1、吉大正元时间戳服务器管理员手册 V2.0.23_sp1 长 春 吉 大 正 元 信 息 技 术 股 份 有 限 公 司 Jilin University Information Technologies Co., Ltd.目录1.引言31.1.概述31.2.定义32.安装配置42.1.介绍42.1.1.V42.2.连接安装43.功效详解及使用方法63.1.可信时间戳管理63.1.1.管理可信时间源63.1.2.证书管理83.1.3.时间戳数据管理113.1.4.服务监控123.1.5.权限管理133.1.6.业务日志143.2.系统管理143.2.1.站点证书管理143.2.2.信任根证书管理
2、153.2.3.权限管理163.2.4.数据库配置173.2.5.许可证配置173.3.设备管理183.3.1.网络设置183.3.2.HA服务管理193.3.3.网络诊疗管理203.3.4.SNMP服务管理213.3.5.系统监控223.3.6.网络监控223.3.7.系统时间设置233.4.系统维护233.4.1.系统备份233.4.2.系统恢复243.4.3.系统升级243.5.审计管理243.5.1.查看审计信息243.5.2.更新安全审计员证书254.常见问题解答(FAQ)274.1.服务安装后无法开启274.2.服务开启后无法进入管理界面271. 引言1.1. 概述伴随互联网浪潮到
3、来,电子交易已逐步进入我们生活,电子购物将逐步成为我们生活一部分。伴随电子交易普及,电子交易安全逐步成为大家关注专题。那么怎样确保电子交易交易安全呢?现在普遍采取是公钥基础设施(PKI)。PKI能够在电子化社会中建立大家之间信任关系。不过要确保交易防抵赖,依靠单纯数字署名技术是无法实现。因为要实现防抵赖,不仅需要对交易数据进行数字署名,还必需确保此交易数据在某一时间(之前)存在性(Proof-of-Existence)。通常这要借助于时间戳来处理。因为用户桌面时间很轻易改变,由该时间产生时间戳不可信赖,所以需要一个可信任第三方时间戳权威(Time Stamp AuthorityTSA),来提供
4、可信赖且不可抵赖时间戳服务。TSA关键功效是提供可靠时间信息,证实某份文件(或某条信息)在某个时间(或以前)存在,预防用户在这个时间前或时间后伪造数据进行欺骗活动。1.2. 定义l Cinas:吉大正元应用安全支撑整个产品线名称。l 数字署名:被签发数据哈希值经过私钥加密后结果。经过把使用公钥对数字署名解密得到值和原始数据哈希值相对照,就能验证数字署名。l 数字证书:用于验证需认证者标识信息和其公钥对应关系一个数字文档。l 哈希(Hash) :经过对原文进行单向哈希函数运算得到定长字符串,原文不一样哈希值就不一样,经过哈希值无法还原出原文。l PKCS7:RSA试验室相关加密消息语法标准。l
5、TSA:Time Stamp Authority(时间戳权威)一个提供可信赖且不可抵赖时间戳服务可信任第三方l PKI: Pubic Key Infrastructure缩写。是一个遵照标准利用公钥加密技术为保护数据提供一套安全基础平台技术和规范。用户可利用PKI平台提供服务进行安全数据交换或通信。PKI基础技术包含加密、数字署名、数据完整性机制、数字信封、双重数字署名等。l 身份认证:和传统信息交换不一样,参与网上信息交换各方没有实际见面,任何一方全部有被冒充可能,所以安全应用系统必需采取某种机制,使能够确定对方身份。l 数据保密:在很多应用中,信息内容是需要严格保密,不过在网络上,网络侦听
6、技术使数据获取变得十分轻易,所以对信息加密是安全应用系统关键特点。l 预防篡改数据:因为网络公开特征,使得信息提供者以外人修改信息成为可能。怎样预防她人篡改信息是安全应用系统需要处理一个关键问题。2. 安装配置2.1. 介绍2.1.1. V eth0 eth1吉大正元时间戳服务器V后面提供两个网络接口,分别为 eth0,eth1。ETH0:业务端口(默认ip:192.168.9.110,子网掩码:255.255.255.0),是用户访问应用入口。ETH1:管理端口(默认ip:192.168.8.110,子网掩码:255.255.255.0)。2.2. 连接安装任意一台一般PC机器连接服务器开启
