時間戳服務器管理員手冊.doc

吉大正元時間戳服務器管理員手冊 V2.0.23_sp1 長 春 吉 大 正 元 信 息 技 術(shù) 股 份 有 限 公 司 Jilin University Information Technologies Co., Ltd.目錄1.引言31.1.概述31.2.定義32.安裝配置42.1.介紹42.1.1.V200042.2.連接安裝43.功能詳解及使用方法63.1.可信時間戳管理63.1.1.管理可信時間源63.1.2.證書管理83.1.3.時間戳數(shù)據(jù)管理113.1.4.服務監(jiān)控123.1.5.權(quán)限管理133.1.6.業(yè)務日志143.2.系統(tǒng)管理143.2.1.站點證書管理143.2.2.信任根證書管理153.2.3.權(quán)限管理163.2.4.數(shù)據(jù)庫配置173.2.5.許可證配置173.3.設備管理183.3.1.網(wǎng)絡設置183.3.2.HA服務管理193.3.3.網(wǎng)絡診斷管理203.3.4.SNMP服務管理213.3.5.系統(tǒng)監(jiān)控223.3.6.網(wǎng)絡監(jiān)控223.3.7.系統(tǒng)時間設置233.4.系統(tǒng)維護233.4.1.系統(tǒng)備份233.4.2.系統(tǒng)恢復243.4.3.系統(tǒng)升級243.5.審計管理243.5.1.查看審計信息243.5.2.更新安全審計員證書254.常見問題解答(FAQ)274.1.服務安裝后無法啟動274.2.服務啟動后無法進入管理界面271. 引言1.1. 概述隨著互聯(lián)網(wǎng)浪潮的到來，電子交易已逐漸進入我們的生活，電子購物將逐漸成為我們生活的一部分。隨著電子交易的普及，電子交易的安全逐漸成為人們關(guān)注的主題。那么如何確保電子交易的交易安全呢？目前普遍采用的是公鑰基礎設施（PKI）。PKI可以在電子化社會中建立人們之間的信任關(guān)系。但是要保證交易的防抵賴，依靠單純的數(shù)字簽名技術(shù)是無法實現(xiàn)的。因為要實現(xiàn)防抵賴，不僅需要對交易數(shù)據(jù)進行數(shù)字簽名，還必須保證此交易數(shù)據(jù)在某一時間(之前)的存在性（Proof-of-Existence）。通常這要借助于時間戳來解決。由于用戶桌面時間很容易改變，由該時間產(chǎn)生的時間戳不可信賴，因此需要一個可信任的第三方時間戳權(quán)威（Time Stamp AuthorityTSA），來提供可信賴的且不可抵賴的時間戳服務。TSA的主要功能是提供可靠的時間信息，證明某份文件（或某條信息）在某個時間(或以前)存在，防止用戶在這個時間前或時間后偽造數(shù)據(jù)進行欺騙活動。1.2. 定義l Cinas：吉大正元應用安全支撐整個產(chǎn)品線名稱。l 數(shù)字簽名：被簽發(fā)數(shù)據(jù)的哈希值經(jīng)過私鑰加密后的結(jié)果。通過把使用公鑰對數(shù)字簽名解密得到的值與原始數(shù)據(jù)的哈希值相對照，就能驗證數(shù)字簽名。l 數(shù)字證書：用于驗證需認證者的標識信息與其公鑰對應關(guān)系的一種數(shù)字文檔。l 哈希(Hash) ：通過對原文進行單向哈希函數(shù)運算得到的定長字符串，原文不同哈希值就不同，通過哈希值無法還原出原文。l PKCS7：RSA實驗室有關(guān)加密消息語法標準。l TSA：Time Stamp Authority（時間戳權(quán)威）一個提供可信賴的且不可抵賴的時間戳服務的可信任第三方l PKI： Pubic Key Infrastructure的縮寫。是一種遵循標準的利用公鑰加密技術(shù)為保護數(shù)據(jù)提供一套安全基礎平臺的技術(shù)和規(guī)范。用戶可利用PKI平臺提供的服務進行安全的數(shù)據(jù)交換或通信。PKI的基礎技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。