RA系统安装及初始化.ppt

《RA系统安装及初始化.ppt》由会员分享，可在线阅读，更多相关《RA系统安装及初始化.ppt（39页珍藏版）》请在装配图网上搜索。

1、RA系统安装及初始化,西部安全认证中心有限责任公司,培训教师：李怀贵 培训对象：宁煤集团网络管理人员,一、背景 二、CA系统 三、签发系统组成 四、KMC系统组成 五、注册审核系统（RA）组成 六、RA Server系统安装 七、RA系统配置和初始化,一、背景,网络系统的应用安全需求 数据保密 数据完整 身份认证 行为抵赖 相关技术和标准 密码技术 数据签名 PKI技术体系 CA建设的国际/国内/行业的相关标准 政策要求 密码管理主管部门的要求 电子签名法的要求,建设PKI的必要性,保证业务用户或者是系统服务器的身份认证 保证业务数据的保密性 保证业务操作的不可抵赖性 保证数据的完整性 结合业

2、务逻辑方便的实现访问控制,数字证书,数据加密,数字签名+数字时间戳,数字签名,数字证书扩展应用,二、CA系统,CA 简介 电子证书认证系统是电子证书的申请、审核、签发、注销、恢复、更新、查询的综合管理系统。 颁发的电子证书遵循X.509v3的规范。在证书有效的情况下，保证公钥能与确定的实体唯一相对应。,CA的职责 为网络世界中的实体颁发数字证书 CA所能解决的问题 身份认证数字证书 数据保密结合相关的密码技术 数据完整数字签名 防抵赖 数字签名,CA系统组成,系统,签发系统 (CA),注册审核系统 (RA),密钥管理中心 (KMC),CA系统逻辑结构,神华宁煤CA系统架构,神华宁煤RA系统网络

3、结构图,发证流程,1、证书申请 第一步：用户带有效证件到RA受理点申请用户证书 第二步：用户填写证书申请信息表单 第三步：RA录入管理员将用户信息录入到系统中 第四步：用户到RA审核员处要求审核，RA审核员查询已录入的用户申请信息 第五步：RA审核员验证用户身份的真实性。如果用户身份真实，则发放身份识别码和用户授权码给用户或代理制证人员，否则拒绝用户的申请。身份识别码和用户授权码发送给用户。拒绝申请通知以电子邮件或信笺的形式通知用户。 第六步：用户或代理制证人员在收到身份识别码和用户授权码后，通过IE进行制证。证书将直接由智能密码钥匙进行存放和保护。,2、证书审核 RA审核人员对用户证书具有审

4、核功能，审核流程如下： （1）、审核员根据用户填写的证书申请书直接对用户进行审核。 （2）、审核通过后，为该用户产生与其身份识别码相对应的授权码（AuthCode）。 （3）、以安全的方式将用户授权码传送给用户。 3、证书下载 用户从RA管理员处得到证书的两码（参考号，授权码），通过西部CA的注册系统下载自己的证书（可以自已下载证书也可以让管理员帮助下载证书）。,证书下载流程,用户使用的证书存储介质是KEY，该KEY支持RSA算法和SSF33算法。 用户在客户端软件上选择证书下载功能，并输入自己的Ref# & AuthCode； 客户端软件驱动KEY产生两对RSA密钥对（一对用于签名证书A，一

5、对用于传递加密证书的私钥B），私钥存储在KEY中，公钥和用户的Ref# & AuthCode一起用私钥签名后发送给神华宁煤证书注册服务器； 神华宁煤注册服务器将用户的请求下载信息传送给签发服务器； 签发服务器在验证用户的签名正确之后，向密钥管理中心申请一对加密证书的密钥对C，同时将B的公钥Pb也提交给KMC； KMC产生一个用于SSF33算法使用的对称密钥K，用K加密C的私钥Sc，再用Pb加密K，然后将Pc+K（Sc）+Pb（K）回传给签发服务器； 签发服务器为用户签发两张证书，然后将两张证书以及加密后的私钥（K（Sc）以及Pb（K）传递给神华宁煤注册服务器； 神华宁煤注册服务器将上述信息回传

