財政運維方案

江西省財政身份認證與授權(quán)管理系

統(tǒng)二期項目

日常維護手冊2016年3月28日目錄TOC\o"1-5"\h\z\o"CurrentDocument"概述 2\o"CurrentDocument"編寫目的 2\o"CurrentDocument"術(shù)語定義 2\o"CurrentDocument"整體介紹 3\o"CurrentDocument"系統(tǒng)說明 3\o"CurrentDocument"網(wǎng)絡拓撲 4\o"CurrentDocument"應用部署表 4\o"CurrentDocument"日常維護 6\o"CurrentDocument"服務狀態(tài)查詢 6\o"CurrentDocument"UMS服務器 6\o"CurrentDocument"AQS服務器 6\o"CurrentDocument"簽名服務器 7\o"CurrentDocument"身份認證網(wǎng)關(guān) 7\o"CurrentDocument"系統(tǒng)關(guān)閉 7\o"CurrentDocument"UMS服務器 7\o"CurrentDocument"AQS服務器 7\o"CurrentDocument"系統(tǒng)啟動 8UMS服務器 8AQS服務器 8\o"CurrentDocument"簽名服務器 8\o"CurrentDocument"身份認證網(wǎng)關(guān) 8\o"CurrentDocument"各系統(tǒng)登錄URL 8\o"CurrentDocument"日常操作 10\o"CurrentDocument"添加應用 10\o"CurrentDocument"身份認證網(wǎng)關(guān)相關(guān)操作 10UMS相關(guān)操作 11\o"CurrentDocument"應用審計 12\o"CurrentDocument"添加應用字典 12\o"CurrentDocument"業(yè)務流程 16\o"CurrentDocument"證書管理 16\o"CurrentDocument"業(yè)務流程 16\o"CurrentDocument"授權(quán)管理 17\o"CurrentDocument"業(yè)務流程 18\o"CurrentDocument"證書應用 18業(yè)務流程 18\o"CurrentDocument"系統(tǒng)應急 21\o"CurrentDocument"負載均衡 21概述編寫目的財政身份認證與授權(quán)管理系統(tǒng)是一套技術(shù)先進的、安全的、遵循國際標準并具有強大并發(fā)處理能力的系統(tǒng)。本手冊是面向系統(tǒng)管理員的系統(tǒng)維護手冊，旨在指導義務財政系統(tǒng)管理員完成整個身份認證與授權(quán)管理系統(tǒng)的日常維護管理工作。術(shù)語定義PKI：PublicKeyInfrastructure，公鑰基礎(chǔ)設施，是采用非對稱密碼算法和技術(shù)來實現(xiàn)和提供安全服務，并具有通用性的安全基礎(chǔ)設施，是一種遵循既定標準的安全身份基礎(chǔ)管理平臺。LRA：LocalRegisterAuthority，證書注冊中心受理點系統(tǒng)，供本地進行證書申請、下載、注銷、更新等各項業(yè)務操作。UMS：UserManagermentSystem，用戶屬性管理系統(tǒng)，提供粗粒度的授權(quán)服務。AQS：AduitQuerySystem，安全審計系統(tǒng)，提供證書及應用訪問（證書方式訪問）的綜合查詢統(tǒng)計服務。整體介紹系統(tǒng)說明LRA本地證書注冊中心，相當于部署在各地市、區(qū)縣財政局的省廳RA的客戶端，主要用于申請制作數(shù)字證書。UMS（屬性管理系統(tǒng)）用于用戶屬性管理、應用賬號管理，配合身份認證網(wǎng)關(guān)完成用戶使用證書訪問應用系統(tǒng)時的身份認證。AQS（安全審計系統(tǒng)）用于證書發(fā)放情況和證書訪問情況的統(tǒng)計查詢。身份認證網(wǎng)關(guān)用于用戶使用證書訪問應用系統(tǒng)時的身份認證。簽名服務器用于基于數(shù)字證書的數(shù)字簽名、驗簽等信息安全保障，保證信息完整性、保密性和操作不可抵賴性。網(wǎng)絡拓撲縣級財政業(yè)務專網(wǎng)市級財政業(yè)務專網(wǎng)省廳財政業(yè)務專網(wǎng)LRA口PwlP?|口3D|口縣級財政業(yè)務專網(wǎng)市級財政業(yè)務專網(wǎng)省廳財政業(yè)務專網(wǎng)LRA口PwlP?|口3D|口口口|su-^-L[■BSA ?In 一心應用部署表名稱IPIP說明用途身份認證網(wǎng)關(guān)0Eth0身份認證、訪問控制（6臺）1Eth0

