时间戳服务器管理员手册

吉大正元时间戳服务器
管理员手册
V2.0.23_sp1
长春吉大正元信息技术股份有限公司
Jilin University Information TechnologiesCo., Ltd.
目录
1.引言3
1.1.概述3
1.2.定义3
2.安装配置4
2.1.介绍4
2.1.1.V20004
2.2.连接安装4
3.功能详解及使用方法6
3.1.可信时间戳管理6
3.1.1.管理可信时间源错误!未定义书签。

3.1.2.证书管理6
3.1.3.时间戳数据管理9
3.1.
4.服务监控10
3.1.5.权限管理12
3.1.6.业务日志12
3.2.系统管理14
3.2.1.站点证书管理错误!未定义书签。

3.2.2.信任根证书管理错误!未定义书签。

3.2.3.权限管理18
3.2.
4.数据库配置18
3.2.5.许可证配置19
3.3.设备管理19
3.3.1.网络设置19
3.3.2.HA服务管理22
3.3.3.网络诊断管理25
3.3.
4.SNMP服务管理26
3.3.5.系统监控27
3.3.6.网络监控28
3.3.7.系统时间设置29
3.4.系统维护29
3.4.1.系统备份错误!未定义书签。

3.4.2.系统恢复错误!未定义书签。

3.4.3.系统升级错误!未定义书签。

3.5.审计管理30
3.5.1.查看审计信息错误!未定义书签。

3.5.2.更新安全审计员证书错误!未定义书签。

4.常见问题解答(FAQ)34
4.1.服务安装后无法启动34
4.2.服务启动后无法进入管理界面34
1.引言
1.1. 概述
随着互联网浪潮的到来，电子交易已逐渐进入我们的生活，电子购物将逐渐成为我们生活的一部分。

随着电子交易的普及，电子交易的安全逐渐成为人们关注的主题。

那么如何确保电子交易的交易安全呢？目前普遍采用的是公钥基础设施（PKI）。

PKI可以在电子化社会中建立人们之间的信任关系。

但是要保证交易的防抵赖，依靠单纯的数字签名技术是无法实现的。

因为要实现防抵赖，不仅需要对交易数据进行数字签名，还必须保证此交易数据在某一时间(之前)的存在性（Proof-of-Existence）。

通常这要借助于时间戳来解决。

由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个可信任的第三方——时间戳权威（Time Stamp Authority—TSA），来提供可信赖的且不可抵赖的时间戳服务。

TSA的主要功能是提供可靠的时间信息，证明某份文件（或某条信息）在某个时间(或以前)存在，防止用户在这个时间前或时间后伪造数据进行欺骗活动。

1.2. 定义
●Cinas：吉大正元应用安全支撑整个产品线名称。

●数字签名：被签发数据的哈希值经过私钥加密后的结果。

通过把使用公钥对数字签名解密得到的
值与原始数据的哈希值相对照，就能验证数字签名。

●数字证书：用于验证需认证者的标识信息与其公钥对应关系的一种数字文档。

●哈希(Hash) ：通过对原文进行单向哈希函数运算得到的定长字符串，原文不同哈希值就不同，
通过哈希值无法还原出原文。

●PKCS7：RSA实验室有关加密消息语法标准。

●TSA：Time Stamp Authority（时间戳权威）一个提供可信赖的且不可抵赖的时间戳服务的可信
任第三方
●PKI：Pubic Key Infrastructure的缩写。

是一种遵循标准的利用公钥加密技术为保护数据提供
一套安全基础平台的技术和规范。

用户可利用PKI平台提供的服务进行安全的数据交换或通信。

PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

●身份认证：与传统的信息交换不同，参与网上信息交换的各方没有实际见面，任何一方都有被冒
充的可能，所以安全应用系统必须采用某种机制，使能够确认对方的身份。

●数据的保密：在许多应用中，信息的内容是需要严格保密的，但是在网络上，网络侦听技术使数
据的获取变得十分容易，因此对信息的加密是安全应用系统重要的特点。

●防止篡改数据：由于网络的公开特性，使得信息提供者以外的人修改信息成为可能。

如何防止他
人篡改信息是安全应用系统需要解决的一个重要问题。

2. 安装配置
2.1. 介绍
2.1.1.
V2000
eth0 eth1
吉大正元时间戳服务器V2000背面提供两个网络接口，分别为 eth0,eth1。

ETH0：业务端口（默认ip ：192.168.9.110，子网掩码：255.255.255.0），是用户访问应用的入口。

ETH1：管理端口（默认ip ：192.168.8.110，子网掩码：255.255.255.0）。

2.2. 连接安装
任意一台普通PC 机
器
连接服务器
启动服务器电源
进入管理员界面
修改服务器IP 地址
接入内网交换机
访问应用
1.修改机器IP ：19
2.168.8.111，子网掩码：255.0.0.0，使用自带网线，与服务器管理端口（ETH1）相连
2.按下服务器背面黑色电源。

