江西省财政身份认证与授权管理系统二期项目日常维护手册.doc

江西省财政身份认证与授权管理系江西省财政身份认证与授权管理系 统二期项目统二期项目 日常维护手册日常维护手册 2019 年 1 月 17 日 江西省财政身份认证与授权管理系统二期项目日常维护手册 1 目目 录录 1 1概述概述2 1.1编写目的2 1.2术语定义2 2 2整体介绍整体介绍3 2.1系统说明3 2.2网络拓扑4 2.3应用部署表4 3 3日常维护日常维护6 3.1服务状态查询6 3.1.1UMS 服务器6 3.1.2AQS 服务器6 3.1.3签名服务器7 3.1.4身份认证网关7 3.2系统关闭7 3.2.1UMS 服务器7 3.2.2AQS 服务器7 3.3系统启动8 3.3.1UMS 服务器8 3.3.2AQS 服务器8 3.3.3签名服务器8 3.3.4身份认证网关8 3.4各系统登录 URL8 4 4日常操作日常操作10 4.1添加应用10 4.1.1身份认证网关相关操作10 4.1.2UMS 相关操作11 4.2应用审计12 4.2.1添加应用字典12 5 5业务流程业务流程16 5.1证书管理16 5.1.1业务流程16 5.2授权管理17 5.2.1业务流程18 5.3证书应用18 5.3.1业务流程18 6 6系统应急系统应急21 6.1负载均衡21 江西省财政身份认证与授权管理系统二期项目日常维护手册 2 1 1概述概述 1.11.1 编写目的编写目的 财政身份认证与授权管理系统是一套技术先进的、安全的、遵循国际标准 并具有强大并发处理能力的系统。本手册是面向系统管理员的系统维护手册， 旨在指导义务财政系统管理员完成整个身份认证与授权管理系统的日常维护管 理工作。 1.21.2 术语定义术语定义 PKI：Public Key Infrastructure，公钥基础设施，是采用非对称密码算法和 技术来实现和提供安全服务，并具有通用性的安全基础设施，是一种遵循既定 标准的安全身份基础管理平台。 LRA： Local Register Authority，证书注册中心受理点系统，供本地进行 证书申请、下载、注销、更新等各项业务操作。 UMS：User Managerment System，用户属性管理系统，提供粗粒度的授 权服务。 AQS：Aduit Query System，安全审计系统，提供证书及应用访问（证书 方式访问）的综合查询统计服务。 江西省财政身份认证与授权管理系统二期项目日常维护手册 3 2 2整体介绍整体介绍 2.12.1 系统说明系统说明 LRA 本地证书注册中心，相当于部署在各地市、区县财政局的省厅 RA 的客户 端，主要用于申请制作数字证书。 UMS（属性管理系统）（属性管理系统） 用于用户属性管理、应用账号管理，配合身份认证网关完成用户使用证书 访问应用系统时的身份认证。 AQS（安全审计系统）（安全审计系统） 用于证书发放情况和证书访问情况的统计查询。 身份认证网关身份认证网关 用于用户使用证书访问应用系统时的身份认证。 签名服务器签名服务器 用于基于数字证书的数字签名、验签等信息安全保障，保证信息完整性、 保密性和操作不可抵赖性。 江西省财政身份认证与授权管理系统二期项目日常维护手册 4 2.22.2 网络拓扑网络拓扑 财财政政业业务务专专网网 省省厅厅财财政政身身份份认认证证与与授授权权管管理理系系统统独独立立网网络络 负负载载均均衡衡 省省厅厅A AQ QS S系系统统省省厅厅U UMMS S系系统统 省省厅厅财财政政业业务务专专网网 省省厅厅 身身份份认认证证网网关关 省省厅厅 签签名名服服务务器器 负负载载均均衡衡1 1负负载载均均衡衡2 2 市市级级财财政政业业务务专专网网 L LR RA A 县县级级财财政政业业务务专专网网 L LR RA A 2.32.3 应用部署表应用部署表 名称名称 IPIP IPIP 说明说明用途用途 0Eth 0 身份认证网关 （6 台）1Eth 0 身份认证、访问控制 江西省财政身份认证与授权管理系统二期项目日常维护手册 5 2Eth 0 3Eth 0 5Eth 0 6Eth 0 7Eth 0 签名服务器 （2 台）8Eth 0 数字签名 物理 IP 0物理 IP 4物理 IP 5物理 IP 