2Eth03Eth05Eth06Eth0簽名服務器（2臺）7Eth0數(shù)字簽名8Eth0屬性管理系統(tǒng)UMS（6臺）物理IP用戶屬性管理0物理IP4物理IP5物理IP6物理IP7物理IPUMS數(shù)據(jù)庫（2臺）3（集群IP）虛擬IPUMS數(shù)據(jù)庫1物理IP2映射IP綜合查詢系統(tǒng)AQS（4臺）8物理IP證書統(tǒng)計、應用訪問統(tǒng)計等9物理IP1物理IP2映射IPAQS數(shù)據(jù)庫（2臺）6（集群IP）虛擬IPAQS數(shù)據(jù)庫4物理IP5映射IP負載均衡0虛擬IP身份認證網(wǎng)關(guān)、簽名服務器負載日常維護以下各項操作都須登錄對應主機的操作系統(tǒng)進行操作，各主機的登錄用戶名、密碼請查看相關(guān)文檔。服務狀態(tài)查詢UMS服務器使用SSL工具登錄后，使用以下命令查看：UMSServer#ps-ef|grepjitums|grep-vgrep若服務正常，應返回以下的進程：root317131705420:00pts/000:00:07../jre/bin/jitums-Xss128k-Xms1024m-Xmx1024m.jit.startup.Main./lib.jit.sf.server.Mainstart1AQS服務器使用SSL工具登錄8后，使用以下命令查看：AQS服務#ps-ef|grepjitimp|grep-vgrep若服務正常，應返回以下的進程：root4094 11612:59pts/200:00:02../jre/bin/jitimp-Xms256m-Xmx1024m-XX:PermSize=64M-XX:MaxPermSize=256M-Dfile.encoding=UTF-8-DPKIToolConfig=./config/conf/pkitool.ini.jit.startup.Main./lib.jit.imp.IMPStartstart1root4096 11612:59pts/200:00:02../jre/bin/.jit.startup.Mainlib.jit.platform.virtual.gateway.Updateroot 4098 121 12:59pts/2 00:00:02/opt/JIT/IMP/selfguard/../jre/bin/jitimpselfguard.jit.platform.selfguard.App其中第一個進程是AQS主進程，第二個是在線升級進程，第三個是自保護服務進程。簽名服務器在業(yè)務專網(wǎng)的一臺機器上，采用以下命令進行測試：telnet78000若端口能連通，則表示簽名服務器服務正常。身份認證網(wǎng)關(guān)在業(yè)務專網(wǎng)的一臺機器上，采用以下命令進行測試：telnet06180若端口能連通，則表示身份認證網(wǎng)關(guān)服務正常。3.2系統(tǒng)關(guān)閉UMS服務器使用SSL工具登錄后，按照以下順序進行服務器的關(guān)閉?！鐾Ｖ筓MS服務#cd/opt/JIT/ums5018/server/bin#./stop.sh■關(guān)機#shutdown-hnowAQS服務器使用SSL工具登錄8后，按照以下順序進行服務器的關(guān)閉。停止AQS服務#cd/opt/JIT/imp/server/bin#./stop.sh關(guān)機#shutdown-hnow3.3系統(tǒng)啟動UMS服務器開機后，待網(wǎng)絡連通后，使用SSL工具登錄。#cd/opt/JIT/ums5018/server/bin#./start.shAQS服務器開機后，待網(wǎng)絡連通后，使用SSL工具登錄8。#cd/opt/JIT/imp/server/bin#./start.sh簽名服務器接通電源，按下設備前面板的灰白色電源按鈕，即開啟此設備。開機后簽名服務會自動起來，只需過2-3分鐘后采用2.1.9的查詢方法查看簽名服務器服務是否正常即可。身份認證網(wǎng)關(guān)接通電源，按下設備前面板的灰白色電源按鈕，即開啟此設備。開機后身份認證服務會自動起來，只需過2-3分鐘后采用2.1.9的查詢方法查看身份認證服務是否正常即可。3.4各系統(tǒng)登錄URL系統(tǒng)名稱登錄URL管理證書/賬號身份認證網(wǎng)關(guān)0:6443系統(tǒng)管理員證書、安全保密管理員證書、審計管理員證書簽名服務器7:6443系統(tǒng)管理員證書、安全保密管理員證書、審計管理員證書AQS8：22443AQS業(yè)務管理員證書UMS：8001UMS超級管理員證書注：登錄時需要使用對應的管理員證書。日常操作4.1添加應用身份認證網(wǎng)關(guān)相關(guān)操作安裝隨機光盤中默認安全保密管理員證書，安裝密碼為“111111”。打開IE訪問：0:6443，選擇“安全保密管理員”證書登錄,進入I網(wǎng)關(guān)管理界面。3.在應用管理選項中，點擊配置應用，然后點擊右側(cè)的添加：選擇B/S或C/S應用類型（根據(jù)應用類型選擇）。單點登錄方式為：報文認證。應用名稱為：XXX系統(tǒng)（按實際情況填寫，如PORTAL）。應用標識為：xxx（按實際情況填寫，區(qū)分大小寫，如PORTAL）。配置應用服務器：域名或IP。應用服務器：應用訪問地址。如：應用通訊協(xié)議：默認明文（若應用本身為https訪問擇選擇密文）。保存配置。配置應用代碼。依次進入菜單相關(guān)產(chǎn)品配置>配置應用代碼，選擇剛添加的應用，填寫應用代碼：應用代碼為6位數(shù)字，由2位省編碼，2位地市編碼，2位應用編碼組成。如：360001表示江西省01號應用。6.保存配置。4.1.2UMS相關(guān)操作打開IE,并輸入UMS的管理地址：:8001，并選擇“UMS超級管理員“證書登錄。■添加字典1.點擊添加字典，安裝如下圖所示：屬性分類：XXX系統(tǒng)（選擇上一步中添加的屬性分類名稱）屬性字典名稱：xxxuid填寫方式：單行文本框是否唯一：唯一是否必選：必選填寫完畢后，點擊確定。4.2應用審計安裝身份認證網(wǎng)關(guān)隨機光盤中默認系統(tǒng)管理員證書，安裝密碼為“111111”。打開IE,并輸入AQS的管理地址：8:22443,并選擇“業(yè)務管理員”證書登錄。）添加應用字典添加應用字典有兩種方式：一種是以Excel表格的形式導入進去；一種是手動添加進去?！鯡xcel表格方式

