時(shí)間戳服務(wù)器管理員手冊(cè).doc

吉大正元時(shí)間戳服務(wù)器管理員手冊(cè) V2.0.23_sp1 長(zhǎng) 春 吉 大 正 元 信 息 技 術(shù) 股 份 有 限 公 司 Jilin University Information Technologies Co., Ltd.目錄1.引言31.1.概述31.2.定義32.安裝配置42.1.介紹42.1.1.V200042.2.連接安裝43.功能詳解及使用方法63.1.可信時(shí)間戳管理63.1.1.管理可信時(shí)間源63.1.2.證書(shū)管理83.1.3.時(shí)間戳數(shù)據(jù)管理113.1.4.服務(wù)監(jiān)控123.1.5.權(quán)限管理133.1.6.業(yè)務(wù)日志143.2.系統(tǒng)管理143.2.1.站點(diǎn)證書(shū)管理143.2.2.信任根證書(shū)管理153.2.3.權(quán)限管理163.2.4.數(shù)據(jù)庫(kù)配置173.2.5.許可證配置173.3.設(shè)備管理183.3.1.網(wǎng)絡(luò)設(shè)置183.3.2.HA服務(wù)管理193.3.3.網(wǎng)絡(luò)診斷管理203.3.4.SNMP服務(wù)管理213.3.5.系統(tǒng)監(jiān)控223.3.6.網(wǎng)絡(luò)監(jiān)控223.3.7.系統(tǒng)時(shí)間設(shè)置233.4.系統(tǒng)維護(hù)233.4.1.系統(tǒng)備份233.4.2.系統(tǒng)恢復(fù)243.4.3.系統(tǒng)升級(jí)243.5.審計(jì)管理243.5.1.查看審計(jì)信息243.5.2.更新安全審計(jì)員證書(shū)254.常見(jiàn)問(wèn)題解答(FAQ)274.1.服務(wù)安裝后無(wú)法啟動(dòng)274.2.服務(wù)啟動(dòng)后無(wú)法進(jìn)入管理界面271. 引言1.1. 概述隨著互聯(lián)網(wǎng)浪潮的到來(lái)，電子交易已逐漸進(jìn)入我們的生活，電子購(gòu)物將逐漸成為我們生活的一部分。隨著電子交易的普及，電子交易的安全逐漸成為人們關(guān)注的主題。那么如何確保電子交易的交易安全呢？目前普遍采用的是公鑰基礎(chǔ)設(shè)施（PKI）。PKI可以在電子化社會(huì)中建立人們之間的信任關(guān)系。但是要保證交易的防抵賴，依靠單純的數(shù)字簽名技術(shù)是無(wú)法實(shí)現(xiàn)的。因?yàn)橐獙?shí)現(xiàn)防抵賴，不僅需要對(duì)交易數(shù)據(jù)進(jìn)行數(shù)字簽名，還必須保證此交易數(shù)據(jù)在某一時(shí)間(之前)的存在性（Proof-of-Existence）。通常這要借助于時(shí)間戳來(lái)解決。由于用戶桌面時(shí)間很容易改變，由該時(shí)間產(chǎn)生的時(shí)間戳不可信賴，因此需要一個(gè)可信任的第三方時(shí)間戳權(quán)威（Time Stamp AuthorityTSA），來(lái)提供可信賴的且不可抵賴的時(shí)間戳服務(wù)。TSA的主要功能是提供可靠的時(shí)間信息，證明某份文件（或某條信息）在某個(gè)時(shí)間(或以前)存在，防止用戶在這個(gè)時(shí)間前或時(shí)間后偽造數(shù)據(jù)進(jìn)行欺騙活動(dòng)。1.2. 定義l Cinas：吉大正元應(yīng)用安全支撐整個(gè)產(chǎn)品線名稱。l 數(shù)字簽名：被簽發(fā)數(shù)據(jù)的哈希值經(jīng)過(guò)私鑰加密后的結(jié)果。