时间戳服务器.docx

《时间戳服务器.docx》由会员分享，可在线阅读，更多相关《时间戳服务器.docx（37页珍藏版）》请在课桌文档上搜索。

1、时间戳服务器管理员手册V2.0.23_sp1长春吉大正元信息技术股份有限公司JilinUniversityInformationTechnologiesCo.,Ltd.目录1 .引言31.1. 概述31.2. 定义32 .安装配置42.1. 介绍42.1.1. V200042.2. 连接安装43 .功能详解及使用方法63.1. 可信时间戳管理63.1.1. 管理可信时间源错误!未定义书签。3.1.2. 证书管理63.1.3. 时间戳数据管理93.1.4. 服务监控103.1.5. 权限管理123.1.6. 业务日志123.2. 系统管理143.2.1. 站点证书管理错误!未定义书签。322.

2、信任根证书管理错误!未定义书签。323. 3.权限管理18324. 数据库配置18325. 5.许可证配置193.3. 设备管理193.3.1. 网络设置193.3.2. HA服务管理.223.3.3. 网络诊断管理253.3.4. SNMP服务管理.263.3.5. 系统监控273.3.6. 网络监控283.37系统时间设置293.4. 系统保护293.4.1. 系统备份错误!未定义书签。3.4.2. 系统恢复错误!未定义书签。3.4.3. 系统升级错误!未定义书签。3.5. 审计管理303.6. 查看审计信息错误!未定义书签。3.7. 2.更新安全审计员证书错误!未定义书签。4. 常见问题

3、解答(FAQ)344.1. 服务安装后无法启动344.2. 服务启动后无法进入管理界面341 .引言1.1. 概述随着互联网浪潮的到来，电子交易已逐步进入我们的生活，电子购物将逐步成为我们生活的一部分。随着电子交易的普及，电子交易的安全逐步成为人们关注的主题。那么如何确保电子交易的交易安全呢？目前普遍使用的是公钥基础设施（PKDoPKl能够在电子化社会中建立人们之间的信任关系。但是要保证交易的防抵赖，依靠单纯的数字签名技术是无法实现的。由于要实现防抵赖，不仅需要对交易数据进行数字签名，还务必保证此交易数据在某一时间（之前）的存在性（Proof-Of-Existence）0通常这要借助于时间戳来

4、解决。由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个可信任的第三方一一时间戳权威（TinleStampAuthority-TSA）,来提供可信赖的且不可抵赖的时间戳服务。TSA的要紧功能是提供可靠的时间信息，证明某份文件（或者某条信息）在某个时间（或者往常）存在，防止用户在这个时间前或者时间后伪造数据进行欺骗活动。1.2. 定义 Cinas：吉大正元应用安全支撑整个产品线名称。 数字签名：被签发数据的哈希值通过私钥加密后的结果。通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相参照，就能验证数字签名。 数字证书：用于验证需认证者的标识信息与其公钥对应关系的一种数字

5、文档。 哈希（HaSh）：通过对原文进行单向哈希函数运算得到的定长字符串，原文不一致哈希值就不一致，通过哈希值无法还原出原文。 PKCS7：RSA实验室有关加密消息语法标准。 TSA：TimeStampAUlhOrity（时间戳权威）一个提供可信赖的且不可抵赖的时间戳服务的可信任第三方 PKI:PubicKeyInfraStrUCtUre的缩写。是一种遵循标准的利用公钥加密技术为保护数据提供一套安全基础平台的技术与规范。用户可利用PKI平台提供的服务进行安全的数据交换或者通信。PKl的基础技术包含加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 身份认证：与传统的信息交换不一致，参与

