CFCA 反欺诈全球服务器证书 (EV SSL) 用户手册:绿色地址栏与身份验证标准
CFCA 反欺诈全球服务器证书(EV SSL)遵循全球统一的严格身份验证标准。本文为您详细介绍 EV 证书如何保护在线交易安全,通过新版浏览器的绿色地址栏识别功能,帮助用户快速区分受信任商户,有效预防假冒网站和网络欺诈。
## 一、 简介
[CFCA SSL] 反欺诈全球服务器证书(即EV SSL证书),英文为Extended Validation SSL Certificate,是遵循全球统一的严格身份验证标准而颁发的 SSL 证书,用来保护用户不与没有经过严格身份验证的网上商户从事在线交易。所有颁发 EV SSL 证书的数字证书颁发机构必须按照统一标准来对申请者进行严格的身份验证,而IE7 或其他新版浏览器中能识别出 EV SSL 证书而使得地址栏变成绿色。
1、严格的身份验证标准
反欺诈全球服务器证书标准提高了对 SSL 证书申请者的审核标准,并且是一个全球所有颁发 EV SSL 证书的认证机构 (CA) 都必须遵守的身份验证标准,申请单位必须经过非常严格的身份验证,从而可以有效地防止网络欺诈、网络钓鱼等不安全事件的发生。
在审核过程中,证书颁发机构需要:
·通过工商局网站或电话确认申请单位营业执照上的相关注册信息(包括公司名称、注册地址、成立日期等);
·通过CNNIC、万网等平台查询域名是否确由申请单位注册;
·通过第三方电话(如114查号台)查询申请单位人力资源部联系方式,并通过人力资源部查询部门负责人及经办人的联系信息;
·根据人力资源部提供的电话询问部门负责人是否在线确认过证书订单及订购协议,及是否授权过经办人办理证书申请;
·根据人力资源部提供的电话询问经办人是否具体经办过证书申请;
·要求申请单位律师提供证明性质的律师函,并需通过第三方机构来确认签署律师函的律师是否拥有律师证等职业资格证书。
2、反欺诈全球服务器证书的特点
·反欺诈全球服务器证书能够有效地防止网络钓鱼与中间人攻击;
·反欺诈全球服务器证书提供了更多的网站信息,用户能够很容易了解到底访问的是哪个网站;
·反欺诈全球服务器证书只能由限定的CA机构采用统一的审核流程颁发;
·浏览器能够显示更加详细的网站信息。
3、CFCA提供的反欺诈全球服务器证书服务
CFCA提供的反欺诈全球服务器证书是由全球三大PKI厂商之一的Entrust公司签发的,Entrust是全球电子认证最具规模的安全技术公司之一。
CFCA是Entrust在中国的指定合作机构,用户可以直接向CFCA递交证书申请材料(下载)。申请材料经CFCA初审合格后,由CFCA向Entrust提交,Entrust将对用户申请材料的真实性进行审核,审核合格后发放证书。
二、申请流程
1.收到订单邮件
证书申请材料由CFCA提交给Entrust之后,证书申请单位的部门负责人(Authorization contact)及经办人(Technical contact)邮箱都会收到Entrust自动发送的邮件,其中会包含用户此次申请的订单号、用户提交的证书DN信息、以及用户可以查询订单状态的地址链接。邮件截图如下:
2.收到订购确认邮件
①部门负责人(Authorization contact)会收到如下邮件,并需要点击其中的地址链接在线确认是否授权给经办人(Technical contact)办理证书申请事宜。邮件截图如下:
②部门负责人还会收到第二封邮件,并需要点击其中的地址链接在线确认是否同意Entrust的订购协议(subscription agreement),邮件截图如下:
点击后会出现的页面
注:由于Entrust进行用户资料审核时,要确认申请用户的资料存在于它们的数据库中,而一般Entrust的数据库中没有中国的企业数据。所以客户大都会收到以下邮件:
用户可以不用按照Entrust的邮件要求提交申请材料,CFCA会代用户将申请材料提交给Entrust。
3.在用户申请资料进行审核的过程中,用户单位的以下部门需要对审核工作给予配合:**
①申请证书的公司人事部
②申请证书的部门,即证书申请表格中的部门负责人(Certificate Approver signature)和经办人(Technical contact)
CFCA会给公司人事部打电话确认部门负责人和经办人是否为该企业员工,然后根据人事部提供电话联系部门负责人确认授权信息,并联系经办人确认其是否代表公司申请过EV SSL证书。
三、申请所需材料
1、EV SSL证书申请表格
提交形式:中英文各一式两份,原件,以及电子版
公司名称请务必与营业执照或组织机构代码证上的名称相一致。英文申请表中的legal name一栏请严格按照营业执照或组织机构代码证上的名称进行翻译。
2、企业资质证明(企业营业执照或组织机构代码证)
提交形式:复印件
3、本公司内部律师或外部法律顾问出具的律师函,同时需提供该律师的律师证、法律职业资格证等律师资格的证明性文件。
提交形式:律师函需原件,全部用英文填写,需律师亲笔签名。
律师资格证明文件需复印件。
4、证书签名请求(CSR)(通过电子邮件提交)
说明:生成CSR时请按照以下要求进行:
CN=域名 OU=英文(拼音)简称 O=英文(拼音)全称 C=CN
5、若本公司域名由代理公司注册,需代理公司出具一份域名注册代理证明。
------------------------------------------------
文挡下载:
四、证书重新签发
在安装或使用反欺诈全球服务器证书过程中,可能会由于误操作等原因导致证书下载失败,此时我们可为您提供证书的快速重新签发服务,充分节约您的时间与费用。
