文档之家
首页
教学研究
幼儿教育
高等教育
外语考试
建筑/土木
经管营销
自然科学
当前位置:
文档之家
›
时间戳服务器
时间戳服务器
格式:doc
大小:5.09 MB
文档页数:34
下载文档原格式
下载原文件
/ 34
下载本文档
合集下载
下载提示
文本预览
1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.2.
管理员登陆
在浏览器地址栏输入https://192.168.9.110:6443,选择系统默认的管理员证书normal。
登录成功后显示如下页面:
3.
吉大正元时间戳服务器满足时间戳签发的基本要求,它采用精确的时间源、高强度高标准的安全机制、能够为用户提供精确的、可信赖的且不可抵赖的时间戳服务,时间戳服务器包括的主要内容有可信时间戳管理、系统管理、设备管理、系统维护、审计管理
3.3.2.3.
支持手工从时间源服务器同步时间,在手工同步设备时间页面点“同步设备时间“即可,如下图:
3.3.3.
吉大正元时间戳服务器
管理员手册
V2.0.23_sp1
长 春 吉 大 正 元 信 息 技 术 股 份 有 限 公 司
Jilin University Information TechnologiesCo., Ltd.
1.
1.1.
随着互联网浪潮的到来,电子交易已逐渐进入我们的生活,电子购物将逐渐成为我们生活的一部分。随着电子交易的普及,电子交易的安全逐渐成为人们关注的主题。
3.2.1.2.
这里是站点证书的显示与导入页面。
站点证书的显示
这里可以显示当前站点证书的信息,如:序列号、签名算法、颁发者主题、有效起始日期、有效终止日期和证书主题。
站点证书导入
导入站点证书是指从本地的系统中,将得到的证书上传到服务器。
可以导入的站点证书有两种类型,X509证书和PKCS12证书。在站点证书申请书处生成的站点证书申请书,经CA签发回来.cer(X509证书)文件后,通过浏览按钮导入。也可以直接导入.pfx证书(PKCS12证书)作为站点证书。
3.1.2.1.
按流水号查询结果如下(支持模糊查询):
按时间戳类型查询如下:
图一
图二
图三
按时间段进行查询,结果如下:
3.1.2.2.
在这里可以对时间戳数据按设置的策略进行定时的归档
3.1.2.3.
在该页面可以查看时间戳数据的归档记录
3.1.3.
这个模块主要是对申请时间戳业务和验时间戳业务数进行实时监控和统计
ETH1没有默认网关,配置ETH1的静态路由时网关配成与ETH1同一网段即可
3.3.2.
该模块主要是设置一个外部可信的时间源服务器,进行自动或手动同步时间戳服务器的时间,保证能够为用户提供精确的、可信赖的且不可抵赖的时间戳服务,如下图:
3.3.2.1.
在该页面可以根据时间或同步结果查询到从时间源服务器自动同步的历史记录,按时间查询结果:
3.1.
该模块是时间戳服务器的核心功能,包括时间戳签名证书的申请配置、时间戳数据查询、服务监控、更新管理员证书、查询业务日志
3.1.1.
证书管理模块主要是进行时间戳证书的申请和配置以及签名算法的设置
3.1.1.1.
注意:时间戳证书的签发模板中要注意如下配置:
在标准扩展域中需要有“增强型密钥用法”这一项,且选择该项中的“时间戳(timeStamping)”这个值,类型为“关键”
禁止同步:不从时间源服务器同步时间;
NTP自动同步:会按着默认的同步周期自动的从时间服务器上同步时间到时间戳服务器
主NTP时间服务器地址:主时间源服务器的IP地址
主NTP服务器协议版本:主时间源服务器支持的协议版本号
备用NTP时间服务器地址:备用时间源服务器的IP地址
备用NTP服务器协议版本:备用时间源服务器支持的协议版本号
证书显示
这里可以显示当前时间戳证书的信息,如:主题、序列号、颁发者、有效起始日期、有效终止日期和签名算法。
证书导入
导入时间戳证书是指从本地的系统中,将得到的证书上传到服务器。
可以导入的签名证书有两种类型,X509证书和PKCS12证书。在签名证书申请书处生成的签名证书申请书,经CA签发回来.cer(X509证书)文件后,通过浏览按钮导入。也可以直接导入.pfx证书(PKCS12证书)作为签名证书。
3.2.2.3.
管理员也可以改变系统所信任的管理员颁发机构证书,点击根证书设置列表中的某个主题,进入到修改根证页面。(注:根证文件如果不进行更改,系统将使用原来的根证文件而不需管理员重新导入根证)
3.2.3.
