RA系统安装及初始化.ppt

RA系统安装及初始化系统安装及初始化•西部安全认证中心有限责任公司培训教师：李怀贵培训教师：李怀贵培训对象：宁煤集团网络管理人员培训对象：宁煤集团网络管理人员2一、背景一、背景一、背景一、背景二、CACACACA系统系统系统系统三、签发系统组成三、签发系统组成三、签发系统组成三、签发系统组成四、四、四、四、KMCKMCKMCKMC系统组成系统组成系统组成系统组成五、注册审核系统（五、注册审核系统（五、注册审核系统（五、注册审核系统（RARARARA）组成）组成）组成）组成六、六、六、六、RA ServerRA ServerRA ServerRA Server系统安装系统安装系统安装系统安装七、七、七、七、RARARARA系统配置和初始化系统配置和初始化系统配置和初始化系统配置和初始化3一、背景一、背景• •网络系统的应用安全需求网络系统的应用安全需求网络系统的应用安全需求网络系统的应用安全需求•数据保密数据保密•数据完整数据完整•身份认证身份认证•行为抵赖行为抵赖• •相关技术和标准相关技术和标准相关技术和标准相关技术和标准•密码技术密码技术•数据签名数据签名•PKIPKI技术体系技术体系•CACA建设的国际建设的国际/ /国内国内/ /行业的相关标准行业的相关标准• •政策要求政策要求政策要求政策要求•密码管理主管部门的要求密码管理主管部门的要求•电子签名法的要求电子签名法的要求4建设建设建设建设PKIPKIPKIPKI的必要性的必要性的必要性的必要性§保证业务用户或者是系保证业务用户或者是系统服务器的身份认证统服务器的身份认证 §保证业务数据的保密性保证业务数据的保密性§保证业务操作的不可抵保证业务操作的不可抵赖性赖性 §保证数据的完整性保证数据的完整性§结合业务逻辑方便的实结合业务逻辑方便的实现访问控制现访问控制数字证书数字证书数据加密数据加密数字签名数字签名+ +数字时间戳数字时间戳数字签名数字签名数字证书扩展应用数字证书扩展应用5二、二、CACA系统系统CA CA CA CA 简介简介简介简介uu电子证书认证系统是电子证书的申请、审核、签发、电子证书认证系统是电子证书的申请、审核、签发、电子证书认证系统是电子证书的申请、审核、签发、电子证书认证系统是电子证书的申请、审核、签发、注销、恢复、更新、查询的综合管理系统。

注销、恢复、更新、查询的综合管理系统注销、恢复、更新、查询的综合管理系统注销、恢复、更新、查询的综合管理系统 uu颁发的颁发的颁发的颁发的电子电子电子电子证书遵循证书遵循证书遵循证书遵循X.509v3X.509v3X.509v3X.509v3的规范在证书有效的的规范在证书有效的的规范在证书有效的的规范在证书有效的情况下，保证公钥能与确定的实体唯一相对应情况下，保证公钥能与确定的实体唯一相对应情况下，保证公钥能与确定的实体唯一相对应情况下，保证公钥能与确定的实体唯一相对应6•CACA的职责的职责为网络世界中的实体颁发数字证书为网络世界中的实体颁发数字证书•CACA所能解决的问题所能解决的问题•身份认证－－数字证书身份认证－－数字证书•数据保密－－结合相关的密码技术数据保密－－结合相关的密码技术•数据完整－－数字签名数据完整－－数字签名•防抵赖防抵赖 －－数字签名－－数字签名对比对比机构机构产物产物现实世界公安机关、代码管理机关居民身份证、组织代码网络世界CACA数字证书7CACA系统组成系统组成系统系统系统系统签发系统签发系统签发系统签发系统 (CA)(CA)注册审核系统注册审核系统注册审核系统注册审核系统 (RA)(RA)密钥管理中心密钥管理中心密钥管理中心密钥管理中心 ( ( ( (KMCKMC) ) ) )8CACA系统逻辑结构系统逻辑结构（证书状态查询）RA Server管理员 （ 浏览器 ）系统管理， 业务管理， 审计管理数据库OCSP Server证书应用OCSP Toolkit神华宁煤集团RA中心9神华宁煤神华宁煤CACA系统架构系统架构10神华宁煤神华宁煤RARA系统网络结构图系统网络结构图11发证流程发证流程 •1 1、证书申请、证书申请•第一步：用户带有效证件到RA受理点申请用户证书•第二步：用户填写证书申请信息表单•第三步：RA录入管理员将用户信息录入到系统中•第四步：用户到RA审核员处要求审核，RA审核员查询已录入的用户申请信息•第五步：RA审核员验证用户身份的真实性。

