吉大正元数字签名服务器安装部署管理守则COM版VCTKS接口
CA认证解决方案-CA+网关+签名服务器
CA认证安全解决方案吉大正元信息技术股份有限公司2013年05月目录1方案背景 (3)2需求分析 (4)3系统框架设计 (6)4系统逻辑设计 (7)5产品介绍 (9)5.1CA认证系统 (9)5.1.1系统构架 (9)5.1.2系统功能 (10)5.1.3系统流程 (11)5.2身份认证网关 (12)5.2.1系统架构 (12)5.2.2系统功能 (13)5.2.3系统流程 (14)5.3数字签名服务器 (15)5.3.1系统架构 (15)5.3.2系统功能 (16)5.3.2.1数字签名服务器 (16)5.3.2.2数字签名客户端 (18)5.3.3系统流程 (18)5.3.3.1数字签名流程 (18)5.3.3.2签名验证流程 (19)6网络拓扑设计 (20)7产品配置清单 (21)1方案背景随着信息化建设的推进,信息化的水平也有了长足的提高,信息化已经成为政府、企业提高工作效率,降低运营成本、提升客户体验、增加客户粘度,提升自身形象的重要手段。
信息化是架构在网络环境世界来展开,网络固有的虚拟性、开放性给业务的开展带来巨大潜在风险,如何解决虚拟身份的真实有效,敏感信息在网络传输的安全保密且不被攻击者非法篡改,如何防止网络操作日后不被抵赖?同时,随着信息系统的不断增加,信任危机、信息孤岛、用户体验、应用统一整合越发成为信息化发展的瓶颈。
因此,安全和可信、融合和统一逐渐成为目前信息化建设的大势所趋,上述问题逐渐给信息化建设管理者提出了新的挑战。
此外,国家安全管理部门发布了《信息安全等级保护管理办法》,提出了“计算机信息系统实行安全等级保护”的要求,等级保护技术标准规范中也明确对信息系统的身份鉴别、数据机密性、数据完整性以及抗抵赖提出明确的安全要求。
鉴于上述政府、企业自身的安全建设需要以及政府安全管理部门的要求,本方案提出一套基于PKI密码技术的CA认证体系建设方案和基于数字证书的安全应用支撑解决方案,全面解决上述信息安全问题。
身份认证网关I系列用户手册V2.2.3_20101130
身份认证网关I系列用户手册V2.2.3吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.目录1引言 (1)1.1编写目的 (1)2布署结构图 (1)3安装配置 (1)3.1介绍 (1)3.2W EB管理配置流程 (2)3.2.1安装管理员证书 (2)3.2.2系统管理员登录并配置 (5)3.2.3安全保密管理员登录并配置 (7)3.2.4审计管理员登录并配置 (12)4功能详解及使用方法 (14)4.1应用管理 (14)4.1.1添加应用 (14)4.1.2修改应用 (15)4.1.3删除应用 (16)4.2服务器管理 (16)4.2.1服务端口设置 (16)4.2.2申请站点证书 (17)4.2.3导入站点证书 (17)4.2.4导出站点证书 (18)4.2.5配置许可证 (19)4.2.6当前服务状态 (19)4.3认证管理 (20)4.3.1证书认证配置 (20)4.3.2口令认证配置 (23)4.4访问控制管理 (25)4.4.1访问控制设置 (25)4.4.2应用级访问控制 (25)4.4.3规则管理 (26)4.5P ORTAL页面定制 (29)4.5.1设置隐藏应用 (29)4.5.2设置默认Portal (30)4.5.3定制Portal页 (30)4.5.4定制登录页 (31)4.6相关产品设置 (31)4.6.1UMS配置 (31)4.6.2PMS配置 (32)4.6.4配置应用代码 (33)4.6.5配置默认权限 (33)4.7SSO管理 (34)4.7.1令牌设置 (34)4.7.2认证地址配置 (34)4.7.3应用从账号管理 (35)4.7.4模拟代填设置 (36)4.7.5在线用户 (37)4.8管理员配置 (37)4.8.1配置管理员证书 (37)4.8.2配置管理员根证书 (38)4.8.3管理员IP设置 (39)4.8.4管理员IP列表 (39)4.9日志管理 (39)4.9.1配置系统日志 (39)4.9.2查询系统日志 (40)4.9.3日志空间预警 (41)4.9.4日志打包下载 (42)4.10系统设置 (42)4.10.1网卡设置 (42)4.10.2配置DNS服务 (42)4.10.3本地HOSTS配置 (43)4.10.4静态路由设置 (43)4.10.5系统硬件信息 (43)4.10.6系统时间设置 (44)4.10.7可信时间源设置 (44)4.10.8手动同步设备时间 (44)4.10.9服务器启停 (45)4.11系统维护 (45)4.11.1恢复出厂默认值 (45)4.11.2备份恢复 (45)4.11.3系统升级 (46)4.12硬件管理 (46)4.12.1HA服务管理 (46)4.12.2网络诊断管理 (47)4.12.3SNMP服务管理 (50)4.12.4系统监控 (52)4.12.5网络监控 (53)5常见问题解答(FAQ) (55)5.1A GENT无法做重定向认证 (55)6附录模拟代填工具 (58)6.1.1CS模拟代填工具说明 (58)6.1.2CS模拟代替工具使用方法 (58)6.2附录2BS模拟代填 (61)6.2.1BS代填模板说明 (61)6.2.2BS代填工具使用方法 (62)1引言1.1 编写目的身份认证网关对外提供身份认证服务前需要对网关自身进行一系列的参数设置,为提高网关服务系统的易用性,我们提供专门的服务配置管理平台和WEB方式的操作界面,方便管理员对网关服务系统进行管理操作。
吉大正元数字签名服务器-安装部署介绍资料(COM版VCTKS接口)2.1.1
数字签名服务器v2.1.1安装部署手册(VSTK接口 COM版)V2.1.1长春吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.目录1引言 (2)1.1概述 (2)1.2开发平台及编程语言 (2)1.3名词解释 (2)2程序部署 (3)2.1W INDOWS环境部署 (3)2.1.1安装 (3)2.1.2验证 (7)2.2示例说明(以A TTACH签名为例) (8)3接口说明 (9)4配置文件概述 (10)5示例代码 (10)6常见问题 (11)6.1编码转换 (11)6.2替换旧版VCTK (11)6.3过滤U KEY (11)6.4证书支持 (11)6.5CA发证 (11)6.6双证书过滤问题 (12)6.7非大文件接口的文件大小限制 (13)1引言1.1 概述该接口是以COM组件的形式提供签名服务。
主要完成以下功能接口:⏹签名、验签⏹加密、解密⏹打信封、解信封1.2 开发平台及编程语言⏹开发平台Windows 7 + sp1⏹编程语言C++⏹开发工具VC++ 2010 + sp11.3 名词解释●Digital Certificate(数字证书)Digital Certificate,是由国家认可的,具有权威性、可信性、公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。
数字证书包含公开密钥拥有者信息以及公开密钥的文件。
●IssuerDN数字证书颁发者的DN●Version数字证书的版本号●SN数字证书的序列号●Subjectdn数字证书主题●Digestalg摘要算法●数字签名被签发数据的哈希值经过私钥加密后的结果。
通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照,就能验证数字签名。
●带签名的数字信封带数字签名的加密数据●不带签名的数字信封没有数字签名的加密数据2程序部署2.1 Windows环境部署2.1.1安装安装有2种方式:安装包和网页。
吉大正元身份认证网关报文认证应用接入培训教材_V2.7_20100816_I2.2.
