扩展验证(EV)证书采用最严格的身份认证级别,可提供当今业界最高级别的保证。提供包括组织的身份认证和域名的身份认证的加密,这些证书除了认证外还包括企业身份的认证(含企业名称,城市,省份等信息),深圳CA只接受通过验证的请求者。
STEP.1 制作CSR文件
CSR是Certificate Signing Request的缩写,意思是证书签名请求文件。这是申请SSL证书用户生成的PKI密钥对中公钥部分,这部分提交给CA,由CA审核后签名,就成为证书文件。
标准的CSR制作方式,是通过WEB服务器上的工具或者命令行。
还有一个快速制作CSR文件的方法,是通过我们的CSR在线生成工具,请注意保存好产生的KEY和CSR2个文件,如果遗漏了任何一个会导致证书无法使用。
为EV型证书制作CSR文件时,在CSR文件中:公司名称、部门、城市和省份可以使用中文。一般建议使用中文的公司名称申请证书,如果需要用英文的公司名称,需要有DUNS编码或者出具律师信。
STEP.2 在线提交EV证书申请
https://ssl.szca.com/product.html
申请资料
l 深圳CA 机构SSL证书申请表
l 深圳CA数字证书服务协议
l 营业执照复印件
l 经办人身份证复印件
l 经公证的授权委托书
l 域名所有权证明或证书使用范围声明(WHOIS无法查询时提供)
STEP.3 EV证书的验证审核
1、身份真实性验证
A. 机构身份验证要求
l 营业执照验证
通过“全国企业信用信息公示系统”,各地市的“工商信息管理系统”或“组织机构代码查询服务中心”等政府机构数据库进行核验。
l 证书申请真实性验证
通过第三方可信数据库(政府网站公布的企业年报或114/12580)获取企业联系方式。通过该联系方式与申请机构联系,确认主管人身份及经办人授权和联系方式
l 企业经营状态验证
a) 在工商行政管理局、国家事业单位登记管理局、税务局等查看申请者年报。
b) 如A方式无法查询,企业需另外提供银行对账单、纳税证明、单位完税证明三者选其一(注:本方式仅适用于成立未满3年的企业)
B. 个人身份验证
l 面对面核查
通过二代证读卡机,确认证件真伪。核对用户面貌与证件是否一致、证件有效期是否过期,相关信息与申请表是否一致。
l 在线核查
通过第三方人口库核查用户身份的真实性,使用活体技术确认申请人属活体,再使用人脸识技术,对经办人与人口库中的资料比对,确认用户身份。
l 授权委托书验证
需要核验公证处出具的公证文件,必要时需致电公证处,及机构,核查文件的真实性。
* 组织状态必须是有效或者等效状态。任何处于无效/撤销的组织均无法获得SSL证书,并且必须更新其状态。
2、域名验证
A. 验证域名控制权(以下条件达成一条即可)
l 邮箱验证:SZCA向申请人申请的域名下的电子邮箱地址,或申请人指定的管理员邮箱地址,发放验证邮件,确认用户对域名的实际控制、使用能力。
电子邮箱地址格式可如下:
①、admin@domain.com
②、administrator@domain.com
③、webmaster@domain.com
④、hostmaster@domain.com
⑤、postmaster@domain.com
l HTML文件验证:将公司要求的指定HTML文件放入网站,完成后进行验证。
l 在DNS验证:将公司要求的指定记录值,生成一个TXT记录。要求用户登录域名解析平台,在记录值中加入指定记录值,完成后进行验证。
B. 域名权属查询
l 查询申请域名与WHOIS中登记注册的域名信息是否一致;
l 域名的使用付费发票或由域名所有者出具的关于申请人域名独家使用权的授权声明。(注:适用于未在WHOIS数据库中注册的情况,或在WHOIS数据库中登记人非申请人)
C. 域名安全性验证
l 检索国际反钓鱼工作组(APWG)及中国反钓鱼联盟(APAC)发布的钓鱼网站名单,对于列入名单中的域名,需要严格、谨慎的进行审核控制,或直接予以拒绝
审核资料的时效性,不超过1个月,证书有效期不超过2年。
3、第三方电话号码确认
深圳CA必须通过电话联系到组织的联系人,以确认该联系人系该组织的员工,以及该申请的确是出自该联系人。可使用的电话号码,必须是获得独立验证的(第三方)的号码。深圳CA将使用以前获得的第三方电话号码联系组织联系人,并验证登记详细信息。在完成登记后,EV证书申请人会在自己的邮箱中收到一个确认信,在工作人员电话指导下完成在线订单批准。
完成以上所有认证后,CA就可以颁发证书了。