6、网上信息交换的各方没有实际见面，任何一方都有被冒充的可能，因此安全应用系统务必使用某种机制，使能够确认对方的身份。 数据的保密：在许多应用中，信息的内容是需要严格保密的，但是在网络上，网络侦听技术使数据的获取变得十分容易，因此对信息的加密是安全应用系统重要的特点。 防止篡改数据：由于网络的公开特性，使得信息提供者以外的人修改信息成为可能。如何防止他人篡改信息是安全应用系统需要解决的一个重要问题。2 .安装配置2.1. 介绍ethethl吉大正元时间戳服务器V2000背面提供两个网络接口，分别为ethO,ethloETHO：业务端口（默认ip：192.168.9.110,子网掩码：255.255

7、.255.0）,是用户访问应用的入口。ETH1：管理端口（默认ip：192.168.8.110,子网掩码：255.255.255.0）。2.2. 连接安装管理员登陆登录成功后显不如卜页面:3 .功能详解及使用方法吉大正元时间戳服务器满足时间戳签发的基本要求，它使用精确的时间源、高强度高标准的安全机制、能够为用户提供精确的、可信赖的且不可抵赖的时间戳服务，时间戳服务器包含的要紧内容有可信时间戳管理、系统管理、设备管理、系统保护、审计管理3.1. 可信时间戳管理该模块是时间戳服务器的核心功能，包含时间戳签名证书的申请配置、时间戳数据查询、服务监控、更新管理员证书、查询业务日志3.1.1. 证书管理

8、证书管理模块要紧是进行时间戳证书的申请与配置与签名算法的设置3.1.1.1. 证书叁数配注意：时间戳证书的签发模板中要注意如下配置：在标准扩展域中需要有“增强型密钥用法”这一项，且选择该项中的“时间戳(timestamping)”这个值，类型为“关键”如I：吉大正元的CA时间戳模板配置注意如下几项：0on)E!K(HStrMn9)OOCSf型(OCSPS当进行时间戳证书配置的时候要先添加一个证书标识，然后再继续配置对应的时间戳根证书，点击添加时间戳证书按钮进入时间戳信息配置页面如下图添加完证书名称后点储存按钮显示如下页面颁发机构证书配置:这里是时间戳证书的颁发机构证书的配置页面，在配置时间戳证

9、书时需要将现有的时间戳证书的根证书导入进来。该配置的要紧目的是验证导入的时间戳证书由指定机构签发。证书申请系统通过本申请生成密钥对并封装申请CDS证书的申请书。在证书配置页面点击“申请证书”按钮进入时间戳证书申请页面如下图:在这里管理员需要填写证书主题、加密算法、密钥长度后点击产生按钮就能够生成证书申请书。管理员能够拷贝申请书内容到CA去生成CDS证书，证书配置：这里签名证书的显示与导入页面，如下图： 证书显示这里能够显示当前时间戳证书的信息，如：主题、序列号、颁发者、有效起始日期、有效终止日期与签名算法。 证书导入导入时间戳证书是指从本地的系统中，将得到的证书上传到服务器。能够导入的签名证书

10、有两种类型，X509证书与PKCS12证书。在签名证书申请书处生成的签名证书申请书，经CA签发回来.cer（X509证书）文件后，通过浏览按钮导入。也能够直接导入.pfx证书（PKCSI2证书）作为签名证书。X509证书导入页面如下图：凝*机科证栩ES当RSE书值用R三三序列号ta发青支旗起的日明有效IK止日期更射证书证书类81G）X509证书OPFXiiE书证书.I1111PKCS12证书导入页面如下图，与X509格式不一致的是需要输入保护口令当前证书信息三三序加像漠者有效起始日期有效It止日期茎名菖法5三fi证书类型OXSO9证书Gm证梏SHS文件IffcI但沪口令11_I当选PFl证书时

11、要求喻入Q令）一!gl申证书注意在导入证书时，系统会验证欲导入证书的有效期与密钥用法是否具有签名功能以保证导入证书具有有效的签名功能，从而提高了系统的安全性。3.1.2. 时间戳数据管理这里是申请时间戳数据的查询与查看模块，能够根据不一致的查询条件查询满足条件的时间戳记录3.1.2.1. 查看时间戳数据按流水号查询结果如下（支持模糊查询）：新号:20090Q1410054)86.开领问 II时硒W1匡亩V结束时间| （七只有一条记录被找到年号4水号拉法梦笈时田120090903-141005-086-1027SHAl2009-09-0314:10:05.0CMS9Q只有一条记录被找到按时间戳类

