財政運維方案

江西省財政身份認(rèn)證與授權(quán)管理系

統(tǒng)二期項目

日常維護(hù)手冊2016年3月28日目錄TOC\o"1-5"\h\z\o"CurrentDocument"概述 2\o"CurrentDocument"編寫目的 2\o"CurrentDocument"術(shù)語定義 2\o"CurrentDocument"整體介紹 3\o"CurrentDocument"系統(tǒng)說明 3\o"CurrentDocument"網(wǎng)絡(luò)拓?fù)?4\o"CurrentDocument"應(yīng)用部署表 4\o"CurrentDocument"日常維護(hù) 6\o"CurrentDocument"服務(wù)狀態(tài)查詢 6\o"CurrentDocument"UMS服務(wù)器 6\o"CurrentDocument"AQS服務(wù)器 6\o"CurrentDocument"簽名服務(wù)器 7\o"CurrentDocument"身份認(rèn)證網(wǎng)關(guān) 7\o"CurrentDocument"系統(tǒng)關(guān)閉 7\o"CurrentDocument"UMS服務(wù)器 7\o"CurrentDocument"AQS服務(wù)器 7\o"CurrentDocument"系統(tǒng)啟動 8UMS服務(wù)器 8AQS服務(wù)器 8\o"CurrentDocument"簽名服務(wù)器 8\o"CurrentDocument"身份認(rèn)證網(wǎng)關(guān) 8\o"CurrentDocument"各系統(tǒng)登錄URL 8\o"CurrentDocument"日常操作 10\o"CurrentDocument"添加應(yīng)用 10\o"CurrentDocument"身份認(rèn)證網(wǎng)關(guān)相關(guān)操作 10UMS相關(guān)操作 11\o"CurrentDocument"應(yīng)用審計 12\o"CurrentDocument"添加應(yīng)用字典 12\o"CurrentDocument"業(yè)務(wù)流程 16\o"CurrentDocument"證書管理 16\o"CurrentDocument"業(yè)務(wù)流程 16\o"CurrentDocument"授權(quán)管理 17\o"CurrentDocument"業(yè)務(wù)流程 18\o"CurrentDocument"證書應(yīng)用 18業(yè)務(wù)流程 18\o"CurrentDocument"系統(tǒng)應(yīng)急 21\o"CurrentDocument"負(fù)載均衡 21概述編寫目的財政身份認(rèn)證與授權(quán)管理系統(tǒng)是一套技術(shù)先進(jìn)的、安全的、遵循國際標(biāo)準(zhǔn)并具有強大并發(fā)處理能力的系統(tǒng)。本手冊是面向系統(tǒng)管理員的系統(tǒng)維護(hù)手冊，旨在指導(dǎo)義務(wù)財政系統(tǒng)管理員完成整個身份認(rèn)證與授權(quán)管理系統(tǒng)的日常維護(hù)管理工作。術(shù)語定義PKI：PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施，是采用非對稱密碼算法和技術(shù)來實現(xiàn)和提供安全服務(wù)，并具有通用性的安全基礎(chǔ)設(shè)施，是一種遵循既定標(biāo)準(zhǔn)的安全身份基礎(chǔ)管理平臺。LRA：LocalRegisterAuthority，證書注冊中心受理點系統(tǒng)，供本地進(jìn)行證書申請、下載、注銷、更新等各項業(yè)務(wù)操作。UMS：UserManagermentSystem，用戶屬性管理系統(tǒng)，提供粗粒度的授權(quán)服務(wù)。AQS：AduitQuerySystem，安全審計系統(tǒng)，提供證書及應(yīng)用訪問（證書方式訪問）的綜合查詢統(tǒng)計服務(wù)。