3.安装normal 证书，访问https:// 192.168.8.110:6443，进入管
4.点击左侧资源树：“设备管理”->“网络配置”修改机器IP 地址
5.修改服务器IP 成功后，设备业务网口接入内网交换机
6. 访问https://修改后的IP:6443
管理员登陆
在浏览器地址栏输入https://192.168.9.110:6443，选择系统默认的管理员证书normal。

登录成功后显示如下页面：
3.功能详解及使用方法
吉大正元时间戳服务器满足时间戳签发的基本要求，它采用精确的时间源、高强度高标准的安全机制、能够为用户提供精确的、可信赖的且不可抵赖的时间戳服务，时间戳服务器包括的主要内容有可信时间戳管理、系统管理、设备管理、系统维护、审计管理
3.1. 可信时间戳管理
该模块是时间戳服务器的核心功能，包括时间戳签名证书的申请配置、时间戳数据查询、服务监控、更新管理员证书、查询业务日志
3.1.1.证书管理
证书管理模块主要是进行时间戳证书的申请和配置以及签名算法的设置
3.1.1.1. 证书参数配置
注意：时间戳证书的签发模板中要注意如下配置：
在标准扩展域中需要有“增强型密钥用法”这一项，且选择该项中的“时间戳(timeStamping)”这个值，类型为“关键”
如：吉大正元的CA时间戳模板配置注意如下几项：
当进行时间戳证书配置的时候要先添加一个证书标识，然后再继续配置对应的时间戳根证书，点击添加时间戳证书按钮进入时间戳信息配置页面如下图
添加完证书名称后点保存按钮显示如下页面
颁发机构证书配置：
这里是时间戳证书的颁发机构证书的配置页面，在配置时间戳证书时需要将现有的时间戳证书的根证书导入进来。

该配置的主要目的是验证导入的时间戳证书由指定机构签发。

证书申请
系统通过本申请生成密钥对并封装申请CDS证书的申请书。

在证书配置页面点击“申请证书”按钮进入时间戳证书申请页面如下图：
在这里管理员需要填写证书主题、加密算法、密钥长度后点击产生按钮就可以生成证书申请书。

管理员可以拷贝申请书内容到CA去生成CDS证书，
证书配置：
这里签名证书的显示和导入页面，如下图：
➢证书显示
这里可以显示当前时间戳证书的信息，如：主题、序列号、颁发者、有效起始日期、有效终止日期和签名算法。

➢证书导入
导入时间戳证书是指从本地的系统中，将得到的证书上传到服务器。

可以导入的签名证书有两种类型，X509证书和PKCS12证书。

在签名证书申请书处生成的签名证书申请书，经CA签发回来.cer（X509证书）文件后，通过浏览按钮导入。

也可以直接导入.pfx证书（PKCS12证书）作为签名证书。

X509证书导入页面如下图：
PKCS12证书导入页面如下图，与X509格式不同的是需要输入保护口令
注意
在导入证书时，系统会验证欲导入证书的有效期以及密钥用法是否具有签名功能以保证导入证书具有有效的签名功能，从而提高了系统的安全性。