l 身份認證：與傳統(tǒng)的信息交換不同，參與網(wǎng)上信息交換的各方?jīng)]有實際見面，任何一方都有被冒充的可能，所以安全應用系統(tǒng)必須采用某種機制，使能夠確認對方的身份。l 數(shù)據(jù)的保密：在許多應用中，信息的內(nèi)容是需要嚴格保密的，但是在網(wǎng)絡上，網(wǎng)絡偵聽技術(shù)使數(shù)據(jù)的獲取變得十分容易，因此對信息的加密是安全應用系統(tǒng)重要的特點。l 防止篡改數(shù)據(jù)：由于網(wǎng)絡的公開特性，使得信息提供者以外的人修改信息成為可能。如何防止他人篡改信息是安全應用系統(tǒng)需要解決的一個重要問題。2. 安裝配置2.1. 介紹2.1.1. V2000 eth0 eth1吉大正元時間戳服務器V2000背面提供兩個網(wǎng)絡接口，分別為 eth0,eth1。ETH0：業(yè)務端口（默認ip：10，子網(wǎng)掩碼：），是用戶訪問應用的入口。ETH1：管理端口（默認ip：10，子網(wǎng)掩碼：）。2.2. 連接安裝任意一臺普通PC機器連接服務器啟動服務器電源進入管理員界面修改服務器IP地址接入內(nèi)網(wǎng)交換機訪問應用1.修改機器IP：11，子網(wǎng)掩碼：，使用自帶網(wǎng)線，與服務器管理端口（ETH1）相連2.按下服務器背面黑色電源。3.安裝normal證書，訪問https:/ 10:6443，進入管理界面界面4.點擊左側(cè)資源樹：“設備管理”-“網(wǎng)絡配置”修改機器IP地址5.修改服務器IP成功后，設備業(yè)務網(wǎng)口接入內(nèi)網(wǎng)交換機6. 訪問https:/修改后的IP:6443管理員登陸在瀏覽器地址欄輸入10:6443，選擇系統(tǒng)默認的管理員證書normal。登錄成功后顯示如下頁面： 3. 功能詳解及使用方法吉大正元時間戳服務器滿足時間戳簽發(fā)的基本要求，它采用精確的時間源、高強度高標準的安全機制、能夠為用戶提供精確的、可信賴的且不可抵賴的時間戳服務，時間戳服務器包括的主要內(nèi)容有可信時間戳管理、系統(tǒng)管理、設備管理、系統(tǒng)維護、審計管理3.1. 可信時間戳管理該模塊是時間戳服務器的核心功能，包括時間戳簽名證書的申請配置、時間戳數(shù)據(jù)查詢、服務監(jiān)控、更新管理員證書、查詢業(yè)務日志3.1.1. 證書管理證書管理模塊主要是進行時間戳證書的申請和配置以及簽名算法的設置. 證書參數(shù)配置 注意：時間戳證書的簽發(fā)模板中要注意如下配置：在標準擴展域中需要有“增強型密鑰用法”這一項，且選擇該項中的“時間戳(timeStamping)”這個值，類型為“關(guān)鍵”如：吉大正元的CA時間戳模板配置注意如下幾項：當進行時間戳證書配置的時候要先添加一個證書標識，然后再繼續(xù)配置對應的時間戳根證書，點擊添加時間戳證書按鈕進入時間戳信息配置頁面如下圖添加完證書名稱后點保存按鈕顯示如下頁面頒發(fā)機構(gòu)證書配置：這里是時間戳證書的頒發(fā)機構(gòu)證書的配置頁面，在配置時間戳證書時需要將現(xiàn)有的時間戳證書的根證書導入進來。該配置的主要目的是驗證導入的時間戳證書由指定機構(gòu)簽發(fā)。證書申請系統(tǒng)通過本申請生成密鑰對并封裝申請CDS證書的申請書。在證書配置頁面點擊“申請證書”按鈕進入時間戳證書申請頁面如下圖：在這里管理員需要填寫證書主題、加密算法、密鑰長度后點擊產(chǎn)生按鈕就可以生成證書申請書。管理員可以拷貝申請書內(nèi)容到CA去生成CDS證書， 證書配置：這里簽名證書的顯示和導入頁面，如下圖： 證書顯示這里可以顯示當前時間戳證書的信息，如：主題、序列號、頒發(fā)者、有效起始日期、有效終止日期和簽名算法。 證書導入導入時間戳證書是指從本地的系統(tǒng)中，將得到的證書上傳到服務器?？梢詫氲暮灻C書有兩種類型，X509證書和PKCS12證書。在簽名證書申請書處生成的簽名證書申請書，經(jīng)CA簽發(fā)回來.cer（X509證書）文件后，通過瀏覽按鈕導入。也可以直接導入.pfx證書（PKCS12證書）作為簽名證書。