1                      مقدمه

1-1                  خلاصه

سطح اطمینان	نام گواهی	کاربرد
سطح 1	برنز[10]	·         این سطح پایین‌ترین درجه اعتماد به هویت مالک گواهی را فراهم می‌نماید. ·          یکی از کاربردهای اولیه سطح یک، فراهم کردن سرویس امنیتی تمامیت یا اطمینان از دست‌نخوردگی برای اطلاعاتی که امضا شده است، می‌باشد. ·         استفاده از سطح اول برای تراکنش‌هایی که نیاز به احراز هویت دارند مناسب نمی‌باشد ولی چنانچه در یک ارگان یا سازمان فرآیند هویت‌شناسی درخواست‌کنندگان گواهی، به صورت مستقل از مراکز صدور گواهی یا دفاتر ثبت نام ذی‌ربط صورت پذیرد، استفاده از این گواهی جهت کاربرد احراز هویت صرفاً در داخل محدوده همان ارگان یا سازمان، بلامانع می‌باشد. ·         استفاده از این سطح برای تراکنش‌هایی که نیاز به محرمانگی دارند (پست الکترونیک امن) توصیه نمی‌شود، ولی چنانچه امکان استفاده از گواهی‌های سطوح بالاتر وجود نداشته باشد، استفاده از این سطح بلامانع است. ·          این سطح از گواهی می‌بایست در محیط‌هایی که ریسک و خسارات ناشی از سوءاستفاده، جعل و افشای اطلاعات پایین است، مورد استفاده قرار گیرد.
سطح 2	نقره[11]	·         این سطح برای محیط‌هایی که در آن ریسک و خسارات ناشی از سوءاستفاده، جعل و افشای اطلاعات چندان زیاد نمی‌باشد (حد متوسط) مورد استفاده قرار گیرد. ·         از گواهی‌های این سطح با در نظر گرفتن بند اول، می‌توان برای تراکنش‌هایی که نیاز به احراز هویت، انکارناپذیری و یا محرمانگی دارند استفاده نمود.
سطح 3	طلا[12]	·         این سطح برای محیط‌هایی که در آن ریسک و خسارات ناشی از سوءاستفاده، جعل و افشای اطلاعات زیاد است، مورد استفاده قرار می‌گیرد. ·         از این سطح می‌توان برای تراکنش‌هایی که حاوی ارزش مالی قابل توجهی هستند و در آن‌ها امکان جعل و سوءاستفاده نسبتاً بالاست، استفاده نمود. ·         گواهی‌های این سطح با در نظر گرفتن بند اول و دوم، می‌توانند برای تراکنش‌هایی که نیاز به احراز هویت، انکارناپذیری و یا محرمانگی دارند مورد استفاده قرار گیرند.
سطح 4	پلاتین[13]	·         این سطح برای محیط‌هایی که تهدیدات روی منابع اطلاعاتی یا خسارات ناشی از ناکارایی و شکست سرویس‌های امنیتی خیلی زیاد است، مورد استفاده قرار می‌گیرد. ·         از این سطح می‌توان برای تراکنش‌هایی که حاوی ارزش مالی بسیار بالا هستند و در آن‌ها امکان جعل و سوءاستفاده بسیار بالاست، استفاده نمود. ·         گواهی‌های این سطح با در نظر گرفتن بند اول و دوم، می‌توانند برای تراکنش‌هایی که نیاز به احراز هویت، انکارناپذیری و یا محرمانگی دارند مورد استفاده قرار گیرند.

کلاس مرکز صدور گواهی الکترونیکی میانی	سطح گواهی قابل ارائه
کلاس 1	سطح 1
کلاس 2	سطوح 1 و 2
کلاس 3	سطوح 1، 2 و 3
کلاس 4	سطوح 1، 2، 3 و 4

1-2                  نام و شناسه سند

سطح اطمینان	شناسه
سطح 1	2.16.364.101.1.1.1
سطح 2	2.16.364.101.1.1.2
سطح 3	2.16.364.101.1.1.3
سطح 4	2.16.364.101.1.1.4

1-3                  اجزای زیرساخت کلید عمومی

1-3-1           مراکز صدور گواهی الکترونیکی[15]

نوع مرکز صدور گواهی	کلاس مرکز صدور گواهی
مرکز دولتی ریشه	کلاس 4
مرکز میانی دولتی عام	کلاس 3 به بالا
مراکز میانی دولتی	کلاس 3 به بالا
مراکز میانی خصوصی	کلاس 2 به بالا
مراکز میانی بیرونی	کلاس 3 به بالا
مراکز میانی تابعه	کلاس 2 تا کلاس مرکز میانی بالادستی

1-3-2           دفاتر ثبت نام[17]

1-3-3           مالکان گواهی[18]

1-3-4           طرف‌های اعتماد کننده[22]

1-3-5           اجزای دیگر

1-3-5-1              شورای سیاست‌گذاری گواهی الکترونیکی کشور

1-3-5-2             کمیته نظارتی شورا

1-4                  کاربردهای گواهی[25]

1-4-1           مصارف مناسب گواهی

کاربرد/نوع گواهی	توضیحات
گواهی امضا	این گواهی جهت امضای اسناد و تراکنش‌های الکترونیکی و همچنین می‌تواند جهت احراز هویت کاربران[26] مورد استفاده قرار می‌گیرد.
گواهی پست الکترونیکی امن	این گواهی از طریق پروتکل S/MIME امکان محرمانگی و امن کردن ایمیل را به واسطه رمزگذاری محتوای پیام و همچنین امضا نمودن آن فراهم می‌سازد.
گواهی احراز هویت	این گواهی جهت احراز هویت مالکان گواهی به منظور اعمال کنترل دسترسی جهت ورود به سیستم‌ها مورد استفاده قرار می‌گیرد. به عنوان مثال از این گواهی می‌توان برای ورود به سیستم از طریق احراز هویت دو عاملی[27] مبتنی بر کلید عمومی، در سیستم عامل‌های متعلق به مایکروسافت استفاده نمود. از طریق این گواهی می‌توان با استفاده از یک کارت هوشمند عملیات ورود به سیستم (Logon) را انجام داد.
گواهی مهر سازمانی	این گواهی به عنوان گواهی امضای یک شرکت یا سازمان تلقی شده و می‌تواند به عنوان مهرسازمانی آن شرکت یا سازمان در قالب امضای دیجیتال مورد استفاده قرار گیرد.
گواهی سرور	این گواهی جهت استفاده در سمت سرورهای مختلف در نظر گرفته شده است. دو نمونه از کاربردهای رایج این گواهی عبارتند از گواهی SSL/TLS و گواهی Domain Controller؛ گواهی SSL/TLS مختص یک نشانی اینترنتی (URL) صادر شده و به منظور تضمین اصالت یک سرور و به عبارتی تضمین ارتباط بین نشانی و وب سایتی که به آن مراجعه می‌شود، به کار می‌رود. همچنین با استفاده از این گواهی ایجاد یک ارتباط امن و رمزنگاری شده بین برنامه مرورگر و وب سایت صورت می‌گیرد. گواهی Domain Controller نیز جهت ورود به سیستم در یک Domain و در سمت سرور (Domain Controller) مورد استفاده قرار می‌گیرد و متناظر با گواهی MS SmartCard Logon در سمت کاربر می‌باشد.
گواهی CodeSigning	این گواهی جهت اطمینان از اصالت و حفظ جامعیت نرم‌افزارهای مختلف به ویژه نرم‌افزارهایی که از طریق اینترنت منتشر می‌شوند نظیر ActiveX و Java Applet به کار می‌رود. بنابراین زمانی که کاربران، نرم‌افزار امضا شده را دانلود می‌نمایند، می‌توانند نسبت به صحت محتوای کد منبع و نیز جامعیت آن از طریق این گواهی مطمئن شوند.
گواهی مرکز دولتی ریشه	گواهی خودامضایی[28] که متعلق به مرکز دولتی صدور گواهی الکترونیکی ریشه می‌باشد.
گواهی مراکز میانی	گواهی متعلق به مراکز صدور گواهی میانی موجود در ساختار سلسله مراتبی زیرساخت کلید عمومی کشور، که توسط مرکز صدور گواهی بالا دستی صادر می‌شود.
گواهی دفاتر ثبت نام (RA)	گواهی متعلق به دفاتر ثبت نام وابسته به یک مرکز صدور گواهی که جهت امضای درخواست‌ها در سمت RA مورد استفاده قرار می‌گیرد.
گواهی OCSP Signing[29]	گواهی متعلق به سرور پاسخگوی OCSP[30] که جهت امضای پاسخ‌های OCSP تنظیم شده توسط این سرور، مورد استفاده قرار می‌گیرد.
گواهی مراکز مهر زمانی[31]	اصولاً مهر زمانی جهت ثبت دقیق زمان در هنگام امضای اسناد مختلف از جمله قراردادها و یا توافق‌نامه‌ها و بایگانی آن‌ها مورد استفاده قرار می‌گیرد. با استفاده از مهر زمانی، می‌توان به طور شفاف اثبات نمود که داده‌های متناظر با یک مهر زمانی، از زمان مورد اشاره در مهر زمانی، تغییر داده نشده است. گواهی مهر زمانی جهت انجام عملیات امضا در فرایند مهر زمانی توسط مرکز مهر زمانی مورد استفاده قرار می‌گیرد.