吉大正元身份认证CA集中认证应用接入培训教材Version 2.7中国·北京市海淀区知春路113号银网中心B座2层电话:86-010-******** 传真:86-010-********吉大正元信息技术股份有限公司目录1 引言 (1)1.1 服务概述 (1)1.2 适用网关版本 (1)2 认证原理 (1)3 通信报文 (2)3.1 承载协议 (2)3.2 认证原文产生服务报文 (2)3.2.1 请求报文说明 (2)3.2.2 响应报文说明 (2)3.3 认证服务报文 (3)3.3.1 请求报文说明 (3)3.3.2 响应报文说明 (5)3.4 标准报文示例 (7)3.4.1 认证原文产生服务请求报文示例 (7)3.4.2 认证原文产生服务响应报文示例 (7)3.4.3 认证服务请求报文示例 (7)3.4.4 认证服务响应报文示例 (8)4 应用改造流程 (9)4.1 第一步:客户端请求认证原文 (9)4.2 第二步:服务端请求认证原文 (9)4.3 第三步:网关返回认证原文 (10)4.4 第四步:服务端返回认证原文 (10)4.5 第五步:客户端认证 (10)4.6 第六步:应用服务端认证 (10)4.7 第七步:网关返回认证响应 (10)4.8 第八步:服务端处理 (10)1引言1.1服务概述集中认证服务是吉大正元身份认证网关I(以下简称网关)面向各种应用系统提供的一种统一的、高强度的身份认证服务。
通过集中认证服务应用系统可以将用户的身份凭据(证书或用户名/口令)提交给网关,网关对用户的身份凭据进行认证,认证后将认证结果、用户的身份信息及用户的属性信息返回给应用系统。
集中认证服务保证了众多应用系统之间认证的权威性、安全性、用户身份的唯一性,避免了因在不同的应用系统中存在多重用户身份信息而难以管理的问题。
1.2适用网关版本本文档所描述的集中认证应用接入改造方法适用于I2.2.2版本。
吉大正元数字签名服务器-安装部署手册(COM版 VCTK_S接口)2.1.1精编版
数字签名服务器v2.1.1安装部署手册(VSTK接口 COM版)V2.1.1长春吉大正元信息技术股份有限公司Jilin University Information Technologies Co., Ltd.目录1引言 (2)1.1概述 (2)1.2开发平台及编程语言 (2)1.3名词解释 (2)2程序部署 (3)2.1W INDOWS环境部署 (3)2.1.1安装 (3)2.1.2验证 (7)2.2示例说明(以A TTACH签名为例) (8)3接口说明 (9)4配置文件概述 (10)5示例代码 (10)6常见问题 (11)6.1编码转换 (11)6.2替换旧版VCTK (11)6.3过滤U KEY (11)6.4证书支持 (11)6.5CA发证 (11)6.6双证书过滤问题 (12)6.7非大文件接口的文件大小限制 (13)1引言1.1 概述该接口是以COM组件的形式提供签名服务。
主要完成以下功能接口:⏹签名、验签⏹加密、解密⏹打信封、解信封1.2 开发平台及编程语言⏹开发平台Windows 7 + sp1⏹编程语言C++⏹开发工具VC++ 2010 + sp11.3 名词解释●Digital Certificate(数字证书)Digital Certificate,是由国家认可的,具有权威性、可信性、公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。
数字证书包含公开密钥拥有者信息以及公开密钥的文件。
●IssuerDN数字证书颁发者的DN●Version数字证书的版本号●SN数字证书的序列号●Subjectdn数字证书主题●Digestalg摘要算法●数字签名被签发数据的哈希值经过私钥加密后的结果。
通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照,就能验证数字签名。
●带签名的数字信封带数字签名的加密数据●不带签名的数字信封没有数字签名的加密数据2程序部署2.1 Windows环境部署2.1.1安装安装有2种方式:安装包和网页。
数字签名服务器-产品白皮书
数字签名服务器财政行业版产品白皮书Version有意见请寄中国·北京市海淀区知春路113号银网中心B座12层电话:86-0 传真:86-0吉大正元信息技术股份有限公司目录1前言............................................................................................................. 错误!未定义书签。
背景概述 .................................................................................................. 错误!未定义书签。
术语和缩略语 .......................................................................................... 错误!未定义书签。
