Root CA 准入流程
概述
本文档详细说明 Root CA 加入 AUN 受信根证书列表的完整流程,包括申请条件、审查标准、投票机制和加入后的持续监督。
申请条件
技术要求
| 项目 | 要求 | 验证方式 |
|---|---|---|
| HSM | FIPS 140-2 Level 3+ 或 Common Criteria EAL 4+ | 提供 HSM 认证证书 |
| 密钥算法 | ECDSA P-384 | 提交 Root CA 证书 |
| 密钥生成 | 在 HSM 中生成,多人见证 | 提供密钥生成仪式报告 |
| Registry CA | 具备签发和运营 Registry CA 的能力 | 提供 Registry CA 部署计划 |
| CRL 服务 | 7x24 小时可用,每 1-6 小时更新 | 技术委员会测试 |
| OCSP 服务 | 7x24 小时可用,响应时间 < 2 秒 | 技术委员会测试 |
| 证书策略 | 符合 AUN Certificate Policy | 技术委员会审查 CP/CPS 文档 |
| 运维能力 | 7x24 小时运维团队 | 提供运维计划和联系方式 |
安全审计要求
必需审计:
- WebTrust for CAs 或等效审计(如 ETSI EN 319 411-1)
- 审计必须由认可的审计机构执行
- 审计报告必须在申请时提交,且有效期内(通常 1 年)
审计内容:
- 密钥管理和保护
- 证书签发流程
- 吊销管理
- 物理安全
- 人员安全
- 应急响应计划
法律和合规要求
| 项目 | 要求 | 提交材料 |
|---|---|---|
| 法律实体 | 合法注册的公司或组织 | 营业执照或注册证明 |
| 互信协议 | 签署 AUN 根证书互信协议 | 签署的协议副本 |
| 证书策略 | 制定并发布 CP/CPS 文档 | CP/CPS 文档 URL |
| 隐私合规 | 遵守 GDPR/CCPA 等隐私法规 | 隐私政策文档 |
| 责任保险 | 持有 PKI 责任保险(推荐) | 保险证明(可选) |
运营能力要求
| 项目 | 要求 | 验证方式 |
|---|---|---|
| 运营经验 | 至少 2 年 CA 运营经验 | 提供运营历史证明 |
| 专业团队 | 至少 3 名全职 PKI 专家 | 提供团队简历 |
| 财务稳定 | 能够长期运营(至少 10 年) | 提供财务报告 |
| 灾难恢复 | 具备完整的灾难恢复计划 | 提供 DR 计划文档 |
| 应急响应 | 7x24 小时应急响应能力 | 提供应急联系方式 |
申请流程
流程概览
申请组织
│
│ 第 1 周:提交申请
↓
运营团队
│
│ 第 1-2 周:初步审查
│ - 检查材料完整性
│ - 验证基本资质
↓
技术委员会
│
│ 第 2-9 周:技术审查
│ - HSM 配置验证
│ - 密钥管理流程审查
│ - CRL/OCSP 服务测试
│ - CP/CPS 文档审查
↓
审计委员会
│
│ 第 10-13 周:合规审查
│ - 审计报告审查
│ - 法律合规检查
│ - 财务能力评估
↓
公示期
│
│ 第 13-17 周:公示(30 天)
│ - 发布到公开邮件列表
│ - 接受社区反馈
↓
理事会
│
│ 第 18 周:投票
│ - 2/3 多数通过(至少 5/7)
│ - 投票记录公开
↓
运营团队
│
│ 第 19 周:加入列表
│ - 将 Root CA 加入受信列表
│ - 管理局签名新列表(5/7 多签)
│ - 提交 CT 日志
│ - 发布公告
↓
Root CA 运营商
│
│ 第 20 周:签发 Registry CA
│ - 离线 HSM 签发 Registry CA 证书(pathlen:1)
│ - 部署 Registry CA 在线服务
│ - 提交 Registry CA 证书到 CT 日志
↓
客户端
│
│ 第 19 周起:更新列表
│ - 通过 meta.trust_roots 获取最新列表
│ - 验证管理局签名
│ - 更新本地信任锚总时间:约 19-21 周(5 个月),其中 Registry CA 签发和部署约 1 周
第 1 周:提交申请
申请方式:
- 通过 AUN 管理局官方网站提交在线申请
- 或发送邮件到
root-ca-applications@aun.network
申请材料清单:
1. 申请表