1-4-2           مصارف غیرمجاز گواهی

1-5                  راهبری سیاست‌ها[32]

1-5-1           سازمان راهبری سند

1-5-2           اطلاعات تماس

1-5-3           مسئول تطبیق دستورالعمل اجرایی با سیاست‌های مرکز دولتی ریشه

1-5-4           فرایند تأیید دستورالعمل اجرایی

1-6                  تعاریف و اختصارات

مخفف	معادل	معنی
CA	Certificate Authority	موجودیتی که مجاز به صدور و مدیریت گواهی‌های الکترونیکی می‌باشد.
CP	Certificate Policies	مجموعه‌ای از قوانین که الزامات سیاست‌های گواهی الکترونیکی زیرساخت کلید عمومی کشوررا مشخص می‌نماید.
CPS	Certificate Practice Statement	دستورالعمل اجرایی که مرکز میانی برای صدور گواهی الکترونیکی از آن استفاده می‌نماید.
CRL	Certificate Revocation List	ساختمان داده‌ای که گواهی‌های الکترونیکی را که پیش از تاریخ انقضا، دیگر توسط صادرکننده گواهی معتبر به حساب نمی‌آیند، لیست می‌نماید.
CSR	Certificate Signing Request	قالب تراکنشی تعریف شده‌ای توسط استاندارد PKCS#10، حاوی نام ترکیبی و تعدادی مشخصه اختیاری می‌باشد که توسط موجودیت درخواست‌کننده گواهی الکترونیکی، امضا شده و به مرکز صدور گواهی فرستاده شده است و مرکز آن را به گواهی الکترونیکی X.509 تبدیل می‌نماید.
DN	Distinguished Name	شناسه منحصر به فردی که شی موجود در درخت اطلاعاتی دایرکتوری قالب X.500 را ارائه می‌نماید.
DNS	Domain Name System	DNS یا سیستم نام‌گذاری دامنه، روشی سلسله مراتبی است که بانک اطلاعاتی مربوط به نام‌های نمادین و معادل IP آن‌ها را بر روی کل شبکه اینترنت توزیع کرده است. هر ایستگاه می‌تواند در یک روال منظم و سلسله مراتبی نشانی IP معادل با ایستگاه مورد نظرش را در نقطه‌ای از شبکه پیدا نماید. این سیستم در سال 1984 معرفی شده است.
FIPS	Federal Information Processing Standard	راهنمایی‌های تخصصی که NIST برای تهیه تجهیزات سیستم و سرویس پردازشگر اطلاعاتی تهیه کرده است.
IETF	Internet Engineering Task Force	IETF جامعه بین‌المللی بزرگی از طراحان شبکه، اپراتورها، فروشندگان و محققان مرتبط با سیر تکاملی معماری اینترنت و کارکرد روان و دقیق اینترنت است.
OCSP	Online Certificate Status Protocol	پروتکلی است که جهت اعلام برخط وضعیت ابطال یا عدم ابطال گواهی X.509 به کار می‌رود. ماهیت پروتکل OCSP مبتنی بر درخواست و پاسخ است.
OID	Object Identifier	شناسه‌ای منحصر به فرد و رسمی، تشکیل شده از مجموعه‌ای از اعداد (تعریف شده در استاندارد ASN.1) که برای اشاره به اشیا با ویژگی‌های مشخص استفاده می‌شود.
PKCS#10	Public Key Cryptography Standard	استاندارد رمزنگاری کلید عمومی شماره 10 که ساختاری را برای درخواست گواهی تعریف می‌نماید.
PKI	Public Key Infrastructure	مجموعه‌ای از خدمات، محصولات، سیاست‌ها، فرایندها و سیستم‌های نرم‌افزاری و سخت‌افزاری گفته می‌شود که جهت مدیریت و بکارگیری گواهی‌های الکترونیکی X.509 و به منظور ارائه سرویس‌های امنیتی مختلف مبتنی بر رمزنگاری کلید عمومی[34] مورد استفاده قرار می‌گیرد.
PKIX	Public Key Infrastructure (X.509)	گروه PKIX در سال 1995 با هدف توسعه استانداردهای اینترنت برای پشتیبانی از زیرساخت‌های کلید عمومی مبتنی بر X.509، تأسیس شد.
RA	Registration Authority	موجودیتی اختیاری در زیرساخت کلید عمومی می‌باشد که گواهی‌های الکترونیکی یا لیست گواهی‌های باطل شده را امضا نمی‌نماید ولی مسئولیت ثبت و شناسایی اطلاعات مورد نیاز مرکز صدور گواهی برای صدور گواهی الکترونیکی یا لیست گواهی‌های باطل شده و اجرای وظایف مدیریت گواهی را دارد.
RFC	Request For Comment	توافق‌نامه منتشر شده توسط IETF در توصیف روش، رفتار، پژوهش و یا نوآوری برای کار با اینترنت و سیستم‌های متصل به اینترنت است.
RSA	Rivest-Shamir-Adelman	الگوریتم رمزنگاری کلید عمومی که در سال 1978 توسط سه نفر به نام‌های ران ریوست[35]، ادی شامیر[36] و لئونارد آدلمن[37] اختراع شده است.
URL	Uniform Resource Locator	رشته‌ای از کاراکترها است که مکان منبعی که در اینترنت قابل دسترس است را مشخص می‌نماید.
X.500	X.500	مجموعه‌ای از استانداردهای ارائه شده توسط ITU-T و سازمان جهانی ISO که «سرویس دایرکتوری» را به دقت توصیف می‌نماید.
X.501	X.501	استانداردی در مجموعه استانداردهای سری X.500 است. یک موجودیت شبکه مانند مسیریاب، ممکن است به شناسه X.501 برای استفاده از سرویس دایرکتوری LDAP و یا تولید درخواست‌های گواهی PKCS نیاز داشته باشد.
X.509	X.509	استانداردی در مجموعه استانداردهای سری X.500 که برای احراز هویت در مجموعه سیستم دایرکتوری تعریف شده است، در حال حاضر رایج‌ترین استاندارد برای صدور گواهی الکترونیکی به شمار می‌رود.