该模块的功能是更新当前的系统管理员证书,在导入管理员证书前需要先在系统管理-》信任根证书管理模块加入管理员证书的根证书,管理员更新后重新登陆生效,管理员更新页面如下:
如:吉大正元的CA时间戳模板配置注意如下几项:
当进行时间戳证书配置的时候要先添加一个证书标识,然后再继续配置对应的时间戳根证书,点击添加时间戳证书按钮进入时间戳信息配置页面如下图
添加完证书名称后点保存按钮显示如下页面
颁发机构证书配置:
这里是时间戳证书的颁发机构证书的配置页面,在配置时间戳证书时需要将现有的时间戳证书的根证书导入进来。该配置的主要目的是验证导入的时间戳证书由指定机构签发。
这里是站点证书的申请页面。管理员需要填写证书主题,选择密钥长度,填充私钥保护口令和确认保护口令,点击产生按钮就可以生成服务器证书申请书。
图3.2
配置项:
证书主题:所要生成证书的证书主题,例如:“c=cn”。
密钥长度:设置生成证书所使用的密钥的长度。
私钥保护口令:设置私钥保护口令。
确认私钥的保护口令:对已经输入的私钥保护口令进行确认。
由于用户桌面时间很容易改变,由该时间产生的时间戳不可信赖,因此需要一个可信任的第三方——时间戳权威(Time Stamp Authority—TSA),来提供可信赖的且不可抵赖的时间戳服务。TSA的主要功能是提供可靠的时间信息,证明某份文件(或某条信息)在某个时间(或以前)存在,防止用户在这个时间前或时间后伪造数据进行欺骗活动。
图1为X509证书的导入。图2为PKCS12证书的导入页面,与X509证书导入相比,多了一项输入保护口令,是指输入PKCS12证书的保护口令。
注意:
如果想这部分配置后生效,需要重新启动数字签名服务器。
图1 X509证书导入
图2PKCS12证书导入
3.2.2.
这里配置管理员颁发机构证书是与管理员证书相对应的,在管理员登陆服务器管理时要建立双向SSL连接,这里配置管理员证书的根证书以验证管理员的身份
3.3.1.3.
静态路由:指定时间戳服务器访问某个网络内的应用时,需要将数据转发给哪个设备。该设备用IP地址来标识,且必须和时间戳服务器的某一个接口IP在同一个网段内,称为“下一跳”。配置静态路由的要素有三项:目的网络、目的子网掩码、下一跳IP地址。
例如,某静态路由配置如下:
120.120.0.0 255.255.0.0 192.168.9.200 ,则含义为,网关想要访问120.120.0.0/24网络内的应用,需要将数据转发给192.168.9.200的这个IP。
X509证书导入页面如下图:
PKCS12证书导入页面如下图,与X509格式不同的是需要输入保护口令
注意
在导入证书时,系统会验证欲导入证书的有效期以及密钥用法是否具有签名功能以保证导入证书具有有效的签名功能,从而提高了系统的安全性。
3.1.2.
这里是申请时间戳数据的查询和查看模块,可以根据不同的查询条件查询满足条件的时间戳记录
3.2.4.
配置时间戳服务器所需要的数据库,如下图:
3.2.5.
这里是产品许可证的配置管理界面,在导入新的许可证之前可以先点预览按钮预览一下许可证是否有效
3.3.
3.3.1.
3.3.1.1.
可以对系统每个网口的IP地址进行修改,如下图:
3.3.1.2.
本地Hosts即时间戳服务器本地Hosts文件。用来解析“用域名方式配置的应用”的域名和IP对应关系。在“用IP方式配置的应用”情况下,在本地hosts文件中给该应用IP随意对应一个域名,也有助于加快访问后台应用的速度。
按开始和结束时间查询,结果如下:
按证书主题查询,结果如下:
3.1.5.2.
在这里可以对业务日志数据按设置的策略进行定时的归档
3.1.5.3.
在该页面可以查看业务日志的归档记录
3.1.5.4.
在这个页面设置是否记录申请时间戳业务成功或失败的日志,当复选框被选中时记录相应的日志,如下图:
3.2.
3.2.1.1.
证书申请
系统通过本申请生成密钥对并封装申请CDS证书的申请书。
在证书配置页面点击“申请证书”按钮进入时间戳证书申请页面如下图:
在这里管理员需要填写证书主题、加密算法、密钥长度后点击产生按钮就可以生成证书申请书。管理员可以拷贝申请书内容到CA去生成CDS证书,
证书配置:
这里签名证书的显示和导入页面,如下图:
3.2.2.1.
