北京格尔国信-签名验证服务器-用户手册2_1.doc

北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 1 格尔国信 签名验证服务器 v2 1 用户手册 北京格尔国信科技有限公司北京格尔国信科技有限公司 2008 年年 11 月月 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 2 目 录 1手册指南手册指南 8 1 1概述 8 1 2目的 8 1 3适用对象 8 1 4名词解释 8 1 5必读声明 9 2产品简介产品简介 10 2 1格尔国信签名验证服务 10 2 1 1默认网络配置 10 3部署格尔国信签名验证服务器部署格尔国信签名验证服务器 11 4安装服务器安装服务器 14 4 1产品检查 14 4 2环境准备 14 4 3连线 14 4 4开机 14 4 5关机 14 5登录服务器登录服务器 15 5 1管理客户端准备 15 5 2登录系统 15 5 3更改密码 16 6网络配置网络配置 18 6 1网络接口管理 18 6 2配置网络接口参数 20 6 3虚拟接口管理 21 6 4启动 停止网络接口 23 6 5路由和 DNS 配置 24 6 6使用网络调试工具 27 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 3 6 6 1使用 Ping 27 6 6 2使用 Traceroute 29 6 6 3使用 SSH 30 7服务器证书管理服务器证书管理 31 7 1证书配置管理 31 7 1 1站点证书 31 7 1 1 1生成证书请求 32 7 1 1 2申请站点证书 34 7 1 1 3查看站点证书 34 7 1 1 4导入站点证书 35 7 1 1 5删除站点证书 35 7 1 2证书链配置 36 7 1 2 1导入证书链 38 7 1 2 2删除证书链 39 7 1 3证书备份恢复 39 7 2配置黑名单下载 40 7 2 1黑名单服务配置 41 7 2 1 1添加黑名单下载服务 41 7 2 1 2删除黑名单下载服务 43 7 2 1 3查看 修改黑名单服务 44 7 2 1 4立即下载黑名单 44 7 2 1 5查看下载日志 44 7 2 1 6查看黑名单文件 46 7 2 2定时更新时间配置 48 7 2 3立即更新所有黑名单 48 8服务管理服务管理 50 8 1启动 停止签名验证服务 50 8 2查看签名验证服务日志 51 8 2 1日志查看 51 8 2 2日志查询 53 8 2 3日志下载 53 8 3签名验证服务配置 54 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 4 8 3 1基本参数配置 54 8 3 2证书配置 56 9系统管理系统管理 57 9 1系统服务 58 9 1 1系统备份 58 9 1 2系统恢复 59 9 1 3系统升级 60 9 1 4版本回滚 61 9 1 5重启系统 62 9 1 6关机 63 9 1 7恢复出厂设置 63 9 2运行模式 63 9 3双机热备 64 9 4负载配置 66 9 5时间配置 69 9 6性能监测 70 9 6 1状态信息收集 71 9 6 2系统资源 72 9 6 3系统监测 73 9 6 4日志统计 73 9 7备份系统日志 74 10产品支持联系方式产品支持联系方式 75 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 5 图表目录图表目录 图表 1 默认网卡设置 10 图表 2 默认网卡设置 11 图表 3 并联部署示意图 12 图表 4 双机热备部署 13 图表 5 登录服务器 16 图表 6 修改管理密码对话框 17 图表 7 网络配置界面 18 图表 8 网络接口配置 19 图表 9 网络接口配置 19 图表 10 配置网络接口 20 图表 11 虚拟接口配置 21 图表 12 虚拟接口添加配置 22 图表 13 删除虚拟接口 23 图表 14 路由和 DNS 界面 24 图表 15 添加默认网关 25 图表 16 添加静态路由 25 图表 17 路由设置错误 26 图表 18 添加 DNS 27 图表 19 PING1 28 图表 20 PING2 29 图表 21 TRACEROUTE 29 图表 22 SSH 30 图表 23 生成证书请求 32 图表 24 导出站点证书请求 33 图表 25 站点证书配置 34 图表 26 站点证书私钥不匹配 35 图表 27 删除站点证书 36 图表 28 