时间戳服务器管理员办法

1、吉大正元时刻戳服务器治理员手册 V2.0.23_sp1 长 春 吉 大 正 元 信 息 技 术 股 份 有 限 公 司 Jilin University Information Technologies Co., Ltd.目录 TOC o 1-3 h z u HYPERLINK l _Toc240194176 1.引言 PAGEREF _Toc240194176 h 3 HYPERLINK l _Toc240194177 1.1.概述 PAGEREF _Toc240194177 h 3 HYPERLINK l _Toc240194178 1.2.定义 PAGEREF _Toc240194178

2、 h 3 HYPERLINK l _Toc240194179 2.安装配置 PAGEREF _Toc240194179 h 4 HYPERLINK l _Toc240194180 2.1.介绍 PAGEREF _Toc240194180 h 4 HYPERLINK l _Toc240194181 2.1.1.V2000 PAGEREF _Toc240194181 h 4 HYPERLINK l _Toc240194182 2.2.连接安装 PAGEREF _Toc240194182 h 4 HYPERLINK l _Toc240194183 3.功能详解及使用方法 PAGEREF _Toc24

3、0194183 h 6 HYPERLINK l _Toc240194184 3.1.可信时刻戳治理 PAGEREF _Toc240194184 h 6 HYPERLINK l _Toc240194185 3.1.1.治理可信时刻源 PAGEREF _Toc240194185 h 6 HYPERLINK l _Toc240194186 3.1.2.证书治理 PAGEREF _Toc240194186 h 8 HYPERLINK l _Toc240194187 3.1.3.时刻戳数据治理 PAGEREF _Toc240194187 h 11 HYPERLINK l _Toc240194188 3.

4、1.4.服务监控 PAGEREF _Toc240194188 h 12 HYPERLINK l _Toc240194189 3.1.5.权限治理 PAGEREF _Toc240194189 h 13 HYPERLINK l _Toc240194190 3.1.6.业务日志 PAGEREF _Toc240194190 h 14 HYPERLINK l _Toc240194191 3.2.系统治理 PAGEREF _Toc240194191 h 14 HYPERLINK l _Toc240194192 3.2.1.站点证书治理 PAGEREF _Toc240194192 h 14 HYPERLIN

5、K l _Toc240194193 3.2.2.信任根证书治理 PAGEREF _Toc240194193 h 15 HYPERLINK l _Toc240194194 3.2.3.权限治理 PAGEREF _Toc240194194 h 16 HYPERLINK l _Toc240194195 3.2.4.数据库配置 PAGEREF _Toc240194195 h 17 HYPERLINK l _Toc240194196 3.2.5.许可证配置 PAGEREF _Toc240194196 h 17 HYPERLINK l _Toc240194197 3.3.设备治理 PAGEREF _Toc

6、240194197 h 18 HYPERLINK l _Toc240194198 3.3.1.网络设置 PAGEREF _Toc240194198 h 18 HYPERLINK l _Toc240194199 3.3.2.HA服务治理 PAGEREF _Toc240194199 h 19 HYPERLINK l _Toc240194200 3.3.3.网络诊断治理 PAGEREF _Toc240194200 h 20 HYPERLINK l _Toc240194201 3.3.4.SNMP服务治理 PAGEREF _Toc240194201 h 21 HYPERLINK l _Toc24019

7、4202 3.3.5.系统监控 PAGEREF _Toc240194202 h 22 HYPERLINK l _Toc240194203 3.3.6.网络监控 PAGEREF _Toc240194203 h 22 HYPERLINK l _Toc240194204 3.3.7.系统时刻设置 PAGEREF _Toc240194204 h 23 HYPERLINK l _Toc240194205 3.4.系统维护 PAGEREF _Toc240194205 h 23 HYPERLINK l _Toc240194206 3.4.1.系统备份 PAGEREF _Toc240194206 h 23 H

8、YPERLINK l _Toc240194207 3.4.2.系统恢复 PAGEREF _Toc240194207 h 24 HYPERLINK l _Toc240194208 3.4.3.系统升级 PAGEREF _Toc240194208 h 24 HYPERLINK l _Toc240194209 3.5.审计治理 PAGEREF _Toc240194209 h 24 HYPERLINK l _Toc240194210 3.5.1.查看审计信息 PAGEREF _Toc240194210 h 24 HYPERLINK l _Toc240194211 3.5.2.更新安全审计员证书 PAG