通過(guò)把使用公鑰對(duì)數(shù)字簽名解密得到的值與原始數(shù)據(jù)的哈希值相對(duì)照，就能驗(yàn)證數(shù)字簽名。l 數(shù)字證書(shū)：用于驗(yàn)證需認(rèn)證者的標(biāo)識(shí)信息與其公鑰對(duì)應(yīng)關(guān)系的一種數(shù)字文檔。l 哈希(Hash) ：通過(guò)對(duì)原文進(jìn)行單向哈希函數(shù)運(yùn)算得到的定長(zhǎng)字符串，原文不同哈希值就不同，通過(guò)哈希值無(wú)法還原出原文。l PKCS7：RSA實(shí)驗(yàn)室有關(guān)加密消息語(yǔ)法標(biāo)準(zhǔn)。l TSA：Time Stamp Authority（時(shí)間戳權(quán)威）一個(gè)提供可信賴的且不可抵賴的時(shí)間戳服務(wù)的可信任第三方l PKI： Pubic Key Infrastructure的縮寫(xiě)。是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為保護(hù)數(shù)據(jù)提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。用戶可利用PKI平臺(tái)提供的服務(wù)進(jìn)行安全的數(shù)據(jù)交換或通信。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。l 身份認(rèn)證：與傳統(tǒng)的信息交換不同，參與網(wǎng)上信息交換的各方?jīng)]有實(shí)際見(jiàn)面，任何一方都有被冒充的可能，所以安全應(yīng)用系統(tǒng)必須采用某種機(jī)制，使能夠確認(rèn)對(duì)方的身份。l 數(shù)據(jù)的保密：在許多應(yīng)用中，信息的內(nèi)容是需要嚴(yán)格保密的，但是在網(wǎng)絡(luò)上，網(wǎng)絡(luò)偵聽(tīng)技術(shù)使數(shù)據(jù)的獲取變得十分容易，因此對(duì)信息的加密是安全應(yīng)用系統(tǒng)重要的特點(diǎn)。l 防止篡改數(shù)據(jù)：由于網(wǎng)絡(luò)的公開(kāi)特性，使得信息提供者以外的人修改信息成為可能。如何防止他人篡改信息是安全應(yīng)用系統(tǒng)需要解決的一個(gè)重要問(wèn)題。2. 安裝配置2.1. 介紹2.1.1. V2000 eth0 eth1吉大正元時(shí)間戳服務(wù)器V2000背面提供兩個(gè)網(wǎng)絡(luò)接口，分別為 eth0,eth1。ETH0：業(yè)務(wù)端口（默認(rèn)ip：10，子網(wǎng)掩碼：），是用戶訪問(wèn)應(yīng)用的入口。ETH1：管理端口（默認(rèn)ip：10，子網(wǎng)掩碼：）。2.2. 連接安裝任意一臺(tái)普通PC機(jī)器連接服務(wù)器啟動(dòng)服務(wù)器電源進(jìn)入管理員界面修改服務(wù)器IP地址接入內(nèi)網(wǎng)交換機(jī)訪問(wèn)應(yīng)用1.修改機(jī)器IP：11，子網(wǎng)掩碼：，使用自帶網(wǎng)線，與服務(wù)器管理端口（ETH1）相連2.按下服務(wù)器背面黑色電源。3.安裝normal證書(shū)，訪問(wèn)https:/ 10:6443，進(jìn)入管理界面界面4.點(diǎn)擊左側(cè)資源樹(shù)：“設(shè)備管理”-“網(wǎng)絡(luò)配置”修改機(jī)器IP地址5.修改服務(wù)器IP成功后，設(shè)備業(yè)務(wù)網(wǎng)口接入內(nèi)網(wǎng)交換機(jī)6. 訪問(wèn)https:/修改后的IP:6443管理員登陸在瀏覽器地址欄輸入10:6443，選擇系統(tǒng)默認(rèn)的管理員證書(shū)normal。