如果用户身份真实，则发放身份识别码和用户授权码给用户或代理制证人员，否则拒绝用户的申请身份识别码和用户授权码发送给用户拒绝申请通知以电子邮件或信笺的形式通知用户•第六步：用户或代理制证人员在收到身份识别码和用户授权码后，通过IE进行制证证书将直接由智能密码钥匙进行存放和保护12•2 2、证书审核、证书审核•RA审核人员对用户证书具有审核功能，审核流程如下：•（1）、审核员根据用户填写的证书申请书直接对用户进行审核•（2）、审核通过后，为该用户产生与其身份识别码相对应的授权码（AuthCode）•（3）、以安全的方式将用户授权码传送给用户•3 3、证书下载、证书下载•用户从RA管理员处得到证书的两码（参考号，授权码），通过西部CA的注册系统下载自己的证书（可以自已下载证书也可以让管理员帮助下载证书）13证书下载流程证书下载流程•用户使用的证书存储介质是KEY，该KEY支持RSA算法和SSF33算法•用户在客户端软件上选择证书下载功能，并输入自己的Ref# & AuthCode；•客户端软件驱动KEY产生两对RSA密钥对（一对用于签名证书A，一对用于传递加密证书的私钥B），私钥存储在KEY中，公钥和用户的Ref# & AuthCode一起用私钥签名后发送给神华宁煤证书注册服务器；•神华宁煤注册服务器将用户的请求下载信息传送给签发服务器；•签发服务器在验证用户的签名正确之后，向密钥管理中心申请一对加密证书的密钥对C，同时将B的公钥Pb也提交给KMC；•KMC产生一个用于SSF33算法使用的对称密钥K，用K加密C的私钥Sc，再用Pb加密K，然后将Pc+K（Sc）+Pb（K）回传给签发服务器；•签发服务器为用户签发两张证书，然后将两张证书以及加密后的私钥（K（Sc））以及Pb（K）传递给神华宁煤注册服务器；•神华宁煤注册服务器将上述信息回传给用户；•客户端软件利用KEY中的RSA算法解密K，再使用SSF33算法解密Sc，然后将证书和私钥写入用户的KEY中；这些操作都是在KEY中完成的，保证了Sc不会被其它人得到。