9、EREF _Toc240194211 h 25 HYPERLINK l _Toc240194212 4.常见问题解答(FAQ) PAGEREF _Toc240194212 h 27 HYPERLINK l _Toc240194213 4.1.服务安装后无法启动 PAGEREF _Toc240194213 h 27 HYPERLINK l _Toc240194214 4.2.服务启动后无法进入治理界面 PAGEREF _Toc240194214 h 27引言HYPERLINK l 编写目的 o 点击见讲明概述随着互联网浪潮的到来，电子交易已逐渐进入我们的生活，电子购物将逐渐成为我们生活的一部分。

10、随着电子交易的普及，电子交易的安全逐渐成为人们关注的主题。那么如何确保电子交易的交易安全呢？目前普遍采纳的是公钥基础设施（PKI）。PKI能够在电子化社会中建立人们之间的信任关系。然而要保证交易的防抵赖，依靠单纯的数字签名技术是无法实现的。因为要实现防抵赖，不仅需要对交易数据进行数字签名，还必须保证此交易数据在某一时刻(之前)的存在性（Proof-of-Existence）。通常这要借助于时刻戳来解决。由于用户桌面时刻专门容易改变，由该时刻产生的时刻戳不可信赖，因此需要一个可信任的第三方时刻戳权威（Time Stamp AuthorityTSA），来提供可信赖的且不可抵赖的时刻戳服务。TSA的

11、要紧功能是提供可靠的时刻信息，证明某份文件（或某条信息）在某个时刻(或往常)存在，防止用户在那个时刻前或时刻后伪造数据进行欺骗活动。HYPERLINK l 定义 o 点击见讲明定义Cinas：吉大正元应用安全支撑整个产品线名称。数字签名：被签发数据的哈希值通过私钥加密后的结果。通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对比，就能验证数字签名。数字证书：用于验证需认证者的标识信息与其公钥对应关系的一种数字文档。哈希(Hash) ：通过对原文进行单向哈希函数运算得到的定长字符串，原文不同哈希值就不同，通过哈希值无法还原出原文。PKCS7：RSA实验室有关加密消息语法标准。TSA：Ti

12、me Stamp Authority（时刻戳权威）一个提供可信赖的且不可抵赖的时刻戳服务的可信任第三方PKI： Pubic Key Infrastructure的缩写。是一种遵循标准的利用公钥加密技术为爱护数据提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服务进行安全的数据交换或通信。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。身份认证：与传统的信息交换不同，参与网上信息交换的各方没有实际见面，任何一方都有被冒充的可能，因此安全应用系统必须采纳某种机制，使能够确认对方的身份。数据的保密：在许多应用中，信息的内容是需要严格保密的，然而在网络上，网络

13、侦听技术使数据的猎取变得十分容易，因此对信息的加密是安全应用系统重要的特点。防止篡改数据：由于网络的公开特性，使得信息提供者以外的人修改信息成为可能。如何防止他人篡改信息是安全应用系统需要解决的一个重要问题。安装配置介绍V2000 eth0 eth1吉大正元时刻戳服务器V2000背面提供两个网络接口，分不为 eth0,eth1。ETH0：业务端口（默认ip：10，子网掩码：），是用户访问应用的入口。ETH1：治理端口（默认ip：10，子网掩码：）。连接安装任意一台一般PC机器任意一台一般PC机器连接服务器启动服务器电源进入治理员界面修改服务器IP地址接入内网交换机访问应用1.修改机器IP：11

14、，子网掩码：，使用自带网线，与服务器治理端口（ETH1）相连2.按下服务器背面黑色电源。3.安装normal证书，访问 HYPERLINK https:/ 10:6443 https:/ 10:6443，进入治理界面界面4.点击左侧资源树：“设备治理”-“网络配置”修改机器IP地址5.修改服务器IP成功后，设备业务网口接入内网交换机6. 访问https:/修改后的IP:6443治理员登陆在扫瞄器地址栏输入 HYPERLINK https:/localhost:5443/ 10:6443，选择系统默认的治理员证书normal。登录成功后显示如下页面： 功能详解及使用方法吉大正元时刻戳服务器满足时