12、型查询如下：Q当的位置时一匕安至曾登一时4就和8就号:|IMB.开ftBW匚给则同：|.博KM条记录诩沟.本页翌示第1到第20条记录首页/上一英】L2,3.5,8【下一页/尾页】序号叵水号Mtia时间Cl类也120090907-101507-392-12SHAl2009-09-0710:15:07.0SignCode9220090907-101424-988-1001SHAl2009-09-0710:14:24.0SignCode9320090903-14l5-O86-1027SHAl2009-09-0314:10:05.0CMS9420090903-140713-1141026SHAl200

13、909-0314:07:13.0CHS9520090903-140624.533-1025SHAl200909-0314:06:24.0CHS9620090903-1356267001024SHAl2009-09)313:56:26.0CMS9720090903-135519-754-1023SHAl200909-0313:55:19.0CMSQ820090903-135149-414-1022SHAl2009-09-0313:51:49.0CHS920090903-135134-954-1021SHAl2009-09-0313:51:34.0CMSQ1020090903-135114-173

14、-1020SHAl2009-09-0313:51:14.0CMS91120090903-135104-337-1019SHAl2009-09-0313:51:04.0CHSQ1220090903-135038-621-1018SHAl2009-09-0313:50:38.0CHS9图一透水号:|时I强笑型SCode420090903-13334436-1011SHAl2009-09-0313:33:44.0StgrvCode520090902-095918-690-1024SHAl2009-09-0209:59:18.0SKHYCode620090902-095823-516-1023SHAl

15、2009-09-0209:58:23.0StgnCode7290902-094901-349-1022SHAl2009-09-0209:49:01.0SinCode条记录tttt5J,本页显示全SB记录图二K*号;IIsai:IaS开蛤时间:II结泉时同：III直海海水号要就以6发N箫时用数卖S!120090903-141005-086-1027SHAl2009-09-03 14:10:05.0CMS220090903-140713-114-1026SHAl2009-09-03 14:07:13.0CMS9320090903-140624-533-1025SHAl2009-09-03 14:0

16、6:24.0CMS号420090903-135626-700-1024SHAl2009-09-03 13:56:26.0CMS520M0903-135519-754-1023SHAl2M9-O9-O3 13:55:19.0CMS620090903-135149-414-1022SHAl2009-09-03 13:51:49.0CMS9720090903-135134-954-1021SHAl2009-09-03 13:51:34.0CMS9820090903-135114-173-1020SMAl2009-09-03 13:51:14.0CMS9920090903-135104-337-101

17、9SHAl2009-09-03 13:51:04.0CMS91020090903-135038.621 1018SHAl20090903 13:50:38.0CMS,1120090903-135019-591-1017SHAl2009-0903 13:50:19.0CMS91220090903-135001-191-1016SHAl2009-09-03 13:50:01.0CMS91320090903-134540.002-1015SHAl2009-09-03 13:45:40.0CMS9条记录raj,本页显示第1 si* 20条记景修页/上一页】I, 2, 3, 4 5 f一页/是页QQQQ

18、QQmQ图三按时间段进行查询，结果如下:端水号：II附涧St克3!：g1开陋）/200X90113:45：而与束时间：200909）213:46:5F|IjS巾）4T条圮录被找赳本页显示第1到第20条记索.背正/上一贾】1,2,3F一页/愿页*号渔水号费Ir法笠发明刊时诅H臭生120090902-122659-087-1006SHAl2009-09-0212:26:59.0CMSV220090902-122659-089-15SHAl2009090212:26:59.0CMSV320090902112011-83313SHAl2009-09-0211:20:11.0CMS9420090902-