لغت	معادل	معنی
ابطال گواهی	Certificate Revocation	اعلام عدم اعتبار گواهی الکترونیکی که توسط یک مرکز صدور گواهی صادر شده و دارای مهلت اعتبار نیز می‌باشد.
احراز هویت	Authentication	فرایند شناسایی هویتی که توسط یک شخص یا برای یک موجودیت سیستمی ادعا شده است.
احراز هویت بایومتریک	Biometric Authentication	شیوه تولید اطلاعات احراز هویت اشخاص از طریق الکترونیکی کردن مشخصات فیزیکی مانند اثر انگشت.
اختیارات	Authorization	مکانیزمی که بر اساس آن مشخص می‌شود موجودیتی که هویت واقعی آن احراز شده، مجوز انجام چه کارها و عملیاتی را دارد.
اطلاعات فعال‌ساز	Activation Data	اطلاعاتی خصوصی (غیر از کلیدها) که برای دسترسی به کلید خصوصی، مورد نیاز هستند.
اطمینان	Assurance	مشخصه‌ای از سیستم اطلاعاتی که اطمینان می‌دهد سیستم مطابق با سیاست‌های امنیتی کار می‌نماید.
اعتبار	Authenticity	اصل، قابل اطمینان و قابل تشخیص بودن.
اعتبار گواهی	Validity of Certificate	یک واحد داده در گواهی الکترونیکی که دوره زمانی اعتبار پیوند بین اطلاعات گواهی و کلید موجود در گواهی را مشخص می‌نماید (مگر زمانی که گواهی در لیست گواهی‌های باطل شده قرار بگیرد).
امحا	Zeroize	روشی برای پاک کردن الکترونیکی اطلاعات ذخیره‌شده با تغییر محتویات مخزن اطلاعات است به طوری که از بازیابی اطلاعات جلوگیری شود.
امضای الکترونیکی	Digital Signature	یک رشته عددی که به روش پیچیده‌ای از متن یک سند استخراج و پس از رمزنگاری با کلید خصوصی صاحب سند، به اصل سند ضمیمه و ارسال می‌شود به گونه‌ای که هر گیرنده اطلاعات بتواند منبع و تمامیت اطلاعات را تشخیص دهد.
امنیت	Security	اقداماتی که برای حفاظت از یک سیستم انجام می‌شوند مثل: پیشگیری یا کاهش احتمال وقوع رخدادهای خطرناک و احیای سیستم هنگام وقوع این رخدادها
انقضا گواهی	Certificate Expiration	عدم اعتبار گواهی به دلیل پایان طول عمر اختصاص یافته به گواهی.
انکارناپذیری	Non- Repudiation	مجموعه مکانیزم‌هایی که به پیام‌ها و تراکنش‌ها، پشتوانه حقوقی می‌بخشد و اجازه نمی‌دهد که فرستنده به هر طریق ارسال پیام خود را انکار نماید و یا گیرنده منکر دریافت آن شود.
بازرسی	Compliance Audit	بررسی و بازبینی مستقل اسناد و فعالیت‌های سیستم برای تشخیص کفایت کنترل‌های سیستم، اطمینان از مطابقت با دستورالعمل اجرایی، شناسایی نقص در سرویس صدور گواهی و پیشنهاد تغییرات به منظور اقدام متقابل.
بازیابی کلید	Key Recovery	فرایند به دست آوردن مقدار یک کلید رمزنگاری که قبلاً برای انجام عملیات رمزنگاری به کار می‌رفت.
بایگانی	Archive	مجموعه‌ای از اطلاعات که برای مدت زمان طولانی برای مقاصدی مانند پشتیبانی سرویس ثبت رویدادها و سرویس تمامیت سیستم ذخیره می‌شوند.
بررسی صحت هویت	Identity Verification	ارائه اطلاعاتی برای اثبات اینکه هویت ادعا شده، واقعی است.
به‌روز رسانی گواهی	Certificate Renewal	تولید یک گواهی جدید همسان با گواهی قبلی است به جز آنکه گواهی جدید دارای یک مدت اعتبار متفاوت و یک شماره سریال متفاوت می‌باشد.
پاسخگوی OCSP	OCSP Responder	سرویس‌دهنده‌ای که وضعیت ابطال یا اعتبار گواهی X.509 را به صورت برخط اعلام می‌نماید. ماهیت پروتکل OCSP مبتنی بر درخواست و پاسخ است.
پروتکل اعلام بر خط وضعیت گواهی‌ها	Online Certificate Status Protocol	یک پروتکل اینترنتی برای به دست آوردن وضعیت اعتبار گواهی الکترونیکی و اطلاعات مرتبط با آن توسط مشتری از سرویس‌دهنده.
پیکربندی	Configuration	تنظیمات نرم‌افزاری و سخت‌افزاری سیستم‌های رایانه‌ای.
پیمانه	Modulus	مقدار ثابت تعریف شده در حساب پیمانه‌ای که معمولاً بخشی از کلید عمومی سیستم رمزنگاری RSA بر اساس حساب پیمانه‌ای می‌باشد.
تجدید کلید گواهی	Certificate Rekey	فرایند تجدید کلید عمومی گواهی الکترونیکی موجود با صدور گواهی جدیدی که دارای کلید متفاوت جدیدی است.
ترمیم خرابی	Disaster Recovery	فرایندی که کلیه اطلاعات از دست رفته را در زمان وقوع آتش، تخریب، حوادث طبیعی، یا خرابی سیستم بازیابی می‌نماید.
تعلیق گواهی	Certificate Suspension	عدم اعتبار موقت گواهی الکترونیکی.
تمامیت	Integrity	مجموعه مکانیزم‌هایی که از هرگونه تغییر، دست‌کاری، تکرار یا حذف غیرمجاز اطلاعات پیشگیری می‌کنند یا حداقل باعث کشف چنین اقداماتی می‌شوند.
تمدید گواهی	Certificate Renewal	فرایند تمدید اعتبار اطلاعات گواهی الکترونیکی با صدور گواهی جدید.
توکن	Token	یک رسانه الکترونیکی قابل حمل جهت نگه‌داری ایمن زوج کلید رمزنگاری و مقادیر مربوط به شناسایی و انجام محاسبات مرتبط به آن‌ها (به عنوان مثال عملیات رمزنگاری مختلف) می‌باشد. همچنین از این وسیله می‌توان برای اعمال کنترل دسترسی استفاده کرد.
تولید کلید	Key Generation	فرایند تولید کلیدهای رمزنگاری
ثبت نام	Registration	یک اقدام یا فرایند اجرایی برای ثبت اولیه نام و مشخصه‌های دیگر یک موجودیت در مرکز صدور گواهی یا دفتر ثبت نام (پیش از صدور گواهی الکترونیکی).
الحاقیه‌های گواهی	Certificate Extensions	اطلاعاتی که برای افزودن مشخصات اضافی به گواهی X.509,V3 تعریف شده‌اند.
حق مالکیت معنوی	Intellectual Property Right	حق کنترل و ایجاد مزایا نسبت به آنچه اختراع، اکتشاف یا ایجاد شده است.
در خطر افشا قرار گرفتن	To be Compromised	یک حادثه امنیتی که تحت آن اطلاعات در معرض دسترسی غیرمجاز قرار می‌گیرند.
درخواست گواهی	Certificate Request	پیامی مبتنی بر درخواست داشتن یک گواهی امضا از سوی متقاضی به دفتر ثبت نام.
دسترسی	Access	فراهم بودن امکان ارتباط با سیستم به منظور استفاده از منابع سیستم جهت کنترل یا به دست آوردن اطلاعات موجود در سیستم.
قابلیت دسترسی	Availability	تحویل دادن اطلاعات به شخص درست، در زمان مناسب.
دستورالعمل اجرایی گواهی الکترونیکی	Certificate Practice Statement	دستورالعمل اجرایی که مرکز صدور گواهی برای صدور گواهی از آن استفاده می‌نماید.
دستیابی قانونی به کلید	Key Escrow	تکنیک بازیابی کلید به منظور ذخیره اطلاعات کلید رمزنگاری با مسئولیت شخص سومی (مسئول دستیابی قانونی) به منظور بازیابی کلید و استفاده از آن در شرایط خاص.
دفتر ثبت نام	Registration Authority	یک موجودیت اختیاری در زیرساخت کلید عمومی می‌باشد که گواهی‌های الکترونیکی یا لیست گواهی‌های باطل شده را امضا نمی‌نماید ولی مسئولیت ثبت و شناسایی اطلاعات مورد نیاز مرکز صدور گواهی برای صدور گواهی یا لیست گواهی‌های باطل شده و اجرای وظایف مدیریت گواهی را دارد.
رمزنگاری	Cryptography	جستجو به دنبال راه‌حل‌هایی امن برای مجموعه‌ای از دو (یا چند) کاربر که می‌خواهند روی یک کانال عمومی که در معرض حمله یک مهاجم خارجی قرار دارد، با هم ارتباط برقرار کنند. به عبارت دیگر حوزه‌ای از دانش و تکنیک برای انتقال داده به منظور: ·          مخفی کردن محتوی آن ·          جلوگیری از تغییرات ناخواسته ·         جلوگیری از دسترسی‌های غیر مجاز
زنجیره گواهی	Certification Path	زنجیره منظم گواهی‌های الکترونیکی که به طرف اعتماد کننده توانایی ارزیابی صحت امضا و جعلی نبودن آخرین گواهی این زنجیره را می‌دهد.
زوج کلید	Key Pair	مجموعه‌ای از کلیدهای مرتبط ریاضیاتی (کلید خصوصی و کلید عمومی) که برای رمزنگاری نامتقارن استفاده می‌شوند و به گونه‌ای تولید می‌شوند که امکان به دست آوردن کلید خصوصی از کلید عمومی وجود نداشته باشد.
زیرساخت کلید عمومی	Public Key Infrastructure (PKI)	مجموعه‌ای از خدمات، محصولات، سیاست‌ها، فرایندها و سیستم‌های نرم‌افزاری و سخت‌افزاری گفته می‌شود که جهت مدیریت و بکارگیری گواهی‌های الکترونیکی X.509 و به منظور ارائه سرویس‌های امنیتی مختلف مبتنی بر رمزنگاری کلید عمومی[38] مورد استفاده قرار می‌گیرد.
سخت‌افزار	Hardware	اجزا فیزیکی سیستم رایانه‌ای.
ماژول رمزنگاری سخت‌افزاری	Hardware Security Module (HSM)	نوعی ماژول سخت‌افزاری امن که از طریق واسط‌های نرم‌افزاری، امکان نگهداری امن کلیدهای رمزنگاری و اجرای ایمن مکانیزم‌های رمزنگاری را با کارایی مطلوب فراهم می‌آورد.
سرویس‌دهنده	Server	یک موجودیت سیستمی که در جواب درخواست‌های موجودیت‌های سیستمی دیگر به نام مشتری یا سرویس‌گیرنده، سرویس فراهم می‌نماید.
سطح اطمینان	Assurance Level	یک سطح به خصوص در مقیاس مرتبه‌ای که نشان‌دهنده اطمینان به مطابقت هدف مورد بررسی با نیازها می‌باشد.
سیاست‌های گواهی الکترونیکی	Certificate Policy	مجموعه‌ای از قوانین که سیاست‌های گواهی الکترونیکی زیرساخت کلید عمومی کشوررا مشخص می‌نماید.
سیستم عامل	Operating System	برنامه رایانه که عملیات اساسی سیستم (مانند مدیریت منابع رایانه، اجرای برنامه‌های کاربردی، فراهم آوردن سیستم فایل) را انجام می‌دهد.
شبکه	Network	مجموعه‌ای از رایانه‌های میزبان که با شبکه‌های دیگر یا شبکه اینترنت اطلاعات مبادله می‌کنند.
شماره سریال- شماره نسخه	Serial Number	یک مقدار عددی که توسط صادرکننده گواهی به گواهی داده می‌شود و بین تمام گواهی‌های تولید شده توسط صادر کننده گواهی، منحصر به فرد می‌باشد.
شناسه	Object Identifier	شناسه‌ای منحصر به فرد و رسمی، تشکیل شده از مجموعه‌ای از اعداد (تخصیص یافته توسط استاندارد ASN.1) که برای اشاره به اشیا با ویژگی‌های مشخص (مانند الگوریتم‌های رمزنگاری، سیاست‌های گواهی الکترونیکی و ...) استفاده می‌شود.
شناسه سیاست گواهی	Policy Object Identifier (POID)	شناسه‌ای منحصر به فرد و رسمی، تشکیل شده از مجموعه‌ای از اعداد (تخصیص یافته توسط استاندارد ASN.1) که جهت اشاره به سیاست‌های گواهی الکترونیکی متعلق به یک مرکز صدور گواهی الکترونیکی به کار می‌رود.
مالک گواهی	Subscriber	شخصی که برای وی گواهی الکترونیکی صادر شده است و می‌تواند از کلید خصوصی مرتبط با کلید عمومی درون گواهی استفاده نماید.
طرف اعتماد کننده	Relying Party	شخصی که به اعتبار اطلاعات گواهی الکترونیکی اعتماد می‌نماید.
دیواره آتش	Firewall	یک اتصال بین شبکه‌ای که ترافیک اطلاعاتی بین شبکه‌های متصل را محدود می‌نماید و منابع سیستمی شبکه را در مقابل مخاطرات شبکه‌ای دیگر محافظت می‌نماید.
فیلد	Field	بخشی از گواهی که محتوای آن نوع خاصی از داده‌ها (از پیش تعریف شده توسط استاندارد X.509) می‌باشد.
گذرواژه	Password	اطلاعات احراز هویت محرمانه که معمولاً از رشته‌ای از حروف تشکیل می‌شود.
گواهی الکترونیکی	Digital Certificate	یک ساختار داده‌ای الکترونیکی که به آن یک امضای الکترونیکی بر اساس آن ساختار داده‌ای اضافه می‌شود و جهت ارتباط دادن نام و مشخصات یک موجودیت با کلید عمومی او مورد استفاده قرار می‌گیرد.
گواهی امضا	Signature Certificate	یک گواهی الکترونیکی، محتوی یک کلید عمومی که از آن جهت تصدیق امضای دیجیتال استفاده می‌شود.
گواهی مورد اطمینان	Trusted Certificate	یک گواهی که طرف‌های اعتماد کننده به اعتبار آن، بدون نیاز به ارزیابی صحت گواهی مذکور، اطمینان می‌کنند. به خصوص گواهی الکترونیکی که برای فراهم کردن اولین کلید عمومی گواهی در زنجیره گواهی استفاده می‌شود.
گواهی میانی	Intermediate Certificate	گواهی مرکز صدور گواهی میانی که توسط مرکز دولتی ریشه امضا می‌شود و به مرکز صدور گواهی میانی اجازه صدور گواهی برای مالکان گواهی را می‌دهد.
الگوریتم	Algorithm	مجموعه‌ای محدود از دستورالعمل‌های گام به گام برای حل کردن مسائل و روال‌های محاسباتی، به خصوص روال‌هایی که توسط رایانه اجرا می‌شوند.
الگوریتم متقارن	Symmetric Algorithm	یک الگوریتم رمزنگاری که در آن کلیدهای رمزنگاری و رمزگشایی یکی هستند.
لیست گواهی‌های باطله	Certificate Revocation List	یک ساختمان داده که گواهی‌های الکترونیکی را که پیش از تاریخ انقضا، توسط صادرکننده گواهی معتبر به حساب نمی‌آیند، لیست می‌نماید.
مأمور امنیتی PKI	PKI Security Officer	فردی که مسئولیت اداره مدیران PKI را همراه با دیگر مأموران امنیتی PKI بر عهده دارد. همچنین پیکربندی سیاست‌های امنیتی مرکز صدور گواهی بر عهده مأموران امنیتی می‌باشد.
محرمانگی	Confidentiality	پوشاندن اطلاعات محرمانه برای اشخاص، موجودیت‌ها و یا روال‌های غیرمجاز.
مخزن	Repository	یک سیستم ذخیره و پخش گواهی‌های الکترونیکی و اطلاعات مربوط به آن‌ها (مانند لیست گواهی‌های باطل شده) برای طرف‌های اعتماد کننده.
مرکز دولتی صدور گواهی الکترونیکی ریشه	IR Governmental Root CA	یک مرکز صدور گواهی که مستقیماً مورد اطمینان موجودیت نهایی می‌باشد. مرکز دولتی صدور گواهی الکترونیکی ریشه، نقطه اطمینان در زیرساخت کلید عمومی کشور می‌باشد. این مرکز بر اساس مفاد بند الف از ماده 4 آیین‌نامه اجرایی ماده 32 قانون تجارت الکترونیکی و طی اولین جلسه شورای سیاست‌گذاری گواهی الکترونیکی کشور در مورخ 30/07/1386 مجوز ایجاد، امضا، صدور و ابطال گواهی الکترونیکی مراکز صدور گواهی میانی را دریافت کرده است.
مرکز صدور گواهی	Certificate Authority	موجودیتی که وظیفه صدور و مدیریت گواهی‌های الکترونیکی را بر عهده دارد و پیوند بین اطلاعات گواهی را ضمانت می‌نماید.
مرکز صدور گواهی میانی	Subordinate CA	یک مرکز صدور گواهی که گواهی خود را از مرکز دولتی صدور گواهی ریشه دریافت می‌نماید و می‌تواند برای مالکان گواهی، گواهی صادر نماید.
مسیریاب	Router	یک رایانه شبکه‌ای که بسته‌های پروتکل اینترنت را که مقصدشان خود رایانه نیست به خارج هدایت می‌نماید.
مشتری (سرویس‌گیرنده)	Client	یک موجودیت سیستمی که از موجودیت سیستمی دیگری که سرویس‌دهنده نامیده می‌شود درخواست سرویس کرده و از این سرویس استفاده می‌نماید.
مقداردهی اولیه	Initialization	یک پارامتر ورودی که الگوریتم رمزنگاری را مقداردهی اولیه می‌نماید.
مکانیزم M از N	M out of N Mechanism	تقسیم یک وظیفه بین n موجودیت به گونه‌ای که هر تعداد کمتر از m نفر نتوانند کل وظیفه را انجام دهند و برای انجام وظیفه حداقل حضور m نفر از آن n نفر لازم می‌باشد.
موجودیت نهایی	End Entity	موجودیتی که از کلیدها و گواهی‌ها برای ایجاد یا تشخیص صحت امضا یا محرمانگی آن استفاده می‌نماید. موجودیت‌های نهایی مالک گواهی، سازمان‌ها یا طرف‌های اعتماد کننده می‌باشند.
مهر زمانی	Time Stamp	امضای الکترونیکی که دارای تاریخ و ساعت می‌باشد و گواهی می‌نماید که محتویات آن در زمان مشخصی امضا شده‌اند.
نام ترکیبی	Distinguished Name	یک شناسه منحصر به فرد که شی موجود در درخت اطلاعاتی دایرکتوری (DIT) قالب X.500 را ارائه می‌نماید.
نام/ مشخصات مالک گواهی	Subject Name	نامی که به دارنده کلید خصوصی متناظر با کلید عمومی اختصاص داده شده است. در رابطه با گواهی‌های سازمانی، نامی که توصیف کننده سازمان می‌باشد و یا توصیف کننده وسایل یا تجهیزاتی است کلید خصوصی را مورد استفاده قرار می‌دهند.
نسخه پشتیبان	Backup	گرفتن کپی از فایل‌ها، اطلاعات و برنامه‌هایی که بازیابی اطلاعات را تسهیل می‌نماید.
ورود به سیستم	Login/Logon	حصول دسترسی یک موجودیت سیستمی به منابع سیستم که معمولاً از طریق فراهم کردن اسم کاربر و اسم رمز برای سیستم کنترل دسترسی که کاربران را احراز هویت می‌نماید و یا احراز هویت دو عاملی، انجام می‌شود.
ورودی	Entry	اطلاعات وارد شده در مستندات، نرم‌افزارهای کاربردی و پایگاه داده‌ها.
ویروس	Virus	یک قسمت مخفی و خودتکرار نرم‌افزاری دارای مناطق مخرب که با آلوده کردن منتشر می‌شود. برای مثال خود را به برنامه‌های دیگر کپی کرده و بخشی از آن‌ها می‌شود. ویروس نمی‌تواند به تنهایی اجرا شود و برنامه میزبان می‌بایست برای فعال شدن ویروس اجرا شود.
هویت	Identity	مجموعه‌ای از مشخصات محسوس و نامحسوس شخصی که اشخاص را از یکدیگر متمایز می‌نماید.
شناسایی (هویت‌شناسی)	Identification	شناسایی و تشخیص یک موجودیت از موجودیت‌های دیگر، از طریق بررسی مدارک شناسایی اشخاص و اطلاعات شناسایی دیگر از قبیل گذرواژه‌ها، اطلاعات بایومتریک و ...

