中国金融认证中心 China Financial Certification Authority 中国金融认证中心RA系统操作手册文件编号:版 本 号:受控状态: 编制人:龚浩、左小军 编制日期:2006-9-25审核人: 审核日期:2006-10-批准人: 批准日期:更新记录修改人修改日期修改对象备注(原因、进一步的说明等)左小军2008-7-14全体升级版本,功能修改目录1 引言 31.1 编写目的 31.2 名词定义 32 RA系统约定及特点 52.1 约定 52.2 特点 52.2.1 双向SSL 52.2.2 用户分类 52.2.3 权限管理 52.2.4 管理证书的操作分为需要审核和不需要审核 53 RA管理员功能详解和使用方法 63.1 RA管理员登陆 63.2 证书申请 83.3 证书补发 93.4 证书换发 123.5 证书冻结 143.6 证书解冻 163.7 证书吊销 173.8 两码重发 193.9 制证 203.10 证书删除 213.11 证书查询 233.12 证书统计 243.13 权限管理 263.14 机构管理 281 引言1.1 编写目的RA2.0系统提供对证书从注册到下载的一系列服务。
本文档详细地说明管理员或者操作员可以进行的证书操作和管理注:下面所有操作均假设RA2.0系统已经成功部署并能够正常运行,详见《RA2.0系统安装部署手册》1.2 名词定义 RA 证书注册审批机构 系统管理员证书 在系统正确安装部署并初始化后,可以利用该证书登陆RA系统添加机构并注册管理员证书,并为该证书分配角色 用户区分Ø 管理员Ø 操作员Ø 最终用户 管理员 该类型用户也是一个证书拥有者,可以用其证书登陆RA系统Ø 能对其所在机构的下级机构(跨级)分配管理员并对他们进行管理,包括所有证书业务操作和查询统计操作Ø 能对所在机构以及该机构的下级机构(跨级)分配操作员并对他们进行管理,包括所有证书业务操作和查询统计操作Ø 能增删改其所属机构的下级机构(跨级) 操作员 该类型用户也是一个证书拥有者,可以用证书登陆RA系统管理员为其分配角色后,他能在所分配的角色权限范围内对本机构范围内的证书进行业务操作和其他管理操作,如证书查询统计最终用户该类型用户本身也是一个证书拥有者,但他不可以用其证书登陆RA系统进行任何操作证书类型Ø 操作员证书Ø 个人普通证书Ø 个人高级证书Ø 企业普通证书 Ø 企业高级证书 Ø Web Server证书证书状态Ø 未下载证书已经审核但是还没有制证下载的状态Ø 激活证书已经完成制证下载的状态Ø 吊销证书被吊销后的状态Ø 冻结证书被冻结后的状态申请状态Ø 未审核业务申请已经录入但是还没有审核的状态Ø 审核未通过业务申请没有通过后的状态Ø CA拒绝业务申请被CA拒绝后的状态密钥容器类型Ø Microsoft Base Cryptographic Provider v1.0Ø Gemplus GemSAFE Card CSP v1.0Ø Infineon SICRYPT Base Smart Card CSPØ Microsoft Enhanced Cryptographic Provider v1.0Ø Microsoft Strong Cryptographic ProviderØ Schlumberger Cryptographic Service ProviderØ UniTrust CSP for Ms证书业务操作Ø 证书申请输入欲注册证书的基本信息,这些信息包括组成证书DN的信息和证书用户的信息,如联系地址之类的Ø 证书吊销吊销目标证书,被吊销证书将放到CA的CRL列表里面Ø 证书换发当用户证书快过期的时候,为用户重新生成一张证书,证书里面采用新的密钥对和序列号,证书DN不变Ø 证书补发当用户的证书丢失或者装载证书的介质损坏后,重新发放证书,这里证书和原来一模一样Ø 证书冻结使用户证书失效,冻结后的用户不能登陆直属RA系统,但是该证书不会放到CA的CRL列表里面Ø 证书解冻使处于冻结状态的用户证书生效Ø 两码重发当用户的证书已经审核但是还没有制证下载前忘记了两码,采用此功能可以重新给用户发送两码,利用新的两码制证并下载证书,原来的两码失效Ø 制证为已经进行过审核、密钥更新、密钥恢复、两码重发操作的证书制作证书,其中可以选择合适的密钥容器父机构如果A的直接下属子机构是B,那B的父机构即是A2 RA系统约定及特点2.1 约定文档简称中国金融认证中心RA系统为RA系统2.2 特点2.2.1 双向SSL用户客户端和直属RA系统的通讯基于SSL,服务器端提供Server证书,用户登陆时必须提供客户端证书,RA系统对用户的身份进行验证,通过后根据用户的身份允许进行对应角色权限的操作。