无法删除正在使用的站点证书 36 图表 29 证书链结构 37 图表 30 证书链配置 37 图表 31 上传证书链 38 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 6 图表 32 删除证书链 39 图表 33 无法删除正在使用的站点证书 39 图表 34 证书备份恢复 40 图表 35 黑名单服务配置 41 图表 36 LDAP 发布服务器信息 42 图表 37 立即更新黑名单 44 图表 38 黑名单下载日志 45 图表 39 下载黑名单日志 46 图表 40 查看黑名单文件 47 图表 41 黑名单文件详细内容 47 图表 42 查找证书序号 48 图表 43 定时更新配置 48 图表 44 立即更新黑名单 49 图表 45 签名验证服务管理 50 图表 46 服务日志 51 图表 47 签名验证日志 52 图表 48 日志下载 54 图表 49 签名验证服务参数配置 基本参数 55 图表 50 审计服务器设置 56 图表 51 签名验证服务参数配置 证书配置 57 图表 52 系统管理 58 图表 53 系统备份 59 图表 54 系统备份下载 59 图表 55 系统恢复 60 图表 56 系统升级 61 图表 57 版本回滚 62 图表 58 重启系统 63 图表 59 恢复出厂设置 63 图表 60 运行模式 64 图表 61 状态转换图 64 图表 62 双机热备 65 图表 63 双机热备 65 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 7 图表 64 负载配置 69 图表 65 时间配置 69 图表 66 性能监测 71 图表 67 信息收集 72 图表 68 在线状态查看 72 图表 69 监控进程 73 图表 70 日志统计 74 图表 71 备份系统日志 74 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 8 1 手册指南手册指南 1 1 概述概述 本手册主要介绍格尔国信签名验证服务的使用及维护 其中涵盖了签名验 证服务所涉及的使用配置方法及其相关说明 我们将以提供具体实例的方法来引导使用者安装配置符合自己应用环境的 签名验证服务 1 2 目的目的 本手册详细描述了如何部署 配置 管理和使用签名验证服务器 目的是 指导用户能正确的管理和使用签名验证服务器 1 3 适用对象适用对象 本手册适用对象为网络管理员 签名验证服务器实施人员 售前支持人员 和技术支持人员 假定具备以下概念知识 网络拓扑 网络地址和路由 数字证书 SSL HTTPS Web 服务器 1 4 名词解释名词解释 证书认证机构 Certificate Authority 一个产生和确定公开密钥证书的可 靠和可信的第三方机构 它发行数字证书并确保证书的可信性 或证明一 个用户和它们的公共密钥的身份 认证机构也可以为实体产生和确定密钥 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 9 习惯上又称作认证中心 CA 数字证书 Certificate 数字证书中心签发的用于代表实体身份的一段电 文 本手册中涉及代表用户身份的用户证书和代表服务端身份的站点证书 服务器证书 LDAP Lightweight Directory Access Protocol 是一种轻量级的目录存取 协定 提供客户从各个角落连接到目录服务器中 本手册中专指 CA 用于发 布证书及黑名单的 LDAP 服务 黑名单 通常所说的 CRL Certificate Revoke List 因时间或者安全原因 被废除的证书列表 一般发布在 LDAP 上 Radius Remote Authentication Dial In User Service 广泛应用于宽带窄 带认证系统的协议 前端一般为PPPoE或者802 1x 802 1x 基于端口的验证 启用通过外部服务器针对各个端口验证系统 用户 只有经过验证和许可的系统用户才可以传输和接收数据 使用可扩 展验证协议 EAP 通过远程验证拨入用户服务 RADIUS 服务器来验证 端口 数字签名 digital signature 具有手写签名功能 如身份证明的一组电 子数据 这些附加在数据单元上的一些数据 或是对数据单元所作的密码 变换 允许数据单元的接收者用以确认数据单元的来源和完整性 并保护 数据 防止被人 例如接收者 伪造 1 5 必读声明必读声明 本文档中有以下约定 特此声明 配置界面中信息输入框后面带 表示此信息为必填项 