19、112011-8354004SHAl2009-09-0211:20:11.0CMS520090902-105522-169-1001SHAl2009-09-0210:55:22.0CMS620090902-105522-232-1002SHAl2009-09-0210:55:22.0CMS9720090902-095918-690-1024SHAl2009-09-0209:59:18.0SignCodeQ820090902-095823-516-1023SHAl2009-09-0209:58:23.0SignCode9920090902-0949013491022SHAl2009-09-020

20、9:49:01.0SignCode91020090902-094135-714-1020SHAl2009-090209:41:35.0CMS91120090902-094135-810-1021SHAl200909-0209:41:35.0CMS91220090902-093922-025-1018SHAl2009-09-0209:39:22.0CMS91320090902-093922-134-1019SHAl2009-09-0209:39:22.0CMS9.-CC，*A%-ZW.a%.aC/%SZ3.1.2.2. 归档策略设置在这里能够对时间戳数据按设置的策略进行定时的归档与昭用量版务叁6

21、人止兀各以投卡和取太可 SJU缶门INSrUr ILMaS3.1.2.3. 归档记录在该页面能够查看时间戳数据的归档记录3.1.3,服务监控这个模块要紧是对申请时间戳业务与验时间戳业务数进行实时监控与统计申请服务监控，如下图:电酒时间歌JB务龙技申濡时Wb念敷：KXMHJR:14申谕时何必失败舞：O验证服务监控，如下图:始证时间散税务施笠U征时佃a敷：HSMN同目成功舞：11处证时间Ii失敷数：O3.1.4. 权限管理该模块的功能是更新当前使用的管理员证书，在导入管理员证书前需要先在系统管理-管理员颁发机构证书管理模块加入管理员证书的根证书，管理员更新后重新登陆生效，管理员更新页面如下：3.1

22、.5. 业务日志3.1.5.1. 时间16业务日志在这个模块能够根据时间、客户端IP、证书主题查询时间戳的业务日志，查询结果如下:按开始与结束时间查询，结果如下：，当n位置：N名日志：中语时间融业0日市42009-09-02000000S3W(:200M)9-0223:59:59客尸063：证书主支：提交J时间被业务日古查通吧打印预先g数IK导出年页显示条或：IOj350第1页共预，i5*5B3SM申请时间随间申潘时客尸01P签名Sr法证书主盛12009-09-021736:30血127.0.0.1SHA1WithRSAErKcyptionitjmObOJ,C-CN22009-0021736:

23、293127.0.0.1SHAlWtbRSAErKrypCionCN-DmeoirO-JrrfC-CN32009-09)216:46:42则127.0.0.1SHAlwithRSAEfKfypuonCH-IrJ何秋OlQ权威质H体亲,OCM4200g0216:46:42127.0.0.1SHA1WTthRSAEnciyptionCH时间8101Q权威质量体浜,OCN52009*)216:53:16成功127.0.0.1SHAlwtbRSAEncryptionCN三wHLMattsx62009-OMJ216:33:123127.0.0.1SHA1WithRSAEfKfYptionuwhcn,。小

24、质量体系,OCN72009-00216:32:16期127.0.0.1SHA1WithRSAEfKrypcionCH时间被OIQ枚威质量体系,ICN82009-090216:32:15成功127.0.0.1SHAlwithRSAEnayptionCN-ImWtWIQ-权威质量体&JCNI92WWg0212:26:59Ott127.0.0.1SHAlwthRSAErKrypoonBmanEng2Q权威质体乐,SCH按证书主题查询，结果如下:一当而位置：业务日志一中而明向Itll,务日志0开砌脚：20090902000000SPflUP：结中时同：120090902235959SE书主题：iCN=