15、刻戳签发的差不多要求，它采纳精确的时刻源、高强度高标准的安全机制、能够为用户提供精确的、可信赖的且不可抵赖的时刻戳服务，时刻戳服务器包括的要紧内容有可信时刻戳治理、系统治理、设备治理、系统维护、审计治理可信时刻戳治理该模块是时刻戳服务器的核心功能，包括时刻戳签名证书的申请配置、时刻戳数据查询、服务监控、更新治理员证书、查询业务日志证书治理证书治理模块要紧是进行时刻戳证书的申请和配置以及签名算法的设置证书参数配置 注意：时刻戳证书的签发模板中要注意如下配置：在标准扩展域中需要有“增强型密钥用法”这一项，且选择该项中的“时刻戳(timeStamping)”那个值，类型为“关键”如：吉大正元的CA时

16、刻戳模板配置注意如下几项：当进行时刻戳证书配置的时候要先添加一个证书标识，然后再接着配置对应的时刻戳根证书，点击添加时刻戳证书按钮进入时刻戳信息配置页面如下图添加完证书名称后点保存按钮显示如下页面颁发机构证书配置：那个地点是时刻戳证书的颁发机构证书的配置页面，在配置时刻戳证书时需要将现有的时刻戳证书的根证书导入进来。该配置的要紧目的是验证导入的时刻戳证书由指定机构签发。证书申请系统通过本申请生成密钥对并封装申请CDS证书的申请书。在证书配置页面点击“申请证书”按钮进入时刻戳证书申请页面如下图：在那个地点治理员需要填写证书主题、加密算法、密钥长度后点击产生按钮就能够生成证书申请书。治理员能够拷贝

17、申请书内容到CA去生成CDS证书， 证书配置：那个地点签名证书的显示和导入页面，如下图：证书显示那个地点能够显示当前时刻戳证书的信息，如：主题、序列号、颁发者、有效起始日期、有效终止日期和签名算法。证书导入导入时刻戳证书是指从本地的系统中，将得到的证书上传到服务器。能够导入的签名证书有两种类型，X509证书和PKCS12证书。在签名证书申请书处生成的签名证书申请书，经CA签发回来.cer（X509证书）文件后，通过扫瞄按钮导入。也能够直接导入.pfx证书（PKCS12证书）作为签名证书。X509证书导入页面如下图：PKCS12证书导入页面如下图，与X509格式不同的是需要输入爱护口令注意 在导

18、入证书时，系统会验证欲导入证书的有效期以及密钥用法是否具有签名功能以保证导入证书具有有效的签名功能，从而提高了系统的安全性。时刻戳数据治理那个地点是申请时刻戳数据的查询和查看模块，能够依照不同的查询条件查询满足条件的时刻戳记录查看时刻戳数据按流水号查询结果如下（支持模糊查询）：按时刻戳类型查询如下：图一图二图三按时刻段进行查询，结果如下：归档策略设置在那个地点能够对时刻戳数据按设置的策略进行定时的归档归档记录在该页面能够查看时刻戳数据的归档记录 服务监控那个模块要紧是对申请时刻戳业务和验时刻戳业务数进行实时监控和统计申请服务监控，如下图：验证服务监控，如下图：权限治理该模块的功能是更新当前使用

19、的治理员证书，在导入治理员证书前需要先在系统治理-治理员颁发机构证书治理模块加入治理员证书的根证书，治理员更新后重新登陆生效，治理员更新页面如下：业务日志时刻戳业务日志 在那个模块能够依照时刻、客户端IP、证书主题查询时刻戳的业务日志，查询结果如下：按开始和结束时刻查询，结果如下：按证书主题查询，结果如下：归档策略设置在那个地点能够对业务日志数据按设置的策略进行定时的归档归档记录在该页面能够查看业务日志的归档记录设置业务日志规则在那个页面设置是否记录申请时刻戳业务成功或失败的日志，当复选框被选中时记录相应的日志，如下图：系统治理站点证书申请那个地点是站点证书的申请页面。治理员需要填写证书主题，