2产品概述 ..................................................................................................... 错误!未定义书签。
产品简介 .................................................................................................. 错误!未定义书签。
产品结构 .................................................................................................. 错误!未定义书签。
部署结构 .................................................................................................. 错误!未定义书签。
时间戳服务器管理员手册
吉大正元时间戳服务器管理员手册V2.0.23_sp1长春吉大正元信息技术股份有限公司Jilin University Information TechnologiesCo., Ltd.目录1.引言31.1.概述31.2.定义32.安装配置42.1.介绍42.1.1.V200042.2.连接安装43.功能详解及使用方法63.1.可信时间戳管理63.1.1.管理可信时间源错误!未定义书签。
3.1.2.证书管理63.1.3.时间戳数据管理93.1.4.服务监控103.1.5.权限管理123.1.6.业务日志123.2.系统管理143.2.1.站点证书管理错误!未定义书签。
3.2.2.信任根证书管理错误!未定义书签。
3.2.3.权限管理183.2.4.数据库配置183.2.5.许可证配置193.3.设备管理193.3.1.网络设置193.3.2.HA服务管理223.3.3.网络诊断管理253.3.4.SNMP服务管理263.3.5.系统监控273.3.6.网络监控283.3.7.系统时间设置293.4.系统维护293.4.1.系统备份错误!未定义书签。
3.4.2.系统恢复错误!未定义书签。
3.4.3.系统升级错误!未定义书签。
3.5.审计管理303.5.1.查看审计信息错误!未定义书签。
3.5.2.更新安全审计员证书错误!未定义书签。
4.常见问题解答(FAQ)344.1.服务安装后无法启动344.2.服务启动后无法进入管理界面341.引言1.1. 概述随着互联网浪潮的到来,电子交易已逐渐进入我们的生活,电子购物将逐渐成为我们生活的一部分。
随着电子交易的普及,电子交易的安全逐渐成为人们关注的主题。
那么如何确保电子交易的交易安全呢?目前普遍采用的是公钥基础设施(PKI)。
PKI可以在电子化社会中建立人们之间的信任关系。
但是要保证交易的防抵赖,依靠单纯的数字签名技术是无法实现的。
因为要实现防抵赖,不仅需要对交易数据进行数字签名,还必须保证此交易数据在某一时间(之前)的存在性(Proof-of-Existence)。
吉大正元产品简介
吉大正元产品体系介绍
安全 应用
电子文档管理系终统 端安全、电文子公档文安安全全传输、系统办公安通用全办J公IT资S源m与ar业tO务ffic管e理系统
JIT DS 桌面安全系统
JIT 电子签章系统
• 行为可追述,不可抵赖 • 数据防篡改 • 数据保密
产品概述-产品形态
IE 浏览器 V-CTK 应用客户端 V-CTK
应用服务端 V
数字签名服务器
CRL/OCSP
✓ 数字签名服务器
• 硬件签名服务器 • 服务器接口(V-STK):C版/COM版/JAVA版
✓ 数字签名客户端
• 连接CA,实现证书管理功能
✓ OCSP Toolkit
• 连接OCSP,实现证书状态查询功能
提要 数字签名服务器产品
产品概述-产品背景
✓ 研制背景
• 需求:电子交易和网络业务,如何保证业务行为、时间不可否认和数 据安全
• 技术:PKI技术和数字证书应用,提供了技术保障和解决方案 • 保障:随着电子签名法颁布(2005年4月1日),电子签名具有法律
✓ 主题规则管理 • 规范证书主题格式 • 定制用户信息与证书主题的对应关系 • 主题规则与证书模板绑定
✓ 权限管理 • 录入员 • 审核员 • 制证员
功能介绍-RA Server
✓ 用户自主服务
• 自主下载证书 • 自主更新证书 • 下载根证书 • 下载CRL • 可灵活控制的自主服务模式 • 可扩展的用户身份验证模式
完善的安全解决方案。
功能介绍-系统结构
功能介绍-系统组成
➢ JIT SRQ05 -吉大正元电子证书认证系统 服务器
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
吉大正元数字签名服务器安装部署管理守则C O M版V C T K S接口
集团标准化办公室:[VV986T-J682P28-JP266L8-68PNN]
数字签名服务器v2.1.1
安装部署手册
(VSTK接口COM版)
V2.1.1
长春吉大正元信息技术股份有限公司
JilinUniversityInformationTechnologiesCo.,Ltd.