7、服务器电源进入管理员界面修改服务器IP地址接入内网交换机访问应用1.修改机器IP:192.168.8.111,子网掩码:255.0.0.0,使用自带网线,和服务器管理端口(ETH1)相连2.按下服务器后面黑色电源。3.安装normal证书,访问https:/ 192.168.8.110:6443,进入管理界面界面4.点击左侧资源树:“设备管理”-“网络配置”修改机器IP地址5.修改服务器IP成功后,设备业务网口接入内网交换机6. 访问https:/修改后IP:6443管理员登陆在浏览器地址栏输入:6443,选择系统默认管理员证书normal。登录成功后显示以下页面: 3. 功效详解及使用方法吉
8、大正元时间戳服务器满足时间戳签发基础要求,它采取正确时间源、高强度高标准安全机制、能够为用户提供正确、可信赖且不可抵赖时间戳服务,时间戳服务器包含关键内容有可信时间戳管理、系统管理、设备管理、系统维护、审计管理3.1. 可信时间戳管理该模块是时间戳服务器关键功效,包含时间戳署名证书申请配置、时间戳数据查询、服务监控、更新管理员证书、查询业务日志3.1.1. 证书管理证书管理模块关键是进行时间戳证书申请和配置和署名算法设置3.1.1.1. 证书参数配置 注意:时间戳证书签发模板中要注意以下配置:在标准扩展域中需要有“增强型密钥使用方法”这一项,且选择该项中“时间戳(timeStamping)”这
9、个值,类型为“关键”如:吉大正元CA时间戳模板配置注意以下几项:当进行时间戳证书配置时候要先添加一个证书标识,然后再继续配置对应时间戳根证书,点击添加时间戳证书按钮进入时间戳信息配置页面以下图添加完证书名称后点保留按钮显示以下页面颁发机构证书配置:这里是时间戳证书颁发机构证书配置页面,在配置时间戳证书时需要将现有时间戳证书根证书导入进来。该配置关键目标是验证导入时间戳证书由指定机构签发。证书申请系统经过本申请生成密钥对并封装申请CDS证书申请书。在证书配置页面点击“申请证书”按钮进入时间戳证书申请页面以下图:在这里管理员需要填写证书专题、加密算法、密钥长度后点击产生按钮就能够生成证书申请书。管
10、理员能够拷贝申请书内容到CA去生成CDS证书, 证书配置:这里署名证书显示和导入页面,以下图: 证书显示这里能够显示目前时间戳证书信息,如:专题、序列号、颁发者、有效起始日期、有效终止日期和署名算法。 证书导入导入时间戳证书是指从当地系统中,将得到证书上传到服务器。能够导入署名证书有两种类型,X509证书和PKCS12证书。在署名证书申请书处生成署名证书申请书,经CA签发回来.cer(X509证书)文件后,经过浏览按钮导入。也能够直接导入.pfx证书(PKCS12证书)作为署名证书。X509证书导入页面以下图:PKCS12证书导入页面以下图,和X509格式不一样是需要输入保护口令注意 在导入证
11、书时,系统会验证欲导入证书使用期和密钥使用方法是否含有署名功效以确保导入证书含有有效署名功效,从而提升了系统安全性。3.1.2. 时间戳数据管理这里是申请时间戳数据查询和查看模块,能够依据不一样查询条件查询满足条件时间戳统计3.1.2.1. 查看时间戳数据按流水号查询结果以下(支持模糊查询):按时间戳类型查询以下:图一图二图三按时间段进行查询,结果以下:3.1.2.2. 归档策略设置在这里能够对时间戳数据按设置策略进行定时归档3.1.2.3. 归档统计在该页面能够查看时间戳数据归档统计 3.1.3. 服务监控这个模块关键是对申请时间戳业务和验时间戳业务数进行实时监控和统计申请服务监控,以下图:
12、验证服务监控,以下图:3.1.4. 权限管理该模块功效是更新目前使用管理员证书,在导入管理员证书前需要先在系统管理-管理员颁发机构证书管理模块加入管理员证书根证书,管理员更新后重新登陆生效,管理员更新页面以下:3.1.5. 业务日志3.1.5.1. 时间戳业务日志 在这个模块能够依据时间、用户端IP、证书专题查询时间戳业务日志,查询结果以下:按开始和结束时间查询,结果以下:按证书专题查询,结果以下:3.1.5.2. 归档策略设置在这里能够对业务日志数据按设置策略进行定时归档3.1.5.3. 归档统计在该页面能够查看业务日志归档统计3.1.5.4. 设置业务日志规则在这个页面设置是否统计申请时间
13、戳业务成功或失败日志,当复选框被选中时统计对应日志,以下图:3.2. 系统管理3.2.1.1. 站点证书申请这里是站点证书申请页面。管理员需要填写证书专题,选择密钥长度,填充私钥保护口令和确定保护口令,点击产生按钮就能够生成服务器证书申请书。图3.2配置项:证书专题:所要生成证书证书专题,比如:“c=cn”。密钥长度:设置生成证书所使用密钥长度。私钥保护口令:设置私钥保护口令。确定私钥保护口令:对已经输入私钥保护口令进行确定。3.2.1.2. 站点证书配置这里是站点证书显示和导入页面。 站点证书显示这里能够显示目前站点证书信息,如:序列号、署名算法、颁发者专题、有效起始日期、有效终止日期和证书
14、专题。 站点证书导入导入站点证书是指从当地系统中,将得到证书上传到服务器。能够导入站点证书有两种类型,X509证书和PKCS12证书。在站点证书申请书处生成站点证书申请书,经CA签发回来.cer(X509证书)文件后,经过浏览按钮导入。也能够直接导入.pfx证书(PKCS12证书)作为站点证书。图1为X509证书导入。图2 为PKCS12证书导入页面,和X509证书导入相比,多了一项输入保护口令,是指输入PKCS12证书保护口令。 注意:假如想这部分配置后生效,需要重新开启数字署名服务器。图1 X509 证书导入 图2 PKCS12 证书导入3.2.2. 管理员颁发机构证书管理这里配置管理员颁
15、发机构证书是和管理员证书相对应,在管理员登陆服务器管理时要建立双向SSL连接,这里配置管理员证书根证书以验证管理员身份3.2.2.1. 添加管理员颁发机构证书点击“添加颁发机构证书”按钮以添加服务器信任根证书,会弹出以下页面。 颁发机构证书文件:根证书文件物理存放位置,可手动输入文件路径,也可点击“浏览”按钮选择根证书。 3.2.2.2. 删除管理员颁发机构证书当机构证书不被信任或已失效时,管理员要进行删除根证书操作。点击根证书设置列表中删除图标,(注:不能删除管理员证书对应根证书)3.2.2.3. 修改颁发机构证书管理员也能够改变系统所信任管理员颁发机构证书,点击根证书设置列表中某个专题,进
16、入到修改根证页面。(注:根证文件假如不进行更改,系统将使用原来根证文件而不需管理员重新导入根证)3.2.3. 权限管理该模块功效是更新目前系统管理员证书,在导入管理员证书前需要先在系统管理-信任根证书管理模块加入管理员证书根证书,管理员更新后重新登陆生效,管理员更新页面以下:3.2.4. 数据库配置配置时间戳服务器所需要数据库,以下图:3.2.5. 许可证配置这里是产品许可证配置管理界面,在导入新许可证之前能够先点预览按钮预览一下许可证是否有效3.3. 设备管理3.3.1. 网络设置3.3.1.1. IP设置能够对系统每个网口IP地址进行修改,以下图:3.3.1.2. 当地HOST设置当地Ho
17、sts即时间戳服务器当地Hosts文件。用来解析“用域名方法配置应用”域名和IP对应关系。在“用IP方法配置应用”情况下,在当地hosts文件中给该应用IP随意对应一个域名,也有利于加紧访问后台应用速度。 3.3.1.3. 静态路由设置静态路由:指定时间戳服务器访问某个网络内应用时,需要将数据转发给哪个设备。该设备用IP地址来标识,且必需和时间戳服务器某一个接口IP在同一个网段内,称为“下一跳”。配置静态路由要素有三项:目标网络、目标子网掩码、下一跳IP地址。比如,某静态路由配置以下:120.120.0.0255.255.0.0192.168.9.200,则含义为,网关想要访问120.120.
