@agentunion/fastaun-browser 0.2.19 → 0.3.0

package/_packed_docs/protocol//351/231/204/345/275/225E-Root_CA_/345/207/206/345/205/245/346/265/201/347/250/213.md

@@ -0,0 +1,605 @@
+# Root CA 准入流程
+
+## B.1 概述
+
+本文档详细说明 Root CA 加入 AUN 受信根证书列表的完整流程，包括申请条件、审查标准、投票机制和加入后的持续监督。
+
+## B.2 申请条件
+
+### B.2.1 技术要求
+
+| 项目 | 要求 | 验证方式 |
+|------|------|---------|
+| **HSM** | FIPS 140-2 Level 3+ 或 Common Criteria EAL 4+ | 提供 HSM 认证证书 |
+| **密钥算法** | ECDSA P-384 | 提交 Root CA 证书 |
+| **密钥生成** | 在 HSM 中生成，多人见证 | 提供密钥生成仪式报告 |
+| **Registry CA** | 具备签发和运营 Registry CA 的能力 | 提供 Registry CA 部署计划 |
+| **CRL 服务** | 7x24 小时可用，每 1-6 小时更新 | 技术委员会测试 |
+| **OCSP 服务** | 7x24 小时可用，响应时间 < 2 秒 | 技术委员会测试 |
+| **证书策略** | 符合 AUN Certificate Policy | 技术委员会审查 CP/CPS 文档 |
+| **运维能力** | 7x24 小时运维团队 | 提供运维计划和联系方式 |
+
+### B.2.2 安全审计要求
+
+**必需审计**：
+- **WebTrust for CAs** 或等效审计（如 ETSI EN 319 411-1）
+- 审计必须由认可的审计机构执行
+- 审计报告必须在申请时提交，且有效期内（通常 1 年）
+
+**审计内容**：
+- 密钥管理和保护
+- 证书签发流程
+- 吊销管理
+- 物理安全
+- 人员安全
+- 应急响应计划
+
+### B.2.3 法律和合规要求
+
+| 项目 | 要求 | 提交材料 |
+|------|------|---------|
+| **法律实体** | 合法注册的公司或组织 | 营业执照或注册证明 |
+| **互信协议** | 签署 AUN 根证书互信协议 | 签署的协议副本 |
+| **证书策略** | 制定并发布 CP/CPS 文档 | CP/CPS 文档 URL |
+| **隐私合规** | 遵守 GDPR/CCPA 等隐私法规 | 隐私政策文档 |
+| **责任保险** | 持有 PKI 责任保险（推荐） | 保险证明（可选） |
+
+### B.2.4 运营能力要求
+
+| 项目 | 要求 | 验证方式 |
+|------|------|---------|
+| **运营经验** | 至少 2 年 CA 运营经验 | 提供运营历史证明 |
+| **专业团队** | 至少 3 名全职 PKI 专家 | 提供团队简历 |
+| **财务稳定** | 能够长期运营（至少 10 年） | 提供财务报告 |
+| **灾难恢复** | 具备完整的灾难恢复计划 | 提供 DR 计划文档 |
+| **应急响应** | 7x24 小时应急响应能力 | 提供应急联系方式 |
+
+## B.3 申请流程
+
+### B.3.1 流程概览
+
+```
+申请组织
+  │
+  │ 第 1 周：提交申请
+  ↓
+运营团队
+  │
+  │ 第 1-2 周：初步审查
+  │ - 检查材料完整性
+  │ - 验证基本资质
+  ↓
+技术委员会
+  │
+  │ 第 2-9 周：技术审查
+  │ - HSM 配置验证
+  │ - 密钥管理流程审查
+  │ - CRL/OCSP 服务测试
+  │ - CP/CPS 文档审查
+  ↓
+审计委员会
+  │
+  │ 第 10-13 周：合规审查
+  │ - 审计报告审查