X509證書導入頁面如下圖：PKCS12證書導入頁面如下圖，與X509格式不同的是需要輸入保護口令注意 在導入證書時，系統(tǒng)會驗證欲導入證書的有效期以及密鑰用法是否具有簽名功能以保證導入證書具有有效的簽名功能，從而提高了系統(tǒng)的安全性。3.1.2. 時間戳數(shù)據(jù)管理這里是申請時間戳數(shù)據(jù)的查詢和查看模塊，可以根據(jù)不同的查詢條件查詢滿足條件的時間戳記錄. 查看時間戳數(shù)據(jù)按流水號查詢結(jié)果如下（支持模糊查詢）：按時間戳類型查詢?nèi)缦拢簣D一圖二圖三按時間段進行查詢，結(jié)果如下：. 歸檔策略設置在這里可以對時間戳數(shù)據(jù)按設置的策略進行定時的歸檔. 歸檔記錄在該頁面可以查看時間戳數(shù)據(jù)的歸檔記錄 3.1.3. 服務監(jiān)控這個模塊主要是對申請時間戳業(yè)務和驗時間戳業(yè)務數(shù)進行實時監(jiān)控和統(tǒng)計申請服務監(jiān)控，如下圖：驗證服務監(jiān)控，如下圖：3.1.4. 權(quán)限管理該模塊的功能是更新當前使用的管理員證書，在導入管理員證書前需要先在系統(tǒng)管理-管理員頒發(fā)機構(gòu)證書管理模塊加入管理員證書的根證書，管理員更新后重新登陸生效，管理員更新頁面如下：3.1.5. 業(yè)務日志. 時間戳業(yè)務日志 在這個模塊可以根據(jù)時間、客戶端IP、證書主題查詢時間戳的業(yè)務日志，查詢結(jié)果如下：按開始和結(jié)束時間查詢，結(jié)果如下：按證書主題查詢，結(jié)果如下：. 歸檔策略設置在這里可以對業(yè)務日志數(shù)據(jù)按設置的策略進行定時的歸檔. 歸檔記錄在該頁面可以查看業(yè)務日志的歸檔記錄. 設置業(yè)務日志規(guī)則在這個頁面設置是否記錄申請時間戳業(yè)務成功或失敗的日志，當復選框被選中時記錄相應的日志，如下圖：3.2. 系統(tǒng)管理. 站點證書申請這里是站點證書的申請頁面。管理員需要填寫證書主題，選擇密鑰長度，填充私鑰保護口令和確認保護口令，點擊產(chǎn)生按鈕就可以生成服務器證書申請書。圖3.2配置項：證書主題：所要生成證書的證書主題，例如：“c=cn”。密鑰長度：設置生成證書所使用的密鑰的長度。私鑰保護口令：設置私鑰保護口令。確認私鑰的保護口令：對已經(jīng)輸入的私鑰保護口令進行確認。. 站點證書配置這里是站點證書的顯示與導入頁面。 站點證書的顯示這里可以顯示當前站點證書的信息，如：序列號、簽名算法、頒發(fā)者主題、有效起始日期、有效終止日期和證書主題。 站點證書導入導入站點證書是指從本地的系統(tǒng)中，將得到的證書上傳到服務器。可以導入的站點證書有兩種類型，X509證書和PKCS12證書。在站點證書申請書處生成的站點證書申請書，經(jīng)CA簽發(fā)回來.cer（X509證書）文件后，通過瀏覽按鈕導入。也可以直接導入.pfx證書（PKCS12證書）作為站點證書。圖1為X509證書的導入。圖2 為PKCS12證書的導入頁面，與X509證書導入相比，多了一項輸入保護口令，是指輸入PKCS12證書的保護口令。 注意：如果想這部分配置后生效，需要重新啟動數(shù)字簽名服務器。圖1 X509 證書導入 圖2 PKCS12 證書導入3.2.2. 管理員頒發(fā)機構(gòu)證書管理這里配置管理員頒發(fā)機構(gòu)證書是與管理員證書相對應的，在管理員登陸服務器管理時要建立雙向SSL連接，這里配置管理員證書的根證書以驗證管理員的身份. 添加管理員頒發(fā)機構(gòu)證書點擊“添加頒發(fā)機構(gòu)證書”按鈕以添加服務器信任的根證書，會彈出如下頁面。 頒發(fā)機構(gòu)證書文件：根證書文件的物理存儲位置，可手動輸入文件路徑，也可點擊“瀏覽”按鈕選擇根證書。 . 刪除管理員頒發(fā)機構(gòu)證書當機構(gòu)證書不被信任或已失效時，管理員要進行刪除根證書的操作。點擊根證書設置列表中的刪除圖標，（注：不能刪除管理員證書對應的根證書）. 修改頒發(fā)機構(gòu)證書管理員也可以改變系統(tǒng)所信任的管理員頒發(fā)機構(gòu)證書，點擊根證書設置列表中的某個主題，進入到修改根證頁面。