登錄成功后顯示如下頁(yè)面： 3. 功能詳解及使用方法吉大正元時(shí)間戳服務(wù)器滿足時(shí)間戳簽發(fā)的基本要求，它采用精確的時(shí)間源、高強(qiáng)度高標(biāo)準(zhǔn)的安全機(jī)制、能夠?yàn)橛脩籼峁┚_的、可信賴的且不可抵賴的時(shí)間戳服務(wù)，時(shí)間戳服務(wù)器包括的主要內(nèi)容有可信時(shí)間戳管理、系統(tǒng)管理、設(shè)備管理、系統(tǒng)維護(hù)、審計(jì)管理3.1. 可信時(shí)間戳管理該模塊是時(shí)間戳服務(wù)器的核心功能，包括時(shí)間戳簽名證書(shū)的申請(qǐng)配置、時(shí)間戳數(shù)據(jù)查詢、服務(wù)監(jiān)控、更新管理員證書(shū)、查詢業(yè)務(wù)日志3.1.1. 證書(shū)管理證書(shū)管理模塊主要是進(jìn)行時(shí)間戳證書(shū)的申請(qǐng)和配置以及簽名算法的設(shè)置. 證書(shū)參數(shù)配置 注意：時(shí)間戳證書(shū)的簽發(fā)模板中要注意如下配置：在標(biāo)準(zhǔn)擴(kuò)展域中需要有“增強(qiáng)型密鑰用法”這一項(xiàng)，且選擇該項(xiàng)中的“時(shí)間戳(timeStamping)”這個(gè)值，類型為“關(guān)鍵”如：吉大正元的CA時(shí)間戳模板配置注意如下幾項(xiàng)：當(dāng)進(jìn)行時(shí)間戳證書(shū)配置的時(shí)候要先添加一個(gè)證書(shū)標(biāo)識(shí)，然后再繼續(xù)配置對(duì)應(yīng)的時(shí)間戳根證書(shū)，點(diǎn)擊添加時(shí)間戳證書(shū)按鈕進(jìn)入時(shí)間戳信息配置頁(yè)面如下圖添加完證書(shū)名稱后點(diǎn)保存按鈕顯示如下頁(yè)面頒發(fā)機(jī)構(gòu)證書(shū)配置：這里是時(shí)間戳證書(shū)的頒發(fā)機(jī)構(gòu)證書(shū)的配置頁(yè)面，在配置時(shí)間戳證書(shū)時(shí)需要將現(xiàn)有的時(shí)間戳證書(shū)的根證書(shū)導(dǎo)入進(jìn)來(lái)。該配置的主要目的是驗(yàn)證導(dǎo)入的時(shí)間戳證書(shū)由指定機(jī)構(gòu)簽發(fā)。證書(shū)申請(qǐng)系統(tǒng)通過(guò)本申請(qǐng)生成密鑰對(duì)并封裝申請(qǐng)CDS證書(shū)的申請(qǐng)書(shū)。在證書(shū)配置頁(yè)面點(diǎn)擊“申請(qǐng)證書(shū)”按鈕進(jìn)入時(shí)間戳證書(shū)申請(qǐng)頁(yè)面如下圖：在這里管理員需要填寫(xiě)證書(shū)主題、加密算法、密鑰長(zhǎng)度后點(diǎn)擊產(chǎn)生按鈕就可以生成證書(shū)申請(qǐng)書(shū)。管理員可以拷貝申請(qǐng)書(shū)內(nèi)容到CA去生成CDS證書(shū)， 證書(shū)配置：這里簽名證書(shū)的顯示和導(dǎo)入頁(yè)面，如下圖： 證書(shū)顯示這里可以顯示當(dāng)前時(shí)間戳證書(shū)的信息，如：主題、序列號(hào)、頒發(fā)者、有效起始日期、有效終止日期和簽名算法。 證書(shū)導(dǎo)入導(dǎo)入時(shí)間戳證書(shū)是指從本地的系統(tǒng)中，將得到的證書(shū)上傳到服務(wù)器?？梢詫?dǎo)入的簽名證書(shū)有兩種類型，X509證書(shū)和PKCS12證書(shū)。