6物理 IP 属性管理系统 UMS （6 台） 7物理 IP 用户属性管理 3（ 集群 IP） 虚拟 IP 1物理 IP UMS 数据库 （2 台） 2映射 IP UMS 数据库 8物理 IP 9物理 IP 1物理 IP 综合查询系统 AQS （4 台） 2映射 IP 证书统计、应用访问统计等 6（ 集群 IP） 虚拟 IP 4物理 IP AQS 数据库 （2 台） 5映射 IP AQS 数据库 负载均衡0虚拟 IP身份认证网关、签名服务器负载 江西省财政身份认证与授权管理系统二期项目日常维护手册 6 3 3日常维护日常维护 以下各项操作都须登录对应主机的操作系统进行操作，各主机的登录用户 名、密码请查看相关文档。 3.13.1 服务状态查询服务状态查询 .1UMS 服务器服务器 使用 SSL 工具登录 后，使用以下命令查看： UMSServer # ps -ef|grep jitums|grep -v grep 若服务正常，应返回以下的进程： root 3171 3170 54 20:00 pts/0 00:00:07 /jre/bin/jitums -Xss128k - Xms1024m -Xmx1024m .jit.startup.Main ./lib .jit.sf.server.Main start 1 .2AQS 服务器服务器 使用 SSL 工具登录 8 后，使用以下命令查看： AQS 服务服务 # ps -ef|grep jitimp|grep -v grep 若服务正常，应返回以下的进程： root 4094 1 16 12:59 pts/2 00:00:02 /jre/bin/jitimp -Xms256m -Xmx1024m -XX:PermSize=64M -XX:MaxPermSize=256M -Dfile.encoding=UTF-8 -DPKIToolConfig=./config/conf/pkitool.ini .jit.startup.Main ./lib .jit.imp.IMPStart start 1 root 4096 1 16 12:59 pts/2 00:00:02 /jre/bin/jitimpupdate .jit.startup.Main lib .jit.platform.virtual.gateway.Update root 4098 1 21 12:59 pts/2 00:00:02 /opt/JIT/IMP/selfguard/jre/bin/jitimpselfguard .jit.platform.selfguard.App 其中第一个进程是 AQS 主进程，第二个是在线升级进程，第三个是自保护 江西省财政身份认证与授权管理系统二期项目日常维护手册 7 服务进程。 .3签名服务器签名服务器 在业务专网的一台机器上，采用以下命令进行测试： telnet 7 8000 若端口能连通，则表示签名服务器服务正常。 .4身份认证网关身份认证网关 在业务专网的一台机器上，采用以下命令进行测试： telnet 0 6180 若端口能连通，则表示身份认证网关服务正常。 3.23.2系统关闭系统关闭 .1UMS 服务器服务器 使用 SSL 工具登录 后，按照以下顺序进行服务器的关闭。 停止停止 UMS 服务服务 # cd /opt/JIT/ums5018/server/bin #./stop.sh 关机关机 #shutdown h now .2AQS 服务器服务器 使用 SSL 工具登录 8 后，按照以下顺序进行服务器的关闭。 停止停止 AQS 服务服务 # cd /opt/JIT/imp/server/bin #./stop.sh 关机关机 #shutdown h now 江西省财政身份认证与授权管理系统二期项目日常维护手册 8 3.33.3系统启动系统启动 .1UMS 服务器服务器 开机后，待网络连通后，使用 SSL 工具登录 。 #cd /opt/JIT/ums5018/server/bin #./start.sh .2AQS 服务器服务器 开机后，待网络连通后，使用 SSL 工具登录 8。 # cd /opt/JIT/imp/server/bin #./start.sh .3签名服务器签名服务器 接通电源，按下设备前面板的灰白色电源按钮，即开启此设备。