整體介紹系統(tǒng)說明LRA本地證書注冊中心，相當(dāng)于部署在各地市、區(qū)縣財政局的省廳RA的客戶端，主要用于申請制作數(shù)字證書。UMS（屬性管理系統(tǒng)）用于用戶屬性管理、應(yīng)用賬號管理，配合身份認(rèn)證網(wǎng)關(guān)完成用戶使用證書訪問應(yīng)用系統(tǒng)時的身份認(rèn)證。AQS（安全審計系統(tǒng)）用于證書發(fā)放情況和證書訪問情況的統(tǒng)計查詢。身份認(rèn)證網(wǎng)關(guān)用于用戶使用證書訪問應(yīng)用系統(tǒng)時的身份認(rèn)證。簽名服務(wù)器用于基于數(shù)字證書的數(shù)字簽名、驗簽等信息安全保障，保證信息完整性、保密性和操作不可抵賴性。網(wǎng)絡(luò)拓?fù)淇h級財政業(yè)務(wù)專網(wǎng)市級財政業(yè)務(wù)專網(wǎng)省廳財政業(yè)務(wù)專網(wǎng)LRA口PwlP?|口3D|口縣級財政業(yè)務(wù)專網(wǎng)市級財政業(yè)務(wù)專網(wǎng)省廳財政業(yè)務(wù)專網(wǎng)LRA口PwlP?|口3D|口口口|su-^-L[■BSA ?In 一心應(yīng)用部署表名稱IPIP說明用途身份認(rèn)證網(wǎng)關(guān)0Eth0身份認(rèn)證、訪問控制（6臺）1Eth0

2Eth03Eth05Eth06Eth0簽名服務(wù)器（2臺）7Eth0數(shù)字簽名8Eth0屬性管理系統(tǒng)UMS（6臺）物理IP用戶屬性管理0物理IP4物理IP5物理IP6物理IP7物理IPUMS數(shù)據(jù)庫（2臺）3（集群IP）虛擬IPUMS數(shù)據(jù)庫1物理IP2映射IP綜合查詢系統(tǒng)AQS（4臺）8物理IP證書統(tǒng)計、應(yīng)用訪問統(tǒng)計等9物理IP1物理IP2映射IPAQS數(shù)據(jù)庫（2臺）6（集群IP）虛擬IPAQS數(shù)據(jù)庫4物理IP5映射IP負(fù)載均衡0虛擬IP身份認(rèn)證網(wǎng)關(guān)、簽名服務(wù)器負(fù)載日常維護(hù)以下各項操作都須登錄對應(yīng)主機的操作系統(tǒng)進(jìn)行操作，各主機的登錄用戶名、密碼請查看相關(guān)文檔。服務(wù)狀態(tài)查詢UMS服務(wù)器使用SSL工具登錄后，使用以下命令查看：UMSServer#ps-ef|grepjitums|grep-vgrep若服務(wù)正常，應(yīng)返回以下的進(jìn)程：root317131705420:00pts/000:00:07../jre/bin/jitums-Xss128k-Xms1024m-Xmx1024m.jit.startup.Main./lib.jit.sf.server.Mainstart1AQS服務(wù)器使用SSL工具登錄8后，使用以下命令查看：AQS服務(wù)#ps-ef|grepjitimp|grep-vgrep若服務(wù)正常，應(yīng)返回以下的進(jìn)程：root4094 11612:59pts/200:00:02../jre/bin/jitimp-Xms256m-Xmx1024m-XX:PermSize=64M-XX:MaxPermSize=256M-Dfile.encoding=UTF-8-DPKIToolConfig=./config/conf/pkitool.ini.jit.startup.Main./lib.jit.imp.IMPStartstart1root4096 11612:59pts/200:00:02../jre/bin/.jit.startup.Mainlib.jit.platform.virtual.gateway.Updateroot 4098 121 12:59pts/2 00:00:02/opt/JIT/IMP/selfguard/../jre/bin/jitimpselfguard.jit.platform.selfguard.App其中第一個進(jìn)程是AQS主進(jìn)程，第二個是在線升級進(jìn)程，第三個是自保護(hù)服務(wù)進(jìn)程。