在簽名證書(shū)申請(qǐng)書(shū)處生成的簽名證書(shū)申請(qǐng)書(shū)，經(jīng)CA簽發(fā)回來(lái).cer（X509證書(shū)）文件后，通過(guò)瀏覽按鈕導(dǎo)入。也可以直接導(dǎo)入.pfx證書(shū)（PKCS12證書(shū)）作為簽名證書(shū)。X509證書(shū)導(dǎo)入頁(yè)面如下圖：PKCS12證書(shū)導(dǎo)入頁(yè)面如下圖，與X509格式不同的是需要輸入保護(hù)口令注意 在導(dǎo)入證書(shū)時(shí)，系統(tǒng)會(huì)驗(yàn)證欲導(dǎo)入證書(shū)的有效期以及密鑰用法是否具有簽名功能以保證導(dǎo)入證書(shū)具有有效的簽名功能，從而提高了系統(tǒng)的安全性。3.1.2. 時(shí)間戳數(shù)據(jù)管理這里是申請(qǐng)時(shí)間戳數(shù)據(jù)的查詢和查看模塊，可以根據(jù)不同的查詢條件查詢滿足條件的時(shí)間戳記錄. 查看時(shí)間戳數(shù)據(jù)按流水號(hào)查詢結(jié)果如下（支持模糊查詢）：按時(shí)間戳類型查詢?nèi)缦拢簣D一圖二圖三按時(shí)間段進(jìn)行查詢，結(jié)果如下：. 歸檔策略設(shè)置在這里可以對(duì)時(shí)間戳數(shù)據(jù)按設(shè)置的策略進(jìn)行定時(shí)的歸檔. 歸檔記錄在該頁(yè)面可以查看時(shí)間戳數(shù)據(jù)的歸檔記錄 3.1.3. 服務(wù)監(jiān)控這個(gè)模塊主要是對(duì)申請(qǐng)時(shí)間戳業(yè)務(wù)和驗(yàn)時(shí)間戳業(yè)務(wù)數(shù)進(jìn)行實(shí)時(shí)監(jiān)控和統(tǒng)計(jì)申請(qǐng)服務(wù)監(jiān)控，如下圖：驗(yàn)證服務(wù)監(jiān)控，如下圖：3.1.4. 權(quán)限管理該模塊的功能是更新當(dāng)前使用的管理員證書(shū)，在導(dǎo)入管理員證書(shū)前需要先在系統(tǒng)管理-管理員頒發(fā)機(jī)構(gòu)證書(shū)管理模塊加入管理員證書(shū)的根證書(shū)，管理員更新后重新登陸生效，管理員更新頁(yè)面如下：3.1.5. 業(yè)務(wù)日志. 時(shí)間戳業(yè)務(wù)日志 在這個(gè)模塊可以根據(jù)時(shí)間、客戶端IP、證書(shū)主題查詢時(shí)間戳的業(yè)務(wù)日志，查詢結(jié)果如下：按開(kāi)始和結(jié)束時(shí)間查詢，結(jié)果如下：按證書(shū)主題查詢，結(jié)果如下：. 歸檔策略設(shè)置在這里可以對(duì)業(yè)務(wù)日志數(shù)據(jù)按設(shè)置的策略進(jìn)行定時(shí)的歸檔. 歸檔記錄在該頁(yè)面可以查看業(yè)務(wù)日志的歸檔記錄. 設(shè)置業(yè)務(wù)日志規(guī)則在這個(gè)頁(yè)面設(shè)置是否記錄申請(qǐng)時(shí)間戳業(yè)務(wù)成功或失敗的日志，當(dāng)復(fù)選框被選中時(shí)記錄相應(yīng)的日志，如下圖：3.2. 系統(tǒng)管理. 站點(diǎn)證書(shū)申請(qǐng)這里是站點(diǎn)證書(shū)的申請(qǐng)頁(yè)面。管理員需要填寫(xiě)證書(shū)主題，選擇密鑰長(zhǎng)度，填充私鑰保護(hù)口令和確認(rèn)保護(hù)口令，點(diǎn)擊產(chǎn)生按鈕就可以生成服務(wù)器證書(shū)申請(qǐng)書(shū)。圖3.2配置項(xiàng)：證書(shū)主題：所要生成證書(shū)的證書(shū)主題，例如：“c=cn”。密鑰長(zhǎng)度：設(shè)置生成證書(shū)所使用的密鑰的長(zhǎng)度。