2.2.2 用户分类系统中共有四种用户:RA系统管理员、RA管理员、RA操作员、最终用户其中只有RA系统管理员、RA管理员和RA操作员这三种用户才能登陆系统,由于没有可供登陆的用户证书,RA系统管理员只在系统第一次登陆时使用,主要用来创建有实际意义的机构和管理员并分配起权限所以,在下面的章节中将对RA管理员和RA操作员的功能和用法进行描述和说明,最终用户不能登陆系统注:系统在初始化时创建了RA系统管理员和其对应的根机构2.2.3 权限管理系统中的权限管理分为角色管理和用户授权管理角色作为权限的载体,可以增加,修改,删除添加角色时可以为角色赋予不同的权限点操作员权限点是管理员权限点的子集,它不包含系统管理及权限管理对应的权限点同时,系统中还有几个默认建好的供管理员使用的角色,它们不能修改和删除,操作员不能使用用户授权管理主要是为已经下载的证书(无论是否被激活)分配角色、可以管理的证书类型及证书操作是否需要审核管理员可以分配的角色只有四类:管理员角色、查询员角色、管理员权限审核员角色及操作员权限审核员角色;操作员可以分配的角色必须由用户自己在角色管理模块中定义,且不能使用管理员使用的那四类角色。
管理员默认管理系统中定义的所有证书类型,且不能修改此属性;操作员则可以从中选择管理员和操作员都需要确定以该证书登陆后的操作是否需要被审核2.2.4 管理证书的操作分为需要审核和不需要审核证书登陆RA系统后,根据分配的权限,做完一个管理证书的操作后可以直接提交CA服务器处理,也可以暂时保存在RA服务器中等待有审核权限的管理员或操作员去审核如果审核通过就可以提交到CA处理,拒绝则继续保存在RA服务器中等待进一步的修改或将其删除 3 RA管理员功能详解和使用方法RA管理员的功能分配LRA管理员和LRA操作员对机构内的LRA管理员和LRA操作员进行证书业务操作(编辑、审核等操作)对机构内的LRA管理员和LRA操作员进行查询和统计对机构内的LRA操作员进行权限的分配和管理自由定制扩展下级的机构3.1 RA管理员登陆用户打开IE浏览器,访问部署RA服务的服务器地址,https://192.168.120.231/ra,如果出现下面的提示,表示正在访问一个安全站点,请点击“确定”而后弹出如下窗口,该窗口将列出您的浏览器里面事先导入的RA管理员证书或者RA操作员证书,选择欲登陆的RA管理员的证书,点击“确定”弹出下面的提示窗口,如果上面三个选项全是“√”,则点击“是”继续操作,否则点击“否”放弃操作如果您选择的用户有权限登入系统,则显示如下的界面:左边为功能栏,列出的是用户能进行功能操作的名字右边为信息栏,显示提示信息,以后用户进行的操作细则也将显示在右边的区域。
管理员能进行的操作包括“信息录入”、“信息编辑”、“信息审核”、“证书撤销”、“密钥更新”、“密钥恢复”、“证书冻结”、“证书解冻”、“重发授权码”、“制证”,“证书查询”,“证书统计”、“权限管理”、“机构管理”、数据库备份等注:请注意右下脚的,该标志表示用户现在进行操作的数据全部加密发送,所以通讯是安全的,用户也可以点击其查看服务器端的证书 至此管理员登陆成功,可以进行下面的一系列的业务操作3.2 证书申请证书申请在真正被提交到CA之前,要先经过RA的审核因此首先要把证书申请的相关信息录入到RA3.2.1 录入假设登陆用户是管理员,用户点击左边菜单的证书管理->证书申请->录入,则右边信息栏显示如下图在以上若干输入框中,用户必须填入或选择的有“证件类型”、“姓名”、“英文名”、“证件编号”、“电子邮件”、“机构”填写“机构”时可直接填写机构编码,也可点击右边的“选择机构”按钮,则弹出以下输入框:选择其中一个机构双击,则该机构对应的机构编码就会自动填入左边的输入框中另外,如果在“证书类型”中选择的是Web服务器证书,则会在输入界面的右下角中出现一个“域名”的输入框,用户填入域名信息假设登陆用户是操作员,证书申请录入界面就不会出现“机构”输入框及它右侧的“选择机构”按钮。
填写完相关的信息后点击“提交申请”即可完成证书申请的录入,如果输入正确且该操作不需要审核则出现下面的提示信息,分三种情况加以说明:1. 在“两码发放方式”中选择的是前台显示:2.在“两码发放方式”中选择的是发邮件:可以在电子邮件一栏中修改证书申请录入界面中填写的邮件地址,然后点击“提交”即可3.在“两码发放方式”中选择的是打印密码信封:在安全设置警告框中点击“是”即可安装打印控件,然后点击“提交”按钮至此,证书申请录入完毕如果登陆系统后完成此操作的用户拥有审核的权限,则申请完毕后系统又进入一个新的证书申请录入界面;如果该用户没有审核的权限,则会在新的证书申请录入界面前弹出一个对话框,提示用户证书申请录入成功等待审核,如下图3.2.2 修改在修改证书申请录入信息前,需要先选择一条证书申请信息假设登陆用户是管理员,用户点击左边菜单的证书管理->证书申请->修改,则右边信息栏显示如下图查询要修改的证书申请录入信息分三种情况,第一种是以用户信息查询,也就是系统默认的查询界面,左上角的链接按钮以绿色背景显示,使用该方式只能查出个人普通证书、个人高级证书及LRA操作员证书该查询界面的查询条件均与个人证书用户的信息相关,填写机构时可同时输入多个机构,机构间以分号间隔,也可点击右侧的“选择机构”按钮,弹出以下窗口:用户可以同时选择多个机构,然后点击“确定”按钮,则该机构对应的机构编码就会自动填入左边的输入框中,多个机构以分号间隔。
另外,用户还可以选择精确查询,默认为模糊查询假设我们在申请状态下拉列表框中选。