- 组织基本信息
- 联系人信息
- 申请理由
2. Root CA 证书
- 自签名证书(PEM 格式)
- 证书指纹(SHA-256)
- 公钥(SPKI 格式)
3. 技术文档
- HSM 认证证书
- 密钥生成仪式报告
- CP/CPS 文档
- CRL Distribution Points URL
- OCSP Responder URL
4. 审计报告
- WebTrust for CAs 或等效审计报告
- 审计机构认证证明
- 审计有效期
5. 法律文档
- 营业执照或注册证明
- 签署的 AUN 根证书互信协议
- 隐私政策文档
6. 运营文档
- 运营团队简历
- 灾难恢复计划
- 应急响应计划
- 财务报告(最近 2 年)
7. 其他
- 推荐信(可选,来自现有 Root CA 或知名组织)
- 责任保险证明(可选)第 1-2 周:初步审查
运营团队职责:
- 检查申请材料完整性
- 验证基本资质(法律实体、审计有效期等)
- 分配申请 ID(如
RCA-2026-001) - 通知申请组织审查开始
初审结果:
- 通过:进入技术审查阶段
- 补充材料:要求申请组织补充缺失材料
- 拒绝:不符合基本条件,说明理由
第 2-9 周:技术审查
技术委员会职责:
HSM 配置验证(第 2-3 周)
- 验证 HSM 认证证书的真实性
- 审查密钥生成仪式报告
- 确认密钥算法为 ECDSA P-384
- 验证多人授权机制
验证清单:
□ HSM 型号和序列号
□ FIPS 140-2 Level 3+ 或 CC EAL 4+ 认证
□ 密钥生成时间和见证人
□ 密钥备份和恢复机制
□ 访问控制和审计日志密钥管理流程审查(第 3-4 周)
- 审查密钥生命周期管理
- 评估密钥轮换计划
- 检查密钥销毁流程
- 验证审计日志机制
审查清单:
□ 密钥生成流程
□ 密钥存储和保护
□ 密钥使用授权
□ 密钥备份和恢复
□ 密钥轮换计划
□ 密钥销毁流程
□ 审计日志完整性CRL/OCSP 服务测试(第 4-6 周)
CRL 测试:
- 下载 CRL 并验证签名
- 检查更新频率(应每 1-6 小时更新)
- 测试 CRL 可用性(7 天监控)
- 验证 CRL 格式符合 RFC 5280
OCSP 测试:
- 查询测试证书状态
- 测试响应时间(应 < 2 秒)
- 测试 OCSP 可用性(7 天监控)
- 验证 OCSP 响应签名
测试报告:
CRL 测试结果:
- URL: http://crl.example.com/root.crl
- 可用性: 99.9% (7 天)
- 更新频率: 每 2 小时
- 签名验证: 通过
- 格式验证: 通过
OCSP 测试结果:
- URL: http://ocsp.example.com
- 可用性: 99.95% (7 天)
- 平均响应时间: 0.8 秒
- 签名验证: 通过
- 格式验证: 通过CP/CPS 文档审查(第 6-8 周)
- 审查证书策略(Certificate Policy, CP)
- 审查证书实践声明(Certification Practice Statement, CPS)
- 确认符合 AUN Certificate Policy
- 评估证书签发流程
- 检查吊销管理流程
审查要点:
□ 证书签发流程
□ 身份验证要求
□ 证书有效期限制
□ 吊销触发条件
□ CRL/OCSP 服务承诺
□ 密钥管理要求
□ 审计和合规要求
□ 责任和赔偿条款生成技术审查报告(第 9 周)
技术委员会生成详细的技术审查报告,包括:
- 审查过程和方法
- 测试结果和数据
- 发现的问题和风险
- 改进建议
- 最终结论:推荐 / 有条件推荐 / 不推荐
第 10-13 周:合规审查
审计委员会职责:
审计报告审查(第 10-11 周)
- 验证审计机构资质
- 审查审计范围和方法
- 评估审计发现和整改
- 确认审计结论
审查清单:
□ 审计机构认证(WebTrust/ETSI 认可)
□ 审计范围覆盖所有关键领域
□ 审计方法符合标准
□ 审计发现已整改
□ 审计结论为"通过"或"有条件通过"法律合规检查(第 11-12 周)
- 验证法律实体合法性
- 审查互信协议签署
- 检查隐私政策合规性
- 评估法律风险
检查清单:
□ 营业执照或注册证明有效
□ AUN 根证书互信协议已签署
□ 隐私政策符合 GDPR/CCPA
□ 无重大法律纠纷或诉讼
