吉大正元时间戳服务器管理员手册V2.0.23_sp1长春吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.目录1. 引言 (3)1.1. 概述 (3)1.2. 定义 (3)2. 安装配置 (5)2.1. 介绍 (5)2.1.1.V2000 (5)2.2. 连接安装 (5)3. 功能详解及使用方法 (7)3.1. 可信时间戳管理 (7)3.1.1.管理可信时间源........................................................................................................ 错误!未定义书签。

3.1.2.证书管理 (7)3.1.3.时间戳数据管理 (10)3.1.4.服务监控 (12)3.1.5.权限管理 (14)3.1.6.业务日志 (14)3.2. 系统管理 (16)3.2.1.站点证书管理 ........................................................................................................... 错误!未定义书签。

3.2.2.信任根证书管理........................................................................................................ 错误!未定义书签。

3.2.3.权限管理 (20)3.2.4.数据库配置 (20)3.2.5.许可证配置 (21)3.3. 设备管理 (21)3.3.1.网络设置 (21)3.3.2.HA服务管理 (25)3.3.3.网络诊断管理 (29)3.3.4.SNMP服务管理 (30)3.3.5.系统监控 (31)3.3.6.网络监控 (32)3.3.7.系统时间设置 (32)3.4. 系统维护 (33)3.4.1.系统备份 ................................................................................................................... 错误!未定义书签。

3.4.2.系统恢复 ................................................................................................................... 错误!未定义书签。

3.4.3.系统升级 ................................................................................................................... 错误!未定义书签。

3.5. 审计管理 (34)3.5.1.查看审计信息 ........................................................................................................... 错误!未定义书签。

3.5.2.更新安全审计员证书................................................................................................ 错误!未定义书签。

4. 常见问题解答(FAQ) (37)4.1. 服务安装后无法启动 (37)4.2. 服务启动后无法进入管理界面 (37)1.引言1.1. 概述随着互联网浪潮的到来，电子交易已逐渐进入我们的生活，电子购物将逐渐成为我们生活的一部分。

随着电子交易的普及，电子交易的安全逐渐成为人们关注的主题。

那么如何确保电子交易的交易安全呢？目前普遍采用的是公钥基础设施（PKI）。

PKI可以在电子化社会中建立人们之间的信任关系。

但是要保证交易的防抵赖，依靠单纯的数字签名技术是无法实现的。

因为要实现防抵赖，不仅需要对交易数据进行数字签名，还必须保证此交易数据在某一时间(之前)的存在性（Proof-of-Existence）。

通常这要借助于时间戳来解决。

由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个可信任的第三方——时间戳权威（Time Stamp Authority—TSA），来提供可信赖的且不可抵赖的时间戳服务。

TSA 的主要功能是提供可靠的时间信息，证明某份文件（或某条信息）在某个时间(或以前)存在，防止用户在这个时间前或时间后伪造数据进行欺骗活动。

1.2. 定义●Cinas：吉大正元应用安全支撑整个产品线名称。

●数字签名：被签发数据的哈希值经过私钥加密后的结果。

通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照，就能验证数字签名。

●数字证书：用于验证需认证者的标识信息与其公钥对应关系的一种数字文档。

●哈希(Hash) ：通过对原文进行单向哈希函数运算得到的定长字符串，原文不同哈希值就不同，通过哈希值无法还原出原文。

●PKCS7：RSA实验室有关加密消息语法标准。

●TSA：Time Stamp Authority（时间戳权威）一个提供可信赖的且不可抵赖的时间戳服务的可信任第三方●PKI：Pubic Key Infrastructure的缩写。

是一种遵循标准的利用公钥加密技术为保护数据提供一套安全基础平台的技术和规范。

用户可利用PKI平台提供的服务进行安全的数据交换或通信。

PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

●身份认证：与传统的信息交换不同，参与网上信息交换的各方没有实际见面，任何一方都有被冒充的可能，所以安全应用系统必须采用某种机制，使能够确认对方的身份。

●数据的保密：在许多应用中，信息的内容是需要严格保密的，但是在网络上，网络侦听技术使数据的获取变得十分容易，因此对信息的加密是安全应用系统重要的特点。

防止篡改数据：由于网络的公开特性，使得信息提供者以外的人修改信息成为可能。

如何防止他人篡改信息是安全应用系统需要解决的一个重要问题。

2.安装配置2.1. 介绍2.1.1.V2000eth0 eth1吉大正元时间戳服务器V2000背面提供两个网络接口，分别为eth0,eth1。

ETH0：业务端口（默认ip：192.168.9.110，子网掩码：255.255.255.0），是用户访问应用的入口。

ETH1：管理端口（默认ip：192.168.8.110，子网掩码：255.255.255.0）。

2.2. 连接安装管理员登陆在浏览器地址栏输入https://192.168.9.110:6443，选择系统默认的管理员证书normal。

登录成功后显示如下页面：任意一台普通PC机器连接服务器启动服务器电源进入管理员界面修改服务器IP地址接入内网交换机访问应用1.修改机器IP：192.168.8.111，子网掩码：255.0.0.0，使用自带网线，与服务器管理端口（ETH1）相连2.按下服务器背面黑色电源。