（注：根證文件如果不進行更改，系統(tǒng)將使用原來的根證文件而不需管理員重新導入根證）3.2.3. 權(quán)限管理該模塊的功能是更新當前的系統(tǒng)管理員證書，在導入管理員證書前需要先在系統(tǒng)管理-信任根證書管理模塊加入管理員證書的根證書，管理員更新后重新登陸生效，管理員更新頁面如下：3.2.4. 數(shù)據(jù)庫配置配置時間戳服務器所需要的數(shù)據(jù)庫，如下圖：3.2.5. 許可證配置這里是產(chǎn)品許可證的配置管理界面，在導入新的許可證之前可以先點預覽按鈕預覽一下許可證是否有效3.3. 設備管理3.3.1. 網(wǎng)絡設置. IP設置可以對系統(tǒng)每個網(wǎng)口的IP地址進行修改，如下圖：. 本地HOST設置本地Hosts即時間戳服務器本地Hosts文件。用來解析“用域名方式配置的應用”的域名和IP對應關(guān)系。在“用IP方式配置的應用”情況下，在本地hosts文件中給該應用IP隨意對應一個域名，也有助于加快訪問后臺應用的速度。 . 靜態(tài)路由設置靜態(tài)路由：指定時間戳服務器訪問某個網(wǎng)絡內(nèi)的應用時，需要將數(shù)據(jù)轉(zhuǎn)發(fā)給哪個設備。該設備用IP地址來標識，且必須和時間戳服務器的某一個接口IP在同一個網(wǎng)段內(nèi)，稱為“下一跳”。配置靜態(tài)路由的要素有三項：目的網(wǎng)絡、目的子網(wǎng)掩碼、下一跳IP地址。例如，某靜態(tài)路由配置如下：00，則含義為，網(wǎng)關(guān)想要訪問/24網(wǎng)絡內(nèi)的應用，需要將數(shù)據(jù)轉(zhuǎn)發(fā)給00的這個IP。路由的設定，可以是計算機之間跨網(wǎng)段通信。主要用于定義封包的走向，如下圖：如圖所示，目標網(wǎng)絡為，掩碼為的數(shù)據(jù)包網(wǎng)關(guān)地址為54，數(shù)據(jù)包通過eth0流出。ETH0口的默認網(wǎng)關(guān)是54，配置靜態(tài)路由時網(wǎng)關(guān)要配成與ETH0的默認網(wǎng)關(guān)ETH1沒有默認網(wǎng)關(guān)，配置ETH1的靜態(tài)路由時網(wǎng)關(guān)配成與ETH1同一網(wǎng)段即可3.3.2. 可信時間源管理該模塊主要是設置一個外部可信的時間源服務器，進行自動或手動同步時間戳服務器的時間，保證能夠為用戶提供精確的、可信賴的且不可抵賴的時間戳服務，如下圖：. 查看時間同步歷史在該頁面可以根據(jù)時間或同步結(jié)果查詢到從時間源服務器自動同步的歷史記錄，按時間查詢結(jié)果：按同步結(jié)果查詢結(jié)果：. 設置可信時間源該頁面進行NTP時間服務器的配置，正確的配置了NTP時間服務器的地址后，就可以定時的到時間源服務器上同步時間，可以配置主時間服務器和備用時間服務器，默認先從主時間服務器上同步時間，當主的有問題的情況下會連接備用時間服務器進行同步如下圖：配置項:時間同步模式：包括禁止同步和NTP自動同步。禁止同步：不從時間源服務器同步時間；NTP自動同步：會按著默認的同步周期自動的從時間服務器上同步時間到時間戳服務器主NTP時間服務器地址：主時間源服務器的IP地址主NTP服務器協(xié)議版本：主時間源服務器支持的協(xié)議版本號備用NTP時間服務器地址：備用時間源服務器的IP地址備用NTP服務器協(xié)議版本：備用時間源服務器支持的協(xié)議版本號. 手工同步設備時間支持手工從時間源服務器同步時間，在手工同步設備時間頁面點“同步設備時間“即可，如下圖：3.3.3. HA服務管理HA也稱為雙機熱備，當主機設備出現(xiàn)崩潰或發(fā)生宕機、斷網(wǎng)等異常情況下，使簽名服務器能夠自動從主機設備切換到備機工作，使用戶能夠正常使用服務器，當主機服務恢復正常的時候就會自動切換回主機進行工作默認的情況下HA的工作方式處于關(guān)閉狀態(tài)，當處于關(guān)閉狀態(tài)時，HA功能不起作用。