ca20系统用户管理手册pdf-科学数据网格（scie

科学数据网格（ScientificDataGrid,SDG）CCAA系系统统用用户户管管理理手手册册VVeerrssiioonn22..00中国科学院计算机网络信息中心二〇〇四年十月1目录1．RA............................................31.1RA管理...............................................................................................................................31.1.1管理.........................................................................................................................41.1.2挂起的请求.............................................................................................................41.1.3信息.........................................................................................................................71.2RANode..............................................................................................................................71.2.1入口.........................................................................................................................91.2.2管理.........................................................................................................................91.2.3工具.......................................................................................................................172．CA...........................................172.1CA.....................................................................................................................................172.1.1CA管理..................................................................................................................192.1.2处理请求...............................................................................................................242.1.3处理证书撤销列表...............................................................................................262.1.4信息.......................................................................................................................272.2CANode............................................................................................................................292.2.1服务器初始化........................................................................................................292.2.2数据交换................................................................................................................2921．RARA（RegisterAuthority）是证书的注册中心，负责核查用户证书申请，与用户、CA交换数据。由RA管理员操作，主要有三部分：9RA管理：主要是处理用户的请求；服务器管理：管理和维护RA服务器，与CA交换数据；管理：管理存储在LDAP中的证书；管理在浏览器中输入，会提示输入RA的密码和口令，如图1－1：图1－1RA登录界面登录后，进入到RA管理主界面，如图1－2：3图1－2RA管理界面主页面中左边是导航栏，便于RA管理的各种操作。1.1.1管理这部分有两项：z服务器管理：提供超级链接转向RA服务器管理。1.1.2挂起的请求这部分有两项：z证书请求如图1－3所示，首先需要选择是那个RA管辖的证书申请请求。4图1－3RA选择页面选择RA，点击继续出现页面如图1－4所示。图1－-4挂起的证书请求列表页面选择被批准证书的序列号，点击出现如图1－5所示。5图1－5单个证书请求详细信息页面在此页面中有三个对此请求处理的命令，分别为：编辑请求，批准请求但不对请求签名和删除请求，其中批准并对请求签名功能暂时不开放。编辑请求的目的是针对请求中不符合CPS规定的项进行调整，或者是角色不对等。编辑请求后再对其执行批准操作。批准请求但不对请求签名就是RA批准通过用户的证书申请请求。删除请求，当RA管理员认为用户请求非法或者不受理时需要删除此用户请求。z证书撤销请求点击证书请求链接，转到“挂起的证书撤销请求页面”页面，如下图1－6所示。6图1－6挂起的证书撤销请求页面其过程和上面批准证书申请请求类似。1.1.3信息可以查询如下的信息，其操作见2.1.4。„证书请求„证书撤销请求„证书„证书撤销列表CRLs1.2RANodeRANode是RA节点管理，管理和维护RA服务器，与CA交换数据。在浏览器中输入提示输入用户名、密码，如图1－7所示：7图1－7RANode登陆界面登录后，进入RANode管理界面，如图1－8所示：图1－8RANode管理界面主页面左边是导航栏，便于RANode管理的各种操作。81.2.1入口这部分包括两项内容：9证书审核：超链接到用户接口：超链接到管理这部分包括四项内容：9服务端初始化：点击该链接后，转到“CA系统初始化”页面，如图1－9所示：图1－9RA系统初始化页面通过该页面可以实现两项功能：„初始化数据库：成功后显示如图1－10所示页面。9图1－10初始化数据库页面„导入配置信息：成功后显示如图1－11所示页面。将CA初始化后获得的配置信息导入到RA中。图1－11导入初始配置页面9数据交换：点击该链接后，转到“导入/导出”页面，如图1－12所示：10图1－12导入/导出页面通过该页面可以实现CA的导入导出，包括以下几种方式：z从高层节点获取数据„从高层获取所有的数据，包括证书、证书撤销列表、配置和批处理，这里高层一般指的上级RA或者上级CA。见图1－13所示。图1－13从高层到入所有有用项目页面11„可以单独获取证书。图1－14从高层到入所有证书页面„可以单独获取证书撤销列表。图1－15从高层到入所有CRL页面„可以单独获取配置信息。12图1－16从高层到入所有配置页面„可以单独获取批处理信息，未开放功能。z上传数据到高层节点„上传高层所有的数据，包括证书申请请求和证书撤销请求。系统将文件打包成为/tmp/ra/ra-up.tar，将此文件传送到CA中的/tmp/ca/ca-down.tar，同时chownnobody:nobodyca-down.tar。图1－17上传所有数据到高层页面„可以单独上传证书申请请求。系统将文件打包成为/tmp/ra/ra-up.tar，将此文件传送到CA中的/tmp/ca/ca-down.tar，同时chownnobody:nobodyca-down.tar。13图1－18上传证书申请请求到高层页面„可以单独上传证书撤销请求。系统将文件打包成为/tmp/ra/ra-up.tar，将此文件传送到CA中的/tmp/ca/ca-down.tar，同时chownnobody:nobodyca-down.tar。图1－19上传证书撤销请求到高层页面9备份与恢复：点击该链接后，转到“备份与恢复”页面，如图1－20所示：14图1－20备份与恢复页面通过该页面可以完成数据的备份与恢复，包括以下功能：„备份数据库。成功后显示如图1－21所示页面：图1－21备份页面„恢复¾初始化数据库。成功后显示如图1－22所示页面：15图1－22初始化数据库页面¾恢复数据库—OpenCA::DB-使用DBM文件—OpenCA::DBI-使用SQL数据库，本系统没有使用SQL数据库，是属于文件系统的DBM文件。¾重新建立OpenSSL的数据库和下一个序列号。成功后显示如图1－23所示页面。图1－23恢复页面9数据处理：当软件升级后更新数据库中可查询属性。目前只支持SQL数据库。161.2.3工具这部分包括三项内容：9E-Mail新用户，此项功能已经自动完成，当申请证书成功后自动发送mail。9发送CRIN-mail，此项功能已经自动完成，当申请证书成功后自动发送mail。9删除临时文件（导入证书后）：此功能是清理系统运行的生成的临时文件，成功删除后显示如下页面图1－24删除临时文件页面2．CACA（CertificateAuthority）是证书的颁发中心，负责核查用户证书申请，签发申请的证书和撤销的证书，与RA交换数据。由CA管理员操作，主要有四部分：9CA：管理CA的初始化及配置；9CANode：维护、处理CA服务器的数据。2.1CA在浏览器中输入，17图2－1用户名和密码页面看到提示后输入密码和口令，进入CA管理主页面。图2－2CA主页面18主页面中左边是导航栏，便于CA管理的各种操作。2.1.1CA管理这部分有三项：9初始化点击初始化，这部分只是在安装CA时执行。如果CA运行时执行，以前的数据将无法恢复。图2－3初始化PKI页面按照页面提示，先后执行阶段1，阶段2，阶段3。点击阶段1，按照从上到下顺序执行。19图2－4初始化页面此阶段包括数据库设置、密钥设置、请求设置、证书设置和最终设置五