2                      انتشار و وظایف مخزن

2-1                  مخزن

2-2                  انتشار اطلاعات گواهی

2-3                  زمان یا تناوب انتشار

2-4                  کنترل دسترسی به مخازن

3                      شناسایی و احراز هویت

3-1                  نام‌گذاری

3-1-1           انواع نام‌ها

سطح اطمینان	الزامات
سطح 1	هر موجودیت می‌بایست: ·          یک نام کاملاً متمایز و یکتا به فرم استاندارد X.501 در فیلدهای «نام مالک گواهی» و «نام صادرکننده گواهی» داشته باشد. ·          ممکن است با استفاده از فیلد الحاقی 'subjectAltName' نام اختیاری در قالب دیگری برای موجودیت تعیین شود. ·         نام ترکیبی (DN) می‌بایست به فرم یک رشته قابل چاپ X.501 در گواهی ثبت گردد و حتماً می‌بایست مقدار داشته باشد.
سطح 2
سطح 3
سطح 4

3-1-2           نیاز به نام‌های با معنی

سطح اطمینان	الزامات
سطح 1	با توجه به اینکه هویت مالکان گواهی توسط مرکز صدور گواهی یا دفتر ثبت نام بررسی نمی‌گردد، لزوماً نیاز به استفاده از نام‌های با معنی و قابل فهم نمی‌باشد؛ مگر آنکه فرآیند شناسایی توسط یک ارگان یا سازمان به صورت مستقل از مرکز صدور گواهی صورت پذیرد.
سطح 2	محتوای هر کدام از فیلدهای صادرکننده (Issuer) و مالک (Subject) گواهی می‌بایست با نام شناسایی موجودیت مرتبط باشد. ضمن اینکه فیلدهای مذکور می‌بایست منطبق با سند جامع پروفایل‌های زیرساخت کلید عمومی کشور مقداردهی گردد.
سطح 3
سطح 4

3-1-3           استفاده از نام‌های مستعار و غیر واقعی برای مالکان گواهی

3-1-4           قواعد تفسیر قالب‌های مختلف نام‌ها

3-1-5           یکتایی نام‌ها

3-1-6           تشخیص، احراز هویت و نقش نام‌های تجاری

3-2                  هویت‌شناسی اولیه

3-2-1           روش اثبات مالکیت کلید خصوصی

سطح اطمینان	الزامات
سطح 1	اثبات مالکیت کلید خصوصی مورد نیاز نمی‌باشد.
سطح 2	قبل از صدور گواهی، کاربران نهایی (جهت ارائه درخواست صدور گواهی به مراکز میانی) و مراکز صدور گواهی میانی (جهت ارائه در خواست صدور گواهی مراکز میانی به مرکز صدور گواهی بالادستی) می‌بایست مالکیت کلید خصوصی خود را اثبات نمایند. فرآیند اثبات مالکیت کلید خصوصی مراکز میانی و احراز آن توسط مرکز دولتی ریشه، باید منطبق با استاندارد PKCS#10 صورت پذیرد. کلیه مراکز میانی در دستورالعمل اجرایی خود باید روش اثبات مالکیت کلید خصوصی متقاضیان گواهی را تعیین نمایند.
سطح 3
سطح 4

3-2-2           شناسایی سازمان‌ها

3-2-3           احراز هویت افراد

3-2-3-1             فردی شخصاً درخواست گواهی نماید

سطح اطمینان	نحوه شناسایی
سطح 1	بدون نیاز به تشریفات ثبت نام و بر پایه اطلاعات خود اظهاری و اعتماد می‌باشد.
سطح 2	الزامات هویت‌شناسی جهت درخواست گواهی سطح دوم، برای اشخاص وابسته[43] و غیر وابسته[44] به شرح زیر می‌باشد: ·          به صورت حضوری و ارائه 2 نوع مدرک شناسایی معتبر که حداقل یکی از آن‌ها عکس‌دار باشد به اضافه مدارک لازم دیگر که با توجه به نوع فعالیت در حوزه‌های متفاوت قابل تعریف خواهد بود. ·          چنانچه قبلاً برای یک متقاضی، گواهی سطح دوم و یا گواهی سطح بالاتر صادر شده و گواهی او معتبر باشد و کلید خصوصی متناظر با گواهی در خطر افشا قرار نگرفته باشد، عملیات درخواست گواهی می‌تواند همراه با امضای الکترونیکی یک فرم درخواست گواهی، از طریق کلید متناظر با گواهی قبلی و به صورت غیرحضوری صورت پذیرد؛ در این حالت فرآیند شناسایی درخواست‌کننده گواهی، در دستورالعمل اجرایی مرکز میانی باید توصیف گردد.
سطح 3	اشخاص وابسته: به صورت حضوری و ارائه 2 نوع مدرک شناسایی معتبر و حداقل کسب امتیاز 100
	اشخاص غیر وابسته: به صورت حضوری و ارائه 2 نوع مدرک شناسایی معتبر عکس‌دار به همراه شناسایی بایومتریک[45] صرفاً توسط شخص حقیقی اصیل (مشخصات بایومتریک اشخاصی که به نمایندگی اقدام می‌کنند قابل استناد نمی‌باشد)
سطح 4	اشخاص وابسته: به صورت حضوری و ارائه 2 نوع مدرک شناسایی معتبر و حداقل کسب امتیاز 150