私鑰保護(hù)口令：設(shè)置私鑰保護(hù)口令。確認(rèn)私鑰的保護(hù)口令：對(duì)已經(jīng)輸入的私鑰保護(hù)口令進(jìn)行確認(rèn)。. 站點(diǎn)證書(shū)配置這里是站點(diǎn)證書(shū)的顯示與導(dǎo)入頁(yè)面。 站點(diǎn)證書(shū)的顯示這里可以顯示當(dāng)前站點(diǎn)證書(shū)的信息，如：序列號(hào)、簽名算法、頒發(fā)者主題、有效起始日期、有效終止日期和證書(shū)主題。 站點(diǎn)證書(shū)導(dǎo)入導(dǎo)入站點(diǎn)證書(shū)是指從本地的系統(tǒng)中，將得到的證書(shū)上傳到服務(wù)器?？梢詫?dǎo)入的站點(diǎn)證書(shū)有兩種類型，X509證書(shū)和PKCS12證書(shū)。在站點(diǎn)證書(shū)申請(qǐng)書(shū)處生成的站點(diǎn)證書(shū)申請(qǐng)書(shū)，經(jīng)CA簽發(fā)回來(lái).cer（X509證書(shū)）文件后，通過(guò)瀏覽按鈕導(dǎo)入。也可以直接導(dǎo)入.pfx證書(shū)（PKCS12證書(shū)）作為站點(diǎn)證書(shū)。圖1為X509證書(shū)的導(dǎo)入。圖2 為PKCS12證書(shū)的導(dǎo)入頁(yè)面，與X509證書(shū)導(dǎo)入相比，多了一項(xiàng)輸入保護(hù)口令，是指輸入PKCS12證書(shū)的保護(hù)口令。 注意：如果想這部分配置后生效，需要重新啟動(dòng)數(shù)字簽名服務(wù)器。圖1 X509 證書(shū)導(dǎo)入 圖2 PKCS12 證書(shū)導(dǎo)入3.2.2. 管理員頒發(fā)機(jī)構(gòu)證書(shū)管理這里配置管理員頒發(fā)機(jī)構(gòu)證書(shū)是與管理員證書(shū)相對(duì)應(yīng)的，在管理員登陸服務(wù)器管理時(shí)要建立雙向SSL連接，這里配置管理員證書(shū)的根證書(shū)以驗(yàn)證管理員的身份. 添加管理員頒發(fā)機(jī)構(gòu)證書(shū)點(diǎn)擊“添加頒發(fā)機(jī)構(gòu)證書(shū)”按鈕以添加服務(wù)器信任的根證書(shū)，會(huì)彈出如下頁(yè)面。 頒發(fā)機(jī)構(gòu)證書(shū)文件：根證書(shū)文件的物理存儲(chǔ)位置，可手動(dòng)輸入文件路徑，也可點(diǎn)擊“瀏覽”按鈕選擇根證書(shū)。 . 刪除管理員頒發(fā)機(jī)構(gòu)證書(shū)當(dāng)機(jī)構(gòu)證書(shū)不被信任或已失效時(shí)，管理員要進(jìn)行刪除根證書(shū)的操作。點(diǎn)擊根證書(shū)設(shè)置列表中的刪除圖標(biāo)，（注：不能刪除管理員證書(shū)對(duì)應(yīng)的根證書(shū)）. 修改頒發(fā)機(jī)構(gòu)證書(shū)管理員也可以改變系統(tǒng)所信任的管理員頒發(fā)機(jī)構(gòu)證書(shū)，點(diǎn)擊根證書(shū)設(shè)置列表中的某個(gè)主題，進(jìn)入到修改根證頁(yè)面。（注：根證文件如果不進(jìn)行更改，系統(tǒng)將使用原來(lái)的根證文件而不需管理員重新導(dǎo)入根證）3.2.3. 權(quán)限管理該模塊的功能是更新當(dāng)前的系統(tǒng)管理員證書(shū)，在導(dǎo)入管理員證書(shū)前需要先在系統(tǒng)管理-信任根證書(shū)管理模塊加入管理員證書(shū)的根證書(shū)，管理員更新后重新登陸生效，管理員更新頁(yè)面如下：3.2.4. 