时间戳服务器.docx

时间戳服务器管理员手册V2.0.23_sp1长春吉大正元信息技术股份有限公司JilinUniversityInformationTechnologiesCo.,Ltd.目录1 .引言31.1. 概述31.2. 定义32 .安装配置42.1. 介绍42.1.1. V200042.2. 连接安装43 .功能详解及使用方法63.1. 可信时间戳管理63.1.1. 管理可信时间源错误!未定义书签。3.1.2. 证书管理63.1.3. 时间戳数据管理93.1.4. 服务监控103.1.5. 权限管理123.1.6. 业务日志123.2. 系统管理143.2.1. 站点证书管理错误!未定义书签。322. 信任根证书管理错误!未定义书签。323. 3.权限管理18324. 数据库配置18325. 5.许可证配置193.3. 设备管理193.3.1. 网络设置193.3.2. HA服务管理.223.3.3. 网络诊断管理253.3.4. SNMP服务管理.263.3.5. 系统监控273.3.6. 网络监控283.37系统时间设置293.4. 系统保护293.4.1. 系统备份错误!未定义书签。3.4.2. 系统恢复错误!未定义书签。3.4.3. 系统升级错误!未定义书签。3.5. 审计管理303.6. 查看审计信息错误!未定义书签。3.7. 2.更新安全审计员证书错误!未定义书签。4. 常见问题解答(FAQ)344.1. 服务安装后无法启动344.2. 服务启动后无法进入管理界面341 .引言1.1. 概述随着互联网浪潮的到来，电子交易已逐步进入我们的生活，电子购物将逐步成为我们生活的一部分。随着电子交易的普及，电子交易的安全逐步成为人们关注的主题。那么如何确保电子交易的交易安全呢？目前普遍使用的是公钥基础设施（PKDoPKl能够在电子化社会中建立人们之间的信任关系。但是要保证交易的防抵赖，依靠单纯的数字签名技术是无法实现的。由于要实现防抵赖，不仅需要对交易数据进行数字签名，还务必保证此交易数据在某一时间（之前）的存在性（Proof-Of-Existence）0通常这要借助于时间戳来解决。由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个可信任的第三方一一时间戳权威（TinleStampAuthority-TSA）,来提供可信赖的且不可抵赖的时间戳服务。TSA的要紧功能是提供可靠的时间信息，证明某份文件（或者某条信息）在某个时间（或者往常）存在，防止用户在这个时间前或者时间后伪造数据进行欺骗活动。1.2. 定义 Cinas：吉大正元应用安全支撑整个产品线名称。 数字签名：被签发数据的哈希值通过私钥加密后的结果。通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相参照，就能验证数字签名。 数字证书：用于验证需认证者的标识信息与其公钥对应关系的一种数字文档。 哈希（HaSh）：通过对原文进行单向哈希函数运算得到的定长字符串，原文不一致哈希值就不一致，通过哈希值无法还原出原文。 PKCS7：RSA实验室有关加密消息语法标准。 TSA：TimeStampAUlhOrity（时间戳权威）一个提供可信赖的且不可抵赖的时间戳服务的可信任第三方 PKI:PubicKeyInfraStrUCtUre的缩写。是一种遵循标准的利用公钥加密技术为保护数据提供一套安全基础平台的技术与规范。用户可利用PKI平台提供的服务进行安全的数据交换或者通信。PKl的基础技术包含加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 身份认证：与传统的信息交换不一致，参与网上信息交换的各方没有实际见面，任何一方都有被冒充的可能，因此安全应用系统务必使用某种机制，使能够确认对方的身份。 数据的保密：在许多应用中，信息的内容是需要严格保密的，但是在网络上，网络侦听技术使数据的获取变得十分容易，因此对信息的加密是安全应用系统重要的特点。 防止篡改数据：由于网络的公开特性，使得信息提供者以外的人修改信息成为可能。如何防止他人篡改信息是安全应用系统需要解决的一个重要问题。2 .安装配置2.1. 介绍ethethl吉大正元时间戳服务器V2000背面提供两个网络接口，分别为ethO,ethloETHO：业务端口（默认ip：192.168.9.110,子网掩码：255.255.255.0）,是用户访问应用的入口。ETH1：管理端口（默认ip：192.168.8.110,子网掩码：255.255.255.0）。2.2. 连接安装管理员登陆登录成功后显不如卜页面:3 .功能详解及使用方法吉大正元时间戳服务器满足时间戳签发的基本要求，它使用精确的时间源、高强度高标准的安全机制、能够为用户提供精确的、可信赖的且不可抵赖的时间戳服务，时间戳服务器包含的要紧内容有可信时间戳管理、系统管理、设备管理、系统保护、审计管理3.1. 可信时间戳管理该模块是时间戳服务器的核心功能，包含时间戳签名证书的申请配置、时间戳数据查询、服务监控、更新管理员证书、查询业务日志3.1.1. 