跳到主要内容

认证实践声明(CSP)

版本:1.0 发布日期:2025-11-01 组织名称:云梦镜像 文档类型:Certification Practice Statement(CPS)

1. 引言

1.1 目的

本认证实践声明(CPS)用于描述 云梦镜像内部公钥基础设施(PKI)中,根 CA 与中间 CA 的运行方式、证书签发流程、密钥管理、安全要求及审计机制。本 CPS 适用于公司内部系统、设备、服务器、员工身份的证书管理。

1.2 范围

本 CPS 涵盖:

  • 企业 Root CA(离线部署)
  • 若干 Intermediate CA(在线或半离线部署)
  • 服务器证书、客户端证书、设备证书
  • CRL / OCSP

不适用于公共互联网的证书使用场景。

1.3 受众

  • PKI 管理员
  • 安全团队
  • 内部系统管理员
  • 审计人员
  • 开发团队

2. PKI 组织结构

2.1 根 CA(Root CA)

  • 为最高级别信任锚点
  • 采用离线方式部署
  • 主要用于签发和吊销中间 CA 证书
  • 不直接签发终端实体证书

2.2 中间 CA(Intermediate CA)

公司将设立3个中间 CA,用于不同用途。中间CA的数量和种类根据实际情况变更。该版本中间CA有如下3个:

  • DreamReflex Server Intermediate CA:用于签发内部服务器证书,维护内网HTTPS环境
  • DreamReflex Application Intermediate CA:用于签发应用间通讯的证书,维护mTLS,零信任通讯。
  • DreamReflex Testing CA:用于测试、培训和教育用途,不在官方层面实现,不使用根CA签发,如有培训和测试需求,请根据流程自签根CA。

2.3 最终实体证书

包括:

  • 内部 HTTPS 服务
  • 内部 API 端点
  • VPN 身份验证
  • 设备认证

3. 证书生命周期实践

3.1 证书申请

证书申请由以下方式发起:

  • 系统自动申请(例如通过 ACME 或内部工具)
  • 管理员人工提交 CSR
  • 批量设备注册系统

3.2 身份验证要求

  • 服务器证书:验证域名属于公司内部(如 .corp.local)。
  • 员工证书:验证员工身份(工号/邮箱)。
  • 设备证书:验证设备序列号或资产编号。

禁止签发给外部或未知主体。

3.3 证书签发

  • 所有终端证书由 Intermediate CA 签发
  • Root CA 不直接签发终端证书
  • 证书最长有效期:
类型有效期
Root CA10–20 年
Intermediate CA5–10 年
服务器证书1–2 年
客户端证书1–3 年
设备证书2–5 年

3.4 证书吊销

以下情况必须吊销:

  • 私钥泄露
  • 所属于的设备/员工离职、报废
  • 证书使用环境被破坏
  • 策略更新导致证书无效

吊销方式:

  • 发布 CRL
  • 或提供 OCSP

3.5 证书更新

必须重新生成 CSR,不允许自动续期使用旧密钥(除非有特殊要求)。

4. 密钥管理规范

4.1 私钥生成

  • Root CA 私钥必须在离线环境生成
  • Intermediate CA 私钥可在安全服务器或 HSM 中生成
  • 终端证书私钥由实体自行生成,CA 不得掌握私钥

4.2 密钥存储

  • Root CA 私钥存储在离线设备或加密 USB
  • 至少采用 AES-256 加密
  • 中间 CA 建议使用:
    • HSM(若预算允许)
    • 或安全隔离服务器 + 全磁盘加密 + MFA

4.3 密钥备份

  • Root CA:两份备份,一份位于U盘中,另一份打印为纸质介质中
  • Intermediate CA:至少一份加密备份
  • 备份必须封存并记录编号

4.4 密钥使用

  • Root CA 除建立初始中间CA外,每年只使用一次(如签发新 Intermediate)
  • 使用 Root CA 时需:
    • 提前审批
    • 双人操作
    • 全程记录

5. 安全控制措施

5.1 物理安全

  • Root CA 设备放置在受控工控机中,除签发和维护外不开机。
  • 中间 CA 服务器部署在公司数据中心
  • 必须开启门禁、摄像头、访问日志

5.2 网络安全

  • Root CA:永不联网
  • Intermediate CA:
    • 与互联网隔离
    • 开启防火墙
    • 限制 SSH / RDP

5.3 人员安全

  • PKI 管理员必须经过授权
  • 每年进行安全培训
  • 操作日志保存不少于 3 年

6. 审计与监控

6.1 日志要求

必须记录:

  • 证书签发
  • 证书吊销
  • 密钥使用
  • Root CA 激活
  • 管理员操作

日志需防篡改,并定期备份。

6.2 内部审计

  • 每年至少一次 PKI 审计
  • 审计内容包括:
    • 密钥保护措施
    • 签发流程
    • 吊销流程
    • 文档更新
    • 安全事件记录

7. 合规与变更管理

7.1 文档更新

  • 本 CPS 每年至少审查一次
  • 重大变更需经安全负责人批准

7.2 版本控制

每次更新需要:

  • 新版本号
  • 更新说明
  • 审批记录