1.根據(jù)身份認證網(wǎng)關(guān)中配置的應用代碼編輯成Excel表格，導入到AQS應用字典中：吉穴正云身宦也證網(wǎng)天天津農(nóng)發(fā)辦肖前貫理員.：.CN=財毆外盟：1網(wǎng)關(guān)去全宜理員,0=M0F,C=CNT田ETREP眈應用01000006-■創(chuàng)身份認證網(wǎng)關(guān)管理二）囲應用管理$目配置應用,±）罔服務器管理,±）圈認證管理,±）罔訪問控制管理+）圏Portal頁面定制厲］相關(guān)產(chǎn)品設置$目UMS配置|＞目PMS配置t天津農(nóng)發(fā)辦肖前貫理員.：.CN=財毆外盟：1網(wǎng)關(guān)去全宜理員,0=M0F,C=CNT田ETREP眈應用01000006-■創(chuàng)身份認證網(wǎng)關(guān)管理二）囲應用管理$目配置應用,±）罔服務器管理,±）圈認證管理,±）罔訪問控制管理+）圏Portal頁面定制厲］相關(guān)產(chǎn)品設置$目UMS配置|＞目PMS配置t巨］UMS/PMS緩存配置|＞目配置應用代碼$目配置默認權(quán)限河北農(nóng)發(fā)辦寧夏農(nóng)發(fā)辦廣東農(nóng)發(fā)辦江蘇農(nóng)發(fā)辦四川農(nóng)發(fā)辦山東農(nóng)發(fā)辦國家農(nóng)發(fā)辦浙江農(nóng)發(fā)辦HENETREP廉應用01000007NXNETREP應用名稱 GDNET：JSNETREPSCNETREPSDNETREPNETREPZJNETREP眈應用眈應用眈應用廉應用啟應用眈應用廉應用AE1應用編碼應用名稱2*01000006天津農(nóng)發(fā)蘇37)1000007河北農(nóng)發(fā)辦4?)1000000寧夏農(nóng)發(fā)辦■5*01000009廣東農(nóng)發(fā)辦6?)iooooio江蘇農(nóng)發(fā)辦7*01000011四川農(nóng)發(fā)蘇S*01000012山東農(nóng)發(fā)辦97)1000013國家農(nóng)發(fā)辦■10*01000014：浙江農(nóng)發(fā)蘇117)1000015內(nèi)蒙古農(nóng)發(fā)辦■內(nèi)裁古農(nóng)發(fā)辦眈應用NMNETREP01000008010000090100001001000011010000120100001301000014010000152.整理好Excel表格之后，點擊左側(cè)菜單中系統(tǒng)管理＞字典管理功能，選擇“應用字典”，點擊【導入】或在應用字典詳細頁面，點擊【導入】，跳轉(zhuǎn)到導入應用字典頁面；點擊【瀏覽】按鈕，選擇合理導入文件（*.xls文件）:點擊【上傳】，提示導入字典文件成功。4.點擊【確定】顯示如下：手動添加方式1.選擇“應用字典”，詳細頁面中點擊【添加】，跳轉(zhuǎn)到添加應用字典頁面，輸入對應的應用字典名稱（如：XXX系統(tǒng)）、應用字典編碼（如：33078201）。2.點擊【保存】完成添加。業(yè)務流程財政身份認證與授權(quán)管理系統(tǒng)的主要日常業(yè)務主要為證書管理、授權(quán)管理及證書應用三個方面，了解了這三方面的具體業(yè)務流程后，自然能分析、定位日常系統(tǒng)運行過程中出現(xiàn)的故障。