□ 责任保险(推荐)财务能力评估(第 12-13 周)
- 审查财务报告
- 评估财务稳定性
- 确认长期运营能力
评估要点:
□ 最近 2 年财务报告
□ 营收和利润稳定
□ 无重大债务或财务风险
□ 具备长期运营能力(至少 10 年)生成合规审查报告(第 13 周)
审计委员会生成合规审查报告,包括:
- 审计报告评估
- 法律合规检查结果
- 财务能力评估
- 最终结论:推荐 / 有条件推荐 / 不推荐
第 13-17 周:公示期(30 天)
公示内容:
- 申请组织基本信息
- Root CA 证书指纹
- 技术审查报告摘要
- 合规审查报告摘要
公示渠道:
- AUN 管理局官方网站
- 公开邮件列表(
aun-announce@aun.network) - GitHub 仓库(Issue)
社区反馈:
- 任何人可以提交反馈意见
- 技术委员会和审计委员会审查反馈
- 重大问题可能导致延期或拒绝
第 18 周:理事会投票
投票流程:
理事会会议
│
│ 1. 审查报告
│ - 技术审查报告
│ - 合规审查报告
│ - 社区反馈总结
↓
│ 2. 讨论
│ - 每位理事会成员发言
│ - 讨论风险和收益
│ - 提出问题和疑虑
↓
│ 3. 投票
│ - 每位理事会成员一票
│ - 选项:赞成 / 反对 / 弃权
│ - 需 2/3 多数通过(至少 5/7 赞成)
↓
│ 4. 公布结果
│ - 投票记录公开
│ - 说明理由投票结果:
- 通过:进入加入列表阶段
- 有条件通过:要求申请组织整改后再投票
- 拒绝:说明理由,申请组织可在 6 个月后重新申请
第 19 周:加入列表
运营团队职责:
更新受信列表
将 Root CA 证书加入受信根证书列表:
json
{
"id": "root-ca-003",
"name": "AUN Root CA C",
"organization": "Organization C",
"certificate": "-----BEGIN CERTIFICATE-----\n...\n-----END CERTIFICATE-----",
"fingerprint_sha256": "i9j0k1l2...",
"valid_from": "2026-01-01T00:00:00Z",
"valid_until": "2056-01-01T00:00:00Z",
"added_at": "2026-03-15T10:00:00Z",
"status": "active",
"crl_url": "http://crl.rootca-c.example/root.crl",
"ocsp_url": "http://ocsp.rootca-c.example"
}管理局签名
- 使用管理局私钥签名新列表
- 需 5/7 理事会成员授权(多签)
- 在离线 HSM 中执行签名操作
- 记录完整审计日志
提交 CT 日志
将 Root CA 准入操作记录写入透明日志(Certificate Transparency):
- 提交日志条目到 CT 日志服务(包含 Root CA 证书、投票记录、审查报告摘要)
- 获取签名日志证明(SCT)
- SCT 附加到受信根证书列表中对应的 Root CA 条目
- 等待至少 1 个日志镜像确认同步完成
json
{
"operation": "root_ca_add",
"subject": {
"id": "root-ca-003",
"name": "AUN Root CA C",
"fingerprint_sha256": "i9j0k1l2..."
},
"vote_result": "6/7 赞成",
"sct": {
"log_id": "sha256:<日志服务公钥哈希>",
"timestamp": 1710489600000,
"signature": "MEUCIQDx..."
}
}发布公告
发布 Root CA 加入公告:
标题:AUN Root CA C 加入受信根证书列表
AUN 根证书管理局宣布,Organization C 运营的 "AUN Root CA C"
已通过技术审查和合规审查,经理事会投票通过(6/7 赞成),
正式加入 AUN 受信根证书列表。
Root CA 信息:
- 名称:AUN Root CA C
- 组织:Organization C
- 证书指纹(SHA-256):i9j0k1l2...