文档中关于配置的一些注意事项和建议都在各个配置项描述后面的 提 示 中 配置前务必查看清楚 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 10 2 产品产品简介简介 2 1 格尔国信签名验证服务格尔国信签名验证服务 格尔国信签名验证服务能够对应用系统提供证书签名以及签名的验证功能 主要包括 数据 文件签名及验证 数据 文件 PKCS7 格式签名及验证 证书验证 2 1 1默认网络配置默认网络配置 网络接口对部署 配置 管理格尔国信签名验证服务器非常重要 产品的 出厂配置如下 61xx 和 81xx 型号 网络接口用途出厂接口地址 外网口 LAN0 Eth0 连接外界网络 在非热备模式下用户通过此 端口 IP 地址获得相应服务 在热备模式下 此端口通过负载虚拟 IP 方式提供服务 192 168 2 8 管理口 LAN1 Eth1 管理员通过此端口方可对产品进行 web 管 理 192 168 192 8 热备口 LAN2 Eth2 双机热备网口4 4 4 4 图表 1 默认网卡设置 62xx 和 82xx 型号 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 11 网络接口用途出厂接口地址 外网口 LAN0 Eth0 连接外界网络 在非热备模式下用户通过此 端口 IP 地址获得相应服务 在热备模式下 此端口通过负载虚拟 IP 方式提供服务 192 168 2 8 外网口 LAN3 Eth1 连接外界网络 此口不提供负载服务 192 168 3 8 管理口 LAN1 Eth2 管理员通过此端口方可对产品进行 web 管 理 192 168 192 8 热备口 LAN2 Eth3 双机热备网口4 4 4 4 图表 2 默认网卡设置 默认路由 无 DNS 无 提示 提示 Eth0 Eth3 是系统中的网卡的接口名称 是系统中的网卡的接口名称 LAN0 LAN3 是物理意义上的接口 是物理意义上的接口 本文中二者指同一对象 在下面的配置中更常用本文中二者指同一对象 在下面的配置中更常用 LAN0 LAN3 这样的表示方法 这样的表示方法 3 部署格尔部署格尔国信签名验证服务器国信签名验证服务器 格尔国信签名验证服务器采用并联部署 如图 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 12 Internet SD 用户证书 Print Server Link RxLPT1LPT2COMPower TX 格尔签名验证服务 服务器1 防火墙 服务器2 服务器3 内网用户 外部用户 图表 3 并联部署示意图 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 13 Internet SD 用户证书 Print Server Link RxLPT1LPT2COMPower TX 格尔签名验证服务 服务器1 防火墙 服务器2 服务器3 内网用户 外部用户 Print Server Link RxLPT1LPT2COMPower TX 心跳连线 图表 4 双机热备部署 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 14 4 安装安装服务器服务器 本章描述了安装格尔国信签名验证服务器需要进行的工作和步骤 关于硬 件的使用保养见附录 4 1 产品检查产品检查 在安装格尔国信签名验证服务器之前应对照产品清单确保所有部件都已存 在 并检查所有部件是否完好 如果有任何部件缺少或者损坏 请不要执行安 装 应立即与销售商进行联系 4 2 环境准备环境准备 4 3 连线连线 格尔国信签名验证服务器工作时需要以下连接线接入设备 1 或者 2 根电源线 1 或者 2 根 RJ 45 网线连接外网口与外部网络 1 根 RJ 45 网线连接管理口与配置客户端 配置管理系统时需要 1 根 RJ 45 网线连接两台设备的热备口 双机热备时需要 4 4 开机开机 确保连接线连接无误后 打开设备后面板的电源开关系统加电 系统启动 约 2 分钟 4 5 关机关机 使用配置界面的 关机 项或关闭设备电源 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 15 5 登录登录服务器服务器 本章描述了如何使管理客户端通过管理口登录格尔国信签名验证服务器 5 1 管理客户端准备管理客户端准备 整个配置过程都是基于 Web 方式的 通过管理客户端的浏览器连接系统进 行各种管理和配置 对于需要进行远程配置的客户端需要如下条件 Windows 操作系统 