شاخص		امتیاز	مثال
سابقه کار مورد قبول دستگاه		1 تا 2 سال 10 امتیاز	100 امتیاز = دو مدرک (80) + 2 سال سابقه (20) 100 امتیاز= دو مدرک (80) + نوع قرارداد (10) + 1 سال سابقه (10) 150 امتیاز= دو مدرک (80) + عنوان شغلی: مدیر (50) + 3 سال سابقه (20) 150 امتیاز= دو مدرک (80) + احراز هویت بایومتریک (20) + 5 سال سابقه (40) + نوع قرارداد (10) 150 امتیاز= دو مدرک (80) + 10 سال سابقه (70)
		2 تا 4 سال 20 امتیاز
		4 تا 7 سال 40 امتیاز
		7 تا 10 سال 60 امتیاز
		10 سال به بالا: 70 امتیاز
عنوان شغلی		مدیرکل/ مدیر عامل به بالا 50 امتیاز
نوع قرارداد		رسمی و پیمانی 10 امتیاز (این شاخص فقط برای ارگان‌های دولتی قابل اعمال می‌باشد)
حداکثر 2 مدرک	شناسنامه	40 امتیاز
	کارت ملی	40 امتیاز
	گذرنامه	20 امتیاز
	گواهینامه	20 امتیاز
شناسایی بایومتریک		20 امتیاز

3-2-3-2             شخصی به نمایندگی از شخص دیگر درخواست گواهی نماید

3-2-3-3           شخصی برای نقش سازمانی خود درخواست گواهی نماید

3-2-4           اطلاعات تصدیق نشده مالکان گواهی

3-2-5           اعتبارسنجی مرجع ذیصلاح

3-2-6           شرایط تعامل با سایر نهادها

3-3                  شناسایی و احراز هویت برای درخواست‌های تجدید کلید[46]

3-3-1           فرایند عادی شناسایی و احراز هویت برای تجدید کلید

3-3-2           شناسایی و احراز هویت برای تجدید کلید پس از ابطال گواهی

3-4                  شناسایی و احراز هویت برای درخواست ابطال

4                      الزامات عملیاتی چرخه حیات گواهی

4-1                  درخواست گواهی

4-1-1           موجودیت‌های مجاز جهت ارائه درخواست گواهی

4-1-2           فرایند ثبت نام و مسئولیت‌ها

4-2                  بررسی درخواست گواهی

4-2-1           اجرای فرایندهای شناسایی و احراز هویت 

4-2-2           تأیید یا رد درخواست‌های گواهی

4-2-3           مدت رسیدگی به درخواست گواهی

سطح اطمینان	حداکثر فاصله بین درخواست و صدور گواهی
سطح 1	هیچ قیدی وجود ندارد.
سطح 2	گواهی‌های کاربران نهایی حداکثر در طی مدت پنج روز از زمان درخواست دفتر ثبت نام صادر می‌شوند.
سطح 3	گواهی‌های کاربران نهایی حداکثر در طی مدت دو روز از زمان درخواست دفتر ثبت نام صادر می‌شوند.
سطح 4	گواهی‌های کاربران نهایی به محض درخواست دفتر ثبت نام صادر می‌شوند.

4-3                  صدور گواهی

4-3-1           اقدامات مرکز در طول صدور گواهی

4-3-2           اطلاع‌رسانی به متقاضی توسط مرکز صدور گواهی

4-4                  پذیرش گواهی

4-4-1           چگونگی پذیرش گواهی

4-4-2           انتشار گواهی توسط مرکز صدور گواهی

4-4-3           اطلاع‌رسانی صدور گواهی به سایر موجودیت‌ها توسط مرکز

4-5                  کاربرد گواهی و زوج کلید 

4-5-1           کاربرد گواهی و کلید خصوصی مالک گواهی

4-5-2           کاربرد گواهی و کلید عمومی برای طرف اعتماد کننده

4-6                  تمدید گواهی[51]

4-6-1           شرایط تمدید گواهی

4-6-2           متقاضیان تمدید گواهی

4-6-3           بررسی درخواست‌های تمدید گواهی

4-6-4           اعلام صدور گواهی جدید به مالک گواهی

4-6-5           چگونگی پذیرش گواهی تمدید شده

4-6-6           انتشار گواهی تمدید شده توسط مرکز

4-6-7           اطلاع‌رسانی صدور گواهی توسط مرکز صدور گواهی به سایر موجودیت‌ها

4-7                  تجدید کلید گواهی[52]

4-7-1           شرایط تجدید کلید گواهی

4-7-2           متقاضیان گواهی با کلید عمومی جدید

4-7-3           بررسی درخواست‌های تجدید کلید گواهی

4-7-4           اعلام صدور گواهی جدید به مالک گواهی

4-7-5           چگونگی پذیرش گواهی با کلید جدید

4-7-6           انتشار گواهی تجدید کلید شده توسط مرکز صدور گواهی

4-7-7           اطلاع‌رسانی صدور گواهی توسط مرکز صدور گواهی به سایر موجودیت‌ها

4-8                  اصلاح گواهی[53]

4-8-1           شرایط اصلاح گواهی

4-8-2           متقاضیان اصلاح گواهی

4-8-3           بررسی درخواست‌های اصلاح گواهی

4-8-4           اعلام صدور گواهی جدید به مالک گواهی

4-8-5           چگونگی پذیرش گواهی اصلاح شده

4-8-6           انتشار گواهی اصلاح شده توسط مرکز صدور گواهی

4-8-7           اطلاع‌رسانی صدور گواهی توسط مرکز صدور گواهی به سایر موجودیت‌ها

4-9                  ابطال و تعلیق گواهی

4-9-1           شرایط ابطال

4-9-1-1              شرایط ابطال گواهی الکترونیکی مراکز میانی

4-9-1-2             شرایط ابطال گواهی الکترونیکی موجودیت نهایی

4-9-2           متقاضیان درخواست ابطال

4-9-2-1             موجودیت‌های نهایی

سطح اطمینان	موجودیت‌های مجاز به ارائه درخواست ابطال گواهی الکترونیکی
سطح 1	محدودیتی وجود ندارد.
سطح 2	درخواست ابطال گواهی الکترونیکی توسط افراد زیر ارائه شود: ·          مالک گواهی؛ ·          نماینده مجاز از سوی مالک گواهی (بخش ‏3-2-3)؛ ·          نماینده مجاز از یک سازمان جهت ارائه درخواست ابطال گواهی‌های سازمانی و یا گواهی یکی از پرسنل سازمان؛ ·          نماینده مجاز برای ابطال گواهی دفاتر ثبت نام. ·         مراجع قضائی ذیصلاح
سطح 3
سطح 4

4-9-2-2            مراکز صدور گواهی الکترونیکی میانی

4-9-3           فرایند رسیدگی به درخواست ابطال

4-9-4           مهلت اعلام درخواست ابطال

4-9-5           مدت رسیدگی به درخواست ابطال توسط مرکز صدور گواهی

سطح اطمینان	مدت رسیدگی به درخواست ابطال توسط مرکز
سطح 1	الزام خاصی در نظر گرفته نشده است.
سطح 2	·          چنانچه درخواست ابطال در ساعات کاری توسط مرکز صدور گواهی دریافت گردد، می‌بایست در کمتر از 2 ساعت پس از دریافت آن، پردازش گردد. ·          چنانچه درخواست ابطال خارج از ساعات کاری توسط مرکز صدور گواهی دریافت گردد، می‌بایست بلافاصله در شروع روز کاری بعد، پردازش گردد. ·         چنانچه درخواست ابطال خارج از ساعات کاری توسط مرکز صدور گواهی دریافت گردد و روز بعدی نیز یک روز کاری نباشد، پردازش درخواست نباید بیشتر از 24 ساعت طول بکشد.
سطح 3	درخواست ابطال می‌بایست در کمتر از یک ساعت پس از دریافت آن توسط مرکز صدور گواهی پردازش گردد.
سطح 4	درخواست ابطال می‌بایست بلافاصله پس از دریافت آن توسط مرکز صدور گواهی، پردازش گردد.

4-9-6           الزامات بررسی ابطال توسط طرف‌های اعتماد کننده

4-9-7           تناوب صدور لیست گواهی‌های باطل‌شده

سطح اطمینان	تناوب صدور لیست گواهی‌های باطل شده
سطح 1	·          نسخه به‌روز شده CRL می‌بایست حداقل هر 30 روز صادر شود. ·          در صورتی که دلیل ابطال یک گواهی افشای کلید خصوصی باشد، می‌بایست حداکثر 1 روز پس از دریافت و پردازش درخواست ابطال گواهی توسط مرکز میانی، یک نسخه به‌روز شده CRL صادر شود.
سطح 2	·          نسخه به‌روز شده CRL می‌بایست حداقل هر 24 ساعت صادر شود. ·          در صورتی که دلیل ابطال یک گواهی افشای کلید خصوصی باشد، می‌بایست بلافاصله پس از دریافت و پردازش درخواست ابطال گواهی توسط مرکز میانی، یک نسخه به‌روز شده CRL صادر شود.
سطح 3	·          نسخه به‌روز شده CRL می‌بایست حداقل هر 12 ساعت صادر شود. ·          در صورتی که دلیل ابطال یک گواهی افشای کلید خصوصی باشد، می‌بایست بلافاصله پس از دریافت و پردازش درخواست ابطال گواهی توسط مرکز میانی، یک نسخه به‌روز شده CRL صادر شود.
سطح 4	·          نسخه به‌روز شده CRL می‌بایست حداقل هر 4 ساعت صادر شود. ·           در صورتی که دلیل ابطال یک گواهی افشای کلید خصوصی باشد، می‌بایست بلافاصله پس از دریافت و پردازش درخواست ابطال گواهی توسط مرکز میانی، یک نسخه به‌روز شده CRL صادر شود.