數(shù)據(jù)庫(kù)配置配置時(shí)間戳服務(wù)器所需要的數(shù)據(jù)庫(kù)，如下圖：3.2.5. 許可證配置這里是產(chǎn)品許可證的配置管理界面，在導(dǎo)入新的許可證之前可以先點(diǎn)預(yù)覽按鈕預(yù)覽一下許可證是否有效3.3. 設(shè)備管理3.3.1. 網(wǎng)絡(luò)設(shè)置. IP設(shè)置可以對(duì)系統(tǒng)每個(gè)網(wǎng)口的IP地址進(jìn)行修改，如下圖：. 本地HOST設(shè)置本地Hosts即時(shí)間戳服務(wù)器本地Hosts文件。用來(lái)解析“用域名方式配置的應(yīng)用”的域名和IP對(duì)應(yīng)關(guān)系。在“用IP方式配置的應(yīng)用”情況下，在本地hosts文件中給該應(yīng)用IP隨意對(duì)應(yīng)一個(gè)域名，也有助于加快訪問(wèn)后臺(tái)應(yīng)用的速度。 . 靜態(tài)路由設(shè)置靜態(tài)路由：指定時(shí)間戳服務(wù)器訪問(wèn)某個(gè)網(wǎng)絡(luò)內(nèi)的應(yīng)用時(shí)，需要將數(shù)據(jù)轉(zhuǎn)發(fā)給哪個(gè)設(shè)備。該設(shè)備用IP地址來(lái)標(biāo)識(shí)，且必須和時(shí)間戳服務(wù)器的某一個(gè)接口IP在同一個(gè)網(wǎng)段內(nèi)，稱為“下一跳”。配置靜態(tài)路由的要素有三項(xiàng)：目的網(wǎng)絡(luò)、目的子網(wǎng)掩碼、下一跳IP地址。例如，某靜態(tài)路由配置如下：00，則含義為，網(wǎng)關(guān)想要訪問(wèn)/24網(wǎng)絡(luò)內(nèi)的應(yīng)用，需要將數(shù)據(jù)轉(zhuǎn)發(fā)給00的這個(gè)IP。路由的設(shè)定，可以是計(jì)算機(jī)之間跨網(wǎng)段通信。主要用于定義封包的走向，如下圖：如圖所示，目標(biāo)網(wǎng)絡(luò)為，掩碼為的數(shù)據(jù)包網(wǎng)關(guān)地址為54，數(shù)據(jù)包通過(guò)eth0流出。ETH0口的默認(rèn)網(wǎng)關(guān)是54，配置靜態(tài)路由時(shí)網(wǎng)關(guān)要配成與ETH0的默認(rèn)網(wǎng)關(guān)ETH1沒(méi)有默認(rèn)網(wǎng)關(guān)，配置ETH1的靜態(tài)路由時(shí)網(wǎng)關(guān)配成與ETH1同一網(wǎng)段即可3.3.2. 可信時(shí)間源管理該模塊主要是設(shè)置一個(gè)外部可信的時(shí)間源服務(wù)器，進(jìn)行自動(dòng)或手動(dòng)同步時(shí)間戳服務(wù)器的時(shí)間，保證能夠?yàn)橛脩籼峁┚_的、可信賴的且不可抵賴的時(shí)間戳服務(wù)，如下圖：. 查看時(shí)間同步歷史在該頁(yè)面可以根據(jù)時(shí)間或同步結(jié)果查詢到從時(shí)間源服務(wù)器自動(dòng)同步的歷史記錄，按時(shí)間查詢結(jié)果：按同步結(jié)果查詢結(jié)果：. 設(shè)置可信時(shí)間源該頁(yè)面進(jìn)行NTP時(shí)間服務(wù)器的配置，正確的配置了NTP時(shí)間服務(wù)器的地址后，就可以定時(shí)的到時(shí)間源服務(wù)器上同步時(shí)間，可以配置主時(shí)間服務(wù)器和備用時(shí)間服務(wù)器，默認(rèn)先從主時(shí)間服務(wù)器上同步時(shí)間，當(dāng)主的有問(wèn)題的情況下會(huì)連接備用時(shí)間服務(wù)器進(jìn)行同步如下圖：配置項(xiàng):時(shí)間同步模式：包括禁止同步和NTP自動(dòng)同步。