簽名服務(wù)器在業(yè)務(wù)專網(wǎng)的一臺機器上，采用以下命令進(jìn)行測試：telnet78000若端口能連通，則表示簽名服務(wù)器服務(wù)正常。身份認(rèn)證網(wǎng)關(guān)在業(yè)務(wù)專網(wǎng)的一臺機器上，采用以下命令進(jìn)行測試：telnet06180若端口能連通，則表示身份認(rèn)證網(wǎng)關(guān)服務(wù)正常。3.2系統(tǒng)關(guān)閉UMS服務(wù)器使用SSL工具登錄后，按照以下順序進(jìn)行服務(wù)器的關(guān)閉?！鐾Ｖ筓MS服務(wù)#cd/opt/JIT/ums5018/server/bin#./stop.sh■關(guān)機#shutdown-hnowAQS服務(wù)器使用SSL工具登錄8后，按照以下順序進(jìn)行服務(wù)器的關(guān)閉。停止AQS服務(wù)#cd/opt/JIT/imp/server/bin#./stop.sh關(guān)機#shutdown-hnow3.3系統(tǒng)啟動UMS服務(wù)器開機后，待網(wǎng)絡(luò)連通后，使用SSL工具登錄。#cd/opt/JIT/ums5018/server/bin#./start.shAQS服務(wù)器開機后，待網(wǎng)絡(luò)連通后，使用SSL工具登錄8。#cd/opt/JIT/imp/server/bin#./start.sh簽名服務(wù)器接通電源，按下設(shè)備前面板的灰白色電源按鈕，即開啟此設(shè)備。開機后簽名服務(wù)會自動起來，只需過2-3分鐘后采用2.1.9的查詢方法查看簽名服務(wù)器服務(wù)是否正常即可。身份認(rèn)證網(wǎng)關(guān)接通電源，按下設(shè)備前面板的灰白色電源按鈕，即開啟此設(shè)備。開機后身份認(rèn)證服務(wù)會自動起來，只需過2-3分鐘后采用2.1.9的查詢方法查看身份認(rèn)證服務(wù)是否正常即可。3.4各系統(tǒng)登錄URL系統(tǒng)名稱登錄URL管理證書/賬號身份認(rèn)證網(wǎng)關(guān)0:6443系統(tǒng)管理員證書、安全保密管理員證書、審計管理員證書簽名服務(wù)器7:6443系統(tǒng)管理員證書、安全保密管理員證書、審計管理員證書AQS8：22443AQS業(yè)務(wù)管理員證書UMS：8001UMS超級管理員證書注：登錄時需要使用對應(yīng)的管理員證書。日常操作4.1添加應(yīng)用身份認(rèn)證網(wǎng)關(guān)相關(guān)操作安裝隨機光盤中默認(rèn)安全保密管理員證書，安裝密碼為“111111”。打開IE訪問：0:6443，選擇“安全保密管理員”證書登錄,進(jìn)入I網(wǎng)關(guān)管理界面。3.在應(yīng)用管理選項中，點擊配置應(yīng)用，然后點擊右側(cè)的添加：選擇B/S或C/S應(yīng)用類型（根據(jù)應(yīng)用類型選擇）。單點登錄方式為：報文認(rèn)證。應(yīng)用名稱為：XXX系統(tǒng)（按實際情況填寫，如PORTAL）。應(yīng)用標(biāo)識為：xxx（按實際情況填寫，區(qū)分大小寫，如PORTAL）。配置應(yīng)用服務(wù)器：域名或IP。應(yīng)用服務(wù)器：應(yīng)用訪問地址。如：應(yīng)用通訊協(xié)議：默認(rèn)明文（若應(yīng)用本身為https訪問擇選擇密文）。保存配置。配置應(yīng)用代碼。依次進(jìn)入菜單相關(guān)產(chǎn)品配置>配置應(yīng)用代碼，選擇剛添加的應(yīng)用，填寫應(yīng)用代碼：應(yīng)用代碼為6位數(shù)字，由2位省編碼，2位地市編碼，2位應(yīng)用編碼組成。如：360001表示江西省01號應(yīng)用。6.保存配置。4.1.2UMS相關(guān)操作打開IE,并輸入UMS的管理地址：:8001，并選擇“UMS超級管理員“證書登錄?！鎏砑幼值?.點擊添加字典，安裝如下圖所示：屬性分類：XXX系統(tǒng)（選擇上一步中添加的屬性分類名稱）屬性字典名稱：xxxuid填寫方式：單行文本框是否唯一：唯一是否必選：必選填寫完畢后，點擊確定。4.2應(yīng)用審計安裝身份認(rèn)證網(wǎng)關(guān)隨機光盤中默認(rèn)系統(tǒng)管理員證書，安裝密碼為“111111”。打開IE,并輸入AQS的管理地址：8:22443,并選擇“業(yè)務(wù)管理員”證書登錄。）添加應(yīng)用字典添加應(yīng)用字典有兩種方式：一種是以Excel表格的形式導(dǎo)入進(jìn)去；一種是手動添加進(jìn)去。■Excel表格方式

