《RA系统安装及初始化》由会员分享,可在线阅读,更多相关《RA系统安装及初始化(39页珍藏版)》请在金锄头文库上搜索。
1、RA系统安装及初始化,西部安全认证中心有限责任公司,培训教师:李怀贵培训对象:宁煤集团网络管理人员,一、背景二、CA系统三、签发系统组成四、KMC系统组成五、注册审核系统(RA)组成六、RA Server系统安装七、RA系统配置和初始化,一、背景,网络系统的应用安全需求数据保密数据完整身份认证行为抵赖相关技术和标准密码技术数据签名PKI技术体系CA建设的国际/国内/行业的相关标准政策要求密码管理主管部门的要求电子签名法的要求,建设PKI的必要性,保证业务用户或者是系统服务器的身份认证 保证业务数据的保密性保证业务操作的不可抵赖性 保证数据的完整性结合业务逻辑方便的实现访问控制,数字证书,数据加
2、密,数字签名+数字时间戳,数字签名,数字证书扩展应用,二、CA系统,CA 简介电子证书认证系统是电子证书的申请、审核、签发、注销、恢复、更新、查询的综合管理系统。 颁发的电子证书遵循X.509v3的规范。在证书有效的情况下,保证公钥能与确定的实体唯一相对应。,CA的职责为网络世界中的实体颁发数字证书CA所能解决的问题身份认证数字证书数据保密结合相关的密码技术数据完整数字签名防抵赖 数字签名,CA系统组成,系统,签发系统 (CA),注册审核系统 (RA),密钥管理中心 (KMC),CA系统逻辑结构,神华宁煤CA系统架构,神华宁煤RA系统网络结构图,发证流程,1、证书申请第一步:用户带有效证件到R
3、A受理点申请用户证书第二步:用户填写证书申请信息表单第三步:RA录入管理员将用户信息录入到系统中第四步:用户到RA审核员处要求审核,RA审核员查询已录入的用户申请信息第五步:RA审核员验证用户身份的真实性。如果用户身份真实,则发放身份识别码和用户授权码给用户或代理制证人员,否则拒绝用户的申请。身份识别码和用户授权码发送给用户。拒绝申请通知以电子邮件或信笺的形式通知用户。第六步:用户或代理制证人员在收到身份识别码和用户授权码后,通过IE进行制证。证书将直接由智能密码钥匙进行存放和保护。,2、证书审核RA审核人员对用户证书具有审核功能,审核流程如下:(1)、审核员根据用户填写的证书申请书直接对用户
4、进行审核。(2)、审核通过后,为该用户产生与其身份识别码相对应的授权码(AuthCode)。(3)、以安全的方式将用户授权码传送给用户。3、证书下载用户从RA管理员处得到证书的两码(参考号,授权码),通过西部CA的注册系统下载自己的证书(可以自已下载证书也可以让管理员帮助下载证书)。,证书下载流程,用户使用的证书存储介质是KEY,该KEY支持RSA算法和SSF33算法。用户在客户端软件上选择证书下载功能,并输入自己的Ref# & AuthCode;客户端软件驱动KEY产生两对RSA密钥对(一对用于签名证书A,一对用于传递加密证书的私钥B),私钥存储在KEY中,公钥和用户的Ref# & Auth
5、Code一起用私钥签名后发送给神华宁煤证书注册服务器;神华宁煤注册服务器将用户的请求下载信息传送给签发服务器;签发服务器在验证用户的签名正确之后,向密钥管理中心申请一对加密证书的密钥对C,同时将B的公钥Pb也提交给KMC;KMC产生一个用于SSF33算法使用的对称密钥K,用K加密C的私钥Sc,再用Pb加密K,然后将Pc+K(Sc)+Pb(K)回传给签发服务器;签发服务器为用户签发两张证书,然后将两张证书以及加密后的私钥(K(Sc)以及Pb(K)传递给神华宁煤注册服务器;神华宁煤注册服务器将上述信息回传给用户;客户端软件利用KEY中的RSA算法解密K,再使用SSF33算法解密Sc,然后将证书和私