4-9-8           حداکثر تأخیر انتشار لیست گواهی‌های باطله

4-9-9           دسترسی برخط به کنترل وضعیت/ابطال

4-9-10       الزامات کنترل برخط وضعیت ابطال

4-9-11       سایر روش‌های ممکن اعلان ابطال

4-9-12       الزامات خاص در صورت افشای کلید

4-9-13       شرایط تعلیق

4-9-14       متقاضیان درخواست تعلیق گواهی

4-9-15       فرایند رسیدگی به درخواست تعلیق

4-9-16       محدودیت‌های دوره تعلیق

4-10             خدمات وضعیت گواهی

4-10-1       ویژگی‌های عملیاتی

4-10-2       دسترس‌پذیری خدمت

4-10-3       ویژگی‌های اختیاری

4-11             پایان اشتراک

4-12             امانت‌گذاری و بازیابی کلید[60]

4-12-1       سیاست‌ها و دستورالعمل اجرایی امانت‌گذاری و بازیابی کلید

4-12-2       سیاست‌ها و دستورالعمل اجرایی بازیابی و اطلاعات مورد نیاز دسترسی به کلید

5                       کنترل‌های امکانات، تجهیزات، مدیریتی و عملیاتی

5-1                  کنترل‌های فیزیکی

5-1-1           ساختمان و محل سایت

5-1-2           دسترسی فیزیکی

5-1-3           تهویه هوا و منبع تغذیه برق

5-1-4           جلوگیری از آب‌گرفتگی

5-1-5           پیش‌گیری و محافظت در مقابل آتش

5-1-6           حفاظت از رسانه‌های ذخیره‌سازی

5-1-7           انهدام ضایعات

5-1-8           نسخه پشتیبان خارج از سایت

5-2                  کنترل‌های فرایندی

5-2-1           نقش‌های مورد اطمینان

5-2-2           تعداد افراد مورد نیاز برای هر نقش

سطح اطمینان	افراد مورد نیاز برای هر نقش
سطح 1	حداقل توسط 1 نفر انجام گیرد.
سطح 2	برای نقش‌هایی که انجام وظایف آن‌ها مستلزم دسترسی به اطلاعات حساس مرکز صدور گواهی مانند کلید خصوصی می‌باشند، حداقل 2 نفر مورد نیاز است. برای انجام وظایف سایر نقش‌ها، 1 نفر کافی است.
سطح 3
سطح 4

5-2-3           شناسایی و احراز هویت برای هر نقش

5-2-4           نقش‌های مستلزم تفکیک وظایف

5-3                  کنترل کارکنان

5-3-1           ملزومات مربوط به قابلیت‌ها، سابقه و عدم سوء پیشینه

5-3-2           رویه بررسی سابقه افراد

5-3-3           الزامات آموزشی

5-3-4           الزامات آموزش مکرر و متناوب

5-3-5           دوره زمانی و ترتیب چرخش کار

5-3-6           جریمه‌های اقدامات خارج از محدوده اختیارات

5-3-7           الزامات پیمانکاران مستقل

5-3-8           مستندات فراهم‌شده برای کارکنان

5-4                  فرایندهای ثبت رویدادهای بازرسی

5-4-1           انواع رویدادهای قابل ثبت

5-4-2           تناوب پردازش اطلاعات رویدادهای ثبت‌شده

سطح اطمینان	تناوب پردازش اطلاعات رویدادهای ثبت شده
سطح 1	پردازش و بازنگری رویدادها حداقل هر شش ماه یک بار می‌بایست صورت گیرد.
سطح 2	پردازش و بازنگری رویدادها حداقل هر دو ماه یک بار می‌بایست صورت گیرد.
سطح 3	پردازش و بازنگری رویدادها حداقل هر یک ماه یک بار می‌بایست صورت گیرد.
سطح 4

5-4-3           دوره نگهداری از اطلاعات رویدادهای ثبت‌شده

5-4-4           محافظت از اطلاعات رویدادهای ثبت‌شده

5-4-5           فرآیندهای پشتیبان گیری از رویدادهای بازرسی

5-4-6           سامانه جمع‌آوری اطلاعات بازرسی

5-4-7           تذکر به مسبب رویداد

5-4-8           ارزیابی آسیب‌پذیری

5-5                  بایگانی اطلاعات

5-5-1           انواع اطلاعات قابل بایگانی

5-5-2           دوره نگهداری اطلاعات بایگانی‌شده

سطح اطمینان	دوره نگهداری اطلاعات ثبت‌شده در بایگانی
سطح 1	اطلاعات ثبت‌شده در بایگانی می‌بایست حداقل برای 5 سال نگهداری شود.
سطح 2	اطلاعات ثبت‌شده در بایگانی می‌بایست حداقل برای 16 سال نگهداری شود.
سطح 3	اطلاعات ثبت‌شده در بایگانی می‌بایست حداقل برای 24 سال نگهداری شود.
سطح 4	اطلاعات ثبت‌شده در بایگانی می‌بایست حداقل برای 30 سال نگهداری شود.

5-5-3           محافظت از بایگانی

5-5-4           فرایندهای پشتیبان گیری از بایگانی

سطح اطمینان	روال تهیه نسخه پشتیبان از بایگانی
سطح 1	الزامی در نظر گرفته نشده است.
سطح 2	از بایگانی اطلاعات الکترونیکی می‌بایست به صورت افزایشی و به طور کامل و ماهیانه نسخه پشتیبان تهیه شود.
سطح 3
سطح 4

5-5-5           الزامات مهر زمانی[62] اطلاعات بایگانی

5-5-6           سامانه جمع‌آوری بایگانی (درونی یا بیرونی)

5-5-7           فرایندهای به دست آوردن و بررسی اطلاعات بایگانی

سطح اطمینان	روال به دست آوردن و بررسی اطلاعات بایگانی
سطح 1	الزامی در نظر گرفته نشده است.
سطح 2	·          تنها افراد مورد اطمینان مجاز می‌توانند به اطلاعات بایگانی شده دسترسی پیدا کنند. ·          تمامیت اطلاعات بایگانی‌شده هر 6 ماه می‌بایست بررسی شود. همین‌طور تمامیت کپی‌های کاغذی خارج از سایت می‌بایست یک بار در سال بررسی شود. ·          مرکز صدور گواهی می‌بایست فرایندی را که طی آن تمامیت اطلاعات بررسی می‌شود، در دستورالعمل اجرایی خود تعیین نماید.
سطح 3
سطح 4

5-6                 تغییر کلید

5-7                 بازیابی به علت سوانح غیرمترقبه و در خطر افشا بودن

5-7-1           فرایندهای مقابله با افشاء کلید و حوادث

5-7-2           از بین رفتن تجهیزات کامپیوتری، نرم‌افزار و داده‌ها

5-7-3           فرایندهای در خطر افشا قرار گرفتن کلید خصوصی موجودیت

5-7-4           تداوم ارائه خدمات بعد از وقوع حوادث

5-8                  توقف فعالیت مرکز صدور گواهی یا دفتر ثبت نام

6                       کنترل‌های امنیتی فنی

6-1                  تولید و نصب زوج کلید

6-1-1           تولید زوج کلید

6-1-1-1                تولید زوج‌کلید مراکز صدور گواهی

سطح اطمینان	تولید زوج‌کلید مرکز میانی
سطح 1	مرکز میانی می‌بایست اطمینان حاصل نماید که تولید کلید مرکز با استفاده از الگوریتم‌های پذیرفته شده در زیرساخت کلید عمومی کشور و توسط نقش مورد اعتماد و مجاز صورت می‌پذیرد.
سطح 2	تولید زوج کلید مرکز میانی: ·          می‌بایست توسط متصدیانی با نقش مورد اعتماد و مجاز برای تولید کلید صورت پذیرد. ·          می‌بایست در داخل ماژول رمزنگاری سخت‌افزاری انجام پذیرد که حداقل الزامات بخش ‏6-2-1را در بر گیرد ·          می‌بایست با استفاده از الگوریتم‌های پذیرفته شده در زیرساخت کلید عمومی کشور صورت پذیرد. ·          در سطح سوم و چهارم می‌بایست انجام عملیات تولید کلید از طریق کنترل چند نفره مطابق با بخش ‏6-2-2صورت گیرد. ·         مرکز میانی می‌بایست فرایند تولید کلید را مستند نماید و دلایل و شواهد لازم را برای اثبات اینکه مراحل مستند شده انجام گرفته‌اند، ارائه نماید.
سطح 3
سطح 4

6-1-1-2               تولید زوج‌کلید دفاتر ثبت نام

سطح اطمینان	تولید زوج‌کلید دفتر ثبت نام
سطح 1	مرکز میانی می‌بایست اطمینان حاصل نماید که تولید کلید دفتر ثبت نام با استفاده از الگوریتم‌های پذیرفته شده در زیرساخت کلید عمومی کشور انجام گیرد.
سطح 2	می‌بایست در داخل ماژول رمزنگاری سخت‌افزاری انجام پذیرد که حداقل الزامات بخش ‏6-2-1را در بر گیرد و نیز می‌بایست با استفاده از الگوریتم‌های پذیرفته شده در زیرساخت کلید عمومی کشور صورت پذیرد.
سطح 3
سطح 4

6-1-1-3              تولید زوج‌کلید مالک گواهی

سطح اطمینان	تولید زوج‌کلید مالک گواهی
سطح 1	·          تولید زوج کلید برای مالکان گواهی می‌بایست با استفاده از الگوریتم‌های پذیرفته شده در زیرساخت کلید عمومی کشور صورت پذیرد.
سطح 2	·          تولید زوج کلید برای مالک گواهی می‌بایست در یک ماژول رمزنگاری نرم‌افزاری و ترجیحاً سخت‌افزاری که در آن حداقل الزامات بخش ‏6-2-1رعایت شده است، صورت پذیرد (تولید کلید به صورت نرم‌افزاری صرفاً می‌بایست توسط مالک گواهی صورت گیرد و تحویل کلید عمومی متناظر، به دفتر ثبت نام یا مرکز میانی باید همراه با اثبات مالکیت کلید خصوصی باشد).   ·          تولید زوج کلید برای مالکان گواهی می‌بایست با استفاده از الگوریتم‌های پذیرفته شده در زیرساخت کلید عمومی کشور صورت پذیرد.
سطح 3	·          تولید زوج کلید برای مالک گواهی می‌بایست در داخل یک ماژول رمزنگاری سخت‌افزاری که در آن حداقل الزامات بخش ‏6-2-1رعایت شده است، صورت پذیرد.   ·          تولید زوج کلید برای مالکان گواهی می‌بایست با استفاده از الگوریتم‌های پذیرفته شده در زیرساخت کلید عمومی کشور صورت پذیرد.
سطح 4