禁止同步：不從時(shí)間源服務(wù)器同步時(shí)間；NTP自動(dòng)同步：會(huì)按著默認(rèn)的同步周期自動(dòng)的從時(shí)間服務(wù)器上同步時(shí)間到時(shí)間戳服務(wù)器主NTP時(shí)間服務(wù)器地址：主時(shí)間源服務(wù)器的IP地址主NTP服務(wù)器協(xié)議版本：主時(shí)間源服務(wù)器支持的協(xié)議版本號(hào)備用NTP時(shí)間服務(wù)器地址：備用時(shí)間源服務(wù)器的IP地址備用NTP服務(wù)器協(xié)議版本：備用時(shí)間源服務(wù)器支持的協(xié)議版本號(hào). 手工同步設(shè)備時(shí)間支持手工從時(shí)間源服務(wù)器同步時(shí)間，在手工同步設(shè)備時(shí)間頁(yè)面點(diǎn)“同步設(shè)備時(shí)間“即可，如下圖：3.3.3. HA服務(wù)管理HA也稱為雙機(jī)熱備，當(dāng)主機(jī)設(shè)備出現(xiàn)崩潰或發(fā)生宕機(jī)、斷網(wǎng)等異常情況下，使簽名服務(wù)器能夠自動(dòng)從主機(jī)設(shè)備切換到備機(jī)工作，使用戶能夠正常使用服務(wù)器，當(dāng)主機(jī)服務(wù)恢復(fù)正常的時(shí)候就會(huì)自動(dòng)切換回主機(jī)進(jìn)行工作默認(rèn)的情況下HA的工作方式處于關(guān)閉狀態(tài)，當(dāng)處于關(guān)閉狀態(tài)時(shí)，HA功能不起作用。選擇開(kāi)啟，HA功能啟動(dòng)，會(huì)出現(xiàn)下面信息：配置項(xiàng)： 機(jī)器名稱：輸入英文、數(shù)字，作為機(jī)器名稱，來(lái)標(biāo)識(shí)這臺(tái)簽名服務(wù)器 工作方式：開(kāi)啟狀態(tài)下簽名服務(wù)器會(huì)處于HA模式下工作，關(guān)閉狀態(tài)簽名服務(wù)器處于單機(jī)模式下對(duì)外提供服務(wù) 集群角色：可以選擇使用的本機(jī)為主機(jī)還是備機(jī) 主節(jié)點(diǎn)名稱：為主機(jī)的hostname 備節(jié)點(diǎn)名稱：為備機(jī)的hostname 虛擬IP地址：設(shè)置可以用來(lái)進(jìn)行訪問(wèn)的“中間IP”，與服務(wù)器出口ip在一個(gè)網(wǎng)段內(nèi) 虛擬IP掩碼：為虛擬IP設(shè)置的對(duì)應(yīng)掩碼（1-32之間整數(shù)） 心跳間隔：設(shè)置間隔多長(zhǎng)時(shí)間測(cè)試連接一次，心跳間隔在1-5秒之間 心跳接入方式：支持直連或非直連，當(dāng)選擇直連時(shí)用直連網(wǎng)線或串口線將2臺(tái)服務(wù)器的心跳接口連接即可；當(dāng)選擇非直連時(shí)不需要對(duì)2臺(tái)服務(wù)器進(jìn)行連接，但需要在心跳IP處輸入對(duì)端服務(wù)器的IP地址即可 心跳接口：提供的監(jiān)聽(tīng)心跳的接口 心跳IP:對(duì)端服務(wù)器的IP地址配置完成后點(diǎn)擊確定，提示重啟。點(diǎn)擊“取消”，工作方式與集群角色重置。配置實(shí)例：以下我們分別按不同的心跳接入方式，說(shuō)明一下具體如何配置：首先修改機(jī)器的名稱，以保證2臺(tái)簽名服務(wù)器的機(jī)器名稱不能重復(fù)以下幾點(diǎn)需要注意：1. 機(jī)器名稱在工作方式關(guān)閉的情況下才可以修改2. 