18、0.0/24网络内应用,需要将数据转发给192.168.9.200这个IP。路由设定,能够是计算机之间跨网段通信。关键用于定义封包走向,以下图:图所表示,目标网络为192.168.0.0,掩码为255.255.255.0数据包网关地址为192.168.9.254,数据包经过eth0流出。ETH0口默认网关是192.168.9.254,配置静态路由时网关要配成和ETH0默认网关ETH1没有默认网关,配置ETH1静态路由时网关配成和ETH1同一网段即可3.3.2. 可信时间源管理该模块关键是设置一个外部可信时间源服务器,进行自动或手动同时时间戳服务器时间,确保能够为用户提供正确、可信赖且不可抵赖时
19、间戳服务,以下图:3.3.2.1. 查看时间同时历史在该页面能够依据时间或同时结果查询到从时间源服务器自动同时历史统计,按时间查询结果:按同时结果查询结果:3.3.2.2. 设置可信时间源该页面进行NTP时间服务器配置,正确配置了NTP时间服务器地址后,就能够定时到时间源服务器上同时时间,能够配置主时间服务器和备用时间服务器,默认先从主时间服务器上同时时间,当主有问题情况下会连接备用时间服务器进行同时以下图:配置项:时间同时模式:包含严禁同时和NTP自动同时。严禁同时:不从时间源服务器同时时间;NTP自动同时:会按着默认同时周期自动从时间服务器上同时时间到时间戳服务器主NTP时间服务器地址:主
20、时间源服务器IP地址主NTP服务器协议版本:主时间源服务器支持协议版本号备用NTP时间服务器地址:备用时间源服务器IP地址备用NTP服务器协议版本:备用时间源服务器支持协议版本号3.3.2.3. 手工同时设备时间支持手工从时间源服务器同时时间,在手工同时设备时间页面点“同时设备时间“即可,以下图:3.3.3. HA服务管理HA也称为双机热备,当主机设备出现瓦解或发生宕机、断网等异常情况下,使署名服务器能够自动从主机设备切换到备机工作,使用户能够正常使用服务器,当主机服务恢复正常时候就会自动切换回主机进行工作默认情况下HA工作方法处于关闭状态,当处于关闭状态时,HA功效不起作用。选择开启,HA功
21、效开启,会出现下面信息:配置项: 机器名称:输入英文、数字,作为机器名称,来标识这台署名服务器 工作方法:开启状态下署名服务器会处于HA模式下工作,关闭状态署名服务器处于单机模式下对外提供服务 集群角色:能够选择使用本机为主机还是备机 主节点名称:为主机hostname 备节点名称:为备机hostname 虚拟IP地址:设置能够用来进行访问“中间IP”,和服务器出口ip在一个网段内 虚拟IP掩码:为虚拟IP设置对应掩码(1-32之间整数) 心跳间隔:设置间隔多长时间测试连接一次,心跳间隔在1-5秒之间 心跳接入方法:支持直连或非直连,当选择直连时用直连网线或串口线将2台服务器心跳接口连接即可;
22、当选择非直连时不需要对2台服务器进行连接,但需要在心跳IP处输入对端服务器IP地址即可 心跳接口:提供监听心跳接口 心跳IP:对端服务器IP地址配置完成后点击确定,提醒重启。点击“取消”,工作方法和集群角色重置。配置实例:以下我们分别按不一样心跳接入方法,说明一下具体怎样配置:首先修改机器名称,以确保2台署名服务器机器名称不能反复以下几点需要注意:1. 机器名称在工作方法关闭情况下才能够修改2. 修改机器名称后需要重启机器才能生效前题条件:主机:IP:192.168.9.174主机名称:ha174备机:IP:192.168.9.175备机名称:ha175虚拟IP:192.168.9.99IP地