20、选择密钥长度，填充私钥爱护口令和确认爱护口令，点击产生按钮就能够生成服务器证书申请书。图3.2配置项：证书主题：所要生成证书的证书主题，例如：“c=cn”。密钥长度：设置生成证书所使用的密钥的长度。私钥爱护口令：设置私钥爱护口令。确认私钥的爱护口令：对差不多输入的私钥爱护口令进行确认。站点证书配置那个地点是站点证书的显示与导入页面。站点证书的显示那个地点能够显示当前站点证书的信息，如：序列号、签名算法、颁发者主题、有效起始日期、有效终止日期和证书主题。站点证书导入导入站点证书是指从本地的系统中，将得到的证书上传到服务器。能够导入的站点证书有两种类型，X509证书和PKCS12证书。在站点证书申

21、请书处生成的站点证书申请书，经CA签发回来.cer（X509证书）文件后，通过扫瞄按钮导入。也能够直接导入.pfx证书（PKCS12证书）作为站点证书。图1为X509证书的导入。图2 为PKCS12证书的导入页面，与X509证书导入相比，多了一项输入爱护口令，是指输入PKCS12证书的爱护口令。注意：假如想这部分配置后生效，需要重新启动数字签名服务器。图1 X509 证书导入 图2 PKCS12 证书导入治理员颁发机构证书治理那个地点配置治理员颁发机构证书是与治理员证书相对应的，在治理员登陆服务器治理时要建立双向SSL连接，那个地点配置治理员证书的根证书以验证治理员的身份添加治理员颁发机构证书

22、点击“添加颁发机构证书”按钮以添加服务器信任的根证书，会弹出如下页面。颁发机构证书文件：根证书文件的物理存储位置，可手动输入文件路径，也可点击“扫瞄”按钮选择根证书。 删除治理员颁发机构证书当机构证书不被信任或已失效时，治理员要进行删除根证书的操作。点击根证书设置列表中的删除图标，（注：不能删除治理员证书对应的根证书）修改颁发机构证书治理员也能够改变系统所信任的治理员颁发机构证书，点击根证书设置列表中的某个主题，进入到修改根证页面。（注：根证文件假如不进行更改，系统将使用原来的根证文件而不需治理员重新导入根证）权限治理该模块的功能是更新当前的系统治理员证书，在导入治理员证书前需要先在系统治理-

23、信任根证书治理模块加入治理员证书的根证书，治理员更新后重新登陆生效，治理员更新页面如下：数据库配置配置时刻戳服务器所需要的数据库，如下图：许可证配置那个地点是产品许可证的配置治理界面，在导入新的许可证之前能够先点预览按钮预览一下许可证是否有效设备治理网络设置IP设置能够对系统每个网口的IP地址进行修改，如下图：本地HOST设置本地Hosts即时刻戳服务器本地Hosts文件。用来解析“用域名方式配置的应用”的域名和IP对应关系。在“用IP方式配置的应用”情况下，在本地hosts文件中给该应用IP随意对应一个域名，也有助于加快访问后台应用的速度。 静态路由设置静态路由：指定时刻戳服务器访问某个网络

24、内的应用时，需要将数据转发给哪个设备。该设备用IP地址来标识，且必须和时刻戳服务器的某一个接口IP在同一个网段内，称为“下一跳”。配置静态路由的要素有三项：目的网络、目的子网掩码、下一跳IP地址。例如，某静态路由配置如下：00，则含义为，网关想要访问/24网络内的应用，需要将数据转发给00的那个IP。路由的设定，能够是计算机之间跨网段通信。要紧用于定义封包的走向，如下图：如图所示，目标网络为，掩码为的数据包网关地址为54，数据包通过eth0流出。ETH0口的默认网关是54，配置静态路由时网关要配成与ETH0的默认网关ETH1没有默认网关，配置ETH1的静态路由时网关配成与ETH1同一网段即可可