建议 IE6 0 版本 显示分辨率为 1024 768 将管理客户端的机器与服务器的管理口通过网络连接 网口直接相连 时需要使用交叉网线 配置管理客户端为 192 168 192 0 网段 子网掩码为 255 255 255 0 IP 地址配置为除 192 168 192 8 以外的其它地址 管 理接口的出厂配置为 192 168 192 8 5 2 登录系统登录系统 对服务器的所有配置和管理 管理员都可以通过 web 配置界面方式进行 为了保证系统的安全 系统只能通过管理口进行配置 系统登录的步骤 准备好管理客户端机器 配置好 IP 地址 除 192 168 192 8 以外的其 它地址 将客户端机器通过网络与服务器的管理口连接 确保网络连通 可在客 户端机器上使用 ping 192 168 192 8 验证是否连通 在客户端机器上打开 IE 浏览器 在地址栏中键入 http 192 168 192 8 出现如下所示登录页面 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 16 图表 5 登录服务器 提示 提示 界面右上角显示的界面右上角显示的 版本版本 2 0 0 R 071210 表示当前的软件版本号 表示当前的软件版本号 其中其中 2 0 0 表示发布版本号 后面的表示发布版本号 后面的 R 071210 表示研发版本号 表示研发版本号 输入默认口令 12345678 单击 确定 按钮 进入服务器管理主页面 表明登录系统成功 可以进行以后的各项操作了 提示 提示 为了保证登录顺利无误 尽可能使用交叉网线直接将客户端机器与服务为了保证登录顺利无误 尽可能使用交叉网线直接将客户端机器与服务 器的管理口 器的管理口 LAN1 连接 连接 为了保证安全 管理员第一次登录系统后应立即更改默认密码 为了保证安全 管理员第一次登录系统后应立即更改默认密码 5 3 更改密码更改密码 服务器的管理员只有一个 因此为了保证安全 管理员应该定期改变密码 更改密码的前提是管理员已经成功登录系统 更改后的密码将从下次登录起生 效 更改密码步骤 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 17 管理员点击管理面右上角 修改密码 按钮 出现以下对话框 图表 6 修改管理密码对话框 在修改密码对话框中输入旧密码 输入新密码以及确认新密码 必须与 新密码相同 密码最长为 8 位 不能为空密码 点击 确定 修改密 码 提示 提示 请妥善保管好管理员密码 管理员密码丢失将无法登录管理系统 用户请妥善保管好管理员密码 管理员密码丢失将无法登录管理系统 用户 自行无法恢复 必须请厂家技术人员现场维护恢复 自行无法恢复 必须请厂家技术人员现场维护恢复 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 18 6 网络配置网络配置 服务器本身就是一个网络设备 只有网络信息得到了正确配置 服务器才 能接入网络 为用户提供服务 因此 在部署服务器时 第一步就是配置服务 器的网络信息 本章介绍如何配置服务器的网络信息 包括网络接口配置 路 由和 DNS 的设置 配置网络前应选取好部署模式 确定好服务器所应具有的网络地址 登录系统后 点击一级菜单中的第三个按钮 网络配置 即可进入网络配 置界面 图表 7 网络配置界面 6 1 网络接口网络接口管理管理 网络接口配置即网卡地址配置 网络地址代表了服务器在网络中所处的位 置 配置了网络地址后 服务器的各项服务才能够正常启动 用户才能通过地 址访问服务器 获取服务 点击网络配置界面左侧的 网络接口 菜单 显示当前网络接口信息 在 61xx 和 81xx 型号中看到的界面如下 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 19 图表 8 网络接口配置 由于系统中热备口的作用和地址都已固定 因此系统中可以给用户配置的网络 接口只有外网口 LAN0 即系统中表示的 eth0 网络接口信息界面中显示了 eth0 接口的状态信息 包括 网络接口 系统中网络接口的名称或标识 点击即可配置此网卡 类型 网络接口类型 目前都为以太网类型 Ethernet IP 地址 当前网卡的 IP 地址 子网掩码 当前网络的掩码 广播 当前网络的广播地址 虚拟接口 配置虚拟接口 改变状态 点击对应的按钮可以使对应的网卡状态发生改变 启动 或者停止 在 62xx 和 82xx 型号中看到的界面如下 可以配置 2 个外网口 图表 9 网络接口配置 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 