修改機(jī)器名稱后需要重啟機(jī)器才能生效前題條件：主機(jī)：IP：74主機(jī)名稱：ha174備機(jī)：IP：75備機(jī)名稱：ha175虛擬IP：9IP地址根據(jù)實(shí)際情況修改，只要保證在同一網(wǎng)段內(nèi)就可以。機(jī)器名字用SSH工具登錄后可以用show hostname查詢配置實(shí)例（1）：非直連方式主機(jī)配置：備機(jī)配置：注：配置完成后重啟主機(jī)和備機(jī)配置實(shí)例（2）：網(wǎng)線直連方式前提：將2臺(tái)簽名服務(wù)器的eth1口用網(wǎng)線連接主機(jī)配置：備機(jī)配置：注：配置完成后重啟主機(jī)和備機(jī)配置實(shí)例（2）：串口直連方式前提：將2臺(tái)簽名服務(wù)器的串口用串口線連接主機(jī)配置：備機(jī)配置：注：配置完成后重啟主機(jī)和備機(jī)3.3.4. 網(wǎng)絡(luò)診斷管理管理員可以根據(jù)網(wǎng)絡(luò)診斷命令測(cè)試網(wǎng)絡(luò)是否使用正常，可以通過(guò)Ping、Traceroute、Telnet命令來(lái)檢測(cè)。Ping命令需要輸入IP地址和Ping的次數(shù)，界面如下：Traceroute命令 選擇Traceroute 命令，測(cè)試是否時(shí)間戳服務(wù)器與所執(zhí)行的IP經(jīng)過(guò)網(wǎng)關(guān)，經(jīng)過(guò)的網(wǎng)關(guān)IP是多少。輸入IP格式如：94如果過(guò)網(wǎng)關(guān)顯示如下：過(guò)的網(wǎng)關(guān)IP如圖是54點(diǎn)擊“取消”則取消現(xiàn)有操作。Telnet命令，測(cè)試是否網(wǎng)關(guān)與Telnet服務(wù)相通，Telnet成功的界面如下。如果Telnet不成功，界面如下：點(diǎn)擊“取消”則取消現(xiàn)有操作。3.3.5. SNMP服務(wù)管理SNMP是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，該協(xié)議能夠支持監(jiān)測(cè)連接到網(wǎng)絡(luò)上的設(shè)備的任何需要關(guān)注的情況。SNMP配置頁(yè)面如下：在“服務(wù)自動(dòng)啟動(dòng)”一項(xiàng)不勾選的情況下，我們也可以手動(dòng)的打開(kāi)或關(guān)閉SNMP服務(wù)，在如下的頁(yè)面中直接點(diǎn)擊打開(kāi)或關(guān)閉按鈕：在“服務(wù)自動(dòng)啟動(dòng)”勾選的情況下，每次重新啟動(dòng)服務(wù)的時(shí)候SNMP服務(wù)就會(huì)自動(dòng)啟動(dòng)3.3.6. 系統(tǒng)監(jiān)控系統(tǒng)監(jiān)控功能會(huì)對(duì)時(shí)間戳服務(wù)器硬件信息進(jìn)行實(shí)時(shí)監(jiān)控，監(jiān)控信息為cpu、內(nèi)存、硬盤(pán)使用情況。管理員可以設(shè)置刷新的頻率，設(shè)置界面如下：CPU使用信息：硬盤(pán)使用信息：內(nèi)存使用信息：3.3.7. 網(wǎng)絡(luò)監(jiān)控網(wǎng)絡(luò)監(jiān)控是對(duì)當(dāng)前的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控。對(duì)eth0口和eth1口分別進(jìn)行監(jiān)控。Eth0口的監(jiān)控界面如下：Eth1口的監(jiān)控界面如下：3.3.8. 系統(tǒng)時(shí)間設(shè)置這里是顯示當(dāng)前時(shí)間戳服務(wù)器的系統(tǒng)時(shí)間，并且可以修改系統(tǒng)時(shí)間。3.3.9. 設(shè)備起停