+  │ - 法律合规检查
+  │ - 财务能力评估
+  ↓
+公示期
+  │
+  │ 第 13-17 周：公示（30 天）
+  │ - 发布到公开邮件列表
+  │ - 接受社区反馈
+  ↓
+理事会
+  │
+  │ 第 18 周：投票
+  │ - 2/3 多数通过（至少 5/7）
+  │ - 投票记录公开
+  ↓
+运营团队
+  │
+  │ 第 19 周：加入列表
+  │ - 将 Root CA 加入受信列表
+  │ - 管理局签名新列表（5/7 多签）
+  │ - 提交 CT 日志
+  │ - 发布公告
+  ↓
+Root CA 运营商
+  │
+  │ 第 20 周：签发 Registry CA
+  │ - 离线 HSM 签发 Registry CA 证书（pathlen:1）
+  │ - 部署 Registry CA 在线服务
+  │ - 提交 Registry CA 证书到 CT 日志
+  ↓
+客户端
+  │
+  │ 第 19 周起：更新列表
+  │ - 通过 meta.trust_roots 获取最新列表
+  │ - 验证管理局签名
+  │ - 更新本地信任锚
+```
+
+**总时间**：约 19-21 周（5 个月），其中 Registry CA 签发和部署约 1 周
+
+### B.3.2 第 1 周：提交申请
+
+**申请方式**：
+- 通过 AUN 管理局官方网站提交在线申请
+- 或发送邮件到 `root-ca-applications@aun.network`
+
+**申请材料清单**：
+
+```
+1. 申请表
+   - 组织基本信息
+   - 联系人信息
+   - 申请理由
+
+2. Root CA 证书
+   - 自签名证书（PEM 格式）
+   - 证书指纹（SHA-256）
+   - 公钥（SPKI 格式）
+
+3. 技术文档
+   - HSM 认证证书
+   - 密钥生成仪式报告
+   - CP/CPS 文档
+   - CRL Distribution Points URL
+   - OCSP Responder URL
+
+4. 审计报告
+   - WebTrust for CAs 或等效审计报告
+   - 审计机构认证证明
+   - 审计有效期
+
+5. 法律文档
+   - 营业执照或注册证明
+   - 签署的 AUN 根证书互信协议
+   - 隐私政策文档
+
+6. 运营文档
+   - 运营团队简历
+   - 灾难恢复计划
+   - 应急响应计划
+   - 财务报告（最近 2 年）
+
+7. 其他
+   - 推荐信（可选，来自现有 Root CA 或知名组织）
+   - 责任保险证明（可选）
+```
+
+### B.3.3 第 1-2 周：初步审查
+
+**运营团队职责**：
+- 检查申请材料完整性
+- 验证基本资质（法律实体、审计有效期等）
+- 分配申请 ID（如 `RCA-2026-001`）
+- 通知申请组织审查开始
+
+**初审结果**：
+- **通过**：进入技术审查阶段
+- **补充材料**：要求申请组织补充缺失材料
+- **拒绝**：不符合基本条件，说明理由
+
+### B.3.4 第 2-9 周：技术审查
+
+**技术委员会职责**：
+
+#### 1. HSM 配置验证（第 2-3 周）
+
+- 验证 HSM 认证证书的真实性
+- 审查密钥生成仪式报告
+- 确认密钥算法为 ECDSA P-384
+- 验证多人授权机制
+
+**验证清单**：
+```
+□ HSM 型号和序列号
+□ FIPS 140-2 Level 3+ 或 CC EAL 4+ 认证
+□ 密钥生成时间和见证人
+□ 密钥备份和恢复机制
+□ 访问控制和审计日志
+```
+
+#### 2. 密钥管理流程审查（第 3-4 周）
+
+- 审查密钥生命周期管理
+- 评估密钥轮换计划
+- 检查密钥销毁流程
+- 验证审计日志机制
+
+**审查清单**：
+```
+□ 密钥生成流程
+□ 密钥存储和保护
+□ 密钥使用授权
+□ 密钥备份和恢复
+□ 密钥轮换计划
+□ 密钥销毁流程
