财政运维方案

江西省财政身份认证与授权管理系

统二期项目

日常维护手册2016年3月28日目录TOC\o"1-5"\h\z\o"CurrentDocument"概述 2\o"CurrentDocument"编写目的 2\o"CurrentDocument"术语定义 2\o"CurrentDocument"整体介绍 3\o"CurrentDocument"系统说明 3\o"CurrentDocument"网络拓扑 4\o"CurrentDocument"应用部署表 4\o"CurrentDocument"日常维护 6\o"CurrentDocument"服务状态查询 6\o"CurrentDocument"UMS服务器 6\o"CurrentDocument"AQS服务器 6\o"CurrentDocument"签名服务器 7\o"CurrentDocument"身份认证网关 7\o"CurrentDocument"系统关闭 7\o"CurrentDocument"UMS服务器 7\o"CurrentDocument"AQS服务器 7\o"CurrentDocument"系统启动 8UMS服务器 8AQS服务器 8\o"CurrentDocument"签名服务器 8\o"CurrentDocument"身份认证网关 8\o"CurrentDocument"各系统登录URL 8\o"CurrentDocument"日常操作 10\o"CurrentDocument"添加应用 10\o"CurrentDocument"身份认证网关相关操作 10UMS相关操作 11\o"CurrentDocument"应用审计 12\o"CurrentDocument"添加应用字典 12\o"CurrentDocument"业务流程 16\o"CurrentDocument"证书管理 16\o"CurrentDocument"业务流程 16\o"CurrentDocument"授权管理 17\o"CurrentDocument"业务流程 18\o"CurrentDocument"证书应用 18业务流程 18\o"CurrentDocument"系统应急 21\o"CurrentDocument"负载均衡 21概述编写目的财政身份认证与授权管理系统是一套技术先进的、安全的、遵循国际标准并具有强大并发处理能力的系统。本手册是面向系统管理员的系统维护手册，旨在指导义务财政系统管理员完成整个身份认证与授权管理系统的日常维护管理工作。术语定义PKI：PublicKeyInfrastructure，公钥基础设施，是采用非对称密码算法和技术来实现和提供安全服务，并具有通用性的安全基础设施，是一种遵循既定标准的安全身份基础管理平台。LRA：LocalRegisterAuthority，证书注册中心受理点系统，供本地进行证书申请、下载、注销、更新等各项业务操作。UMS：UserManagermentSystem，用户属性管理系统，提供粗粒度的授权服务。AQS：AduitQuerySystem，安全审计系统，提供证书及应用访问（证书方式访问）的综合查询统计服务。整体介绍系统说明LRA本地证书注册中心，相当于部署在各地市、区县财政局的省厅RA的客户端，主要用于申请制作数字证书。UMS（属性管理系统）用于用户属性管理、应用账号管理，配合身份认证网关完成用户使用证书访问应用系统时的身份认证。AQS（安全审计系统）用于证书发放情况和证书访问情况的统计查询。身份认证网关用于用户使用证书访问应用系统时的身份认证。签名服务器用于基于数字证书的数字签名、验签等信息安全保障，保证信息完整性、保密性和操作不可抵赖性。网络拓扑县级财政业务专网市级财政业务专网省厅财政业务专网LRA口PwlP«|口3D|口县级财政业务专网市级财政业务专网省厅财政业务专网LRA口PwlP«|口3D|口口口|su-^-L[■BSA •In 一心应用部署表名称IPIP说明用途身份认证网关0Eth0身份认证、访问控制（6台）1Eth0