证书管理证书管理模块要紧是进行时间戳证书的申请与配置与签名算法的设置3.1.1.1. 证书叁数配注意：时间戳证书的签发模板中要注意如下配置：在标准扩展域中需要有“增强型密钥用法”这一项，且选择该项中的“时间戳(timestamping)”这个值，类型为“关键”如I：吉大正元的CA时间戳模板配置注意如下几项：0<三iw三IXlt*OBMUiI(MrvwrAum)OMfkiiaEAuth)O代雁(teS*9fF)O三F(m4Prtect>on)E!K(HStrMn9)OOCSf型(OCSPS当进行时间戳证书配置的时候要先添加一个证书标识，然后再继续配置对应的时间戳根证书，点击添加时间戳证书按钮进入时间戳信息配置页面如下图添加完证书名称后点储存按钮显示如下页面颁发机构证书配置:这里是时间戳证书的颁发机构证书的配置页面，在配置时间戳证书时需要将现有的时间戳证书的根证书导入进来。该配置的要紧目的是验证导入的时间戳证书由指定机构签发。证书申请系统通过本申请生成密钥对并封装申请CDS证书的申请书。在证书配置页面点击“申请证书”按钮进入时间戳证书申请页面如下图:在这里管理员需要填写证书主题、加密算法、密钥长度后点击产生按钮就能够生成证书申请书。管理员能够拷贝申请书内容到CA去生成CDS证书，证书配置：这里签名证书的显示与导入页面，如下图：> 证书显示这里能够显示当前时间戳证书的信息，如：主题、序列号、颁发者、有效起始日期、有效终止日期与签名算法。> 证书导入导入时间戳证书是指从本地的系统中，将得到的证书上传到服务器。能够导入的签名证书有两种类型，X509证书与PKCS12证书。在签名证书申请书处生成的签名证书申请书，经CA签发回来.cer（X509证书）文件后，通过浏览按钮导入。也能够直接导入.pfx证书（PKCSI2证书）作为签名证书。X509证书导入页面如下图：凝*机科证栩ES当RSE书值用R三三序列号ta发青支旗起的日明有效IK止日期更射证书证书类81G）X509证书OPFXiiE书证书«».I1111PKCS12证书导入页面如下图，与X509格式不一致的是需要输入保护口令当前证书信息三三序加像漠者有效起始日期有效It止日期茎名菖法5三fi证书类型OXSO9证书G>m证梏SHS文件'If¾fcI但沪口令11_I当选PFl证书时要求喻入Q令）一!g"l申证书注意在导入证书时，系统会验证欲导入证书的有效期与密钥用法是否具有签名功能以保证导入证书具有有效的签名功能，从而提高了系统的安全性。3.1.2. 时间戳数据管理这里是申请时间戳数据的查询与查看模块，能够根据不一致的查询条件查询满足条件的时间戳记录3.1.2.1. 查看时间戳数据按流水号查询结果如下（支持模糊查询）：新号:20090Q1410054)86.开领问 II时硒W1匡亩V结束时间| （¾七只有一条记录被找到年号4水号拉法梦笈时田120090903-141005-086-1027SHAl2009-09-0314:10:05.0CMS9Q只有一条记录被找到按时间戳类型查询如下：Q当的位置时一匕安至曾登一时4就和8就号:|IMB.开ftBW匚给则同：|.博KM条记录诩沟.本页翌示第1到第20条记录首页/上一英】L2,3.<5,8【下一页/尾页】序号叵水号Mtia时间Cl类也120090907-101507-392-12SHAl2009-09-0710:15:07.0SignCode9220090907-101424-988-1001SHAl2009-09-0710:14:24.0SignCode9320090903-14l5-O86-1027SHAl2009-09-0314:10:05.0CMS9420090903-140713-1141026SHAl200909-0314:07:13.0CHS9520090903-140624.533-1025SHAl200909-0314:06:24.0CHS9620090903-1356267001024SHAl2009-09)313:56:26.0CMS9720090903-135519-754-1023SHAl200909-0313:55:19.0CMSQ820090903-135149-414-1022SHAl2009-09-0313:51:49.0CHS920090903-135134-954-1021SHAl2009-09-0313:51:34.0CMSQ1020090903-135114-173-1020SHAl2009-09-0313:51:14.0CMS91120090903-135104-337-1019SHAl2009-09-0313:51:04.0CHSQ1220090903-135038-621-1018SHAl2009-09-0313:50:38.0CHS9图一透水号:|时I®强笑型S<qnCode开M间|络束时淘|逛询7条记象被找到.本更显示金虞记录CfqQqQQQ一¥999999序号IS水号要复笈签发时同时日戮突曼120090907-101507-392-1002SHAl2009-09-0710:1