6、给用户； 客户端软件利用KEY中的RSA算法解密K，再使用SSF33算法解密Sc，然后将证书和私钥写入用户的KEY中；这些操作都是在KEY中完成的，保证了Sc不会被其它人得到。 经过上述过程，就完成了证书的下载。,系统功能特点,X.509 v3v4标准 双支持 双密钥、双证书、双中心、双管理 支持2048位证书和根钥 支持SSF33算法 支持证书模板 支持多级CA 支持交叉认证 支持在线证书状态查询OCSP 支持时间戳,特点,三、签发系统组成,签发服务器 CA Server,管理终端 CA Admin,签发系统主要功能,签发证书 签发CRL 证书发布 证书模板管理 审计管理 管理策略,主要功能

7、,四、KMC系统组成,密钥服务器 KMC Server,管理终端 KMC Admin,KMC系统主要功能,密钥管理 CA机构管理 授权管理 密钥恢复 审计管理,五、注册审核系统（RA）组成,系统管理终端 RA Admin,注册服务器 RA Server,注册系统主要功能,证书管理 证书审核 业务员证书管理 权限管理 系统设置 证书统计 批量申请和制证 审计管理,RA系统-证书管理功能,证书管理 证书申请 证书冻结 证书解冻 证书更新 证书注销 证书授权码更新 证书制作 证书查询 用户信息维护 企业信息维护,RA系统-证书审核功能,证书审核 审核证书申请 审核证书冻结 审核证书解冻 审核证书更新

8、 审核证书注销 审核授权码更新,RA系统-业务员证书管理功能,业务员证书管理 申请证书 冻结证书 解冻证书 更新证书 注销证书 更新授权码 证书查询,RA系统-权限管理功能,权限管理 授权业务员权限 修改业务员权限 增加角色 更新角色 删除角色,RA系统-系统设置功能,系统设置 模版更新 修改审核策略 归档业务日志,RA系统-统计、批量制证、设计管理功能,证书统计 证书统计 批量申请和制证 批量申请 批量制证 审计管理 查询业务日志,高安全性,高安全性,符合国家有关安全规定 整体安全 物理与环境安全 数据安全：核心数据备份、目录服务主从结构 网络安全 主机安全 产品安全：高强度安全协议、支持硬

9、件加密设备 安全策略 人员安全：管理员采用数字证书进行身份验证使用权限列表进行访问控制,运行安全,高安全性运行安全,建立运行管理机构 人员管理规范 运行管理规范：认证中心管理规范、技术操作规范、安全与审计规范、档案归档管理规范 信息系统应急方案 电力系统应急方案 消防系统应急方案 病毒应急方案 系统备份应急方案 人员异动情况应急方案 安全事件及事故应急方案,高可用性,高可用行,功能完整 基本证书业务、多级CA、证书模板、双证书、双中心、交叉认证、支持2048位证书 支持OCSP、时间戳 身份认证、安全传输、SSO、审计、签名加密等等 性能优异、稳定 Sun V60X（单CPU） Redhat

10、AS2.1_X86平台下 45张/秒 支持负载均衡和海量数据 与应用完美结合（零代码量修改） 多平台和第三方产品支持：支持多种操作系统、数据库、目录服务器、应用服务器、加密设备、USBkey等,高扩展性,高可扩展性,符合国际和国内标准 多级层次结构，方便信任域的扩展 良好的架构设计，方便功能扩展，支持多种部署方式 性能和容量的扩展,高可管理性,高可管理性,B/S架构，通过浏览器直接管理服务器 安全，但有不失灵活的管理员策略 多种形式的制证流程 随需而定的系统架构和部署方案 丰富的证书种类和证书模板 完备安全的统计查询功能 实施故障诊断功能方便的进行故障排查,六、RA Server系统安装,七、RA系统配置和初始化,系统通过安装目录下的configRAinit.xml文件完成系统初始化工作，包括加密库的装载、服务器证书的产生、管理员的产生、其他系统初始化参数的配置。,RA初始化简易流程图,谢谢,