20 6 2 配置网络接口配置网络接口参数参数 在网络接口信息页面中点击需要配置的网络接口名称 如 eth0 就可以配 置此网络接口的信息 图表 10 配置网络接口 对网络接口可以配置的信息包括 IP 地址 此网卡的 IP 地址 网络 属于的网络 IP 与子网掩码相与的结果 子网掩码 决定所属网络 与所连接网络掩码相同 广播 网络的广播地址 最大传输单元 网卡属性 确定每次传输数据单元的大小 点击 保存 按钮 则对网络接口所做的改动被保存到系统中并立即生效 提示 提示 网络接口信息配置非常重要 每项信息都要确保正确 否则可能造成网网络接口信息配置非常重要 每项信息都要确保正确 否则可能造成网 络不通或异常 服务无法正常启动 络不通或异常 服务无法正常启动 eth0 eth2 的的 3 个网络接口 包括虚拟接口 中任何两个不能配置在个网络接口 包括虚拟接口 中任何两个不能配置在 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 21 同一网段 即所属网络不能相同 同一网段 即所属网络不能相同 配置网络接口信息中最大传输单元默认为配置网络接口信息中最大传输单元默认为 1500 在没有确定把握的情 在没有确定把握的情 况下不要改动此值 否则会造成网络的不稳定 况下不要改动此值 否则会造成网络的不稳定 4 4 4 0 是系统使用的保留网段 您不能将是系统使用的保留网段 您不能将 eth0 的地址 包括上面的的地址 包括上面的 虚拟地址 设置到这个网段中 虚拟地址 设置到这个网段中 6 3 虚拟接口虚拟接口管理管理 虚拟接口是系统在一个物理接口上虚拟出来的逻辑接口 在虚拟接口上可 以配置不同的地址 通过虚拟接口可以实现在同一个物理接口上配置多个 IP 地 址 例如系统只有一个外网口 希望启动 2 个签名验证服务 分别以不同的地 址对外服务 则可以配置外网口地址为 172 16 23 45 24 然后增加一个虚拟接 口 配置地址为 172 16 23 46 24 在网络接口信息页面中点击网络接口的虚拟接口 配置 按钮 进入虚拟 接口配置页面 如图所示 图表 11 虚拟接口配置 添加虚拟接口添加虚拟接口 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 22 在虚拟接口配置页面中点击 添加 按钮 显示添加虚拟接口信息页面 图表 12 虚拟接口添加配置 虚拟接口的表示方式 物理接口 序号 如 eth0 0 表示 eth0 接口的第一个 虚拟接口 虚拟接口的信息配置同网络接口信息配置 点击 保存 按钮 则对网络接口所做的改动被保存到系统中并立即生效 修改虚拟接口修改虚拟接口 通过修改虚拟接口功能可以对已有的虚拟接口信息进行修改 在虚拟接口 配置页面中点击虚拟接口名称 显示修改虚拟接口信息页面 页面内容同添加 虚拟接口信息页面 对信息进行修改后 点击 保存 按钮 则对网络接口所 做的改动被保存到系统中并立即生效 启动与停止虚拟接口启动与停止虚拟接口 虚拟接口的状态可以通过界面进行改变 在虚拟接口配置页面中点击对应 虚拟接口的操作按钮 可以启动或停止当前的虚拟接口 删除虚拟接口删除虚拟接口 通过删除虚拟接口功能可以将不再需要的虚拟接口删除 在虚拟接口配置 页面中点击对应虚拟接口的 删除 按钮 可以将此虚拟接口删除 删除虚 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 23 拟接口只能按照顺序从最后一个删除 如图 图表 13 删除虚拟接口 提示 提示 虚拟接口仅是特殊环境的一种变通方式 尽可能不要使用虚拟接口 虚拟接口仅是特殊环境的一种变通方式 尽可能不要使用虚拟接口 一个网络接口上的虚拟接口不要超过一个网络接口上的虚拟接口不要超过 2 个 个 虚拟接口之间以及虚拟接口与网络接口之间的地址尽可能在同一网段中 虚拟接口之间以及虚拟接口与网络接口之间的地址尽可能在同一网段中 否则可能引起未知问题 否则可能引起未知问题 停止或删除虚拟接口将会影响到使用此接口的签名验证服务 停止或删除虚拟接口将会影响到使用此接口的签名验证服务 停止某一物理网络接口时 该接口上的所有虚拟接口都会被停止 停止某一物理网络接口时 该接口上的所有虚拟接口都会被停止 6 4 启动启动 停止网络接口停止网络接口 启动 停止网络接口作用是改变网络接口的状态 同时停止后启动可以使 新的网络配置生效而无需重新启动机器 在网络接口信息页面中点击网络接口的改变状态按钮 改变网络接口状态 若当前网络接口为停止状态 则按钮显示 启动 点击后网络接口启动成功 