25、信时刻源治理该模块要紧是设置一个外部可信的时刻源服务器，进行自动或手动同步时刻戳服务器的时刻，保证能够为用户提供精确的、可信赖的且不可抵赖的时刻戳服务，如下图：查看时刻同步历史在该页面能够依照时刻或同步结果查询到从时刻源服务器自动同步的历史记录，按时刻查询结果：按同步结果查询结果：设置可信时刻源该页面进行NTP时刻服务器的配置，正确的配置了NTP时刻服务器的地址后，就能够定时的到时刻源服务器上同步时刻，能够配置主时刻服务器和备用时刻服务器，默认先从主时刻服务器上同步时刻，当主的有问题的情况下会连接备用时刻服务器进行同步如下图：配置项:时刻同步模式：包括禁止同步和NTP自动同步。禁止同步：不从时

26、刻源服务器同步时刻；NTP自动同步：会按着默认的同步周期自动的从时刻服务器上同步时刻到时刻戳服务器主NTP时刻服务器地址：主时刻源服务器的IP地址主NTP服务器协议版本：主时刻源服务器支持的协议版本号备用NTP时刻服务器地址：备用时刻源服务器的IP地址备用NTP服务器协议版本：备用时刻源服务器支持的协议版本号手工同步设备时刻支持手工从时刻源服务器同步时刻，在手工同步设备时刻页面点“同步设备时刻“即可，如下图：HA服务治理HA也称为双机热备，当主机设备出现崩溃或发生宕机、断网等异常情况下，使签名服务器能够自动从主机设备切换到备机工作，使用户能够正常使用服务器，当主机服务恢复正常的时候就会自动切换

27、回主机进行工作默认的情况下HA的工作方式处于关闭状态，当处于关闭状态时，HA功能不起作用。选择开启，HA功能启动，会出现下面信息：配置项：机器名称：输入英文、数字，作为机器名称，来标识这台签名服务器工作方式：开启状态下签名服务器会处于HA模式下工作，关闭状态签名服务器处于单机模式下对外提供服务集群角色：能够选择使用的本机为主机依旧备机主节点名称：为主机的hostname备节点名称：为备机的hostname虚拟IP地址：设置能够用来进行访问的“中间IP”，与服务器出口ip在一个网段内虚拟IP掩码：为虚拟IP设置的对应掩码（1-32之间整数）心跳间隔：设置间隔多长时刻测试连接一次，心跳间隔在1-5

28、秒之间心跳接入方式：支持直连或非直连，当选择直连时用直连网线或串口线将2台服务器的心跳接口连接即可；当选择非直连时不需要对2台服务器进行连接，但需要在心跳IP处输入对端服务器的IP地址即可心跳接口：提供的监听心跳的接口心跳IP:对端服务器的IP地址配置完成后点击确定，提示重启。点击“取消”，工作方式与集群角色重置。配置实例：以下我们分不按不同的心跳接入方式，讲明一下具体如何配置：首先修改机器的名称，以保证2台签名服务器的机器名称不能重复以下几点需要注意：机器名称在工作方式关闭的情况下才能够修改修改机器名称后需要重启机器才能生效前题条件：主机：IP：74主机名称：ha174备机：IP：75备机名

29、称：ha175虚拟IP：9IP地址依照实际情况修改，只要保证在同一网段内就能够。机器名字用SSH工具登录后能够用show hostname查询配置实例（1）：非直连方式主机配置：备机配置：注：配置完成后重启主机和备机配置实例（2）：网线直连方式前提：将2台签名服务器的eth1口用网线连接主机配置：备机配置：注：配置完成后重启主机和备机配置实例（2）：串口直连方式前提：将2台签名服务器的串口用串口线连接主机配置：备机配置：注：配置完成后重启主机和备机网络诊断治理治理员能够依照网络诊断命令测试网络是否使用正常，能够通过Ping、Traceroute、Telnet命令来检测。Ping命令需要输入IP地址和Ping的次数，界面如下：Traceroute命令 选择Traceroute 命令，测试是否时刻戳服务器与所执行的IP通过网关，通过的网关IP是多少。输入IP格式如：94假如过网关显示如下：过的网关IP如图是54点击“取消”则取消现有操作。Telnet命令，测试是否网关与Telnet服务相通，Telnet成功的界面如下。假如Telnet不成功，界面如下：点击“取消”则取消现有操作。SNMP服务治理SNMP是简单网络治理协议，该协议能够支持监测连接到网络上的设备的任何需要关注的情况。SNMP配置页面如下：在“服务自动启动”一项不勾选的情况下，我们也能够