3.1.2.时间戳数据管理
这里是申请时间戳数据的查询和查看模块，可以根据不同的查询条件查询满足条件的时间戳记录
3.1.2.1. 查看时间戳数据
按流水号查询结果如下（支持模糊查询）：
按时间戳类型查询如下：
图一
图二
图三
按时间段进行查询，结果如下：
3.1.2.2. 归档策略设置
在这里可以对时间戳数据按设置的策略进行定时的归档
3.1.2.3. 归档记录
在该页面可以查看时间戳数据的归档记录
3.1.3.服务监控
这个模块主要是对申请时间戳业务和验时间戳业务数进行实时监控和统计申请服务监控，如下图：
验证服务监控，如下图：
3.1.
4.权限管理
该模块的功能是更新当前使用的管理员证书，在导入管理员证书前需要先在系统管理-》管理员颁发机构证书管理模块加入管理员证书的根证书，管理员更新后重新登陆生效，管理员更新页面如下：
3.1.5.业务日志
3.1.5.1. 时间戳业务日志
在这个模块可以根据时间、客户端IP、证书主题查询时间戳的业务日志，查询结果如下：
按开始和结束时间查询，结果如下：
按证书主题查询，结果如下：
3.1.5.2. 归档策略设置
在这里可以对业务日志数据按设置的策略进行定时的归档
3.1.5.3. 归档记录
在该页面可以查看业务日志的归档记录
3.1.5.
4. 设置业务日志规则
在这个页面设置是否记录申请时间戳业务成功或失败的日志，当复选框被选中时记录相应的日志，如下图：
3.2. 系统管理
3.2.1.1. 站点证书申请
这里是站点证书的申请页面。

管理员需要填写证书主题，选择密钥长度，填充私钥保护口令和确认保护口令，点击产生按钮就可以生成服务器证书申请书。

图3.2
配置项：
证书主题：所要生成证书的证书主题，例如：“c=cn”。

密钥长度：设置生成证书所使用的密钥的长度。

私钥保护口令：设置私钥保护口令。

确认私钥的保护口令：对已经输入的私钥保护口令进行确认。

3.2.1.2. 站点证书配置
这里是站点证书的显示与导入页面。

➢站点证书的显示
这里可以显示当前站点证书的信息，如：序列号、签名算法、颁发者主题、有效起始日期、有效终止日期和证书主题。

➢站点证书导入
导入站点证书是指从本地的系统中，将得到的证书上传到服务器。

可以导入的站点证书有两种类型，X509证书和PKCS12证书。

在站点证书申请书处生成的站点证书申请书，经CA签发回来.cer（X509证书）文件后，通过浏览按钮导入。

也可以直接导入.pfx证书（PKCS12证书）作为站点证书。

图1为X509证书的导入。

图2 为PKCS12证书的导入页面，与X509证书导入相比，多了一项输入保护口令，是指输入PKCS12证书的保护口令。

➢注意：
如果想这部分配置后生效，需要重新启动数字签名服务器。

图1 X509 证书导入
图2PKCS12 证书导入
3.2.2.管理员颁发机构证书管理
这里配置管理员颁发机构证书是与管理员证书相对应的，在管理员登陆服务器管理时要建立双向SSL 连接，这里配置管理员证书的根证书以验证管理员的身份
3.2.2.1. 添加管理员颁发机构证书
点击“添加颁发机构证书”按钮以添加服务器信任的根证书，会弹出如下页面。

➢颁发机构证书文件：根证书文件的物理存储位置，可手动输入文件路径，也可点击“浏览”按钮选择根证书。

3.2.2.2. 删除管理员颁发机构证书
当机构证书不被信任或已失效时，管理员要进行删除根证书的操作。

点击根证书设置列表中的删除图标，（注：不能删除管理员证书对应的根证书）
3.2.2.3. 修改颁发机构证书
管理员也可以改变系统所信任的管理员颁发机构证书，点击根证书设置列表中的某个主题，进入
到修改根证页面。

（注：根证文件如果不进行更改，系统将使用原来的根证文件而不需管理员重新导入根证）
3.2.3.权限管理
该模块的功能是更新当前的系统管理员证书，在导入管理员证书前需要先在系统管理-》信任根证书管理模块加入管理员证书的根证书，管理员更新后重新登陆生效，管理员更新页面如下：
3.2.
4.数据库配置
配置时间戳服务器所需要的数据库，如下图：
3.2.5.许可证配置
这里是产品许可证的配置管理界面，在导入新的许可证之前可以先点预览按钮预览一下许可证是否有效
3.3. 设备管理
3.3.1.网络设置
3.3.1.1. IP设置
可以对系统每个网口的IP地址进行修改，如下图：
3.3.1.2. 本地HOST设置
本地Hosts即时间戳服务器本地Hosts文件。