+□ 审计日志完整性
+```
+
+#### 3. CRL/OCSP 服务测试（第 4-6 周）
+
+**CRL 测试**：
+- 下载 CRL 并验证签名
+- 检查更新频率（应每 1-6 小时更新）
+- 测试 CRL 可用性（7 天监控）
+- 验证 CRL 格式符合 RFC 5280
+
+**OCSP 测试**：
+- 查询测试证书状态
+- 测试响应时间（应 < 2 秒）
+- 测试 OCSP 可用性（7 天监控）
+- 验证 OCSP 响应签名
+
+**测试报告**：
+```
+CRL 测试结果：
+- URL: http://crl.example.com/root.crl
+- 可用性: 99.9% (7 天)
+- 更新频率: 每 2 小时
+- 签名验证: 通过
+- 格式验证: 通过
+
+OCSP 测试结果：
+- URL: http://ocsp.example.com
+- 可用性: 99.95% (7 天)
+- 平均响应时间: 0.8 秒
+- 签名验证: 通过
+- 格式验证: 通过
+```
+
+#### 4. CP/CPS 文档审查（第 6-8 周）
+
+- 审查证书策略（Certificate Policy, CP）
+- 审查证书实践声明（Certification Practice Statement, CPS）
+- 确认符合 AUN Certificate Policy
+- 评估证书签发流程
+- 检查吊销管理流程
+
+**审查要点**：
+```
+□ 证书签发流程
+□ 身份验证要求
+□ 证书有效期限制
+□ 吊销触发条件
+□ CRL/OCSP 服务承诺
+□ 密钥管理要求
+□ 审计和合规要求
+□ 责任和赔偿条款
+```
+
+#### 5. 生成技术审查报告（第 9 周）
+
+技术委员会生成详细的技术审查报告，包括：
+- 审查过程和方法
+- 测试结果和数据
+- 发现的问题和风险
+- 改进建议
+- 最终结论：**推荐** / **有条件推荐** / **不推荐**
+
+### B.3.5 第 10-13 周：合规审查
+
+**审计委员会职责**：
+
+#### 1. 审计报告审查（第 10-11 周）
+
+- 验证审计机构资质
+- 审查审计范围和方法
+- 评估审计发现和整改
+- 确认审计结论
+
+**审查清单**：
+```
+□ 审计机构认证（WebTrust/ETSI 认可）
+□ 审计范围覆盖所有关键领域
+□ 审计方法符合标准
+□ 审计发现已整改
+□ 审计结论为"通过"或"有条件通过"
+```
+
+#### 2. 法律合规检查（第 11-12 周）
+
+- 验证法律实体合法性
+- 审查互信协议签署
+- 检查隐私政策合规性
+- 评估法律风险
+
+**检查清单**：
+```
+□ 营业执照或注册证明有效
+□ AUN 根证书互信协议已签署
+□ 隐私政策符合 GDPR/CCPA
+□ 无重大法律纠纷或诉讼
+□ 责任保险（推荐）
+```
+
+#### 3. 财务能力评估（第 12-13 周）
+
+- 审查财务报告
+- 评估财务稳定性
+- 确认长期运营能力
+
+**评估要点**：
+```
+□ 最近 2 年财务报告
+□ 营收和利润稳定
+□ 无重大债务或财务风险
+□ 具备长期运营能力（至少 10 年）
+```
+
+#### 4. 生成合规审查报告（第 13 周）
+
+审计委员会生成合规审查报告，包括：
+- 审计报告评估
+- 法律合规检查结果
+- 财务能力评估
+- 最终结论：**推荐** / **有条件推荐** / **不推荐**
+
+### B.3.6 第 13-17 周：公示期（30 天）
+
+**公示内容**：
+- 申请组织基本信息
+- Root CA 证书指纹
+- 技术审查报告摘要
+- 合规审查报告摘要
+
+**公示渠道**：
+- AUN 管理局官方网站
+- 公开邮件列表（`aun-announce@aun.network`）
+- GitHub 仓库（Issue）
+
+**社区反馈**：
+- 任何人可以提交反馈意见
+- 技术委员会和审计委员会审查反馈
+- 重大问题可能导致延期或拒绝
+
+### B.3.7 第 18 周：理事会投票
