【公司產品線一覽】
md.
在公司試用期兩個月,一眨眼就要過去了,接觸的新東西太多,一直摸著石頭過河。快要考核了,趕緊梳理下。
CA: 分為 Server 和 Admin 兩端,一個Web專案,執行在 CentOS 的 jdk32上。一個應用程式,執行在 win端。
Server 初始化之後,匯入licence許可證,然後啟用,就可以了。初始化之後會產生 SA 和 AA 兩個管理員。
在Admin上,插上 USBKey,通過 配置連線CA-Server,通過兩碼下載 SA 和 AA的證書,之後通過 SA 或 AA 登入CA,開始構建 CA管理員家族。包括 BA、BO、RA。
RA:是一個 API,目前我看到的 是一個 demo+API,執行在 win 下的。通過eclipse 可以啟動,需要配置index.jsp。
配置過程需要配置證書:ra.cer 的證書。ra.cer的證書 是通過genCSR.sh產生一個p10,再通過 CA-Admin的 BA 建立的RA使用者,使用p10請求一個p7,p7儲存為一個ra證書。
配置需要 : ra證書、公鑰、私鑰、口令等,然後就可以啟動了,啟動之後,進行使用者註冊。
如果遇到 沒有許可權,說明RA沒有註冊使用者的許可權,需要使用 Admin 的BA登入CA,對RA進行授權。
如果遇到 驗證金鑰錯誤,可根據錯誤號查詢,也可以開啟列印跟蹤日誌,看看debug,我遇到過兩次,一次是配置資訊錯誤或者是有tomcat的快取原因,不太清楚。第二次,重新重新構建了一個 RADS,直接配置執行,沒問題。
RA可以註冊使用者之後,進行證書下載,需要注意ra的證書模板,如果ca沒有配置kmc,只能下載 單證,如果ra的證書模板是雙證,是會失敗的,但是沒有提示資訊,所以需要再去CA的BA登入Admin,對RA的進行單證模板授權。這樣就可以了。
KMC:也是 Server-Admin。Server 是一個Linux的專案,金鑰管理。Admin 是一個win的桌面程式。
KMC服務的搭建需要連線資料庫, CA的根證書 和 SA 和 AA的證書,然後就是祕鑰持有者操作了。
KMC完成之後,通過 USBKey 的 BO 證書登入CA-Admin,通過使用者註冊,註冊 kmc 的管理員,並下載其證書,儲存在本地。
使用USBKey 的SA登入 KMC-Admin, 建立 BA,並將之前下載的證書繫結到 BA上,就完成了 KMC的管理員註冊。
如果需要 在另一個key中註冊 稽核者,通過 CA-Admin的使用者註冊,下載證書就可以了,下載的時候,選擇 USBKey,之後通過SA 連線 KMC-Admin,完成 kmc-BA的註冊,並繫結證書。
完全重新搭建整個產品線:
NetCertCA-Server:
1. 使用指令碼啟動,使用IP+Port 登入 Web Console 。
2. 連線已準備好的資料庫,配置CA,CRL,等。
3. 獲得 sa 和 aa 的兩碼。
4. 匯入 licence 許可證,許可證只跟 虛擬機器系統有關,只要不換系統,可以接著用。
5. 啟用CA服務。
NetCertCA-Admin:
1. 安裝客戶端軟體,下載 sa 和 aa 的證書。
2. 通過Admin 登入CA,建立 BA 、BO 、並下載證書。
NetCert-Demo(RADS):
1. 將專案匯入 eclispe,匯入jar包。
2. 通過 CA-Server的genCSR.sh指令碼 ,生成一個 p10證書請求,csr、pri、pub。
3. 通過 CA-Admin的 BA 連線 CA,建立一個 RA,並使用 csr下載 證書,到本地。
4. 配置index.jsp中的 IP地址,金鑰路徑(注意加檔名不加字尾) ,證書路徑(檔名加路徑),口令,等。
5. 啟動專案到 Tomcat,進行使用者註冊測試,如果許可權不夠,是因為 RA沒有模板許可權,如果金鑰錯誤,是配置問題。
6. 註冊完成之後,查詢使用者,證書下載,選擇一個單證模板,例如 ee_sign 。獲取兩碼。
7. 通過證書下載,選擇 SM2,單證,輸入兩碼,通過USBKey下載,需要IE瀏覽器。
8. 完成單證下載,簽名證書自動進入 USBKey。
NetCert-KMC-Server:
1. 準備好 ca根證書,通過 CA-Server的cert資料夾中,獲取。
2. 準備好 sa 、aa 證書,通過 證書管理工具,匯出。
3. 通過start.sh指令碼 啟動 kmc,配置ca sa aa 證書,祕密持有者,等,完成初始化。獲取 兩個CSR。
4. 使用 CA的 BO 獲取 身份證書 和 通訊證書,分別使用不同的模板,secure_comm 和 secure_comm_enc 模板。獲取到p7.
5. 雙擊p7,選擇證書,所有任務,匯出,獲取兩個證書。分別是 kmc的身份證書 和 kmc的通訊證書。
6. 重啟 KMC-Server,並將證書上傳到 KMC-Server上,完成配置。再次重啟。
7. 通過 CA-Admin,的BO登入,建立管理員,申請證書。
8. 通過 證書管理工具,將管理員證書匯出,在 KMC-Admin,登入SA管理員,建立 BA 、BO 並將證書與使用者連線起來。這樣在KMC-Admin使用證書登入時,KMC就已經存在此證書的對應使用者,所以是可以登入的。
結果使用 CA-Admin 的BO連線CA,註冊使用者,下載雙證書,出現 KMC身份證書不受信任。結果 是 KMC 和 CA的通訊證書不一致。
關於 KMC 和 CA之間的證書關係,搞了好久,最後發現文件裡寫的很清楚,真的是沒勁。
回家之後梳理下:
CA中需要配置 KMC的資訊,有 信任證書 和 身份證書DN,其中 信任證書: CA的根證書 ,身份證書DN :KMC的身份證書主題
KMC在服務搭建時,需要寫 信任CA證書: CA的根證書,也就是簽發KMC管理員的證書,
KMC在新增CA的時候,需要填 :CA根證書,和 身份證書DN:也就是 caId 的證書的主題。
至此就完成了 CA 和 KMC 的配置。至於是怎麼個原理,還不清楚。
CA-Admin 在申請使用者雙證的時候,將使用者資訊傳送給 CA-Server,Server 簽發簽名證書,然後請求KMC 分配加密金鑰,通過KMC配置的身份證書DN與KMC進行通訊,KMC也通過caId的身份證書DN與CA通訊。
.....x
然後看看Linux的知識點。