3.安装normal证书，访问https:// 192.168.8.110:6443，进入管4.点击左侧资源树：“设备管理”->“网络配置”修改机器IP地址5.修改服务器IP成功后，设备业务网口接入内网交换机6. 访问https://修改后的IP:64433.功能详解及使用方法吉大正元时间戳服务器满足时间戳签发的基本要求，它采用精确的时间源、高强度高标准的安全机制、能够为用户提供精确的、可信赖的且不可抵赖的时间戳服务，时间戳服务器包括的主要内容有可信时间戳管理、系统管理、设备管理、系统维护、审计管理3.1. 可信时间戳管理该模块是时间戳服务器的核心功能，包括时间戳签名证书的申请配置、时间戳数据查询、服务监控、更新管理员证书、查询业务日志3.1.1.证书管理证书管理模块主要是进行时间戳证书的申请和配置以及签名算法的设置3.1.1.1. 证书参数配置注意：时间戳证书的签发模板中要注意如下配置：在标准扩展域中需要有“增强型密钥用法”这一项，且选择该项中的“时间戳(timeStamping)”这个值，类型为“关键”如：吉大正元的CA时间戳模板配置注意如下几项：当进行时间戳证书配置的时候要先添加一个证书标识，然后再继续配置对应的时间戳根证书，点击添加时间戳证书按钮进入时间戳信息配置页面如下图添加完证书名称后点保存按钮显示如下页面颁发机构证书配置：这里是时间戳证书的颁发机构证书的配置页面，在配置时间戳证书时需要将现有的时间戳证书的根证书导入进来。

该配置的主要目的是验证导入的时间戳证书由指定机构签发。

证书申请系统通过本申请生成密钥对并封装申请CDS证书的申请书。

在证书配置页面点击“申请证书”按钮进入时间戳证书申请页面如下图：在这里管理员需要填写证书主题、加密算法、密钥长度后点击产生按钮就可以生成证书申请书。

管理员可以拷贝申请书内容到CA去生成CDS证书，证书配置：这里签名证书的显示和导入页面，如下图：➢证书显示这里可以显示当前时间戳证书的信息，如：主题、序列号、颁发者、有效起始日期、有效终止日期和签名算法。

➢证书导入导入时间戳证书是指从本地的系统中，将得到的证书上传到服务器。

可以导入的签名证书有两种类型，X509证书和PKCS12证书。

在签名证书申请书处生成的签名证书申请书，经CA签发回来.cer（X509证书）文件后，通过浏览按钮导入。

也可以直接导入.pfx证书（PKCS12证书）作为签名证书。

X509证书导入页面如下图：PKCS12证书导入页面如下图，与X509格式不同的是需要输入保护口令注意在导入证书时，系统会验证欲导入证书的有效期以及密钥用法是否具有签名功能以保证导入证书具有有效的签名功能，从而提高了系统的安全性。

3.1.2.时间戳数据管理这里是申请时间戳数据的查询和查看模块，可以根据不同的查询条件查询满足条件的时间戳记录3.1.2.1. 查看时间戳数据按流水号查询结果如下（支持模糊查询）：按时间戳类型查询如下：图一图二图三按时间段进行查询，结果如下：3.1.2.2. 归档策略设置在这里可以对时间戳数据按设置的策略进行定时的归档3.1.2.3. 归档记录在该页面可以查看时间戳数据的归档记录3.1.3.服务监控这个模块主要是对申请时间戳业务和验时间戳业务数进行实时监控和统计申请服务监控，如下图：验证服务监控，如下图：3.1.4.权限管理该模块的功能是更新当前使用的管理员证书，在导入管理员证书前需要先在系统管理-》管理员颁发机构证书管理模块加入管理员证书的根证书，管理员更新后重新登陆生效，管理员更新页面如下：3.1.5.业务日志3.1.5.1. 时间戳业务日志在这个模块可以根据时间、客户端IP、证书主题查询时间戳的业务日志，查询结果如下：按开始和结束时间查询，结果如下：按证书主题查询，结果如下：3.1.5.2. 归档策略设置在这里可以对业务日志数据按设置的策略进行定时的归档3.1.5.3. 归档记录在该页面可以查看业务日志的归档记录3.1.5.4. 设置业务日志规则在这个页面设置是否记录申请时间戳业务成功或失败的日志，当复选框被选中时记录相应的日志，如下图：3.2. 系统管理3.2.1.1. 站点证书申请这里是站点证书的申请页面。