目录
1引言
1.1概述
该接口是以COM组件的形式提供签名服务。
主要完成以下功能接口:
签名、验签
加密、解密
打信封、解信封
1.2开发平台及编程语言
开发平台
Windows7+sp1
编程语言
C++
开发工具
VC++2010+sp1
1.3名词解释
DigitalCertificate(数字证书)
DigitalCertificate,是由国家认可的,具有权威性、可信性、公正性的第三方证书认证机构进行数字签名的一个可信的数字化文件。
数字证书包含公开密钥拥有者信息以及公开密钥的文件。
IssuerDN
数字证书颁发者的DN
Version
数字证书的版本号
SN
数字证书的序列号
Subjectdn
数字证书主题
Digestalg
摘要算法
数字签名
被签发数据的哈希值经过私钥加密后的结果。
通过把使用公钥对数字签名解密得到的值与原始数据的哈希值相对照,就能验证数字签名。
带签名的数字信封
带数字签名的加密数据
不带签名的数字信封
没有数字签名的加密数据
2程序部署
2.1Windows环境部署
2.1.1安装
安装有2种方式:安装包和网页。
安装包方式
执行JITComVCTK_S.exe进行安装
安装完成后,64位系统会把文件安装到C:\ProgramFiles(x86)\JIT\Client 目录下,32位系统会把文件安装到C:\ProgramFiles\JIT\Client目录下。
网页方式(针对IE)
把JITComVCTK_S.cab文件放到访问网页的目录下
修改index.html内容,
version=当前VCTK_S的版本号
若系统中没有安装VCTK_S,访问该网页时会自动进行下载安装。
遇到该提示,选择“允许阻止的内容”
选择【是】,系统会自动下载并执行安装,安装过程与使用安装包安装相同
若系统中的VCTK_S的版本小于网页指定的版本,则会提示卸载
执行完卸载之后再次刷新网页,会进行自动安装工作。
2.1.2验证
安装完成后,在IE的管理加载项中查看
有对应项目并且启动表示安装成功,控件可用。
2.2示例说明(以Attach签名为例)
使用之前需要引入控件对象,具体使用方法是
<objectclassid="clsid:B0EF56AD-D711-412D-BE74-
A751595F3633"id="JITComVCTKEx"></object>
Demo中files\org\attach_sign.htm文件
点击【签名】按钮时,调用attachSign()脚本函数,
1、调用Initialize进行初始化,初始化参数是XML格式的字符串
其中,type项指定了UKey的接口类型,CSP代表使用Windows的证书,SKF代表国密Key,还有P11,PM等等。
dllname项指定了Key驱动dll文件的BASE64编码,例如图中表示
mtoken_gm3000_JIT.dll。
后面的参数项是配置相关算法,基本上不用变。
所有的配置根据具体的使用情况进行变化。
2、调用SetCert进行证书过滤选择,详细说明参考程序员手册。
3、调用AttachSignStr进行签名。
4、最后调用Finalize进行资源释放。
3接口说明
参考《吉大正元数字签名服务器-程序员手册(COM版VCTK_S接口)2.0》4配置文件概述
无
5示例代码
参见测试Demo。
在VCTK_SDemo.zip文件内的“files”目录下存放着HTML调用COMClient的Demo程序,对文件操作的放置在file子目录中,对原文操作的放置在org子目录中。
6常见问题
6.1编码转换
强烈建议文件字符集编码方式都统一使用UTF-8,避免由于字符集不同导致验证失败问题。
6.2替换旧版VCTK
首先,替换CAB包
然后,更改网页classid,
codeBase=JITComVCTK_S.cab#version=2,1,1,0
classid="clsid:B0EF56AD-D711-412D-BE74-A751595F3633"
添加初始化(Initialize)和结束方法(Finalize),具体参考上面的示例说明。
6.3过滤Ukey
初始化参数是XML格式的字符串,其中设置了相关Key驱动名称,用户需要根据自己的Key 添加对应的dllname,示例代码中只提供了部分Key驱动。
6.4证书支持
支持软证书及Key证书,支持RSA和SM2证书。
6.5CA发证
若使用证书进行签名、验签功能,CA颁发证书的模板需要配置为签名证书模板,
(1)选择模板类型
(2)选择密钥用法
若使用证书进行信封操作,CA颁发证书的模板需要配置为双证书模板,
(1)选择模板类型
(2)选择密钥用法
若证书模板配置不正确,会导致无法弹出对应的证书。
6.6双证书过滤问题
若使用UKey进行RSA的业务操作,Key中有RSA证书,例如
这时,如果VCTK初始化参数同时配置了CSP和SKF,
这时会弹出两张同样的证书
这时因为CSP自动把UKey中的RSA证书安装到IE中,所以会同时显示两个一样的证书,解决该问题的方法是去掉初始化参数中CSP部分即可,再次执行的结果如图,
6.7非大文件接口的文件大小限制
做文件业务时,若输入的文件大于10M,请使用大文件接口进行业务操作,非大文件接口输入大文件进行业务操作会提示异常,
6.8IE10设置
修改IE的Internet选项,去掉保护模式
去掉阻止程序。