2Eth03Eth05Eth06Eth0签名服务器（2台）7Eth0数字签名8Eth0属性管理系统UMS（6台）物理IP用户属性管理0物理IP4物理IP5物理IP6物理IP7物理IPUMS数据库（2台）3（集群IP）虚拟IPUMS数据库1物理IP2映射IP综合查询系统AQS（4台）8物理IP证书统计、应用访问统计等9物理IP1物理IP2映射IPAQS数据库（2台）6（集群IP）虚拟IPAQS数据库4物理IP5映射IP负载均衡0虚拟IP身份认证网关、签名服务器负载日常维护以下各项操作都须登录对应主机的操作系统进行操作，各主机的登录用户名、密码请查看相关文档。服务状态查询UMS服务器使用SSL工具登录后，使用以下命令查看：UMSServer#ps-ef|grepjitums|grep-vgrep若服务正常，应返回以下的进程：root317131705420:00pts/000:00:07../jre/bin/jitums-Xss128k-Xms1024m-Xmx1024m.jit.startup.Main./lib.jit.sf.server.Mainstart1AQS服务器使用SSL工具登录8后，使用以下命令查看：AQS服务#ps-ef|grepjitimp|grep-vgrep若服务正常，应返回以下的进程：root4094 11612:59pts/200:00:02../jre/bin/jitimp-Xms256m-Xmx1024m-XX:PermSize=64M-XX:MaxPermSize=256M-Dfile.encoding=UTF-8-DPKIToolConfig=./config/conf/pkitool.ini.jit.startup.Main./lib.jit.imp.IMPStartstart1root4096 11612:59pts/200:00:02../jre/bin/.jit.startup.Mainlib.jit.platform.virtual.gateway.Updateroot 4098 121 12:59pts/2 00:00:02/opt/JIT/IMP/selfguard/../jre/bin/jitimpselfguard.jit.platform.selfguard.App其中第一个进程是AQS主进程，第二个是在线升级进程，第三个是自保护服务进程。签名服务器在业务专网的一台机器上，采用以下命令进行测试：telnet78000若端口能连通，则表示签名服务器服务正常。身份认证网关在业务专网的一台机器上，采用以下命令进行测试：telnet06180若端口能连通，则表示身份认证网关服务正常。3.2系统关闭UMS服务器使用SSL工具登录后，按照以下顺序进行服务器的关闭。■停止UMS服务#cd/opt/JIT/ums5018/server/bin#./stop.sh■关机#shutdown-hnowAQS服务器使用SSL工具登录8后，按照以下顺序进行服务器的关闭。停止AQS服务#cd/opt/JIT/imp/server/bin#./stop.sh关机#shutdown-hnow3.3系统启动UMS服务器开机后，待网络连通后，使用SSL工具登录。#cd/opt/JIT/ums5018/server/bin#./start.shAQS服务器开机后，待网络连通后，使用SSL工具登录8。#cd/opt/JIT/imp/server/bin#./start.sh签名服务器接通电源，按下设备前面板的灰白色电源按钮，即开启此设备。开机后签名服务会自动起来，只需过2-3分钟后采用2.1.9的查询方法查看签名服务器服务是否正常即可。身份认证网关接通电源，按下设备前面板的灰白色电源按钮，即开启此设备。开机后身份认证服务会自动起来，只需过2-3分钟后采用2.1.9的查询方法查看身份认证服务是否正常即可。3.4各系统登录URL系统名称登录URL管理证书/账号身份认证网关0:6443系统管理员证书、安全保密管理员证书、审计管理员证书签名服务器7:6443系统管理员证书、安全保密管理员证书、审计管理员证书AQS8：22443AQS业务管理员证书UMS：8001UMS超级管理员证书注：登录时需要使用对应的管理员证书。日常操作4.1添加应用身份认证网关相关操作安装随机光盘中默认安全保密管理员证书，安装密码为“111111”。打开IE访问：0:6443，选择“安全保密管理员”证书登录,进入I网关管理界面。3.在应用管理选项中，点击配置应用，然后点击右侧的添加：选择B/S或C/S应用类型（根据应用类型选择）。单点登录方式为：报文认证。应用名称为：XXX系统（按实际情况填写，如PORTAL）。应用标识为：xxx（按实际情况填写，区分大小写，如PORTAL）。配置应用服务器：域名或IP。应用服务器：应用访问地址。如：应用通讯协议：默认明文（若应用本身为https访问择选择密文）。保存配置。配置应用代码。依次进入菜单相关产品配置>配置应用代码，选择刚添加的应用，填写应用代码：应用代码为6位数字，由2位省编码，2位地市编码，2位应用编码组成。如：360001表示江西省01号应用。6.保存配置。4.1.2UMS相关操作打开IE,并输入UMS的管理地址：:8001，并选择“UMS超级管理员“证书登录。■添加字典1.点击添加字典，安装如下图所示：属性分类：XXX系统（选择上一步中添加的属性分类名称）属性字典名称：xxxuid填写方式：单行文本框是否唯一：唯一是否必选：必选填写完毕后，点击确定。4.2应用审计安装身份认证网关随机光盘中默认系统管理员证书，安装密码为“111111”。打开IE,并输入AQS的管理地址：8:22443,并选择“业务管理员”证书登录。）添加应用字典添加应用字典有两种方式：一种是以Excel表格的形式导入进去；一种是手动添加进去。■Excel表格方式