- 有效期:2026-01-01 至 2056-01-01
- CRL URL: http://crl.rootca-c.example/root.crl
- OCSP URL: http://ocsp.rootca-c.example
客户端更新:
请通过 meta.trust_roots 方法获取最新受信根证书列表。
详细信息:
https://aun.network/root-ca/root-ca-003通知客户端
- 通过
meta.trust_roots方法分发新列表 - 推送更新通知到客户端
- 更新官方文档
第 20 周:签发 Registry CA
Root CA 加入受信列表后,必须签发 Registry CA 证书并部署在线服务,才能开始接受 Issuer CA 申请。
离线签发 Registry CA
在 Root CA 的离线 HSM 环境中签发 Registry CA 证书:
证书配置:
- Issuer: Root CA (CN=AUN Root CA C)
- Subject: CN=AUN Registry CA C
- Serial Number: 唯一序列号
- Validity: 10 年
- Extensions:
- basicConstraints: critical, CA:TRUE, pathlen:1
- keyUsage: critical, keyCertSign, cRLSign
- subjectKeyIdentifier: <hash of Registry CA public key>
- authorityKeyIdentifier: <hash of Root CA public key>pathlen:1 在密码学层面限制 Registry CA 只能签发 Issuer CA(pathlen:0),不能签发 Agent 证书。
部署 Registry CA 在线服务
- 将 Registry CA 私钥部署到在线 HSM(FIPS 140-2 Level 3+)
- 部署 Registry CA API 服务(接受 Issuer CA 申请)
- 配置 CRL/OCSP 服务
- 配置审计日志和监控告警
提交 CT 日志
将 Registry CA 证书信息写入透明日志:
json
{
"operation": "registry_ca_sign",
"subject": {
"name": "AUN Registry CA C",
"issuer_root_ca": "AUN Root CA C",
"fingerprint_sha256": "x1y2z3..."
},
"timestamp": "2026-03-22T10:00:00Z",
"sct": {
"log_id": "sha256:<日志服务公钥哈希>",
"timestamp": 1711094400000,
"signature": "MEUCIQDx..."
}
}验证 Registry CA 服务
运营团队验证 Registry CA 服务就绪:
- API 可访问
- CRL/OCSP 服务正常
- 测试签发流程(使用测试域名)
- 确认后发布 Registry CA 服务上线公告
加入后的持续监督
年度审计
- Root CA 必须每年通过 WebTrust for CAs 或等效审计
- 审计报告必须在 30 天内提交给审计委员会
- 审计委员会审查并公开发布审计报告
季度监控
运营团队每季度监控 Root CA 的运营状况:
- CRL/OCSP 服务可用性
- Registry CA 服务可用性和签发记录
- 证书签发数量和类型
- 安全事件报告
- 合规性检查
安全事件报告
Root CA 必须在 24 小时内报告重大安全事件:
- 私钥泄露或疑似泄露
- 签发了恶意证书或违规证书
- 服务中断超过 4 小时
- 其他重大安全事件
合规检查
审计委员会每年进行合规检查:
- 审查 CP/CPS 文档更新
- 检查证书签发流程
- 评估吊销管理
- 确认持续符合 AUN Certificate Policy
申请费用
申请费用(示例,具体费用由管理局理事会决定):
- 申请费:$10,000(不可退还)
- 年度会员费:$50,000/年
- 审计费用:由申请组织自行承担
费用用途:
- 管理局运营成本
- 技术审查和合规审查
- 持续监督和支持
- 社区发展和推广
常见问题
Q1:申请被拒绝后可以重新申请吗? A:可以,但需要等待至少 6 个月,并解决上次申请中发现的问题。
Q2:申请过程中可以撤回申请吗? A:可以,但申请费不可退还。
Q3:技术审查或合规审查不通过怎么办? A:申请组织可以整改后重新提交,无需重新支付申请费(6 个月内有效)。
Q4:加入后可以更换 HSM 或密钥吗? A:可以,但需要提前通知管理局,并通过技术审查。密钥轮换需遵循 KSK Rollover 机制。
Q5:加入后发现不符合要求怎么办? A:管理局会要求整改,如果拒绝整改或整改不力,可能被吊销。
联系方式
- 申请咨询:
root-ca-applications@aun.network - 技术支持:
technical-support@aun.network - 官方网站:
https://aun.network/root-ca