系统爱好者联盟 CA – 代码签名证书认证实务声明（CPS）

系统爱好者联盟 CA – 代码签名证书认证实务声明（CPS）
版本：1.0
生效日期：2026-04-10
颁发机构：系统爱好者联盟 CA（System Enthusiasts Alliance CA）

1. 引言

1.1 概述
本 CPS 文档描述了系统爱好者联盟 CA 为代码签名证书提供的认证服务实践。本 CA 仅提供 CRL（证书吊销列表）查询方式，不提供 OCSP 服务。

1.2 适用证书类型
标准代码签名证书
内核模式代码签名证书（EV 证书除外，本 CA 不颁发 EV 证书）

2. 发布与吊销信息

2.1 CRL 发布
CRL 发布点（唯一可用）：http://crl.systementhusiasts.org/sea-codesign.crl
CRL 更新频率：每 24 小时至少更新一次
CRL 有效期：下次更新不超过 7 天

2.2 不提供 OCSP 的明确说明
系统爱好者联盟 CA 不运行 OCSP 响应器。所有依赖方必须仅通过 CRL 验证证书吊销状态。

3. 证书吊销

3.1 吊销原因
私钥泄露或怀疑泄露
证书持有人不再授权
证书信息虚假
违反代码签名使用条款

3.2 吊销检查方式
依赖方必须执行以下操作：
（1）获取代码签名证书
（2）解析证书中的 CRL Distribution Point 扩展
（3）下载并缓存 CRL
（4）验证签名证书是否在 CRL 中
依赖方不得执行任何 OCSP 请求。

4. 依赖方义务

任何使用本 CA 所签发代码签名证书的软件或系统，必须满足以下要求：
支持 CRL 下载与解析
遵守 CRL 最大有效期（7 天）
不得尝试 OCSP
不得因 OCSP 不可用而拒绝证书

若依赖方强行要求 OCSP，应视为与本 CA 不兼容。

5. 证书字段示例（CRL 唯一标识）

CRL Distribution Points
Full Name:
URI=https://crl.trustmesh.jcsa.qzz.io/G4/System.crl

Authority Information Access (AIA)
（不包含 OCSP）

6. 安全与运维要求

CRL 由 CA 私钥签名
CRL 文件需支持高并发下载
若 CRL 服务故障，CA 仍会签发新 CRL，但依赖方应容忍短暂缓存

7. 兼容性说明

适用环境：
企业内部代码签名
开源社区驱动签名(TrustMeshCA不允许)

不适用环境：
Windows 默认强制 OCSP 的严格环境
EV 代码签名要求(TrustMesh不允许)
需要实时吊销验证的场景

8. 版本记录

版本 1.0，日期 2026-04-10，说明：初始版本，仅支持 CRL