、基金管理公司、期货公司、商业银行、保险公司、信托公司、合格境外机构投资者、人民币合格境外投资者等特殊法人机构投资者及其产品，以及上市公司等数字证书使用者，承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构，证券期货行业协会等自律性社会团体，其他证券期货经营机构等证书服务代理及使用机构，以及中国结算认可的其他主体，需要在办理相关证券登记结算业务中进行基于数字证书的身份鉴别、数字签名时，可向中国结算或中国结算授权的证书服务代理机构及其代理网点提出证书业务申请。

　　其中，暂不支持境外法人证书签发申请等业务。

　　3.2　证书申请者身份的鉴别

　　中国结算或中国结算授权的证书服务代理机构及其代理网点需按照《数字证书业务指引》有关要求对证书申请者的身份进行鉴别，在严格贯彻落实名制原则的基础上，认真审核证书申请者身份真实性，确保其提交的有效身份证明文件等资料真实、准确、完整。

　　严禁为申请资料不全或者提交无效身份证明文件的证书申请者办理证书相关业务。

　　如果申请者拒绝中国结算或中国结算授权的证书服务代理机构及其代理网点的身份鉴别要求，则被视作放弃对证书有关业务的申请。

　　3.3　证明证书申请者拥有私钥的方法

　　中国结算或中国结算授权的证书服务代理机构及其代理网点需验证证书申请者拥有私钥的合法性和正确性。证明申请者拥有私钥是通过pkcs#10的数字签名来完成的。

　　为了保证私钥的安全性和唯一性，中国结算要求私钥由证书申请者生成，并妥善保管其拥有的私钥，在私钥遗失、泄漏、被篡改或存在安全隐患时及时申请作废证书。

　　3.4　证书申请者的责任

　　证书申请者申请证书前，须明确表示其愿意接受《数字证书业务指引》及本指南所规定的相关责任与义务，并提供真实有效的身份证明文件等材料。

　　证书申请者的证书申请一经中国结算或中国结算授权的证书服务代理机构及其代理网点接受，证书申请者就应承担如下责任：始终保持对其私钥的控制，使用可信的安全系统和采取必要合理的安全措施来防止私钥的遗失、泄露、被篡改或被未经授权使用。

　　中国结算CA系统一旦通过证书申请者的申请并为其签发证书，无论申请者是否已经接受证书，证书申请者自动成为证书订户，并同意中国结算或中国结算授权的证书服务代理机构及其代理网点对于由下列原因直接或间接造成的任何责任和损失不承担法律责任：

　　1）证书申请者（或其授权的代理人）虚假地或错误地陈述了事实。

　　2）证书申请者未能披露重要事实，而证书申请者的这种有意或无意的错误陈述或失职造成了对中国结算CA系统、中国结算、证书服务代理机构及其代理网点、依赖方的欺骗。

　　3）证书申请者没有使用可信的安全系统或没有采用必要的合理安全措施防止其私钥被损害、丢失、泄露、被篡改或被未经授权使用。

上一篇:　中国证券登记结算有限责任公司数字证书认证业务指引（试行）
下一篇:

打印本页 || 关闭窗口

友情链接：南昌离婚律师廊坊律师临沂律师房产律师北京律师协会杭州律师事务所南昌律师常熟律师北京刑事辩护律师北方律师网北京合同律师合肥知识产权律师北京刑事律师拆迁律师