選擇開啟，HA功能啟動，會出現(xiàn)下面信息：配置項： 機器名稱：輸入英文、數(shù)字，作為機器名稱，來標識這臺簽名服務器 工作方式：開啟狀態(tài)下簽名服務器會處于HA模式下工作，關(guān)閉狀態(tài)簽名服務器處于單機模式下對外提供服務 集群角色：可以選擇使用的本機為主機還是備機 主節(jié)點名稱：為主機的hostname 備節(jié)點名稱：為備機的hostname 虛擬IP地址：設置可以用來進行訪問的“中間IP”，與服務器出口ip在一個網(wǎng)段內(nèi) 虛擬IP掩碼：為虛擬IP設置的對應掩碼（1-32之間整數(shù)） 心跳間隔：設置間隔多長時間測試連接一次，心跳間隔在1-5秒之間 心跳接入方式：支持直連或非直連，當選擇直連時用直連網(wǎng)線或串口線將2臺服務器的心跳接口連接即可；當選擇非直連時不需要對2臺服務器進行連接，但需要在心跳IP處輸入對端服務器的IP地址即可 心跳接口：提供的監(jiān)聽心跳的接口 心跳IP:對端服務器的IP地址配置完成后點擊確定，提示重啟。點擊“取消”，工作方式與集群角色重置。配置實例：以下我們分別按不同的心跳接入方式，說明一下具體如何配置：首先修改機器的名稱，以保證2臺簽名服務器的機器名稱不能重復以下幾點需要注意：1. 機器名稱在工作方式關(guān)閉的情況下才可以修改2. 修改機器名稱后需要重啟機器才能生效前題條件：主機：IP：74主機名稱：ha174備機：IP：75備機名稱：ha175虛擬IP：9IP地址根據(jù)實際情況修改，只要保證在同一網(wǎng)段內(nèi)就可以。機器名字用SSH工具登錄后可以用show hostname查詢配置實例（1）：非直連方式主機配置：備機配置：注：配置完成后重啟主機和備機配置實例（2）：網(wǎng)線直連方式前提：將2臺簽名服務器的eth1口用網(wǎng)線連接主機配置：備機配置：注：配置完成后重啟主機和備機配置實例（2）：串口直連方式前提：將2臺簽名服務器的串口用串口線連接主機配置：備機配置：注：配置完成后重啟主機和備機3.3.4. 網(wǎng)絡診斷管理管理員可以根據(jù)網(wǎng)絡診斷命令測試網(wǎng)絡是否使用正常，可以通過Ping、Traceroute、Telnet命令來檢測。Ping命令需要輸入IP地址和Ping的次數(shù)，界面如下：Traceroute命令 選擇Traceroute 命令，測試是否時間戳服務器與所執(zhí)行的IP經(jīng)過網(wǎng)關(guān)，經(jīng)過的網(wǎng)關(guān)IP是多少。輸入IP格式如：94如果過網(wǎng)關(guān)顯示如下：過的網(wǎng)關(guān)IP如圖是54點擊“取消”則取消現(xiàn)有操作。Telnet命令，測試是否網(wǎng)關(guān)與Telnet服務相通，Telnet成功的界面如下。如果Telnet不成功，界面如下：點擊“取消”則取消現(xiàn)有操作。3.3.5. SNMP服務管理SNMP是簡單網(wǎng)絡管理協(xié)議，該協(xié)議能夠支持監(jiān)測連接到網(wǎng)絡上的設備的任何需要關(guān)注的情況。SNMP配置頁面如下：在“服務自動啟動”一項不勾選的情況下，我們也可以手動的打開或關(guān)閉SNMP服務，在如下的頁面中直接點擊打開或關(guān)閉按鈕：在“服務自動啟動”勾選的情況下，每次重新啟動服務的時候SNMP服務就會自動啟動3.3.6. 系統(tǒng)監(jiān)控系統(tǒng)監(jiān)控功能會對時間戳服務器硬件信息進行實時監(jiān)控，監(jiān)控信息為cpu、內(nèi)存、硬盤使用情況。管理員可以設置刷新的頻率，設置界面如下：CPU使用信息：硬盤使用信息：內(nèi)存使用信息：3.3.7. 網(wǎng)絡監(jiān)控網(wǎng)絡監(jiān)控是對當前的網(wǎng)絡流量進行監(jiān)控。對eth0口和eth1口分別進行監(jiān)控。Eth0口的監(jiān)控界面如下：Eth1口的監(jiān)控界面如下：3.3.8. 系統(tǒng)時間設置這里是顯示當前時間戳服務器的系統(tǒng)時間，并且可以修改系統(tǒng)時間。3.3.9. 設備起停