开机后签 名服务会自动起来，只需过 2-3 分钟后采用 2.1.9 的查询方法查看签名服务器服 务是否正常即可。 .4身份认证网关身份认证网关 接通电源，按下设备前面板的灰白色电源按钮，即开启此设备。开机后身 份认证服务会自动起来，只需过 2-3 分钟后采用 2.1.9 的查询方法查看身份认证 服务是否正常即可。 3.43.4各系统登录各系统登录URL 系统名称系统名称登录登录 URL管理证书管理证书/账号账号 身份认证网关0:6443 系统管理员证书、安全保密管理 员证书、审计管理员证书 签名服务器7:6443 系统管理员证书、安全保密管理 员证书、审计管理员证书 AQS8:22443AQS 业务管理员证书 江西省财政身份认证与授权管理系统二期项目日常维护手册 9 UMS:8001UMS 超级管理员证书 注：登录时需要使用对应的管理员证书。 江西省财政身份认证与授权管理系统二期项目日常维护手册 10 4 4日常操作日常操作 4.14.1添加应用添加应用 .1身份认证网关相关操作身份认证网关相关操作 1.安装随机光盘中默认安全保密管理员证书，安装密码为“111111” 。 2.打开 IE 访问：0:6443，选择“安全保密管理员” 证书登录， 进入 I 网关管理界面。 江西省财政身份认证与授权管理系统二期项目日常维护手册 11 3.在应用管理选项中，点击配置应用，然后点击右侧的添加： 选择 B/S 或 C/S 应用类型（根据应用类型选择） 。 单点登录方式为：报文认证。 应用名称为：XXX 系统（按实际情况填写，如 PORTAL） 。 应用标识为：xxx（按实际情况填写，区分大小写，如 PORTAL） 。 配置应用服务器：域名或 IP。 应用服务器：应用访问地址。如： 应用通讯协议：默认明文（若应用本身为 https 访问择选择密文） 。 4.保存配置。 5.配置应用代码。依次进入菜单 相关产品配置相关产品配置 配置应用代码配置应用代码 ，选择刚添 加的应用，填写应用代码： 应用代码为 6 位数字，由 2 位省编码，2 位地 市编码， 2 位应用编码组成。如：360001 表示江西省 01 号应用。 6.保存配置。 .2UMSUMS 相关操作相关操作 打开 IE，并输入 UMS 的管理地址：:8001，并选择“UMS 超级 管理员“证书登录。 江西省财政身份认证与授权管理系统二期项目日常维护手册 12 添加字典添加字典 1.点击添加字典，安装如下图所示： 属性分类：XXX 系统（选择上一步中添加的属性分类名称） 属性字典名称：xxxuid 填写方式： 单行文本框 是否唯一： 唯一 是否必选： 必选 2.填写完毕后，点击确定。 4.24.2应用审计应用审计 安装身份认证网关随机光盘中默认系统管理员证书，安装密码为“111111” 。打 开 IE，并输入 AQS 的管理地址：8:22443，并选择“业务管理 员”证书登录。 ） .1添加应用字典添加应用字典 添加应用字典有两种方式：一种是以 Excel 表格的形式导入进去；一种是手动 添加进去。 Excel 表格方式表格方式 江西省财政身份认证与授权管理系统二期项目日常维护手册 13 1.根据身份认证网关中配置的应用代码编辑成 Excel 表格，导入到 AQS 应用 字典中： 2.整理好 Excel 表格之后，点击左侧菜单中 系统管理系统管理 字典管理字典管理 功能，选 择“应用字典” ，点击【导入】或在应用字典详细页面，点击【导入】 ，跳 转到导入应用字典页面；点击【浏览】按钮，选择合理导入文件（*.xls 文 件）： 3.点击【上传】 ，提示导入字典文件成功。 江西省财政身份认证与授权管理系统二期项目日常维护手册 14 4.点击【确定】显示如下： 手动添加方式手动添加方式 1.选择“应用字典” ，详细页面中点击【添加】 ，跳转到添加应用字典页面， 输入对应的应用字典名称（如：XXX 系统） 、应用字典编码（如： 33078201） 。 江西省财政身份认证与授权管理系统二期项目日常维护手册 15 2.点击【保存】完成添加。 江西省财政身份认证与授权管理系统二期项目日常维护手册 16 5 5业务流程业务流程 财政身份认证与授权管理系统的主要日常业务主要为证书管理、授权管理 及证书应用三个方面，了解了这三方面的具体业务流程后，自然能分析、定位 日常系统运行过程中出现的故障。 