用来解析“用域名方式配置的应用”的域名和IP对应关系。

在“用IP方式配置的应用”情况下，在本地hosts文件中给该应用IP随意对应一个域名，也有助于加快访问后台应用的速度。

3.3.1.3. 静态路由设置
静态路由：指定时间戳服务器访问某个网络内的应用时，需要将数据转发给哪个设备。

该设备用IP 地址来标识，且必须和时间戳服务器的某一个接口IP在同一个网段内，称为“下一跳”。

配置静态路由的要素有三项：目的网络、目的子网掩码、下一跳IP地址。

例如，某静态路由配置如下：
120.120.0.0 255.255.0.0 192.168.9.200 ，则含义为，网关想要访问120.120.0.0/24网络
内的应用，需要将数据转发给192.168.9.200的这个IP。

路由的设定，可以是计算机之间跨网段通信。

主要用于定义封包的走向，如下图：
如图所示，目标网络为192.168.0.0，掩码为255.255.255.0的数据包网关地址为192.168.9.254，数据包通过eth0流出。

ETH0口的默认网关是192.168.9.254，配置静态路由时网关要配成与ETH0的默认网关
ETH1没有默认网关，配置ETH1的静态路由时网关配成与ETH1同一网段即可
3.3.2.可信时间源管理
该模块主要是设置一个外部可信的时间源服务器，进行自动或手动同步时间戳服务器的时间，保证能够为用户提供精确的、可信赖的且不可抵赖的时间戳服务，如下图：
3.3.2.1. 查看时间同步历史
在该页面可以根据时间或同步结果查询到从时间源服务器自动同步的历史记录，按时间查询结果：
按同步结果查询结果：
3.3.2.2. 设置可信时间源
该页面进行NTP时间服务器的配置，正确的配置了NTP时间服务器的地址后，就可以定时的到时间源服务器上同步时间，可以配置主时间服务器和备用时间服务器，默认先从主时间服务器上同步时间，当主的有问题的情况下会连接备用时间服务器进行同步如下图：
配置项:
时间同步模式：包括禁止同步和NTP自动同步。

禁止同步：不从时间源服务器同步时间；
NTP自动同步：会按着默认的同步周期自动的从时间服务器上同步时间到时间戳服务器
主NTP时间服务器地址：主时间源服务器的IP地址
主NTP服务器协议版本：主时间源服务器支持的协议版本号
备用NTP时间服务器地址：备用时间源服务器的IP地址
备用NTP服务器协议版本：备用时间源服务器支持的协议版本号
3.3.2.3. 手工同步设备时间
支持手工从时间源服务器同步时间，在手工同步设备时间页面点“同步设备时间“即可，如下图：
3.3.3.HA服务管理
HA也称为双机热备，当主机设备出现崩溃或发生宕机、断网等异常情况下，使签名服务器能够自动从主机设备切换到备机工作，使用户能够正常使用服务器，当主机服务恢复正常的时候就会自动切换回主机进行工作
默认的情况下HA的工作方式处于关闭状态，当处于关闭状态时，HA功能不起作用。

选择开启，HA功能启动，会出现下面信息：
配置项：
➢机器名称：输入英文、数字，作为机器名称，来标识这台签名服务器
➢工作方式：开启状态下签名服务器会处于HA模式下工作，关闭状态签名服务器处于单机模式下对外提供服务
➢集群角色：可以选择使用的本机为主机还是备机
➢主节点名称：为主机的hostname
➢备节点名称：为备机的hostname
➢虚拟IP地址：设置可以用来进行访问的“中间IP”，与服务器出口ip在一个网段内
➢虚拟IP掩码：为虚拟IP设置的对应掩码（1-32之间整数）
➢心跳间隔：设置间隔多长时间测试连接一次，心跳间隔在1-5秒之间
➢心跳接入方式：支持直连或非直连，当选择直连时用直连网线或串口线将2台服务器的心跳接口连接即可；当选择非直连时不需要对2台服务器进行连接，但需要在心跳IP处输入对端服务器的IP地址即可
➢心跳接口：提供的监听心跳的接口
➢心跳IP:对端服务器的IP地址
配置完成后点击确定，提示重启。

点击“取消”，工作方式与集群角色重置。

配置实例：
以下我们分别按不同的心跳接入方式，说明一下具体如何配置：
首先修改机器的名称，以保证2台签名服务器的机器名称不能重复
以下几点需要注意：
1.机器名称在工作方式关闭的情况下才可以修改
2.修改机器名称后需要重启机器才能生效
前题条件：
主机：IP：192.168.9.174主机名称：ha174
备机：IP：192.168.9.175备机名称：ha175
虚拟IP：192.168.9.99
IP地址根据实际情况修改，只要保证在同一网段内就可以。