在证书有效期内,CFCA可以为用户提供前2次的快速免费重新签发服务,用户只需向我们提交新的证书签名请求(CSR)即可。但超过2次以后,则需要重新提交证书下载失败的原因及与初次申请时相同的申请材料,经CFCA审核通过后方可再次重新签发。新签发的证书有效期与原证书有效期一致。
五、证书补发
若用户由于私钥泄漏、证书遗失等原因导致原有的证书不可用,用户可以向CFCA提出证书补发申请。
若用户需要补发证书,可在CFCA网站上下载证书密钥补发申请表(下载),填写完整并盖章,同时须附上经办人的身份证复印件、单位证件(企业营业执照或组织机构代码证)复印件(加盖申请单位公章)、单位给经办人的授权书(加盖申请单位公章)通过邮寄或传真的方式发送给CFCA。
CFCA将在收到证书补发申请材料后的2个工作日内完成审核,并在收到用户新的证书签名请求(CSR)后将补发后的证书发送到用户单位经办人的E-mail中。
六、证书更新
反欺诈全球服务器证书的有效期为1年或2年,用户可以根据自己的需要选择不同期限的证书。在证书到期前10-15天Entrust会向经办人的邮箱发送邮件通知用户进行证书更新。
当用户需要更新证书时,可在CFCA网站上下载证书密钥更新申请表(下载),填写完整并盖章,同时须附上经办人的身份证复印件、单位证件(企业营业执照或组织机构代码证)复印件(加盖申请单位公章)、单位给经办人的授权书(加盖申请单位公章)通过邮寄或传真的方式发送给CFCA。
CFCA将在收到证书更新申请材料后的2个工作日内完成审核,并在收到用户新的证书签名请求(CSR)后将更新后的证书发送到用户单位经办人的E-mail中。
七、证书吊销
证书吊销是指将证书永久废除后不再使用。如有下列情况中的任何一种情况发生,用户可以申请吊销证书。
·私钥丢失或泄漏
·证书中的信息不正确或发生变更
·用户的机构名称发生变化
·用户的机构域名发生变更。
如有下列情况中的任何一种情况发生,CFCA也可以主动对用户的证书进行吊销:
·当CFCA发现用户申请证书时,提供的资料不真实;
·用户没有按照规定缴纳数字证书服务费用;
·当CFCA发现用户主体消亡;
·根据法律法规或司法部门的要求,对证书进行吊销。
若用户需要吊销证书,可在CFCA网站上下载证书吊销申请表(下载),填写完整并盖章,同时须附上经办人的身份证复印件、单位证件(企业营业执照或组织机构代码证)复印件(加盖申请单位公章)、单位给经办人的授权书(加盖申请单位公章)通过邮寄或传真的方式发送给CFCA。
CFCA从收到吊销请求到审核完成,做出吊销决定并将吊销证书发布到目录服务中,全部工作将在4小时内完成。从用户正式提出证书吊销申请到证书正式吊销前4小时内因使用该证书造成的损失,CFCA不予承担。
八、安装指南
1、生成CSR
用户在申请反欺诈全球服务器证书(EV SSL证书)时,首先需要在将要安装EV SSL证书的Web Server上生成证书签名请求(CSR),并与证书申请材料共同提交给CFCA。
CSR(Certificate Signature Request,证书签名请求),是在申请反欺诈全球服务器证书时,证书申请方需向证书认证中心(CA)提交的证书签名请求文件。CSR文件是一段包含有公钥以及用户申请信息的标准文件。在生成CSR的同时,Web Server(或对应的SSL硬件设备)上对应地生成了证书的私钥。用户需妥善保存该私钥,防止丢失或损坏。
在生成CSR文件时,用户需要填写相关的证书申请信息,这些信息代表了互联网上EV SSL证书的基本信息,这些信息必须与证书的拥有者,即申请方的信息一致。并且证书颁发机构在进行身份验证时,也会对这些信息进行严格地审核。因此,用户在生成CSR时需要严格按照CFCA的要求来填写相关内容。
下面将证书申请过程中需要在CSR中填写的内容及其含义,以及应该如何填写描述如下:
您的公用名(Common Name 简称“CN”):请输入您的域名;
您的组织单位(或组织部门)(Organazation Unite 简称“OU”):请输入单位简称,即英文申请表中的“name abbreviation” ;
您的组织(Organazation 简称“O”):请输入您的单位全称,即英文申请表中的“Legal Name” ;
国家代码(Country ,简称“C”):输入CN,代表中国;
您所在的城市或区域:输入城市名称,根据实际情况填写如Beijing;
您所在的州或省份:输入省份名称,根据实际情况填写如Beijing。
2、证书安装
当用户取得了EV SSL证书后,用户需要将EV SSL证书安装在自己的服务器上。不同的Web server产品安装方法各异,具体可参见附件文档。如果用户使用第三方厂商提供的SSL软、硬件代理设备,需要根据厂商提供的手册进行证书安装。
3、SSL配置
证书安装完成后,为了使自己的Web Server提供SSL服务,用户还需要根据不同的Web Server产品类型进行SSL的配置。这个过程与普通SSL证书的配置过程完全一致,也会由于不同的产品类型具有不同的操作方式。
4、附件
附件介绍了几种主流的Web Server产品的CSR生成、EV SSL 证书的安装以及SSL服务配置方法供用户参考。如果用户使用其他厂商提供的SSL软、硬件代理产品,请参考厂商提供的产品手册。
·附件二:Apache:《在Apache上安装EV证书+配置SSL》
·附件三:Tomcat:《如何配置Tomcat以支持EV SSL》
·附件四:BEA WebLogic:《在Weblogic上通过keystore安装EV证书+配置SSL》
·附件五:IBM HTTP Server:《IBM HTTP Server 服务器证书配置 EV SSL版》
5、相关文档
九、常见问题
1.EV SSL证书与普通SSL证书的区别?