5.15.1 证书管理证书管理 .1业务流程业务流程 审审核核 信信息息进进入入R RA A数数据据库库用用户户信信息息表表（未未审审核核状状态态） C CA A进进行行对对应应的的证证书书操操作作 是是否否合合法法 证证书书写写入入U US SB B- -K KE EY Y C CA A将将结结果果返返回回给给R RA A R RA A中中录录入入申申请请 是是 连连接接C CA A进进行行证证书书管管理理申申请请 是是否否需需要要产产生生加加密密 密密钥钥 是是 R RA A数数据据库库用用户户信信息息表表用用户户状状态态更更改改 C CA A连连接接K KM MC C申申请请密密钥钥 R RA A根根据据返返回回结结果果更更新新其其数数据据库库证证书书表表 是是否否需需要要将将证证书书写写 入入KEY 是是 否否 申申请请驳驳回回，需需修修改改后后重重新新提提交交或或删删除除 否否 否否 流流程程结结束束 R RA A连连接接C CA A进进行行审审核核请请求求，C CA A根根据据请请求求合合法法性性判判断断 江西省财政身份认证与授权管理系统二期项目日常维护手册 17 具体流程描述： 1)证书管理员在 RA 界面中录入相关证书管理请求，主要有证书申请、 证书更新、证书冻结/解冻、证书注销等请求； 2)RA 系统将该请求信息保存在其数据库的用户信息表中，同时将该用户 信息标志为未审核； 3)证书管理员或系统自动进行请求审核，此时 RA 会连接 CA 进行审核信 息判断，例如证书申请有效期是否超出系统限制，证书是否已存在， 证书状态是否正常等； 4)若 CA 信息校验通过，则 RA 会根据 CA 返回的信息将其数据库中对应 用户信息的状态改为已审核，同时连接 CA 进行下一步的证书申请 （证书产生、冻结/解冻、更新、注销等） ； 5)CA 根据该请求类型判断是否需要新的加密密钥，若需要则连接 KMC 进行密钥申请，否则进入下一步； 6)CA 根据请求进行对应的证书操作（证书产生、冻结/解冻、更新、注 销等） ； 7)CA 处理成功后将处理结果返回给 RA，若为证书申请或更新，则该结 果中还会有对应的证书； 8)RA 根据 CA 返回的结果更新其数据库中的证书表，并判断是否需要将 证书写入到 USB-Key 中（证书申请、更新需要，证书冻结/解冻、注销 不需要） ，若需要则进入下一步，否则流程结束； 9)RA 将证书写入 USB-Key。 5.25.2授权管理授权管理 本处所指的授权管理为使用用户属性管理系统进行应用入门级访问控制的 粗颗粒授权管理。 江西省财政身份认证与授权管理系统二期项目日常维护手册 18 .1业务流程业务流程 管管理理员员将将用用户户纳纳入入到到正正确确的的组组织织机机构构 U UM MS S首首页页体体现现待待办办信信息息 R RA A将将新新产产生生的的证证书书用用户户信信息息同同步步到到U UM MS S数数据据库库 对对应应属属性性信信息息写写入入U UM MS S数数据据库库， 以以供供网网关关调调用用 管管理理员员为为该该用用户户分分配配对对应应的的系系统统访访问问权权限限 （填填写写对对应应的的属属性性值值） 具体流程描述： 1)RA 签发新的证书后，因设置了 RA 与 UMS 的数据同步机制，RA 会将 新证书用户的相关信息同步到 UMS 数据库中； 2)在 UMS 管理员登录系统时，UMS 首页就会体现对应的待办信息； 3)此时管理员需要将这些同步过来的用户纳入到正确的组织机构下； 4)应用管理员登录 UMS，并为这些用户分配对应的系统访问权限，即填 写对应的属性值后提交； 5)UMS 将这些属性信息写入到其数据库中，以供日后的查询及网关访问 应用时调用。 5.35.3证书应用证书应用 .1业务流程业务流程 根据财政业务系统高强度身份认证、防篡改、抗抵赖及数据完整性保护的 需求，目前财政身份认证与授权管理的证书应用主要为身份认证及数字签名两 种。下面的流程图以在一个系统中同时实现身份认证、数字签名为例，说明整 个证书应用的相关流程。 江西省财政身份认证与授权管理系统二期项目日常维护手册 19 具体流程描