6-1-2           تحویل کلید خصوصی به موجودیت نهایی

سطح اطمینان	تحویل کلید خصوصی به موجودیت نهایی
سطح 1	الزامی در نظر گرفته نشده است.
سطح 2	چنانچه عملیات تولید کلید توسط دفتر ثبت نام و یا مرکز میانی به نمایندگی از مالک گواهی صورت گیرد، می‌بایست این عملیات به صورت داخلی توسط یک سخت‌افزار رمزنگاری مورد تأیید (منطبق با بخش ‏6-1-1) انجام گیرد و کلید خصوصی از طریق این سخت‌افزار در اختیار مالک گواهی قرار داده شود.  تولید زوج کلید به صورت نرم‌افزاری صرفاً می‌بایست توسط مالک گواهی صورت گیرد و تحویل کلید عمومی متناظر به مرکز میانی یا دفتر ثبت نام باید همراه با اثبات ملکیت کلید خصوصی باشد.
سطح 3	چنانچه عملیات تولید کلید توسط دفتر ثبت نام و یا مرکز میانی به نمایندگی از مالک گواهی صورت گیرد، می‌بایست این عملیات به صورت داخلی توسط یک سخت‌افزار رمزنگاری مورد تأیید (منطبق با بخش ‏6-1-1) انجام گیرد و کلید خصوصی از طریق این سخت‌افزار در اختیار مالک گواهی قرار داده شود.
سطح 4

6-1-3           تحویل کلید عمومی به مرکز صدور گواهی

6-1-4           تحویل کلید عمومی مرکز صدور گواهی به طرف‌های اعتماد کننده

سطح اطمینان	تحویل کلید عمومی مرکز میانی به طرف‌های اعتماد کننده
سطح 1	الزامی در نظر گرفته نشده است.
سطح 2	کلید عمومی مرکز میانی می‌بایست به صورت امن به طرف‌های اعتماد کننده منتقل شود، به طوری که صحت و اعتبار آن تضمین شود. روش تحویل کلید عمومی می‌بایست در دستورالعمل اجرایی مراکز میانی تشریح شود.
سطح 3
سطح 4

6-1-5           طول کلید

سطح اطمینان	الزامات طول کلید
سطح 1	حداقل طول کلید برای مراکز میانی، 2048 بیت RSA و حداقل طول کلید برای موجودیت‌های نهایی، 1024 بیت RSA می‌باشد.
سطح 2
سطح 3	حداقل طول کلید برای مراکز میانی و موجودیت‌های نهایی، 2048 بیت RSA می‌باشد.
سطح 4

6-1-6           تولید پارامترهای کلید عمومی و کنترل کیفیت

6-1-7           موارد کاربرد کلید (طبق فیلد کاربرد کلید[65] در X.509 v3)

سطح اطمینان	موارد کاربرد کلید
سطح 1	الزامی در نظر گرفته نشده است.
سطح 2	کلید خصوصی متناظر با گواهی الکترونیکی می‌بایست صرفاً منطبق با کاربردهای در نظر گرفته شده در فیلد KeyUsage و ExtendedKeyUsage گواهی مورد استفاده قرار گیرد. کاربردهای در نظر گرفته شده برای گواهی الکترونیکی در بخش ‏1-4-1توصیف شده است. ضمن اینکه فیلد کاربرد کلید گواهی می‌بایست مطابق با سند جامع پروفایل‌های زیرساخت کلید عمومی کشور به‌کار رود.
سطح 3
سطح 4

6-2                  محافظت از کلیدهای خصوصی و کنترل‌های مهندسی ماژول رمزنگاری

6-2-1           کنترل‌ها و استانداردهای ماژول‌های رمزنگاری

سطح اطمینان	آخرین نسخه استاندارد سری FIPS 140	مراکز صدور گواهی	دفاتر ثبت نام	مالکان گواهی
سطح 1	مورد نیاز نیست.	حداقل الزامات سطح دوم FIPS 140 اعمال شده باشد.	حداقل الزامات سطح اول FIPS 140 اعمال شده باشد.	مورد نیاز نیست.
سطح 2	مورد نیاز است.	حداقل الزامات سطح سوم FIPS 140 اعمال شده باشد.	حداقل الزامات سطح دوم FIPS 140 اعمال شده باشد.	حداقل الزامات سطح اول و ترجیحاً سطح دوم FIPS 140 اعمال شده باشد.
سطح 3	مورد نیاز است.	حداقل الزامات سطح سوم FIPS 140 اعمال شده باشد.	حداقل الزامات سطح دوم FIPS 140 اعمال شده باشد.	حداقل الزامات سطح دوم FIPS 140 اعمال شده باشد.
سطح 4	مورد نیاز است.	حداقل الزامات سطح سوم FIPS 140 اعمال شده باشد.	حداقل الزامات سطح سوم FIPS 140 اعمال شده باشد.	حداقل الزامات سطح سوم FIPS 140 اعمال شده باشد.

6-2-2           کنترل چند نفره (n از m) به کلید خصوصی

سطح اطمینان	کنترل چندنفره به کلید خصوصی
سطح 1	مورد نیاز نیست.
سطح 2
سطح 3	برای عملیات تولید و استفاده از کلید خصوصی مرکز میانی می‌بایست کنترل چندنفره از طریق حداقل دو نقش مجاز وجود داشته باشد.
سطح 4

6-2-3           دستیابی قانونی به کلید خصوصی[70]

6-2-4           پشتیبان گیری از کلید خصوصی

سطح اطمینان	تهیه نسخه پشتیبان از کلید خصوصی
سطح 1	الزامی در نظر گرفته نشده است.
سطح 2	مرکز میانی می‌بایست جهت امکان‌پذیر بودن بازیابی تجهیزات و داده‌های خود در صورت وقوع حوادث غیرمترقبه از کلید خصوصی خود نسخه پشتیبان تهیه نماید. پشتیبان گیری می‌بایست با کپی گرفتن از کلید خصوصی و انتقال آن به ماژول پشتیبان به صورت رمز شده مطابق با بخش‌های ‏6-2-6و ‏6-2-7انجام بگیرد و می‌بایست از آن در سایت پشتیبان به صورت کاملاً محافظت‌شده نگهداری شود.
سطح 3
سطح 4

6-2-5           بایگانی کلید خصوصی

6-2-6           انتقال کلید خصوصی به/از یک ماژول رمزنگاری

سطح اطمینان	انتقال کلید خصوصی به یا از یک دستگاه رمزنگاری
سطح 1	تعریف نشده است.
سطح 2	کلیه مراکز صدور گواهی می‌بایست کلید (های) خصوصی خود را توسط ماژول (های) رمزنگاری امن تولید کرده و آن‌را در این ماژول (ها) نگهداری نمایند. در هنگام تهیه نسخه پشتیبان از کلید خصوصی مرکز صدور گواهی، می‌بایست این کلید به صورت رمزگذاری شده به ماژول پشتیبان انتقال داده شود و به صورت کاملاً محافظت شده از این ماژول در سایت پشتیبان مرکز صدور گواهی نگهداری گردد.
سطح 3
سطح 4

6-2-7           ذخیره‌سازی کلیدهای خصوصی در ماژول رمزنگاری

6-2-8           روش فعال‌سازی کلید خصوصی

سطح اطمینان	فعال‌سازی کلید خصوصی
سطح 1	می‌تواند از طریق گذرواژه صورت گیرد.
سطح 2	شیوه‌هایی مانند استفاده از رمز یا گذرواژه، داده‌های مورد نیاز برای کنترل چند نفره، اطلاعات بایومتریکی و شیوه‌های دیگر احراز هویت برای فعال کردن کلید خصوصی در دستگاه رمزنگاری قابل استفاده هستند. (الزامات تولید اطلاعات فعال‌ساز در بخش ‏6-4-1آمده است). اطلاعات فعال‌ساز را می‌بایست به روشی امن که در دستورالعمل اجرایی مراکز میانی باید توصیف گردد، در اختیار مالکان گواهی قرار داد (چنانچه کلید خصوصی از طریق دفتر ثبت نام و یا مرکز صدور گواهی در اختیار مالک گواهی قرار داده شود، حتماً می‌بایست به وی اعلام گردد که گذرواژه سخت‌افزار رمزنگاری خود را در اسرع وقت تغییر دهد). هنگام ورود اطلاعات فعال‌ساز می‌بایست از افشاء آن‌ها جلوگیری شود (مثلاً هنگام ورود، اطلاعات نباید روی صفحه نمایش ظاهر شوند).
سطح 3
سطح 4

6-2-9           روش غیر فعال نمودن کلید خصوصی

سطح اطمینان	غیر فعال نمودن کلید خصوصی
سطح 1	تعریف نشده است.
سطح 2	ماژول‌های رمزنگاری در حالت فعال نباید بدون استفاده باقی بمانند. این ماژول‌ها پس از استفاده می‌بایست به روشی غیرفعال شوند؛ برای مثال، از طریق روش دستی خروج از سیستم، یا پس از گذشت زمان معینی ارتباط به طور خودکار قطع شود. وقتی کلیدهای خصوصی غیرفعال می‌شوند، می‌بایست قبل از آزادسازی فضای حافظه از حافظه پاک شوند و می‌بایست فقط به شکل رمز شده نگهداری شوند.
سطح 3
سطح 4

6-2-10       روش انهدام کلید خصوصی

سطح اطمینان	انهدام کلید خصوصی
سطح 1	تعریف نشده است.
سطح 2	کلیدهای خصوصی زمانی که دیگر به آن‌ها نیازی نیست یا زمانی که گواهی‌های مرتبط با آن‌ها منقضی یا باطل شده‌اند، می‌بایست نابود شوند. برای ماژول‌های رمزنگاری نرم‌افزاری، این امر می‌تواند از طریق بازنویسی بر روی اطلاعات قبلی انجام شود. برای ماژول‌های رمزنگاری سخت‌افزاری، این کار از طریق اجرای دستور امحا[71] که می‌بایست همراه با عملیات بازنویسی حافظه باشد، انجام می‌گیرد.
سطح 3
سطح 4

6-2-11       رده‌بندی ماژول رمزنگاری

6-3                  سایر ابعاد مدیریت زوج کلید

6-3-1           بایگانی کلید عمومی

6-3-2           دوره‌های عملیاتی گواهی و دوره‌های استفاده از زوج کلید

سطح اطمینان		مرکز میانی	موجودیت نهایی
سطح 1	طول کلید	2048	1024	2048
	حداکثر دوره اعتبار	12 سال	3 سال	8 سال
سطح 2	طول کلید	2048	1024	2048
	حداکثر دوره اعتبار	12 سال	2 سال	8 سال
سطح 3	طول کلید	2048	2048	-
	حداکثر دوره اعتبار	12 سال	8 سال	-
سطح 4	طول کلید	2048	2048	-
	حداکثر دوره اعتبار	12 سال	8 سال	-