按钮显示 停止 提示 提示 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 24 停止网络接口将会影响到使用此接口的服务 停止网络接口将会影响到使用此接口的服务 启动或停止某一物理网络接口时 该操作将影响接口上的所有虚拟接口 启动或停止某一物理网络接口时 该操作将影响接口上的所有虚拟接口 6 5 路由和路由和 DNS 配置配置 网络接口信息配置好后 仅仅本网段的设备能够互通信息 其他网段的机 器无法与之通讯 必须配置好路由信息才能跨网段通讯 才能使服务器真正接 入网络 在网络配置信息网页中点击 路由和 DNS 菜单 进入路由和 DNS 配置界面 如图 图表 14 路由和 DNS 界面 添加路由添加路由 在路由和 DNS 配置界面中点击路由 添加 按钮 显示路由的添加页 面 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 25 图表 15 添加默认网关 页面缺省显示添加默认网关 只需要填写网关地址 点击 保存 按钮 默认网关添加成功并立即生效 除了添加默认网关外 系统还可以添加静态路由 点击 添加 按钮 在显示出的条目的下拉菜单中选择静态路由 如图 图表 16 添加静态路由 填写网络地址 子网掩码 网关地址后 点击 保存 按钮 静态路由添 加成功并立即生效 提示 提示 设置的网关地址必须是通过目前的网络接口可以连通的一个地址 并设置的网关地址必须是通过目前的网络接口可以连通的一个地址 并 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 26 且网络接口已经启动 否则无法设置成功 出现以下提示 且网络接口已经启动 否则无法设置成功 出现以下提示 图表 17 路由设置错误 默认网关只有一个 默认网关只有一个 外网口是连接外部网络比较复杂 因此默认网关通常设置为外网口可达 外网口是连接外部网络比较复杂 因此默认网关通常设置为外网口可达 设置好路由可通过后面的网络工具测试正确性 设置好路由可通过后面的网络工具测试正确性 删除路由删除路由 在路由和 DNS 配置中 点击路由记录最右面的 删除 按钮 删除本条 路由记录 添加添加 DNS 在路由和 DNS 配置界面中点击 DNS 添加 按钮 显示 DNS 的添加页 面 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 27 图表 18 添加 DNS 填写好 DNS 服务器地址后点击保存 提示 提示 可以添加多个可以添加多个 DNS 服务器 服务器 只有使用域名操作 通过域名访问其他服务器时才需要配置只有使用域名操作 通过域名访问其他服务器时才需要配置 DNS 服务服务 器 器 删除删除 DNS 在路由和 DNS 配置中 点击 DNS 记录最右面的 删除 按钮 删除本 条 DNS 记录 6 6 使用网络调试工具使用网络调试工具 为了便于进行简单的网络调试 在网络配置菜单中 系统提供了几种简单 的工具 包括 Ping Traceroute SSH 可以判断服务器与其他网络的连通状 态以及经过的路由 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 28 6 6 1使用使用 Ping Ping 是一个非常有用的命令 可以测试系统与远端设备的连通性 当配置 完网络接口信息或者路由信息后可以通过 Ping 命令来验证配置的正确性 能够 Ping 通本网段设备说明系统自身网络接口信息配置正确 能够 Ping 通其他网段 的设备说明路由配置正确 在网络配置页面中点击 Ping 菜单 显示 Ping 的运行页面 输入测试连通的 IP 地址 点击 运行 按钮 若成功连通则显示如下页面 图表 19 Ping1 若无法连通显示如下页面 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 29 图表 20 Ping2 6 6 2使用使用 Traceroute Traceroute 也是一个非常有用的网络调试工具 用于获取服务器到达其他 网段的机器需要经过的路由信息 来判断网络中的路由情况 在网络配置页面中点击 Traceroute 菜单 显示 Traceroute 的运行页面 输 入目标 IP 地址 点击 运行 按钮 显示达到目标地址经过的路由信息 图表 21 Traceroute 提示 提示 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 30 如果路由路径较为复杂将耗时较长 甚至造成超时 