时间戳服务器管理员手册.docx
《时间戳服务器管理员手册.docx》由会员分享,可在线阅读,更多相关《时间戳服务器管理员手册.docx(14页珍藏版)》请在冰豆网上搜索。
时间戳服务器管理员手册
资料范本
本资料为word版本,可以直接编辑和打印,感谢您的下载
时间戳服务器管理员手册
地点:
__________________
时间:
__________________
说明:
本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容
吉大正元时间戳服务器
管理员手册
V2.0.23_sp1
长春吉大正元信息技术股份有限公司
JilinUniversityInformationTechnologiesCo.,Ltd.
TOC\o"1-3"\h\z\uHYPERLINK\l"_Toc240194176"1.引言PAGEREF_Toc240194176\h3
HYPERLINK\l"_Toc240194177"1.1.概述PAGEREF_Toc240194177\h3
HYPERLINK\l"_Toc240194178"1.2.定义PAGEREF_Toc240194178\h3
HYPERLINK\l"_Toc240194179"2.安装配置PAGEREF_Toc240194179\h4
HYPERLINK\l"_Toc240194180"2.1.介绍PAGEREF_Toc240194180\h4
HYPERLINK\l"_Toc240194181"2.1.1.V2000PAGEREF_Toc240194181\h4
HYPERLINK\l"_Toc240194182"2.2.连接安装PAGEREF_Toc240194182\h4
HYPERLINK\l"_Toc240194183"3.功能详解及使用方法PAGEREF_Toc240194183\h6
HYPERLINK\l"_Toc240194184"3.1.可信时间戳管理PAGEREF_Toc240194184\h6
HYPERLINK\l"_Toc240194185"3.1.1.管理可信时间源PAGEREF_Toc240194185\h6
HYPERLINK\l"_Toc240194186"3.1.2.证书管理PAGEREF_Toc240194186\h8
HYPERLINK\l"_Toc240194187"3.1.3.时间戳数据管理PAGEREF_Toc240194187\h11
HYPERLINK\l"_Toc240194188"3.1.4.服务监控PAGEREF_Toc240194188\h12
HYPERLINK\l"_Toc240194189"3.1.5.权限管理PAGEREF_Toc240194189\h13
HYPERLINK\l"_Toc240194190"3.1.6.业务日志PAGEREF_Toc240194190\h14
HYPERLINK\l"_Toc240194191"3.2.系统管理PAGEREF_Toc240194191\h14
HYPERLINK\l"_Toc240194192"3.2.1.站点证书管理PAGEREF_Toc240194192\h14
HYPERLINK\l"_Toc240194193"3.2.2.信任根证书管理PAGEREF_Toc240194193\h15
HYPERLINK\l"_Toc240194194"3.2.3.权限管理PAGEREF_Toc240194194\h16
HYPERLINK\l"_Toc240194195"3.2.4.数据库配置PAGEREF_Toc240194195\h17
HYPERLINK\l"_Toc240194196"3.2.5.许可证配置PAGEREF_Toc240194196\h17
HYPERLINK\l"_Toc240194197"3.3.设备管理PAGEREF_Toc240194197\h18
HYPERLINK\l"_Toc240194198"3.3.1.网络设置PAGEREF_Toc240194198\h18
HYPERLINK\l"_Toc240194199"3.3.2.HA服务管理PAGEREF_Toc240194199\h19
HYPERLINK\l"_Toc240194200"3.3.3.网络诊断管理PAGEREF_Toc240194200\h20
HYPERLINK\l"_Toc240194201"3.3.4.SNMP服务管理PAGEREF_Toc240194201\h21
HYPERLINK\l"_Toc240194202"3.3.5.系统监控PAGEREF_Toc240194202\h22
HYPERLINK\l"_Toc240194203"3.3.6.网络监控PAGEREF_Toc240194203\h22
HYPERLINK\l"_Toc240194204"3.3.7.系统时间设置PAGEREF_Toc240194204\h23
HYPERLINK\l"_Toc240194205"3.4.系统维护PAGEREF_Toc240194205\h23
HYPERLINK\l"_Toc240194206"3.4.1.系统备份PAGEREF_Toc240194206\h23
HYPERLINK\l"_Toc240194207"3.4.2.系统恢复PAGEREF_Toc240194207\h24
HYPERLINK\l"_Toc240194208"3.4.3.系统升级PAGEREF_Toc240194208\h24
HYPERLINK\l"_Toc240194209"3.5.审计管理PAGEREF_Toc240194209\h24
HYPERLINK\l"_Toc240194210"3.5.1.查看审计信息PAGEREF_Toc240194210\h24
HYPERLINK\l"_Toc240194211"3.5.2.更新安全审计员证书PAGEREF_Toc240194211\h25
HYPERLINK\l"_Toc240194212"4.常见问题解答(FAQ)PAGEREF_Toc240194212\h27
HYPERLINK\l"_Toc240194213"4.1.服务安装后无法启动PAGEREF_Toc240194213\h27
HYPERLINK\l"_Toc240194214"4.2.服务启动后无法进入管理界面PAGEREF_Toc240194214\h27
引言
HYPERLINK\l"编写目的"\o"点击见说明"概述
随着互联网浪潮的到来,电子交易已逐渐进入我们的生活,电子购物将逐渐成为我们生活的一部分。
随着电子交易的普及,电子交易的安全逐渐成为人们关注的主题。
那么如何确保电子交易的交易安全呢?