1.根据身份认证网关中配置的应用代码编辑成Excel表格，导入到AQS应用字典中：吉穴正云身宦也证网天天津农发办肖前貫理员.：.CN=财殴外盟：1网关去全宜理员,0=M0F,C=CNT田ETREP眈应用01000006-■创身份认证网关管理二）囲应用管理$目配置应用,±）罔服务器管理,±）圈认证管理,±）罔访问控制管理+）圏Portal页面定制厉］相关产品设置$目UMS配置|＞目PMS配置t天津农发办肖前貫理员.：.CN=财殴外盟：1网关去全宜理员,0=M0F,C=CNT田ETREP眈应用01000006-■创身份认证网关管理二）囲应用管理$目配置应用,±）罔服务器管理,±）圈认证管理,±）罔访问控制管理+）圏Portal页面定制厉］相关产品设置$目UMS配置|＞目PMS配置t巨］UMS/PMS缓存配置|＞目配置应用代码$目配置默认权限河北农发办宁夏农发办广东农发办江苏农发办四川农发办山东农发办国家农发办浙江农发办HENETREP廉应用01000007NXNETREP应用名称 GDNET：JSNETREPSCNETREPSDNETREPNETREPZJNETREP眈应用眈应用眈应用廉应用启应用眈应用廉应用AE1应用编码应用名称2*01000006天津农发苏37)1000007河北农发办4?)1000000宁夏农发办■5*01000009广东农发办6?)iooooio江苏农发办7*01000011四川农发苏S*01000012山东农发办97)1000013国家农发办■10*01000014：浙江农发苏117)1000015內蒙古农发办■内裁古农发办眈应用NMNETREP01000008010000090100001001000011010000120100001301000014010000152.整理好Excel表格之后，点击左侧菜单中系统管理＞字典管理功能，选择“应用字典”，点击【导入】或在应用字典详细页面，点击【导入】，跳转到导入应用字典页面；点击【浏览】按钮，选择合理导入文件（*.xls文件）:点击【上传】，提示导入字典文件成功。4.点击【确定】显示如下：手动添加方式1.选择“应用字典”，详细页面中点击【添加】，跳转到添加应用字典页面，输入对应的应用字典名称（如：XXX系统）、应用字典编码（如：33078201）。2.点击【保存】完成添加。业务流程财政身份认证与授权管理系统的主要日常业务主要为证书管理、授权管理及证书应用三个方面，了解了这三方面的具体业务流程后，自然能分析、定位日常系统运行过程中出现的故障。证书管理业务流程RA中录入申请信息进入RA数据库用户信息表（未审核状态）RA连接CA进行审核请求，CA根据请求合法性判断否是否合法申请驳回，需修改后重新提交或删除 是r RA数据库用户信息表用户状态更改 i1连接CA进行证书管理申请否是否需要产生加密密钥是“CA连接KMC申请密钥否— 否— 流程结束是否需要将证书写入KpY是证书写入USB-KEY具体流程描述：1） 证书管理员在RA界面中录入相关证书管理请求，主要有证书申请、证书更新、证书冻结/解冻、证书注销等请求；2） RA系统将该请求信息保存在其数据库的用户信息表中，同时将该用户信息标志为未审核；3） 证书管理员或系统自动进行请求审核，此时RA会连接CA进行审核信息判断，例如证书申请有效期是否超出系统限制，证书是否已存在，证书状态是否正常等；4） 若CA信息校验通过，则RA会根据CA返回的信息将其数据库中对应用户信息的状态改为已审核，同时连接CA进行下一步的证书申请（证书产生、冻结/解冻、更新、注销等）；5） CA根据该请求类型判断是否需要新的加密密钥，若需要则连接KMC进行密钥申请，否则进入下一步；6） CA根据请求进行对应的证书操作（证书产生、冻结/解冻、更新、注销等）；7） CA处理成功后将处理结果返回给RA，若为证书申请或更新，则该结果中还会有对应的证书；8） RA根据CA返回的结果更新其数据库中的证书表，并判断是否需要将证书写入到USB-Key中（证书申请、更新需要，证书冻结/解冻、注销不需要），若需要则进入下一步，否则流程结束；9） RA将证书写入USB-Key。5.2授权管理本处所指的授权管理为使用用户属性管理系统进行应用入门级访问控制的粗颗粒授权管理。江西省财政身份认证与授权管理系统一期项目日常维护手册5.2.1业务流程RA将新产生的证书用户信息同步到UMS数据库UMS首页体现待办信息管理员将用户纳入到正确的组织机构

管理员为该用户分配对应的系统访问权限

(填写对应的属性值)对应属性信息写入UMS数据库,

以供网关调用具体流程描述：RA签发新的证书后，因设置了RA与UMS的数据同步机制，RA会将新证书用户的相关信息同步到UMS数据库中；在UMS管理员登录系统时，UMS首页就会体现对应的待办信息；此时管理员需要将这些同步过来的用户纳入到正确的组织机构下；应用管理员登录UMS，并为这些用户分配对应的系统访问权限，即填写对应的属性值后提交；UMS将这些属性信息写入到其数据库中，以供日后的查询及网关访问应用时调用。5.3证书应用业务流程根据财政业务系统高强度身份认证、防篡改、抗抵赖及数据完整性保护的需求，目前财政身份认证与授权管理的证书应用主要为身份认证及数字签名两种。下面的流程图以在一