如果路由路径较为复杂将耗时较长 甚至造成超时 6 6 3使用使用 SSH SSH 是远程登录服务 主要用于产品工程师维护系统 系统缺省情况下此 服务是处于关闭状态 需要进行远程登录系统时 开启此服务 网络配置页面 中点击 SSH 菜单 点击动作按钮来改变服务的状态 如图 图表 22 SSH 提示 提示 SSH 服务主要用于产品工程师维护系统和调试 普通用户无需此功能 服务主要用于产品工程师维护系统和调试 普通用户无需此功能 启动启动 SSH 服务会开启系统的服务会开启系统的 tcp22 端口 可能会受到外界的攻击 因端口 可能会受到外界的攻击 因 此用户不要自行开启此服务 以免造成安全隐患 此用户不要自行开启此服务 以免造成安全隐患 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 31 7 服务器证书服务器证书管理管理 证书是服务器进行身份验证的核心 系统中一般存在三类证书 CA 证书 用于标识证书颁发机构的身份 如上海 CA CFCA 等 多级 CA 证书形成的链状关系又称为证书链 正确配置证书链 才能有效的 验证身份 站点证书 用于服务器向用户标识自己的身份 用户证书 标识用户的身份 一般情况下 用户证书保存在用户持有的 USB 设备或 IC 卡中 本章主要描述如何配置证书相关的信息 使得服务器在网络认证中合法有 效的应用 点击 WEB 界面一级菜单中的 证书管理 即可进入对应界面 7 1 证书配置管理证书配置管理 证书配置管理中包含了对所有服务器涉及到的证书进行管理 包括站点证 书和证书链管理 7 1 1站点证书站点证书 站点证书是 CA 签发给签名验证服务的 签名验证服务使用站点证书进行签 名表明自己的数字身份 为了保障站点证书的唯一性 站点证书生成的流程是 服务器生成站点证书请求 私钥本地产生和保存 将公钥及站点描述信 息作为证书请求 将站点证书请求发送到 CA 中心签发证书 将签发的站点证书导入服务器与私钥匹配成功后完成站点证书生成 提示 提示 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 32 只有正确的配置完成站点证书后 配置签名验证服务时才会有可用的站只有正确的配置完成站点证书后 配置签名验证服务时才会有可用的站 点证书 点证书 7 1 1 1 生成证书请求生成证书请求 站点证书中需要包含一些对站点的描述信息 此信息需要填写在生成的证 书请求中 在证书服务管理页面中 点击 生成证书请求 按钮 进入证书请求页面 图表 23 生成证书请求 以上各个输入框的说明如下 1 站点名称 必填项 该项为服务器所代表的站点域名 或 IP 地址 形 如 或者 192 168 0 1 需要注意的是 域名必须用小 写字母输入 这一项对应到站点证书的 CN 项 2 国家代码 必填项 目前只支持中国 这一项对应到站点证书的 C 项 3 省 份 可选项 这一项对应到站点证书的 ST 项 如果需要输入英 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 33 文 请选择下拉列表的最后一项 其他 然后在后面的输入框中输 入 4 城 市 可选项 这一项对应到站点证书的 L 项 如果需要输入英文 或者下拉列表中不存在的城市名 请选择下拉列表的最后一项 其 他 然后在后面的输入框中输入 5 公司名称 可选项 这一项对应到站点证书的 O 项 6 部 门 可选项 这一项对应到站点证书的 OU 项 7 Email 可选项 管理员的邮箱地址 这一项对应到站点证书的 Email 项 8 私钥密码 8 位数字或字母 用于保护私钥文件的密码 这一信息不会 被记录到站点证书中 填写好信息后 点击 生成站点证书请求 按钮 系统将根据所填写的信 息生成站点请求 图表 24 导出站点证书请求 页面文本框中的信息就是站点证书请求信息 格式为 PKCS10 标准格式 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 34 证书请求的保存方式有两种 一是可以使用拷贝 粘贴方式将信息保存到另外 的文件中 二是可以直接在页面上点击 保存 将信息作为文件保存在本地 文件默认的是 站点名称 p10 站点证书请求生成后就可以到 CA 中心申请签发站点证书了 提示 提示 站点名称使用域名还是站点名称使用域名还是 IP 地址取决于用户通过什么方式来访问 即用地址取决于用户通过什么方式来访问 即用 户在浏览器地址栏中键入什么来访问应用 户在浏览器地址栏中键入什么来访问应用 如用户通过域名来获取服 如用户通过域名来获取服 务 