目前普遍采用的是公钥基础设施(PKI)。
PKI可以在电子化社会中建立人们之间的信任关系。
但是要保证交易的防抵赖,依靠单纯的数字签名技术是无法实现的。
因为要实现防抵赖,不仅需要对交易数据进行数字签名,还必须保证此交易数据在某一时间(之前)的存在性(Proof-of-Existence)。
通常这要借助于时间戳来解决。
由于用户桌面时间很容易改变,由该时间产生的时间戳不可信赖,因此需要一个可信任的第三方——时间戳权威(TimeStampAuthority—TSA),来提供可信赖的且不可抵赖的时间戳服务。
TSA的主要功能是提供可靠的时间信息,证明某份文件(或某条信息)在某个时间(或以前)存在,防止用户在这个时间前或时间后伪造数据进行欺骗活动。
HYPERLINK\l"定义"\o"点击见说明"定义
Cinas:
吉大正元应用安全支撑整个产品线名称。
数字签名:
被签发数据的哈希值经过私钥加密后的结果。
通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照,就能验证数字签名。
数字证书:
用于验证需认证者的标识信息与其公钥对应关系的一种数字文档。
哈希(Hash):
通过对原文进行单向哈希函数运算得到的定长字符串,原文不同哈希值就不同,通过哈希值无法还原出原文。
PKCS7:
RSA实验室有关加密消息语法标准。
TSA:
TimeStampAuthority(时间戳权威)一个提供可信赖的且不可抵赖的时间戳服务的可信任第三方
PKI:
PubicKeyInfrastructure的缩写。
是一种遵循标准的利用公钥加密技术为保护数据提供一套安全基础平台的技术和规范。
用户可利用PKI平台提供的服务进行安全的数据交换或通信。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
身份认证:
与传统的信息交换不同,参与网上信息交换的各方没有实际见面,任何一方都有被冒充的可能,所以安全应用系统必须采用某种机制,使能够确认对方的身份。
数据的保密:
在许多应用中,信息的内容是需要严格保密的,但是在网络上,网络侦听技术使数据的获取变得十分容易,因此对信息的加密是安全应用系统重要的特点。
防止篡改数据:
由于网络的公开特性,使得信息提供者以外的人修改信息成为可能。
如何防止他人篡改信息是安全应用系统需要解决的一个重要问题。
安装配置
介绍
V2000
eth0eth1
吉大正元时间戳服务器V2000背面提供两个网络接口,分别为eth0,eth1。
ETH0:
业务端口(默认ip:
192.168.9.110,子网掩码:
255.255.255.0),是用户访问应用的入口。
ETH1:
管理端口(默认ip:
192.168.8.110,子网掩码:
255.255.255.0)。
连接安装
任意一台普通PC机器
连接服务器
启动服务器电源
进入管理员界面
修改服务器IP地址
接入内网交换机
访问应用
1.修改机器IP:
192.168.8.111,子网掩码:
255.0.0.0,使用自带网线,与服务器管理端口(ETH1)相连
2.按下服务器背面黑色电源。
3.安装normal证书,访问HYPERLINK"https:
//192.168.8.110:
6443"https:
//192.168.8.110:
6443,进入管理界面界面
4.点击左侧资源树:
“设备管理”->“网络配置”修改机器IP地址
5.修改服务器IP成功后,设备业务网口接入内网交换机
6.访问https:
//修改后的IP:
6443
管理员登陆
在浏览器地址栏输入HYPERLINK"https:
//localhost:
5443/"https:
//192.168.9.110:
6443,选择系统默认的管理员证书normal。
登录成功后显示如下页面:
功能详解及使用方法
吉大正元时间戳服务器满足时间戳签发的基本要求,它采用精确的时间源、高强度高标准的安全机制、能够为用户提供精确的、可信赖的且不可抵赖的时间戳服务,时间戳服务器包括的主要内容有可信时间戳管理、系统管理、设备管理、系统维护、审计管理
可信时间戳管理
该模块是时间戳服务器的核心功能,包括时间戳签名证书的申请配置、时间戳数据查询、服务监控、更新管理员证书、查询业务日志
证书管理
证书管理模块主要是进行时间戳证书的申请和配置以及签名算法的设置
证书参数配置
注意:
时间戳证书的签发模板中要注意如下配置:
在标准扩展域中需要有“增强型密钥用法”这一项,且选择该项中的“时间戳(timeStamping)”这个值,类型为“关键”
如:
吉大正元的CA时间戳模板配置注意如下几项:
当进行时间戳证书配置的时候要先添加一个证书标识,然后再继续配置对应的时间戳根证书,点击添加时间戳证书按钮进入时间戳信息配置页面如下图
添加完证书名称后点保存按钮显示如下页面
颁发机构证书配置:
这里是时间戳证书的颁发机构证书的配置页面,在配置时间戳证书时需要将现有的时间戳证书的根证书导入进来。
该配置的主要目的是验证导入的时间戳证书由指定机构签发。
证书申请
系统通过本申请生成密钥对并封装申请CDS证书的申请书。
在证书配置页面点击“申请证书”按钮进入时间戳证书申请页面如下图:
在这里管理员需要填写证书主题、加密算法、密钥长度后点击产生按钮就可以生成证书申请书。
管理员可以拷贝申请书内容到CA去生成CDS证书,
证书配置:
这里签名证书的显示和导入页面,如下图:
证书显示
这里可以显示当前时间戳证书的信息,如:
主题、序列号、颁发者、有效起始日期、有效终止日期和签名算法。
证书导入
导入时间戳证书是指从本地的系统中,将得到的证书上传到服务器。
可以导入的签名证书有两种类型,X509证书和PKCS12证书。
在签名证书申请书处生成的签名证书申请书,经CA签发回来.cer(X509证书)文件后,通过浏览按钮导入。
也可以直接导入.pfx证书(PKCS12证书)作为签名证书。
X509证书导入页面如下图:
PKCS12证书导入页面如下图,与X509格式不同的是需要输入保护口令
注意
在导入证书时,系统会验证欲导入证书的有效期以及密钥用法是否具有签名功能以保证导入证书具有有效的签名功能,从而提高了系统的安全性。
时间戳数据管理
这里是申请时间戳数据的查询和查看模块,可以根据不同的查询条件查询满足条件的时间戳记录
查看时间戳数据
按流水号查询结果如下(支持模糊查询):
按时间戳类型查询如下:
图一
图二
图三
按时间段进行查询,结果如下:
归档策略设置
在这里可以对时间戳数据按设置的策略进行定时的归档
归档记录
在该页面可以查看时间戳数据的归档记录
服务监控
这个模块主要是对申请时间戳业务和验时间戳业务数进行实时监控和统计
申请服务监控,如下图:
验证服务监控,如下图:
权限管理
该模块的功能是更新当前使用的管理员证书,在导入管理员证书前需要先在系统管理-》管理员颁发机构证书管理模块加入管理员证书的根证书,管理员更新后重新登陆生效,管理员更新页面如下:
业务日志
时间戳业务日志
在这个模块可以根据时间、客户端IP、证书主题查询时间戳的业务日志,查询结果如下:
按开始和结束时间查询,结果如下:
按证书主题查询,结果如下:
归档策略设置
在这里可以对业务日志数据按设置的策略进行定时的归档
归档记录
在该页面可以查看业务日志的归档记录
设置业务日志规则
在这个页面设置是否记录申请时间戳业务成功或失败的日志,当复选框被选中时记录相应的日志,如下图:
系统管理
站点证书申请
这里是站点证书的申请页面。
管理员需要填写证书主题,选择密钥长度,填充私钥保护口令和确认保护口令,点击产生按钮就可以生成服务器证书申请书。
图3.2
配置项:
证书主题:
所要生成证书的证书主题,例如:
“c=cn”。
密钥长度:
设置生成证书所使用的密钥的长度。
私钥保护口令:
设置私钥保护口令。
确认私钥的保护口令:
对已经输入的私钥保护口令进行确认。
站点证书配置
这里是站点证书的显示与导入页面。
站点证书的显示
这里可以显示当前站点证书的信息,如:
序列号、签名算法、颁发者主题、有效起始日期、有效终止日期和证书主题。
站点证书导入
导入站点证书是指从本地的系统中,将得到的证书上传到服务器。
可以导入的站点证书有两种类型,X509证书和PKCS12证书。
在站点证书申请书处生成的站点证书申请书,经CA签发回来.cer(X509证书)文件后,通过浏览按钮导入。
也可以直接导入.pfx证书(PKCS12证书)作为站点证书。
图1为X509证书的导入。
图2为PKCS12证书的导入页面,与X509证书导入相比,多了一项输入保护口令,是指输入PKCS12证书的保护口令。
注意:
如果想这部分配置后生效,需要重新启动数字签名服务器。
图1X509证书导入
图2PKCS12证书导入
管理员颁发机构证书管理