点击“添加颁发机构证书”按钮以添加服务器信任的根证书,会弹出如下页面。
颁发机构证书文件:根证书文件的物理存储位置,可手动输入文件路径,也可点击“浏览”按钮选择根证书。
3.2.2.2.
当机构证书不被信任或已失效时,管理员要进行删除根证书的操作。点击根证书设置列表中的删除图标,(注:不能删除管理员证书对应的根证书)
身份认证:与传统的信息交换不同,参与网上信息交换的各方没有实际见面,任何一方都有被冒充的可能,所以安全应用系统必须采用某种机制,使能够确认对方的身份。
数据的保密:在许多应用中,信息的内容是需要严格保密的,但是在网络上,网络侦听技术使数据的获取变得十分容易,因此对信息的加密是安全应用系统重要的特点。
防止篡改数据:由于网络的公开特性,使得信息提供者以外的人修改信息成为可能。如何防止他人篡改信息是安全应用系统需要解决的一个重要问题。
PKCS7:RSA实验室有关加密消息语法标准。
TSA:Time Stamp Authority(时间戳权威)一个提供可信赖的且不可抵赖的时间戳服务的可信任第三方
PKI:Pubic Key Infrastructure的缩写。是一种遵循标准的利用公钥加密技术为保护数据提供一套安全基础平台的技术和规范。用户可利用PKI平台提供的服务进行安全的数据交换或通信。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
那么如何确保电子交易的交易安全呢?目前普遍采用的是公钥基础设施(PKI)。PKI可以在电子化社会中建立人们之间的信任关系。但是要保证交易的防抵赖,依靠单纯的数字签名技术是无法实现的。因为要实现防抵赖,不仅需要对交易数据进行数字签名,还必须保证此交易数据在某一时间(之前)的存在性(Proof-of-Existence)。通常这要借助于时间戳来解决。
路由的设定,可以是计算机之间跨网段通信。主要用于定义封包的走向,如下图:
如图所示,目标网络为192.168.0.0,掩码为255.255.255.0的数据包网关地址为192.168.9.254,数据包通过eth0流出。
ETH0口的默认网关是192.168.9.254,配置静态路由时网关要配成与ETH0的默认网关
2.
2.1.
2.1.1.
eth0 eth1
吉大正元时间戳服务器V2000背面提供两个网络接口,分别为eth0,eth1。
ETH0:业务端口(默认ip:192.168.9.110,子网掩码:255.255.255.0),是用户访问应用的入口。
ETH1:管理端口(默认ip:192.168.8.110,子网掩码:255.255.255.0)。
申请服务监控,如下图:
验证服务监控,如下图:
3.1.4.
该模块的功能是更新当前使用的管理员证书,在导入管理员证书前需要先在系统管理-》管理员颁发机构证书管理模块加入管理员证书的根证书,管理员更新后重新登陆生效,管理员更新页面如下:
3.1.5.
3.1.5.1.
在这个模块可以根据时间、客户端IP、证书主题查询时间戳的业务日志,查询结果如下:
按同步结果来自百度文库询结果:
3.3.2.2.
该页面进行NTP时间服务器的配置,正确的配置了NTP时间服务器的地址后,就可以定时的到时间源服务器上同步时间,可以配置主时间服务器和备用时间服务器,默认先从主时间服务器上同步时间,当主的有问题的情况下会连接备用时间服务器进行同步如下图:
配置项:
时间同步模式:包括禁止同步和NTP自动同步。
1.2.
Cinas:吉大正元应用安全支撑整个产品线名称。
数字签名:被签发数据的哈希值经过私钥加密后的结果。通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照,就能验证数字签名。
数字证书:用于验证需认证者的标识信息与其公钥对应关系的一种数字文档。
哈希(Hash):通过对原文进行单向哈希函数运算得到的定长字符串,原文不同哈希值就不同,通过哈希值无法还原出原文。
相关主题
时间戳服务
时间戳服务器
基于时间戳服务的电子
文档推荐
时间戳知识产权保护
页数:3
如何实现时间戳转换
页数:3
时间戳服务器
页数:34
什么是时间戳
页数:2
什么是时间戳
页数:2
可信时间戳
页数:8
关于时间戳与数字签名
页数:6
【通用】时间戳服务器.doc
页数:37
时间戳服务系统
页数:8
关于可信时间戳的常见问题
页数:4
最新文档
绩效管理
第8章受扭构件的扭曲截面承载力习题答案
2011-2012学年度海滨学校德育工作计划1
TouchPanel introduction chinese
EJ513-1990 放射性污染防护手套
小学生作文知识要点 (195)
学习的自我监控1
我国火电直接空冷技术的创新与优化发展
2014新人教版五年级上册数学第三单元《小数除以整数》PPT
中美空气质量限值