•经过上述过程，就完成了证书的下载14系统功能特点系统功能特点n n X.509 v3v4 X.509 v3v4标准标准标准标准n n 双支持双支持双支持双支持 双密钥、双证书、双中心、双管理双密钥、双证书、双中心、双管理双密钥、双证书、双中心、双管理双密钥、双证书、双中心、双管理n n支持支持支持支持20482048位证书和根钥位证书和根钥位证书和根钥位证书和根钥n n支持支持支持支持SSF33SSF33算法算法算法算法 n n支持证书模板支持证书模板支持证书模板支持证书模板n n 支持多级支持多级支持多级支持多级CACAn n 支持交叉认证支持交叉认证支持交叉认证支持交叉认证n n 支持证书状态查询支持证书状态查询支持证书状态查询支持证书状态查询OCSPOCSPn n 支持时间戳支持时间戳支持时间戳支持时间戳 特点特点15三、签发系统组成三、签发系统组成签发服务器签发服务器CA Server 管理终端管理终端 CA Admin Web管理终端（系统、业务、审计）主LDAP加密机签发服务器签发系统签发系统DB16签发系统主要功能签发系统主要功能n n 签发证书签发证书签发证书签发证书n n 签发签发签发签发CRLCRLn n 证书发布证书发布证书发布证书发布n n 证书模板管理证书模板管理证书模板管理证书模板管理n n 审计管理审计管理审计管理审计管理n n 管理策略管理策略管理策略管理策略 主要功能主要功能17四、四、KMCKMC系统组成系统组成密钥服务器密钥服务器KMC Server 管理终端管理终端 KMC Admin Web管理终端（系统、业务、审计）加密机KMC服务器DBKMCKMC系统系统18KMCKMC系统主要功能系统主要功能n n 密钥管理密钥管理密钥管理密钥管理n n CACA机构管理机构管理机构管理机构管理n n 授权管理授权管理授权管理授权管理n n 密钥恢复密钥恢复密钥恢复密钥恢复n n 审计管理审计管理审计管理审计管理19五、注册审核系统（五、注册审核系统（RARA）组成）组成系统管理终端系统管理终端RA Admin注册服务器注册服务器 RA Server注册系统注册系统Web管理终端(系统、业务、审计)加密机注册服务器DB20注册系统主要功能注册系统主要功能n n 证书管理证书管理证书管理证书管理n n 证书审核证书审核证书审核证书审核n n 业务员证书管理业务员证书管理业务员证书管理业务员证书管理n n 权限管理权限管理权限管理权限管理n n 系统设置系统设置系统设置系统设置n n 证书统计证书统计证书统计证书统计n n 批量申请和制证批量申请和制证批量申请和制证批量申请和制证n n 审计管理审计管理审计管理审计管理21RARA系统系统- -证书管理功能证书管理功能• •证书管理证书管理证书管理证书管理•证书申请•证书冻结•证书解冻•证书更新•证书注销•证书授权码更新•证书制作•证书查询•用户信息维护•企业信息维护22RARA系统系统- -证书审核功能证书审核功能• •证书审核证书审核证书审核证书审核•审核证书申请•审核证书冻结•审核证书解冻•审核证书更新•审核证书注销•审核授权码更新23RARA系统系统- -业务员证书管理功能业务员证书管理功能• •业务员证书管理业务员证书管理业务员证书管理业务员证书管理•申请证书•冻结证书•解冻证书•更新证书•注销证书•更新授权码•证书查询24RARA系统系统- -权限管理功能权限管理功能• •权限管理权限管理权限管理权限管理•授权业务员权限•修改业务员权限•增加角色•更新角色•删除角色25RARA系统系统- -系统设置功能系统设置功能• •系统设置系统设置系统设置系统设置•模版更新•修改审核策略•归档业务日志26RARA系统系统- -统计、批量制证、设计管理功能统计、批量制证、设计管理功能• •证书统计证书统计证书统计证书统计•证书统计• •批量申请和制证批量申请和制证批量申请和制证批量申请和制证•批量申请•批量制证• •审计管理审计管理审计管理审计管理•查询业务日志27高安全性高安全性高安全性高安全性高安全性高安全性• •符合国家有关安全规定符合国家有关安全规定符合国家有关安全规定符合国家有关安全规定• •整体安全整体安全整体安全整体安全•物理与环境安全物理与环境安全•数据安全数据安全：核心数据备份、目录服务主从结构•网络安全网络安全•主机安全主机安全•产品安全：产品安全：高强度安全协议、支持硬件加密设备•安全策略安全策略•人员安全人员安全：管理员采用数字证书进行身份验证使用权限列表进行访问控制28运行安全运行安全运行安全运行安全高安全性－－运行安全高安全性－－运行安全• •建立运行管理机构建立运行管理机构建立运行管理机构建立运行管理机构• •人员管理规范人员管理规范人员管理规范人员管理规范• •运行管理规范运行管理规范运行管理规范运行管理规范：认证中心管理规范、技术操作规范、安全与审计规范、档案归档管理规范• •信息系统应急方案信息系统应急方案信息系统应急方案信息系统应急方案• •电力系统应急方案电力系统应急方案电力系统应急方案电力系统应急方案• •消防系统应急方案消防系统应急方案消防系统应急方案消防系统应急方案• •病毒应急方案病毒应急方案病毒应急方案病毒应急方案• •系统备份应急方案系统备份应急方案系统备份应急方案系统备份应急方案• •人员异动情况应急方案人员异动情况应急方案人员异动情况应急方案人员异动情况应急方案• •安全事件及事故应急方案安全事件及事故应急方案安全事件及事故应急方案安全事件及事故应急方案29高可用性高可用性高可用性高可用性高可用行高可用行• •功能完整功能完整功能完整功能完整• •基本证书业务、多级基本证书业务、多级CACA、证书模板、、证书模板、双证书、双证书、双中心、交叉认证、支持双中心、交叉认证、支持20482048位证书位证书• •支持支持OCSPOCSP、时间戳、时间戳• •身份认证、安全传输、身份认证、安全传输、SSOSSO、审计、签名加密、审计、签名加密等等等等• •性能优异、稳定性能优异、稳定性能优异、稳定性能优异、稳定•Sun V60X（单CPU） Redhat AS2.1_X86平台下 45张/秒• •支持负载均衡和海量数据支持负载均衡和海量数据支持负载均衡和海量数据支持负载均衡和海量数据• •与应用完美结合（零代码量修改）与应用完美结合（零代码量修改）与应用完美结合（零代码量修改）与应用完美结合（零代码量修改）• •多平台和第三方产品支持多平台和第三方产品支持多平台和第三方产品支持多平台和第三方产品支持：支持多种操作系统、数据库、目录服务器、应用服务器、加密设备、USBkey等30高扩展性高扩展性高扩展性高扩展性高可扩展性高可扩展性•符合国际和国内标准•多级层次结构，方便信任域的扩展信任域的扩展• •良好的架构设计，方便功能扩展，支持多良好的架构设计，方便功能扩展，支持多种部署方式种部署方式• •性能和容量的扩展性能和容量的扩展31高可管理性高可管理性高可管理性高可管理性高可管理性高可管理性•B/S架构，通过浏览器直接管理服务器•安全，但有不失灵活的管理员策略•多种形式的制证流程•随需而定的系统架构和部署方案•丰富的证书种类和证书模板•完备安全的统计查询功能•实施故障诊断功能方便的进行故障排查32六、六、RA ServerRA Server系统安装系统安装 3334353637七、七、RARA系统配置和初始化系统配置和初始化 •系统通过安装目录下的config\RAinit.xml文件完成系统初始化工作，包括加密库的装载、服务器证书的产生、管理员的产生、其他系统初始化参数的配置。

38RARA初始化简易流程图初始化简易流程图 39谢谢谢谢。