这里配置管理员颁发机构证书是与管理员证书相对应的,在管理员登陆服务器管理时要建立双向SSL连接,这里配置管理员证书的根证书以验证管理员的身份
添加管理员颁发机构证书
点击“添加颁发机构证书”按钮以添加服务器信任的根证书,会弹出如下页面。
颁发机构证书文件:
根证书文件的物理存储位置,可手动输入文件路径,也可点击“浏览”按钮选择根证书。
删除管理员颁发机构证书
当机构证书不被信任或已失效时,管理员要进行删除根证书的操作。
点击根证书设置列表中的删除图标,(注:
不能删除管理员证书对应的根证书)
修改颁发机构证书
管理员也可以改变系统所信任的管理员颁发机构证书,点击根证书设置列表中的某个主题,进入到修改根证页面。
(注:
根证文件如果不进行更改,系统将使用原来的根证文件而不需管理员重新导入根证)
权限管理
该模块的功能是更新当前的系统管理员证书,在导入管理员证书前需要先在系统管理-》信任根证书管理模块加入管理员证书的根证书,管理员更新后重新登陆生效,管理员更新页面如下:
数据库配置
配置时间戳服务器所需要的数据库,如下图:
许可证配置
这里是产品许可证的配置管理界面,在导入新的许可证之前可以先点预览按钮预览一下许可证是否有效
设备管理
网络设置
IP设置
可以对系统每个网口的IP地址进行修改,如下图:
本地HOST设置
本地Hosts即时间戳服务器本地Hosts文件。
用来解析“用域名方式配置的应用”的域名和IP对应关系。
在“用IP方式配置的应用”情况下,在本地hosts文件中给该应用IP随意对应一个域名,也有助于加快访问后台应用的速度。
静态路由设置
静态路由:
指定时间戳服务器访问某个网络内的应用时,需要将数据转发给哪个设备。
该设备用IP地址来标识,且必须和时间戳服务器的某一个接口IP在同一个网段内,称为“下一跳”。
配置静态路由的要素有三项:
目的网络、目的子网掩码、下一跳IP地址。
例如,某静态路由配置如下:
120.120.0.0 255.255.0.0 192.168.9.200 ,则含义为,网关想要访问120.120.0.0/24网络内的应用,需要将数据转发给192.168.9.200的这个IP。
路由的设定,可以是计算机之间跨网段通信。
主要用于定义封包的走向,如下图:
如图所示,目标网络为192.168.0.0,掩码为255.255.255.0的数据包网关地址为192.168.9.254,数据包通过eth0流出。
ETH0口的默认网关是192.168.9.254,配置静态路由时网关要配成与ETH0的默认网关
ETH1没有默认网关,配置ETH1的静态路由时网关配成与ETH1同一网段即可
可信时间源管理
该模块主要是设置一个外部可信的时间源服务器,进行自动或手动同步时间戳服务器的时间,保证能够为用户提供精确的、可信赖的且不可抵赖的时间戳服务,如下图:
查看时间同步历史
在该页面可以根据时间或同步结果查询到从时间源服务器自动同步的历史记录,按时间查询结果:
按同步结果查询结果:
设置可信时间源
该页面进行NTP时间服务器的配置,正确的配置了NTP时间服务器的地址后,就可以定时的到时间源服务器上同步时间,可以配置主时间服务器和备用时间服务器,默认先从主时间服务器上同步时间,当主的有问题的情况下会连接备用时间服务器进行同步如下图:
配置项:
时间同步模式:
包括禁止同步和NTP自动同步。
禁止同步:
不从时间源服务器同步时间;
NTP自动同步:
会按着默认的同步周期自动的从时间服务器上同步时间到时间戳服务器
主NTP时间服务器地址:
主时间源服务器的IP地址
主NTP服务器协议版本:
主时间源服务器支持的协议版本号
备用NTP时间服务器地址:
备用时间源服务器的IP地址
备用NTP服务器协议版本:
备用时间源服务器支持的协议版本号
手工同步设备时间
支持手工从时间源服务器同步时间,在手工同步设备时间页面点“同步设备时间“即可,如下图:
HA服务管理
HA也称为双机热备,当主机设备出现崩溃或发生宕机、断网等异常情况下,使签名服务器能够自动从主机设备切换到备机工作,使用户能够正常使用服务器,当主机服务恢复正常的时候就会自动切换回主机进行工作
默认的情况下HA的工作方式处于关闭状态,当处于关闭状态时,HA功能不起作用。
选择开启,HA功能启动,会出现下面信息:
配置项:
机器名称:
输入英文、数字,作为机器名称,来标识这台签名服务器
工作方式:
开启状态下签名服务器会处于HA模式下工作,关闭状态签名服务器处于单机模式下对外提供服务