23、址依据实际情况修改,只要确保在同一网段内就能够。机器名字用SSH工具登录后能够用show hostname查询配置实例(1):非直连方法主机配置:备机配置:注:配置完成后重启主机和备机配置实例(2):网线直连方法前提:将2台署名服务器eth1口用网线连接主机配置:备机配置:注:配置完成后重启主机和备机配置实例(2):串口直连方法前提:将2台署名服务器串口用串口线连接主机配置:备机配置:注:配置完成后重启主机和备机3.3.4. 网络诊疗管理管理员能够依据网络诊疗命令测试网络是否使用正常,能够经过Ping、Traceroute、Telnet命令来检测。Ping命令需要输入IP地址和Ping次数,界
24、面以下:Traceroute命令 选择Traceroute 命令,测试是否时间戳服务器和所实施IP经过网关,经过网关IP是多少。输入IP格式如:172.16.7.194假如过网关显示以下:过网关IP图是192.168.9.254点击“取消”则取消现有操作。Telnet命令,测试是否网关和Telnet服务相通,Telnet成功界面以下。假如Telnet不成功,界面以下:点击“取消”则取消现有操作。3.3.5. SNMP服务管理SNMP是简单网络管理协议,该协议能够支持监测连接到网络上设备任何需要关注情况。SNMP配置页面以下:在“服务自动开启”一项不勾选情况下,我们也能够手动打开或关闭SNMP服
25、务,在以下页面中直接点击打开或关闭按钮:在“服务自动开启”勾选情况下,每次重新开启服务时候SNMP服务就会自动开启3.3.6. 系统监控系统监控功效会对时间戳服务器硬件信息进行实时监控,监控信息为cpu、内存、硬盘使用情况。管理员能够设置刷新频率,设置界面以下:CPU使用信息:硬盘使用信息:内存使用信息:3.3.7. 网络监控网络监控是对目前网络流量进行监控。对eth0口和eth1口分别进行监控。Eth0口监控界面以下:Eth1口监控界面以下:3.3.8. 系统时间设置这里是显示目前时间戳服务器系统时间,而且能够修改系统时间。3.3.9. 设备起停这里是服务启停页面,关键有两项功效:重启机器和
26、关闭机器。3.4. 系统维护3.4.1. 系统备份备份功效能够将用户目前系统配置全部备份到一个文件中,方便发生错误时能够恢复到目前状态。(在备份时系统要重新开启);以下图:对备份文件列表中备份文件能够下载、恢复或删除。3.4.2. 系统恢复恢复操作能够使系统恢复到某一个备份状态,点击浏览,选择需要恢复文件,点击恢复,重启系统,便完成恢复操作,以下图:3.4.3. 系统升级在管理页面中点击系统升级进入数据管理系统升级页面,选中升级包,实施升级,系统自动进行升级,以下图:注:系统升级文件后缀必需是.zip 。3.5. 审计管理3.5.1. 查看审计信息该模块是审计信息查看页面,审计信息关键统计是管
27、理员部分增、删、改操作,能够依据不一样查询条件进行查询、打印预览、数据导出,按开始和结束时间查询结果以下:按用户端IP查询结果以下:点击“打印预览”能够对查询到信息进行预览打印,以下图:3.5.2. 归档策略设置这里设置审计日志归档策略,审计日志按设定策略定时归档,以下图:3.5.3. 归档统计在该页面能够查看审计日志归档统计3.5.4. 更新安全审计员证书该模块功效是更新目前安全审计管理员证书,在导入管理员证书前需要先在系统管理-信任根证书管理模块加入管理员证书根证书,管理员更新后重新登陆生效,管理员更新页面以下:4. 常见问题解答(FAQ)4.1. 服务安装后无法开启1 检验控制台中是否有“JVM_Bind:6443 ”,这是因为服务用到端口冲突造成;服务所使用端口(比如:6443),已经被使用;可能时间戳服务已经开启,也可能是其它程序占用该端口;一个端口只能被绑定一次。4.2. 服务开启后无法进入管理界面造成这个问题可能有多个原因:1 是否安装了管理员PFX格式证书2 是否安装了时间戳服务器证书根证书3 是否设置了有效时间戳服务器系统时间4 假如是新添加管理员不能登陆,请确定是否给管理员分配了权限