25、rtfflftO1o=tw授交5时间按业务B志安由，横打砌城P数先导出页显示条数：10人50第1页共庆，记录总数陈0CH)中遹时间Cm间中语时间网芯雪户MiP筌名MS证书主用12009X)9-0216:46:42成功127.0.0.1SHAlwrhRSAEnptMnQsimG欲OIQ-权威质金体系,OCN2200909-0216:46:42成功127.0.0.1SHAlwchRSAEnorYPtJonQsM间HOlQ权威质金体系,JCN3200W)9)216:33:16成功127.0.0.1SHAlwKhRSAEnaryptonQS时间8W1,O权威质量体系,JCN420g03216:33:1

26、2成功127.0.0.1SHAlwthRSAEncryptJonQg时间SIOlQ权威质体列JCH52009OM216:32:16成功127.0.0.1SHAlwChRSAEnaypbonCM时间8W1,O*权感质体系.OCN620吩Og216:32:15成功127.0.0.1SHAlwthRSAEnayptionQk时间SwIQN权威质It体系,1CM3.1.5.2. 归档策略设在这里能够对业务日志数据按设置的策略进行定时的归档3.1.5.3. 归档记录在该页面能够查看业务日志的归档记录3.154.设置业务日志规则在这个页面设置是否记录申请时间戳业务成功或者失败的日志，当复选框被选中时记录相

27、应的日志,如下图：3.2.系统管理3.2.1.1. 站点证书申请这里是站点证书的申请页面。管理员需要填写证书主题，选择密钥长度，填充私钥保护口令与确认保护口令，点击产生按钮就能够生成服务器证书申请书。图3.2配置项：证书主题：所要生成证书的证书主题，比如：c=Cn”。密钥长度：设置生成证书所使用的密钥的长度。私钥保护口令：设置私钥保护口令。确认私钥的保护口令：对已经输入的私钥保护口令进行确认。3.2.1.2. 站点证书配置这里是站点证书的显示与导入页面。 站点证书的显示这里能够显示当前站点证书的信息，如：序列号、签名算法、颁发者主题、有效起始日期、有效终止日期与证书主题。 站点证书导入导入站点

28、证书是指从本地的系统中，将得到的证书上传到服务器。能够导入的站点证书有两种类型，X509证书与PKCS12证书。在站点证书申请书处生成的站点证书申请书，经CA签发回来.cer（X509证书）文件后，通过浏览按钮导入。也能够直接导入.pfx证书（PKCSl2证书）作为站点证书。图I为X509证书的导入。图2为PKCSI2证书的导入页面，与X509证书导入相比，多了一项输入保护口令，是指输入PKCSI2证书的保护口令。 注意：假如想这部分配置后生效，需要重新启动数字签名服务器。rooft Internoi Eipioror图1 X509证书导入图2PKCS12证书导入3.2.2.管理员颁发机构证书

29、管理这里配置管理员颁发机构证书是与管理员证书相对应的，在管理员登陆服务器管理时要建立双向SSL连接，这里配置管理员证书的根证书以验证管理员的身份1.2.2.1. 添加管理员颁发机构证书点击“添加颁发机构证书”按钮以添加服务器信任的根证书，会弹出如下页面。颁发机构证书文件：根证书文件的物理存储位置，可手动输入文件路径，也可点击“浏览”按钮选择根证书。1.2.2.2. 删除管理员颁发机构证书当机构证书不被信任或者己失效时，管理员要进行删除根证书的操作。点击根证书设置列表中的删除图标，（注：不能删除管理员证书对应的根证书）渗加.小、修改管理员觎机剪证书，索机.8动计苴机后生效?序号主Ja序列号n除1

30、C-CNzO-JlLCN-DemoCA52104853B25F02B9X2CN=JITCAQU=WWWjiL,O=JIT,C=CN6BA825FD38AF552A973FC74F9D9B9C5CX1.2.2.3. 颁发机构证书管理员也能够改变系统所信任的管理员颁发机构证书，点击根证书设置列表中的某个主题，进入到修改根证页面。（注：根证文件假如不进行更换，系统将使用原先的根证文件而不需管理员重新导入根证）2当，爸丁比一粕底书理，IflSFK发机杓底有Eta*襁IB微发机构证书文仲If.II保存I处叫3. 2.3.权限管理该模块的功能是更新当前的系统管理员证书，在导入管理员证书前需要先在系统管理-

