RA系统安装及初始化－金锄头文库

资源描述

《RA系统安装及初始化》由会员分享，可在线阅读，更多相关《RA系统安装及初始化（39页珍藏版）》请在金锄头文库上搜索。

1、 RA系统安装及初始化西部安全认证中心有限责任公司培训教师：李怀贵培训对象：宁煤集团网络管理人员2一、背景一、背景二、CACA系统系统三、签发系统组成三、签发系统组成四、四、KMCKMC系统组成系统组成五、注册审核系统（五、注册审核系统（RARA）组成）组成六、六、RA ServerRA Server系统安装系统安装七、七、RARA系统配置和初始化系统配置和初始化3一、背景网络系统的应用安全需求网络系统的应用安全需求数据保密数据完整身份认证行为抵赖相关技术和标准相关技术和标准密码技术数据签名PKI技术体系CA建设的国际/国内/行业的相关标准政策要求政策要求密码管理主管部门的

2、要求电子签名法的要求4建设PKI的必要性保证业务用户或者是系统服务器的身份认证保证业务数据的保密性保证业务操作的不可抵赖性保证数据的完整性结合业务逻辑方便的实现访问控制数字证书数据加密数字签名+数字时间戳数字签名数字证书扩展应用5二、CA系统CA CA 简介简介uu电子证书认证系统是电子证书的申请、审核、签发电子证书认证系统是电子证书的申请、审核、签发、注销、恢复、更新、查询的综合管理系统。、注销、恢复、更新、查询的综合管理系统。 uu颁发的颁发的电子电子证书遵循证书遵循X.509v3X.509v3的规范。在证书有效的规范。在证书有效的情况下，保证公钥能与确定的实体唯一相对应。的

3、情况下，保证公钥能与确定的实体唯一相对应。6CA的职责为网络世界中的实体颁发数字证书 CA所能解决的问题身份认证数字证书数据保密结合相关的密码技术数据完整数字签名防抵赖数字签名对比机构产物现实世界公安机关、代码管理机关居民身份证、组织代码网络世界CA数字证书7CA系统组成系统系统签发系统签发系统 (CA)(CA)注册审核系统注册审核系统 (RA)(RA)密钥管理中心密钥管理中心 ( (KMCKMC) )8CA系统逻辑结构（证书状态查询）RA Server管理员（浏览器）系统管理，业务管理，审计管理数据库OCSP Server证书应用OCSP Toolkit神华宁煤集团RA中心

4、9神华宁煤CA系统架构10神华宁煤RA系统网络结构图11发证流程 1、证书申请第一步：用户带有效证件到RA受理点申请用户证书第二步：用户填写证书申请信息表单第三步：RA录入管理员将用户信息录入到系统中第四步：用户到RA审核员处要求审核，RA审核员查询已录入的用户申请信息第五步：RA审核员验证用户身份的真实性。如果用户身份真实，则发放身份识别码和用户授权码给用户或代理制证人员，否则拒绝用户的申请。身份识别码和用户授权码发送给用户。拒绝申请通知以电子邮件或信笺的形式通知用户。第六步：用户或代理制证人员在收到身份识别码和用户授权码后，通过IE进行制证。证书将直接由智能密码钥匙进行存放和

5、保护。122、证书审核RA审核人员对用户证书具有审核功能，审核流程如下：（1）、审核员根据用户填写的证书申请书直接对用户进行审核。（2）、审核通过后，为该用户产生与其身份识别码相对应的授权码（AuthCode）。（3）、以安全的方式将用户授权码传送给用户。3、证书下载用户从RA管理员处得到证书的两码（参考号，授权码），通过西部CA的注册系统下载自己的证书（可以自已下载证书也可以让管理员帮助下载证书）。13证书下载流程用户使用的证书存储介质是KEY，该KEY支持RSA算法和SSF33算法。用户在客户端软件上选择证书下载功能，并输入自己的Ref# & AuthCode；客户端软件驱动K

6、EY产生两对RSA密钥对（一对用于签名证书A，一对用于传递加密证书的私钥B），私钥存储在KEY中，公钥和用户的Ref# & AuthCode一起用私钥签名后发送给神华宁煤证书注册服务器；神华宁煤注册服务器将用户的请求下载信息传送给签发服务器；签发服务器在验证用户的签名正确之后，向密钥管理中心申请一对加密证书的密钥对C，同时将B的公钥Pb也提交给KMC； KMC产生一个用于SSF33算法使用的对称密钥K，用K加密C的私钥Sc，再用Pb加密K，然后将Pc+K（Sc）+Pb（K）回传给签发服务器；签发服务器为用户签发两张证书，然后将两张证书以及加密后的私钥（ K（Sc）以及Pb（K）传递

7、给神华宁煤注册服务器；神华宁煤注册服务器将上述信息回传给用户；客户端软件利用KEY中的RSA算法解密K，再使用SSF33算法解密Sc，然后将证书和私钥写入用户的KEY中；这些操作都是在KEY中完成的，保证了 Sc不会被其它人得到。经过上述过程，就完成了证书的下载。14系统功能特点n nX.509 v3v4 X.509 v3v4标准标准n n双支持双支持双密钥、双证书、双中心、双管理双密钥、双证书、双中心、双管理n n支持支持20482048位证书和根钥位证书和根钥n n支持支持SSF33SSF33算法算法 n n支持证书模板支持证书模板n n支持多级支持多级CACAn n支持交叉认证支