机器名字用SSH工具登录后可以用show hostname查询
配置实例（1）：非直连方式
主机配置：
备机配置：
注：配置完成后重启主机和备机
配置实例（2）：网线直连方式
前提：将2台签名服务器的eth1口用网线连接主机配置：
备机配置：
注：配置完成后重启主机和备机
配置实例（2）：串口直连方式
前提：将2台签名服务器的串口用串口线连接主机配置：
备机配置：
注：配置完成后重启主机和备机
3.3.
4.网络诊断管理
管理员可以根据网络诊断命令测试网络是否使用正常，可以通过Ping、Traceroute、Telnet命令来检测。

Ping命令需要输入IP地址和Ping的次数，界面如下：
Traceroute命令
选择Traceroute 命令，测试是否时间戳服务器与所执行的IP经过网关，经过的网关IP是多少。

输入IP格式如：172.16.7.194
如果过网关显示如下：
过的网关IP如图是192.168.9.254
点击“取消”则取消现有操作。

Telnet命令，测试是否网关与Telnet服务相通，Telnet成功的界面如下。

如果Telnet不成功，界面如下：
点击“取消”则取消现有操作。

3.3.5.SNMP服务管理
SNMP是简单网络管理协议，该协议能够支持监测连接到网络上的设备的任何需要关注的情况。

SNMP配置页面如下：
在“服务自动启动”一项不勾选的情况下，我们也可以手动的打开或关闭SNMP服务，在如下的页面中直接点击打开或关闭按钮：
在“服务自动启动”勾选的情况下，每次重新启动服务的时候SNMP服务就会自动启动
3.3.6.系统监控
系统监控功能会对时间戳服务器硬件信息进行实时监控，监控信息为cpu、内存、硬盘使用情况。

管理员可以设置刷新的频率，设置界面如下：
CPU使用信息：
硬盘使用信息：
内存使用信息：
3.3.7.网络监控
网络监控是对当前的网络流量进行监控。

对eth0口和eth1口分别进行监控。

Eth0口的监控界面如下：
Eth1口的监控界面如下：
3.3.8.系统时间设置
这里是显示当前时间戳服务器的系统时间，并且可以修改系统时间。

3.3.9.设备起停
这里是服务启停的页面，主要有两项功能：重启机器和关闭机器。

3.4. 系统维护
3.4.1.系统备份
备份功能可以将用户的当前系统配置全部备份到一个文件中，以便发生错误时可以恢复到当前状态。

（在备份时系统要重新启动）；如下图：
对备份文件列表中的备份文件可以下载、恢复或者删除。

3.4.2.系统恢复
恢复操作可以使系统恢复到某一个备份的状态，点击浏览，选择需要恢复的文件，点击恢复，重启系统，便完成恢复操作，如下图：
3.4.3.系统升级
在管理页面中点击系统升级进入数据管理系统升级页面，选中升级包，执行升级，系统自动进行升级，如下图：
注：系统升级文件后缀必须是.zip。

3.5. 审计管理
3.5.1.查看审计信息
该模块是审计信息的查看页面，审计信息主要记录的是管理员的一些增、删、改操作，可以根据不同的查询条件进行查询、打印预览、数据导出，
按开始和结束时间查询结果如下：
按客户端IP查询结果如下：
点击“打印预览”可以对查询到的信息进行预览打印，如下图：
3.5.2.归档策略设置
这里设置审计日志的归档策略，审计日志按设定的策略定时归档，如下图：
3.5.3.归档记录
在该页面可以查看审计日志的归档记录
3.5.
4.更新安全审计员证书
该模块的功能是更新当前的安全审计管理员证书，在导入管理员证书前需要先在系统管理-》信任根证书管理模块加入管理员证书的根证书，管理员更新后重新登陆生效，管理员更新页面如下：
4.常见问题解答(FAQ)
4.1. 服务安装后无法启动
1．检查控制台中是否有“JVM_Bind:6443 ”，这是由于服务用到的端口冲突造成的；服务所使用的端口（例如：6443），已经被使用；可能时间戳服务已经启动，也可能是其他程序占用该端口；一个端口只能被绑定一次。

4.2. 服务启动后无法进入管理界面
导致这个问题可能有几个原因：
1．是否安装了管理员的PFX格式证书
2．是否安装了时间戳服务器证书的根证书
3．是否设置了有效的时间戳服务器系统时间
4．如果是新添加的管理员不能登陆，请确认是否给管理员分配了权限。