+
+**投票流程**：
+
+```
+理事会会议
+  │
+  │ 1. 审查报告
+  │    - 技术审查报告
+  │    - 合规审查报告
+  │    - 社区反馈总结
+  ↓
+  │ 2. 讨论
+  │    - 每位理事会成员发言
+  │    - 讨论风险和收益
+  │    - 提出问题和疑虑
+  ↓
+  │ 3. 投票
+  │    - 每位理事会成员一票
+  │    - 选项：赞成 / 反对 / 弃权
+  │    - 需 2/3 多数通过（至少 5/7 赞成）
+  ↓
+  │ 4. 公布结果
+  │    - 投票记录公开
+  │    - 说明理由
+```
+
+**投票结果**：
+- **通过**：进入加入列表阶段
+- **有条件通过**：要求申请组织整改后再投票
+- **拒绝**：说明理由，申请组织可在 6 个月后重新申请
+
+### B.3.8 第 19 周：加入列表
+
+**运营团队职责**：
+
+#### 1. 更新受信列表
+
+将 Root CA 证书加入受信根证书列表：
+
+```json
+{
+  "id": "root-ca-003",
+  "name": "AUN Root CA C",
+  "organization": "Organization C",
+  "certificate": "-----BEGIN CERTIFICATE-----\n...\n-----END CERTIFICATE-----",
+  "fingerprint_sha256": "i9j0k1l2...",
+  "valid_from": "2026-01-01T00:00:00Z",
+  "valid_until": "2056-01-01T00:00:00Z",
+  "added_at": "2026-03-15T10:00:00Z",
+  "status": "active",
+  "crl_url": "http://crl.rootca-c.example/root.crl",
+  "ocsp_url": "http://ocsp.rootca-c.example"
+}
+```
+
+#### 2. 管理局签名
+
+- 使用管理局私钥签名新列表
+- 需 5/7 理事会成员授权（多签）
+- 在离线 HSM 中执行签名操作
+- 记录完整审计日志
+
+#### 3. 提交 CT 日志
+
+将 Root CA 准入操作记录写入透明日志（Certificate Transparency）：
+
+- 提交日志条目到 CT 日志服务（包含 Root CA 证书、投票记录、审查报告摘要）
+- 获取签名日志证明（SCT）
+- SCT 附加到受信根证书列表中对应的 Root CA 条目
+- 等待至少 1 个日志镜像确认同步完成
+
+```json
+{
+  "operation": "root_ca_add",
+  "subject": {
+    "id": "root-ca-003",
+    "name": "AUN Root CA C",
+    "fingerprint_sha256": "i9j0k1l2..."
+  },
+  "vote_result": "6/7 赞成",
+  "sct": {
+    "log_id": "sha256:<日志服务公钥哈希>",
+    "timestamp": 1710489600000,
+    "signature": "MEUCIQDx..."
+  }
+}
+```
+
+#### 4. 发布公告
+
+发布 Root CA 加入公告：
+
+```
+标题：AUN Root CA C 加入受信根证书列表
+
+AUN 根证书管理局宣布，Organization C 运营的 "AUN Root CA C"
+已通过技术审查和合规审查，经理事会投票通过（6/7 赞成），
+正式加入 AUN 受信根证书列表。
+
+Root CA 信息：
+- 名称：AUN Root CA C
+- 组织：Organization C
+- 证书指纹（SHA-256）：i9j0k1l2...