6-4                  اطلاعات فعال‌ساز

6-4-1           تولید و به‌کارگیری اطلاعات فعال‌ساز

6-4-2           محافظت از اطلاعات فعال‌ساز

سطح اطمینان	محافظت از اطلاعات فعال‌ساز
سطح 1	تعریف نشده است.
سطح 2	اطلاعات فعال‌ساز دستگاه رمزنگاری می‌بایست به حافظه سپرده شوند و نباید به صورت نوشته نگهداری شود. اگر نوشته شوند، نوشته می‌بایست در سطحی از امنیت، معادل با امنیت داده‌های دستگاه رمزنگاری، نگهداری شوند. اطلاعات فعال‌ساز کلیدهای خصوصی می‌بایست منحصراً نزد مالک گواهی محفوظ باشد.
سطح 3
سطح 4

6-4-3           سایر ابعاد اطلاعات فعال‌ساز

6-5                  کنترل‌های امنیتی رایانه

6-5-1           الزامات فنی ویژه امنیت رایانه

6-5-2           رده‌بندی امنیت رایانه

سطح اطمینان	رده‌بندی امنیت رایانه
سطح 1	الزامی در نظر گرفته نشده است.
سطح 2	آزمایشگاه شخص ثالث معتبر می‌بایست امنیت عناصر حیاتی مرکز صدور گواهی را ارزیابی نماید.
سطح 3
سطح 4

6-6                  کنترل‌های فنی چرخه حیات

6-6-1           کنترل‌های توسعه سامانه

6-6-2           کنترل‌های مدیریت امنیت

سطح اطمینان	بررسی دوره‌ای تمامیت پایگاه‌داده
سطح 1	الزامی در نظر گرفته نشده است.
سطح 2	به محض نصب و حداقل هر ماه یک‌بار، تمامیت پایگاه‌داده مرکز صدور گواهی می‌بایست رسیدگی شود.
سطح 3	به محض نصب و حداقل هفته‌ای یک‌بار، تمامیت پایگاه‌داده مرکز صدور گواهی می‌بایست رسیدگی شود.
سطح 4	به محض نصب و حداقل روزی یک‌بار، تمامیت پایگاه‌داده مرکز صدور گواهی می‌بایست رسیدگی شود.

6-6-3           کنترل‌های امنیتی چرخه حیات

6-7                  کنترل‌های امنیتی شبکه

سطح اطمینان	کنترل‌های امنیتی شبکه
سطح 1	الزامی در نظر گرفته نشده است.
سطح 2	مرکز صدور گواهی می‌بایست مطمئن شود که کنترل‌های امنیتی برای فراهم کردن تمامیت مرکز صدور گواهی و قابل دسترس بودن آن از طریق هر شبکه سراسری یا باز، که به آن متصل است، انجام می‌گیرد. چنین محافظتی می‌بایست شامل نصب یک یا چند دستگاه پیکربندی شده باشد به طوری که تنها پروتکل‌ها و دستورات مورد نیاز عملیات اجرایی مرکز صدور گواهی پذیرفته شود. مرکز صدور گواهی در دستورالعمل اجرایی گواهی خود، چنین پروتکل‌هایی و همچنین مکانیزم‌ها و روال‌های در نظر گرفته شده برای اعمال کنترل‌های امنیت شبکه را می‌بایست توصیف نماید.
سطح 3
سطح 4

6-8                  مهر زمانی

سطح اطمینان	مهر زمانی
سطح 1	الزامی در نظر گرفته نشده است.
سطح 2	مرکز صدور گواهی می‌تواند برای مالکان گواهی قابلیت افزودن مهر زمانی در تراکنش‌های خود را فراهم نماید یا باعث فراهم شدن آن شود.
سطح 3
سطح 4

7                      پروفایل‌های[72] گواهی، لیست گواهی‌های باطله و OCSP

7-1                  پروفایل گواهی

فیلد	الزامات خصوصیات گواهی
Serial Number	شماره سریال گواهی که برای هر گواهی صادر شده توسط مرکز صدور گواهی مقداری منحصر به فرد می‌باشد.
Signature Algorithm	شناسه الگوریتم ‏7-1-4بکار رفته جهت امضای گواهی (بخش ‏7-1-3)
Issuer DN	در بخش ‏7-1-4توضیح داده شده است.
Validity	دوره اعتبار گواهی
Subject DN	در بخش ‏7-1-4توضیح داده شده است.
Subject Public Key	کلید عمومی مالک گواهی که مطابق با RFC5280 کدگذاری می‌گردد.
Signature	امضای گواهی که مطابق با RFC5280 تولید و کدگذاری می‌گردد.

7-1-1           شماره نسخه

7-1-2           الحاقیه‌های گواهی[74]

7-1-3           شناسه الگوریتم‌ها

·         sha256withRSAEncryption OBJECT IDENTIFIER ::= {

iso(1) member-body(2) us(840)rsadsi(113549) pkcs(1) pkcs-1(1) 11}

·         sha-1WithRSAEncryption OBJECT IDENTIFIER ::= {

iso(1) member-body(2) us(840)rsadsi(113549) pkcs(1) pkcs-1(1) 5}

7-1-4           قالب نام‌ها

7-1-5           محدودیت‌های نام‌گذاری

7-1-6           شناسه سیاست‌های گواهی

7-1-7           کاربرد الحاقیه Policy Constraints

7-1-8           ساختار و معنای الحاقیه "Policy Qualifier"

7-1-9           پردازش معنایی برای الحاقیه حیاتی Certificate Policies

7-2                  پروفایل لیست گواهی‌های باطل شده

فیلد	الزامات خصوصیات لیست ابطال
version	در بخش ‏7-2-1توضیح داده شده است.
Signature Algorithm	شناسه الگوریتم بکار رفته جهت امضای CRL (بخش ‏7-1-3).
Issuer	نام ترکیبی موجودیتی که CRL را امضا و تولید می‌نماید.
Effective Date	تاریخ صدور CRL.
Next Update	تاریخی که CRL بعدی صادر خواهد شد. ملزومات تناوب صدور لیست گواهی‌های باطل شده در بخش ‏4-9-7بیان شده است.
Revoked Certificates	لیست گواهی‌های باطل شده شامل شماره سریال گواهی‌های باطل شده و تاریخ ابطال

7-2-1           شماره نسخه

7-2-2           الحاقیه‌های CRL و CRL Entry

7-3                  پروفایل OCSP

7-3-1           شماره نسخه

7-3-2           الحاقیه‌های OCSP

8                      بازرسی تطابق و سایر ارزیابی‌ها

8-1                  تناوب و شرایط ارزیابی

سطح اطمینان	تناوب و شرایط ارزیابی
سطح 1	الزامی در نظر گرفته نشده است.
سطح 2	بازرسی تطابق می‌بایست حداقل یک بار در سال انجام گیرد.
سطح 3
سطح 4	بازرسی تطابق می‌بایست حداقل یک بار و ترجیحاً دو بار در سال انجام گیرد.

8-2                  هویت و صلاحیت ارزیاب

8-3                  ارتباط ارزیاب با مرکز مورد ارزیابی

8-4                  موضوعات مورد ارزیابی

8-5                  اقدامات اتخاذ شده در برخورد با نقایص

8-6                  گزارش نتایج

9                     سایر موارد حقوقی و مربوط به کسب و کار

9-1                  تعرفه‌ها

9-1-1           تعرفه‌های صدور یا تمدید گواهی

9-1-2           تعرفه‌های دسترسی به گواهی

9-1-3           تعرفه‌های ابطال یا دسترسی به اطلاعات وضعیت گواهی

9-1-4           تعرفه سایر خدمات

9-1-5           سیاست استرداد

9-2                  مسئولیت مالی

9-2-1           پوشش بیمه‌ای

9-2-2           سایر دارایی‌ها

9-2-3           پوشش بیمه‌ای و ضمانت‌نامه برای موجودیت‌های نهایی

9-3                  محرمانگی اطلاعات کسب و کار

9-3-1           محدوده اطلاعات محرمانه

9-3-2           اطلاعاتی که در محدوده اطلاعات محرمانه نمی‌باشند

9-3-3           مسئولیت محافظت از اطلاعات محرمانه

9-4                  محافظت از اطلاعات خصوصی

9-4-1           طرح حریم خصوصی

9-4-2           اطلاعاتی که خصوصی محسوب می‌شوند

9-4-3           اطلاعاتی که خصوصی محسوب نمی‌شوند

9-4-4           مسئولیت محافظت از اطلاعات خصوصی

9-4-5           آگاهی و رضایت برای استفاده از اطلاعات خصوصی

9-4-6           افشا مطابق با فرایندهای اداری و قضایی

9-4-7           سایر شرایط افشای اطلاعات

9-5                  حق مالکیت معنوی

9-6                  مسئولیت‌ها و التزامات

9-6-1           مسئولیت‌ها و التزامات مراکز صدور گواهی

9-6-1-1               التزامات مرکز دولتی ریشه

9-6-1-2              مسئولیت‌ها و التزامات مراکز صدور گواهی الکترونیکی میانی

9-6-2           مسئولیت‌ها و التزامات دفاتر ثبت نام

9-6-3           مسئولیت‌ها و التزامات مالکان گواهی

9-6-4           مسئولیت‌ها و التزامات طرف‌های اعتماد کننده

9-6-5           مسئولیت‌ها و التزامات سایر موجودیت‌ها

9-6-5-1             التزامات شورای سیاست گذاری گواهی الکترونیکی کشور

9-6-5-2            التزامات  کمیته نظارتی شورا

9-7                  عدم پذیرش مسئولیت‌ها و التزامات

9-8                  محدودیت مسئولیت‌ها

9-9                  خسارت‌ها

9-10             دوره و خاتمه

9-10-1       دوره

9-10-2       خاتمه

9-10-3        اثرات خاتمه و ابقا

9-11              اعلان‌های خاص و ارتباط بین موجودیت‌ها

9-12             تغییرات

9-12-1        فرایند تغییر

9-12-2       دوره  و مکانیزم اطلاع‌رسانی

9-12-3       شرایطی که OID می‌بایست تغییر نماید

9-13             فرایندهای حل اختلاف

9-14             قوانین حاکم

9-15             تطابق با قوانین اجرایی

9-16             ملاحظات متفرقه

9-16-1       توافق‌نامه کلی

9-16-2       تخصیص

9-16-3       عدم وابستگی

9-16-4       اجرای تعرفه‌های وکالت و فسخ مالکیت

9-16-5       فورس‌ماژور

9-17             سایر قیود