EV SSL证书与普通的SSL证书的最主要的区别在于发证的认证标准不同。
在申请普通的SSL证书的时候,各个CA都有自己各自不同的认证方式,有的比较严格,有的不太严格。而对于EV SSL证书的申请,CA必须严格按照CA/Browser From 发布的《EV_Certificate_Guidelines》标准对用户进行认证。遵循EV标准的每个CA都将拥有统一的认证策略和唯一的策略对象标识符(Policy Object Identifier )即OID。浏览器可以实时证实该EV SSL证书的根证书的OID是已经被认证过并且是有效的,然后显示EV界面特性。这种架构也使CA实时调整EV SSL证书的状态成为可能。例如,如果CA总是不能可靠地执行EV验证,浏览器可以不再将其作为EV SSL证书来对待,从而保护EV SSL的总体可信性。
2.EV SSL证书是与域名(或IP地址)绑定还是与服务器绑定?
EV SSL证书与域名或IP地址绑定。
一个域名原则上只需要一张证书。如果域名不同,或者是有二级域名的情况则需要每个域名申请一张证书。
3.什么是CSR? CSR是什么时候生成?
CSR(Certificate Sign Request)即证书请求文件,是用户在申请EV SSL证书时,向CA提交的证书请求文件。CSR文件是一段包含有公钥以及用户申请信息的标准文件。在生成CSR的同时,Web Server(或对应的SSL硬件设备)上会生成对应的证书私钥,用户需妥善保存私钥。
4.生成CSR时有何要求
在生成CSR文件时,用户需要填写相关证书申请信息,这些信息代表了互联网上EV SSL证书的基本信息,因此这些信息必须与EV SSL证书的拥有者,即申请方的信息一致。并且CA在进行严格的身份审核时,也会审核相关信息。
生成CSR时需要按照以下要求进行:
CN=域名 OU=英文(拼音)简称 O=英文(拼音)全称 C=CN
5.由于负载均衡的需要,有多个服务器要安装EV SSL证书,是否要申请多个证书?
如果域名都相同,但为了实现负载均衡的需要而要在多个SSL代理服务器上安装证书,则可以在安全的情况下将证书(包含私钥文件)一起导入,并安装在其他SSL代理服务器上。
6.EV SSL证书有没有测试证书?
没有。
7.EV SSL证书的申请周期大概是多长时间?
如果申请材料按照CFCA的要求准备齐全后需要3-4周的时间。
8.EV SSL证书申请成功后,返回给用户的是证书还是两码?
EV SSL证书申请成功后,返回给用户的是证书。证书将会直接发送到经办人的E-mail中,因此请务必确保经办人的E-mail地址正确且可正常收发邮件。
9.EV SSL证书如何安装?
EV SSL证书的安装与一般的SSL证书安装完全相同,只是在生成EV SSL证书的CSR时需要严格按照CFCA的要求填写CSR中的相关信息。当然不同的Web Server产品或软硬件SSL代理设备的CSR生成方式各有不同,请参见技术支持手册。
10.客户在服务器端安装EV SSL证书,而用户端是普通的证书,是否可以正常建立SSL连接,原有的SSL服务是否会受到影响?
原有的SSL服务不会受到影响,在服务器端与客户端建立安全连接的过程中,客户端只要验证服务器端的证书是由本地浏览器受信任的根证书颁发的即可。而EV SSL证书的根证书已经预植在IE浏览器,因此客户端是可以认证服务器端的证书的。而服务器端认证客户端也是相同的过程,只要在服务器端安装客户端证书的根证书即可。
京公网安备11010502031690号
网站经营企业工商营业执照