證書管理業(yè)務流程RA中錄入申請信息進入RA數(shù)據(jù)庫用戶信息表（未審核狀態(tài)）RA連接CA進行審核請求，CA根據(jù)請求合法性判斷否是否合法申請駁回，需修改后重新提交或刪除 是r RA數(shù)據(jù)庫用戶信息表用戶狀態(tài)更改 i1連接CA進行證書管理申請否是否需要產(chǎn)生加密密鑰是“CA連接KMC申請密鑰否— 否— 流程結(jié)束是否需要將證書寫入KpY是證書寫入USB-KEY具體流程描述：1） 證書管理員在RA界面中錄入相關(guān)證書管理請求，主要有證書申請、證書更新、證書凍結(jié)/解凍、證書注銷等請求；2） RA系統(tǒng)將該請求信息保存在其數(shù)據(jù)庫的用戶信息表中，同時將該用戶信息標志為未審核；3） 證書管理員或系統(tǒng)自動進行請求審核，此時RA會連接CA進行審核信息判斷，例如證書申請有效期是否超出系統(tǒng)限制，證書是否已存在，證書狀態(tài)是否正常等；4） 若CA信息校驗通過，則RA會根據(jù)CA返回的信息將其數(shù)據(jù)庫中對應用戶信息的狀態(tài)改為已審核，同時連接CA進行下一步的證書申請（證書產(chǎn)生、凍結(jié)/解凍、更新、注銷等）；5） CA根據(jù)該請求類型判斷是否需要新的加密密鑰，若需要則連接KMC進行密鑰申請，否則進入下一步；6） CA根據(jù)請求進行對應的證書操作（證書產(chǎn)生、凍結(jié)/解凍、更新、注銷等）；7） CA處理成功后將處理結(jié)果返回給RA，若為證書申請或更新，則該結(jié)果中還會有對應的證書；8） RA根據(jù)CA返回的結(jié)果更新其數(shù)據(jù)庫中的證書表，并判斷是否需要將證書寫入到USB-Key中（證書申請、更新需要，證書凍結(jié)/解凍、注銷不需要），若需要則進入下一步，否則流程結(jié)束；9） RA將證書寫入USB-Key。5.2授權(quán)管理本處所指的授權(quán)管理為使用用戶屬性管理系統(tǒng)進行應用入門級訪問控制的粗顆粒授權(quán)管理。江西省財政身份認證與授權(quán)管理系統(tǒng)一期項目日常維護手冊5.2.1業(yè)務流程RA將新產(chǎn)生的證書用戶信息同步到UMS數(shù)據(jù)庫UMS首頁體現(xiàn)待辦信息管理員將用戶納入到正確的組織機構(gòu)

管理員為該用戶分配對應的系統(tǒng)訪問權(quán)限

(填寫對應的屬性值)對應屬性信息寫入UMS數(shù)據(jù)庫,

以供網(wǎng)關(guān)調(diào)用具體流程描述：RA簽發(fā)新的證書后，因設置了RA與UMS的數(shù)據(jù)同步機制，RA會將新證書用戶的相關(guān)信息同步到UMS數(shù)據(jù)庫中；在UMS管理員登錄系統(tǒng)時，UMS首頁就會體現(xiàn)對應的待辦信息；此時管理員需要將這些同步過來的用戶納入到正確的組織機構(gòu)下；應用管理員登錄UMS，并為這些用戶分配對應的系統(tǒng)訪問權(quán)限，即填寫對應的屬性值后提交；UMS將這些屬性信息寫入到其數(shù)據(jù)庫中，以供日后的查詢及網(wǎng)關(guān)訪問應用時調(diào)用。5.3證書應用業(yè)務流程根據(jù)財政業(yè)務系統(tǒng)高強度身份認證、防篡改、抗抵賴及數(shù)據(jù)完整性保護的需求，目前財政身份認證與授權(quán)管理的證書應用主要為身份認證及數(shù)字簽名兩種。下面的流程圖以在一