31、信任根证书管理模块加入管理员证书的根证书，管理员更新后重新登陆生效，管理员更新页面如下：4. 2.4.数据库配置配置时间戳服务器所需要的数据库，如下图:3. 2.5.许可证配置这里是产品许可证的配置管理界面，在导入新的许可证之前能够先点预览按钮预览一下许可证是否有效3.3. 设备管理1.1.1.1. 3.1.网络设置能够对系统每个网口的IP地址进行修改，如下图:ttHR:ETHOV1921689163例如：子阿W：2552552550例如：255J55.255.0KUHX：19216892S4到知：m 集群角色：能够选择使用的本机为主机还是备机主节点名称：为主机的hostname 备节点名称：

32、为备机的hostname 虚拟IP地址：设置能够用来进行访问的“中间IP”，与服务器出口ip在一个网段内 虚拟IP掩码：为虚拟IP设置的对应掩码(1-32之间整数) 心跳间隔：设置间隔多长时间测试连接一次，心跳间隔在1-5秒之间心跳接入方式：支持直连或者非直连，当选择宜连时用直连网线或者串口线将2台服务器的心跳接口连接即可；当选择非直连时不需要对2台服务器进行连接，但需要在心跳IP处输入对端服务器的IP地址即可 心跳接口：提供的监听心跳的接口心跳IP:对端服务器的IP地址配置完成后点击确定，提示重启。点击“取消”，工作方式与集群角色重置。配置实例：下列我们分别按不一致的心跳接入方式，说明一下具

33、体如何配置：首先修改机器的名称，以保证2台签名服务器的机器名称不能重复下列几点需要注意：1 .机器名称在工作方式关闭的情况下才能够修改2 .修改机器名称后需要重启机器才能生效前题条件：主机：IP：192.168.9.174主机名称：ha174备机：IP：192.168.9.175备机名称：ha175虚拟IP：192.168.9.99IP地址根据实际情况修改，只要保证在同一网段内就能够。机器名字用SSH工具登录后能够用showhostname查询配置实例(1)：非直连方式主机配置：备机配置:BefiHA信息机符名寿：痴75IIfWS：开8O关闭集森角色：。切备机主节.4名新：ha174I注书直名

34、物：ha175O11,%tt:1192168999与设备出口吨一个网段内|24心曲a隔：|231厢-沿。Mwt入方式：OffiSstW:IBHOwl与改备出口p荏一个网段内，可以PRaOHIP：1921689174对疏心了注：配置完成后重启主机与备机配置实例(2)：网线直连方式前提：将2台签名服务器的ethl口用网线连接主机配置：08*：ha174工作旅：开启。美田集等角色：6主机。备挑主节点名称：ha174备节点名称：ha175虚物7%址：192168999与设备出口值T同段内成三t码：24心跳同信：IC晒陶-3Q心射接入方式：SS。丰直隹愉口:jE1110Q与设备出口喳一个网段内，Bf以pt备机配置:KSHAiS息机器名膝：ha175工作混：。相。关用都角色：。主机备机主节点名器：Iha1|备节点名称：ha175|MffWt：卜92168999硼络出口三5Rg内虚三码：24I加睛：IIZIW三L次健ft赫：HSOtBS愉接口：ETHO*与设备出口喳一个网段内，BT以Png璃定取消注：配置完成后重启主机与备机配置实例(2)：串口直连方式前提：将2台签名服务器的串口用串口线连接主机配置：配置WA信息备机配置:机罂名称：ha174工作方式：用B。关闭集霁角色：主机。备机主节点名际：ha174一节点名注:hal75三IP:192.168999与设备出口ip荏一个网段内由损