6、钥写入用户的KEY中;这些操作都是在KEY中完成的,保证了Sc不会被其它人得到。经过上述过程,就完成了证书的下载。,系统功能特点,X.509 v3v4标准 双支持 双密钥、双证书、双中心、双管理支持2048位证书和根钥支持SSF33算法 支持证书模板 支持多级CA 支持交叉认证 支持在线证书状态查询OCSP 支持时间戳,特点,三、签发系统组成,签发服务器CA Server,管理终端 CA Admin,签发系统主要功能,签发证书 签发CRL 证书发布 证书模板管理 审计管理 管理策略,主要功能,四、KMC系统组成,密钥服务器KMC Server,管理终端 KMC Admin,KMC系统主要功能,
7、密钥管理 CA机构管理 授权管理 密钥恢复 审计管理,五、注册审核系统(RA)组成,系统管理终端RA Admin,注册服务器 RA Server,注册系统主要功能,证书管理 证书审核 业务员证书管理 权限管理 系统设置 证书统计 批量申请和制证 审计管理,RA系统-证书管理功能,证书管理证书申请证书冻结证书解冻证书更新证书注销证书授权码更新证书制作证书查询用户信息维护企业信息维护,RA系统-证书审核功能,证书审核审核证书申请审核证书冻结审核证书解冻审核证书更新审核证书注销审核授权码更新,RA系统-业务员证书管理功能,业务员证书管理申请证书冻结证书解冻证书更新证书注销证书更新授权码证书查询,RA
8、系统-权限管理功能,权限管理授权业务员权限修改业务员权限增加角色更新角色删除角色,RA系统-系统设置功能,系统设置模版更新修改审核策略归档业务日志,RA系统-统计、批量制证、设计管理功能,证书统计证书统计批量申请和制证批量申请批量制证审计管理查询业务日志,高安全性,高安全性,符合国家有关安全规定整体安全物理与环境安全数据安全:核心数据备份、目录服务主从结构网络安全主机安全产品安全:高强度安全协议、支持硬件加密设备安全策略人员安全:管理员采用数字证书进行身份验证使用权限列表进行访问控制,运行安全,高安全性运行安全,建立运行管理机构人员管理规范运行管理规范:认证中心管理规范、技术操作规范、安全与审
9、计规范、档案归档管理规范信息系统应急方案电力系统应急方案消防系统应急方案病毒应急方案系统备份应急方案人员异动情况应急方案安全事件及事故应急方案,高可用性,高可用行,功能完整基本证书业务、多级CA、证书模板、双证书、双中心、交叉认证、支持2048位证书支持OCSP、时间戳身份认证、安全传输、SSO、审计、签名加密等等性能优异、稳定Sun V60X(单CPU) Redhat AS2.1_X86平台下 45张/秒支持负载均衡和海量数据与应用完美结合(零代码量修改)多平台和第三方产品支持:支持多种操作系统、数据库、目录服务器、应用服务器、加密设备、USBkey等,高扩展性,高可扩展性,符合国际和国内标准多级层次结构,方便信任域的扩展良好的架构设计,方便功能扩展,支持多种部署方式性能和容量的扩展,高可管理性,高可管理性,B/S架构,通过浏览器直接管理服务器安全,但有不失灵活的管理员策略多种形式的制证流程随需而定的系统架构和部署方案丰富的证书种类和证书模板完备安全的统计查询功能实施故障诊断功能方便的进行故障排查,六、RA Server系统安装,七、RA系统配置和初始化,系统通过安装目录下的configRAinit.xml文件完成系统初始化工作,包括加密库的装载、服务器证书的产生、管理员的产生、其他系统初始化参数的配置。,RA初始化简易流程图,谢谢,,