1.根據(jù)身份認(rèn)證網(wǎng)關(guān)中配置的應(yīng)用代碼編輯成Excel表格，導(dǎo)入到AQS應(yīng)用字典中：吉穴正云身宦也證網(wǎng)天天津農(nóng)發(fā)辦肖前貫理員.：.CN=財毆外盟：1網(wǎng)關(guān)去全宜理員,0=M0F,C=CNT田ETREP眈應(yīng)用01000006-■創(chuàng)身份認(rèn)證網(wǎng)關(guān)管理二）囲應(yīng)用管理$目配置應(yīng)用,±）罔服務(wù)器管理,±）圈認(rèn)證管理,±）罔訪問控制管理+）圏Portal頁面定制厲］相關(guān)產(chǎn)品設(shè)置$目UMS配置|＞目PMS配置t天津農(nóng)發(fā)辦肖前貫理員.：.CN=財毆外盟：1網(wǎng)關(guān)去全宜理員,0=M0F,C=CNT田ETREP眈應(yīng)用01000006-■創(chuàng)身份認(rèn)證網(wǎng)關(guān)管理二）囲應(yīng)用管理$目配置應(yīng)用,±）罔服務(wù)器管理,±）圈認(rèn)證管理,±）罔訪問控制管理+）圏Portal頁面定制厲］相關(guān)產(chǎn)品設(shè)置$目UMS配置|＞目PMS配置t巨］UMS/PMS緩存配置|＞目配置應(yīng)用代碼$目配置默認(rèn)權(quán)限河北農(nóng)發(fā)辦寧夏農(nóng)發(fā)辦廣東農(nóng)發(fā)辦江蘇農(nóng)發(fā)辦四川農(nóng)發(fā)辦山東農(nóng)發(fā)辦國家農(nóng)發(fā)辦浙江農(nóng)發(fā)辦HENETREP廉應(yīng)用01000007NXNETREP應(yīng)用名稱 GDNET：JSNETREPSCNETREPSDNETREPNETREPZJNETREP眈應(yīng)用眈應(yīng)用眈應(yīng)用廉應(yīng)用啟應(yīng)用眈應(yīng)用廉應(yīng)用AE1應(yīng)用編碼應(yīng)用名稱2*01000006天津農(nóng)發(fā)蘇37)1000007河北農(nóng)發(fā)辦4?)1000000寧夏農(nóng)發(fā)辦■5*01000009廣東農(nóng)發(fā)辦6?)iooooio江蘇農(nóng)發(fā)辦7*01000011四川農(nóng)發(fā)蘇S*01000012山東農(nóng)發(fā)辦97)1000013國家農(nóng)發(fā)辦■10*01000014：浙江農(nóng)發(fā)蘇117)1000015內(nèi)蒙古農(nóng)發(fā)辦■內(nèi)裁古農(nóng)發(fā)辦眈應(yīng)用NMNETREP01000008010000090100001001000011010000120100001301000014010000152.整理好Excel表格之后，點擊左側(cè)菜單中系統(tǒng)管理＞字典管理功能，選擇“應(yīng)用字典”，點擊【導(dǎo)入】或在應(yīng)用字典詳細(xì)頁面，點擊【導(dǎo)入】，跳轉(zhuǎn)到導(dǎo)入應(yīng)用字典頁面；點擊【瀏覽】按鈕，選擇合理導(dǎo)入文件（*.xls文件）:點擊【上傳】，提示導(dǎo)入字典文件成功。4.點擊【確定】顯示如下：手動添加方式1.選擇“應(yīng)用字典”，詳細(xì)頁面中點擊【添加】，跳轉(zhuǎn)到添加應(yīng)用字典頁面，輸入對應(yīng)的應(yīng)用字典名稱（如：XXX系統(tǒng)）、應(yīng)用字典編碼（如：33078201）。2.點擊【保存】完成添加。