则站点名称需要填写域名 反之亦然 否则客户端验证服务端站点务 则站点名称需要填写域名 反之亦然 否则客户端验证服务端站点 证书时会提示站点证书与所访问站点不匹配 证书时会提示站点证书与所访问站点不匹配 系统不提供下载已经生成站点证书请求的功能 因此生成站点请求后务系统不提供下载已经生成站点证书请求的功能 因此生成站点请求后务 必保存站点证书请求 必保存站点证书请求 在省 市选项中选择在省 市选项中选择 其他其他 可以输入下拉列表中不存在的信息 可以输入下拉列表中不存在的信息 7 1 1 2 申请站点证书申请站点证书 申请站点证书的过程是将生成的站点证书请求发送到 CA 中心 CA 中心根 据请求签发站点证书 然后将证书文件返回给用户 用户得到证书文件后就可 以进行最后一步操作 导入站点证书了 7 1 1 3 查看站点证书查看站点证书 在认证服务管理页面中 点击 站点证书配置 按钮 进入配置页面 图表 25 站点证书配置 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 35 站点配置页面中显示已经存在的站点证书 系统最初默认存在一个站点证 书 192 168 2 8 为系统缺省服务所用 显示名称为生成请求时填写的站点名 称 提示 提示 站点证书显示的名称是证书内容的站点证书显示的名称是证书内容的 CN 项值 项值 7 1 1 4 导入站点证书导入站点证书 导入站点证书就是将 CA 中心签发的证书导入服务器中与相应的私钥匹配 形成完整的站点证书 导入正确站点证书后 在配置服务时才有可选择的站点 证书进行配置 在站点证书配置页面中点击 浏览 选择需要导入的站点证书文件 点 击 上传 按钮 系统将上传的证书文件与系统内的私钥进行匹配 如果匹配 成功将在站点证书列表中显示此站点证书 若无匹配的私钥 则显示如下信息 图表 26 站点证书私钥不匹配 提示 提示 上传的站点证书文件必须为上传的站点证书文件必须为 Base64 编码或编码或 p12 文件格式 文件格式 上传证书的大小不能超过上传证书的大小不能超过 5k 不能小于 不能小于 512 字节 字节 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 36 7 1 1 5 删除站点证书删除站点证书 在站点证书配置页面中选中需要删除的站点证书 点击 删除 按钮 所 选中的站点证书将被删除 提示 提示 删除站点证书会导致使用此站点证书的签名验证服务无法启动 删除站点证书会导致使用此站点证书的签名验证服务无法启动 如果现有的服务配置中引用了此站点证书 则会弹出下面的对话框提示如果现有的服务配置中引用了此站点证书 则会弹出下面的对话框提示 用户 用户 图表 27 删除站点证书 如果签名验证服务正在使用这张证书 则点击确定也无法删除 需要先如果签名验证服务正在使用这张证书 则点击确定也无法删除 需要先 到签名验证服务到签名验证服务 证书配置中取消对该证书的引用 证书配置中取消对该证书的引用 图表 28 无法删除正在使用的站点证书 7 1 2证书链配置证书链配置 这里提到的证书链就是所谓的信任证书链 服务器在对用户证书进行验证 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 37 的时候重要的一条就是验证证书链 即用户证书是否是服务器信任的 CA 中心 签发 因此 服务器为了验证用户 必须首先将信任 CA 中心的证书配置到信 任列表中 之所以称之为证书链是因为 CA 证书是分层次的 通常由根证书 一级 CA 证书 二级 CA 证书等组成一条信任链 如图 根证书 CA证书 用户证书用户证书用户证书 图表 29 证书链结构 签名验证服务必须配置了根证书 CA 证书作为信任链才能验证此链下面的 用户证书 在认证服务管理界面中点击 证书链配置 出现证书链配置页面 图表 30 证书链配置 页面中显示已经存在的受信任的证书链文件 系统初始默认设置中有一个 北京格尔国信科技有限公司 北京格尔国信科技有限公司 北京市东城区朝阳门北大街 8 号 富华大厦 D 座 15 层 G 室 邮编 100027 Tel 86 010 65541500 Fax 86 010 65541700 38 信任证书文件 为系统缺省服务所用 显示名称是证书的 CN 项内容或者 DN 项内容 CN 项不存在时 提示 提示 证书链显示的名称是证书链显示的名称是 CA 证书内容的证书内容的 CN 项值或者项值或者 CA 证书内容的证书内容的 DN 项值 若项值 若 CN 项不存在 项不存在 在证书链配置中可以导入信任的用户证书 用于直接验证签名而无需验在证书链配