+- 有效期：2026-01-01 至 2056-01-01
+- CRL URL: http://crl.rootca-c.example/root.crl
+- OCSP URL: http://ocsp.rootca-c.example
+
+客户端更新：
+请通过 meta.trust_roots 方法获取最新受信根证书列表。
+
+详细信息：
+https://aun.network/root-ca/root-ca-003
+```
+
+#### 5. 通知客户端
+
+- 通过 `meta.trust_roots` 方法分发新列表
+- 推送更新通知到客户端
+- 更新官方文档
+
+### B.3.9 第 20 周：签发 Registry CA
+
+Root CA 加入受信列表后，必须签发 Registry CA 证书并部署在线服务，才能开始接受 Issuer CA 申请。
+
+#### 1. 离线签发 Registry CA
+
+在 Root CA 的离线 HSM 环境中签发 Registry CA 证书：
+
+```
+证书配置：
+- Issuer: Root CA (CN=AUN Root CA C)
+- Subject: CN=AUN Registry CA C
+- Serial Number: 唯一序列号
+- Validity: 10 年
+- Extensions:
+  - basicConstraints: critical, CA:TRUE, pathlen:1
+  - keyUsage: critical, keyCertSign, cRLSign
+  - subjectKeyIdentifier: <hash of Registry CA public key>
+  - authorityKeyIdentifier: <hash of Root CA public key>
+```
+
+**pathlen:1** 在密码学层面限制 Registry CA 只能签发 Issuer CA（pathlen:0），不能签发 Agent 证书。
+
+#### 2. 部署 Registry CA 在线服务
+
+- 将 Registry CA 私钥部署到在线 HSM（FIPS 140-2 Level 3+）
+- 部署 Registry CA API 服务（接受 Issuer CA 申请）
+- 配置 CRL/OCSP 服务
+- 配置审计日志和监控告警
+
+#### 3. 提交 CT 日志
+
+将 Registry CA 证书信息写入透明日志：
+
+```json
+{
+  "operation": "registry_ca_sign",
+  "subject": {
+    "name": "AUN Registry CA C",
+    "issuer_root_ca": "AUN Root CA C",
+    "fingerprint_sha256": "x1y2z3..."
+  },
+  "timestamp": "2026-03-22T10:00:00Z",
+  "sct": {
+    "log_id": "sha256:<日志服务公钥哈希>",
+    "timestamp": 1711094400000,
+    "signature": "MEUCIQDx..."
+  }
+}
+```
+
+#### 4. 验证 Registry CA 服务
+
+运营团队验证 Registry CA 服务就绪：
+- API 可访问
+- CRL/OCSP 服务正常
+- 测试签发流程（使用测试域名）
+- 确认后发布 Registry CA 服务上线公告
+
+## B.4 加入后的持续监督
+
+### B.4.1 年度审计
+
+- Root CA 必须每年通过 WebTrust for CAs 或等效审计
+- 审计报告必须在 30 天内提交给审计委员会
+- 审计委员会审查并公开发布审计报告
+
+### B.4.2 季度监控
+
+运营团队每季度监控 Root CA 的运营状况：
+- CRL/OCSP 服务可用性
+- Registry CA 服务可用性和签发记录
+- 证书签发数量和类型
+- 安全事件报告
+- 合规性检查
+
+### B.4.3 安全事件报告
+
+Root CA 必须在 24 小时内报告重大安全事件：
+- 私钥泄露或疑似泄露
+- 签发了恶意证书或违规证书
+- 服务中断超过 4 小时
+- 其他重大安全事件
+
+### B.4.4 合规检查
+
+审计委员会每年进行合规检查：
+- 审查 CP/CPS 文档更新
+- 检查证书签发流程
+- 评估吊销管理
+- 确认持续符合 AUN Certificate Policy
+
+## B.5 申请费用
+
+**申请费用**（示例，具体费用由管理局理事会决定）：
+- 申请费：$10,000（不可退还）
+- 年度会员费：$50,000/年
+- 审计费用：由申请组织自行承担
+
+**费用用途**：
+- 管理局运营成本
+- 技术审查和合规审查
+- 持续监督和支持
+- 社区发展和推广
+
+## B.6 常见问题
+
+**Q1：申请被拒绝后可以重新申请吗？**
+A：可以，但需要等待至少 6 个月，并解决上次申请中发现的问题。
+
+**Q2：申请过程中可以撤回申请吗？**
+A：可以，但申请费不可退还。
+
+**Q3：技术审查或合规审查不通过怎么办？**
+A：申请组织可以整改后重新提交，无需重新支付申请费（6 个月内有效）。
+
+**Q4：加入后可以更换 HSM 或密钥吗？**
+A：可以，但需要提前通知管理局，并通过技术审查。密钥轮换需遵循 KSK Rollover 机制。
+
+**Q5：加入后发现不符合要求怎么办？**
+A：管理局会要求整改，如果拒绝整改或整改不力，可能被吊销。
+
+## B.7 联系方式
+
+- 申请咨询：`root-ca-applications@aun.network`
+- 技术支持：`technical-support@aun.network`
+- 官方网站：`https://aun.network/root-ca`