業(yè)務(wù)流程財政身份認(rèn)證與授權(quán)管理系統(tǒng)的主要日常業(yè)務(wù)主要為證書管理、授權(quán)管理及證書應(yīng)用三個方面，了解了這三方面的具體業(yè)務(wù)流程后，自然能分析、定位日常系統(tǒng)運行過程中出現(xiàn)的故障。證書管理業(yè)務(wù)流程RA中錄入申請信息進(jìn)入RA數(shù)據(jù)庫用戶信息表（未審核狀態(tài)）RA連接CA進(jìn)行審核請求，CA根據(jù)請求合法性判斷否是否合法申請駁回，需修改后重新提交或刪除 是r RA數(shù)據(jù)庫用戶信息表用戶狀態(tài)更改 i1連接CA進(jìn)行證書管理申請否是否需要產(chǎn)生加密密鑰是“CA連接KMC申請密鑰否— 否— 流程結(jié)束是否需要將證書寫入KpY是證書寫入USB-KEY具體流程描述：1） 證書管理員在RA界面中錄入相關(guān)證書管理請求，主要有證書申請、證書更新、證書凍結(jié)/解凍、證書注銷等請求；2） RA系統(tǒng)將該請求信息保存在其數(shù)據(jù)庫的用戶信息表中，同時將該用戶信息標(biāo)志為未審核；3） 證書管理員或系統(tǒng)自動進(jìn)行請求審核，此時RA會連接CA進(jìn)行審核信息判斷，例如證書申請有效期是否超出系統(tǒng)限制，證書是否已存在，證書狀態(tài)是否正常等；4） 若CA信息校驗通過，則RA會根據(jù)CA返回的信息將其數(shù)據(jù)庫中對應(yīng)用戶信息的狀態(tài)改為已審核，同時連接CA進(jìn)行下一步的證書申請（證書產(chǎn)生、凍結(jié)/解凍、更新、注銷等）；5） CA根據(jù)該請求類型判斷是否需要新的加密密鑰，若需要則連接KMC進(jìn)行密鑰申請，否則進(jìn)入下一步；6） CA根據(jù)請求進(jìn)行對應(yīng)的證書操作（證書產(chǎn)生、凍結(jié)/解凍、更新、注銷等）；7） CA處理成功后將處理結(jié)果返回給RA，若為證書申請或更新，則該結(jié)果中還會有對應(yīng)的證書；8） RA根據(jù)CA返回的結(jié)果更新其數(shù)據(jù)庫中的證書表，并判斷是否需要將證書寫入到USB-Key中（證書申請、更新需要，證書凍結(jié)/解凍、注銷不需要），若需要則進(jìn)入下一步，否則流程結(jié)束；9） RA將證書寫入USB-Key。5.2授權(quán)管理本處所指的授權(quán)管理為使用用戶屬性管理系統(tǒng)進(jìn)行應(yīng)用入門級訪問控制的粗顆粒授權(quán)管理。江西省財政身份認(rèn)證與授權(quán)管理系統(tǒng)一期項目日常維護(hù)手冊5.2.1業(yè)務(wù)流程RA將新產(chǎn)生的證書用戶信息同步到UMS數(shù)據(jù)庫UMS首頁體現(xiàn)待辦信息管理員將用戶納入到正確的組織機構(gòu)

管理員為該用戶分配對應(yīng)的系統(tǒng)訪問權(quán)限

(填寫對應(yīng)的屬性值)對應(yīng)屬性信息寫入UMS數(shù)據(jù)庫,

以供網(wǎng)關(guān)調(diào)用具體流程描述：RA簽發(fā)新的證書后，因設(shè)置了RA與UMS的數(shù)據(jù)同步機制，RA會將新證書用戶的相關(guān)信息同步到UMS數(shù)據(jù)庫中；在UMS管理員登錄系統(tǒng)時，UMS首頁就會體現(xiàn)對應(yīng)的待辦信息；此時管理員需要將這些同步過來的用戶納入到正確的組織機構(gòu)下；應(yīng)用管理員登錄UMS，并為這些用戶分配對應(yīng)的系統(tǒng)訪問權(quán)限，即填寫對應(yīng)的屬性值后提交；UMS將這些屬性信息寫入到其數(shù)據(jù)庫中，以供日后的查詢及網(wǎng)關(guān)訪問應(yīng)用時調(diào)用。5.3證書應(yīng)用業(yè)務(wù)流程根據(jù)財政業(yè)務(wù)系統(tǒng)高強度身份認(rèn)證、防篡改、抗抵賴及數(shù)據(jù)完整性保護(hù)的需求，目前財政身份認(rèn)證與授權(quán)管理的證書應(yīng)用主要為身份認(rèn)證及數(shù)字簽名兩種。下面的流程圖以在一