8、持交叉认证n n支持在线证书状态查询支持在线证书状态查询OCSPOCSPn n支持时间戳支持时间戳特点15三、签发系统组成签发服务器CA Server 管理终端CA Admin Web管理终端（系统、业务、审计）主LDAP加密机签发服务器签发系统DB16签发系统主要功能n n签发证书签发证书n n签发签发CRLCRLn n证书发布证书发布n n证书模板管理证书模板管理n n审计管理审计管理n n管理策略管理策略主要功能17四、KMC系统组成密钥服务器KMC Server 管理终端KMC Admin Web管理终端（系统、业务、审计）加密机KMC服务器DBKMC系统18KMC系统主要功能n

9、n密钥管理密钥管理n nCACA机构管理机构管理n n授权管理授权管理n n密钥恢复密钥恢复n n审计管理审计管理19五、注册审核系统（RA）组成系统管理终端RA Admin注册服务器RA Server注册系统Web管理终端 (系统、业务、审计)加密机注册服务器DB20注册系统主要功能n n证书管理证书管理n n证书审核证书审核n n业务员证书管理业务员证书管理n n权限管理权限管理n n系统设置系统设置n n证书统计证书统计n n批量申请和制证批量申请和制证n n审计管理审计管理21RA系统-证书管理功能证书管理证书管理证书申请证书冻结证书解冻证书更新证书注销证书授权码更新证书

10、制作证书查询用户信息维护企业信息维护22RA系统-证书审核功能证书审核证书审核审核证书申请审核证书冻结审核证书解冻审核证书更新审核证书注销审核授权码更新23RA系统-业务员证书管理功能业务员证书管理业务员证书管理申请证书冻结证书解冻证书更新证书注销证书更新授权码证书查询24RA系统-权限管理功能权限管理权限管理授权业务员权限修改业务员权限增加角色更新角色删除角色25RA系统-系统设置功能系统设置系统设置模版更新修改审核策略归档业务日志26RA系统-统计、批量制证、设计管理功能证书统计证书统计证书统计批量申请和制证批量申请和制证批量

11、申请批量制证审计管理审计管理查询业务日志27高安全性高安全性高安全性符合国家有关安全规定符合国家有关安全规定整体安全整体安全物理与环境安全数据安全：核心数据备份、目录服务主从结构网络安全主机安全产品安全：高强度安全协议、支持硬件加密设备安全策略人员安全：管理员采用数字证书进行身份验证使用权限列表进行访问控制28运行安全运行安全高安全性运行安全建立运行管理机构建立运行管理机构人员管理规范人员管理规范运行管理规范运行管理规范：认证中心管理规范、技术操作规范、安全与审计规范、档案归档管理规范信息系统应急方案信息系统应急方案电力系统应急方案电力系统应急方案消防系

12、统应急方案消防系统应急方案病毒应急方案病毒应急方案系统备份应急方案系统备份应急方案人员异动情况应急方案人员异动情况应急方案安全事件及事故应急方案安全事件及事故应急方案29高可用性高可用性高可用行功能完整功能完整基本证书业务、多级基本证书业务、多级CACA、证书模板、证书模板、双证书双证书、双中心、交叉认证、支持、双中心、交叉认证、支持20482048位证书位证书支持支持OCSPOCSP、时间戳、时间戳身份认证、安全传输、身份认证、安全传输、SSOSSO、审计、签名加、审计、签名加密等等密等等性能优异、稳定性能优异、稳定Sun V60X（单CPU） Redhat AS2.1

13、_X86 平台下 45张/秒支持负载均衡和海量数据支持负载均衡和海量数据与应用完美结合（零代码量修改）与应用完美结合（零代码量修改）多平台和第三方产品支持多平台和第三方产品支持：支持多种操作系统、数据库、目录服务器、应用服务器、加密设备、USBkey等30高扩展性高扩展性高可扩展性符合国际和国内标准多级层次结构，方便信任域的扩展信任域的扩展良好的架构设计，方便功能扩展，支持良好的架构设计，方便功能扩展，支持多种部署方式多种部署方式性能和容量的扩展性能和容量的扩展31高可管理性高可管理性高可管理性B/S架构，通过浏览器直接管理服务器安全，但有不失灵活的管理员策略多种形式的制证流程随需而定的系统架构和部署方案丰富的证书种类和证书模板完备安全的统计查询功能实施故障诊断功能方便的进行故障排查32六、RA Server系统安装 3334353637七、RA系统配置和初始化系统通过安装目录下的configRAinit.xml文件完成系统初始化工作，包括加密库的装载、服务器证书的产生、管理员的产生、其他系统初始化参数的配置。38RARA初始化简易流程图初始化简易流程图 39谢谢谢谢

展开阅读全文