北京格尔国信签名验证服务器v2.3用户手册237.doc

《北京格尔国信签名验证服务器v2.3用户手册237.doc》由会员分享，可在线阅读，更多相关《北京格尔国信签名验证服务器v2.3用户手册237.doc（99页珍藏版）》请在三一文库上搜索。

1、北京格尔国信科技有限公司签名验证服务器v2.3用户手册北京格尔国信科技有限公司2012年7月 录1手册指南101.1概述101.2目的101.3适用对象101.4名词解释111.5必读声明122产品简介132.1主要功能132.2默认网络配置133产品部署144产品安装174.1产品检查174.2环境准备174.3连线174.4开机174.5关机185QUICK START185.1登录185.2可信任站点设置185.3证书配置195.3.1RSA签名与验签205.3.1.1RSA 签名证书205.3.1.2RSA证书信任链与黑名单225.3.2SM2签名与验签235.3.2.1SM2签名证书

2、235.3.2.2SM2证书信任链与黑名单255.3.3人行清算二代支付系统签名与验签265.3.3.1签名证书管理265.3.3.2验签证书配置275.4服务配置285.4.1选择运行模式295.4.1.1选择运行模式（单机模式）295.4.2服务基本配置305.4.3RSA签名与验签配置305.4.4SM2签名与验签配置325.4.5证书库证书配置335.4.6启动和停止服务336登录服务器346.1管理客户端准备346.2登录系统356.3更改密码367证书配置管理387.1.1站点证书配置管理387.1.1.1生成证书请求397.1.1.2申请站点证书427.1.1.3查看站点证书42

3、7.1.1.4导入站点证书437.1.1.5删除站点证书447.1.1.6证书链管理457.1.1.7导入证书链467.1.1.8删除证书链487.1.2SM2证书管理497.1.2.1生成SM2证书请求497.1.2.2申请SM2证书527.1.2.3查看SM2证书527.1.2.4导入SM2证书537.1.2.5删除SM2证书547.1.2.6导入SM2证书链557.1.2.7删除SM2证书链567.1.3证书库管理577.1.3.1签名解密证书管理587.1.3.2验签加密证书配置597.1.4配置LADP方式下载黑名单597.1.4.1黑名单服务管理607.1.4.2添加黑名单下载服务

4、617.1.4.3删除黑名单下载服务647.1.4.4查看、修改黑名单服务647.1.4.5立即下载黑名单657.1.4.6查看下载日志657.1.5配置HTTP方式下载黑名单677.1.5.1添加 HTTP下载服务677.1.5.2定时更新时间配置697.1.5.3立即更新所有黑名单708网络配置708.1网络接口管理718.2配置网络接口参数728.3启动/停止网络接口748.4路由和DNS配置748.5使用网络调试工具788.5.1使用Ping788.5.2使用Traceroute808.5.3使用SSH809服务管理819.1服务基本配置829.2运行模式选择839.3双机热备849.

5、3.1准备工作849.3.2选择热备模式859.3.3向主机添加资源859.3.4从主机删除资源879.3.5双机热备FAQ879.3.5.1从单机模式到双机热备模式需要注意事项879.3.5.2主机出现异常后切换到备机如何恢复889.3.5.3主机出现异常后变为单机模式再变为主机889.3.5.4手动停止已添加到热备资源中的SVS服务，对热备的影响889.4启动/停止签名验证服务899.5查看签名验证服务日志899.5.1日志查看909.5.2日志查询919.5.3日志下载919.6签名验证服务配置929.6.1基本参数配置929.6.2站点证书配置949.6.3SM2证书配置9510系统管

6、理9610.1系统监控9710.1.1实时监控9810.1.2历史监控9810.1.3监控配置9910.2升级回退10010.2.1升级回退10010.2.2版本回滚10110.3备份恢复10110.3.1系统备份10210.3.2系统恢复10310.4数据同步10410.4.1本机配置10510.4.2同步管理10610.4.3重置配置10710.4.4同步日志10810.5系统服务10810.5.1系统重启10810.5.2关机10910.6其他11010.6.1时间配置11010.6.2热备时间同步11110.6.2.1单机模式下时间同步11110.6.2.2双机热备模式下时间同步112

7、11常见错误码11212产品支持联系方式12213可选硬件（机密卡）12313.1加密卡配置12313.2RSA生成站点证书请求12413.3SM2生成站点证书请求12513.4签名证书管理126图表目录图表1 默认网卡设置14图表 2 并联部署示意图15图表 3 双机热备部署16图表 4登录服务器35图表 5 修改管理密码对话框37图表 6 生成证书请求39图表 7 导出站点证书请求41图表 8 站点证书配置42图表 9 站点证书私钥不匹配43图表 10 删除站点证书44图表 11 无法删除正在使用的站点证书45图表 12 证书链结构46图表 13 证书链管理46图表 14 上传证书链47图

8、表 15 删除证书链48图表 16 无法删除正在使用的站点证书48图表 17 立即更新黑名单70图表 18 网络配置界面71图表 19 网络接口配置71图表 20 配置网络接口73图表 21 路由和DNS界面75图表 22 添加默认网关75图表 23 添加静态路由76图表 24 路由设置错误76图表 25 添加DNS77图表 26 Ping179图表 27 Ping280图表 28 Traceroute80图表 29 SSH81图表 30 签名验证服务管理82图表 31 服务日志90图表 32 签名验证日志90图表 33 日志下载92图表 34 签名验证服务参数配置-基本参数93图表 35 签

9、名验证服务参数配置-证书配置95图表 36 系统管理97图表 37 系统升级100图表 38 版本回滚101图表 39 系统备份102图表 40 证书备份下载103图表 41 系统恢复104图表 42 重启系统109图表 43 时间配置1101 手册指南 1.1 概述本手册主要介绍格尔国信签名验证服务的使用及维护。其中涵盖了签名验证服务所涉及的使用配置方法及其相关说明。我们将以提供具体实例的方法来引导使用者安装配置符合自己应用环境的签名验证服务。1.2 目的本手册详细描述了如何部署、配置、管理和使用签名验证服务器，目的是指导用户能正确的管理和使用签名验证服务器。1.3 适用对象本手册适用对象为

10、网络管理员、签名验证服务器实施人员、售前支持人员和技术支持人员，假定具备以下概念知识：l 网络拓扑l 网络地址和路由l 数字证书l Web服务器1.4 名词解释 证书认证机构（Certificate Authority）：一个产生和确定公开密钥证书的可靠和可信的第三方机构。它发行数字证书并确保证书的可信性，或证明一个用户和它们的公共密钥的身份。认证机构也可以为实体产生和确定密钥。习惯上又称作认证中心（CA）。 数字证书（Certificate）：数字证书中心签发的用于代表实体身份的一段电文。本手册中涉及代表用户身份的用户证书和代表服务端身份的站点证书（服务器证书）。 LDAP：(Lightwe

11、ight Directory Access Protocol) 是一种轻量级的目录存取协定，提供客户从各个角落连接到目录服务器中。本手册中专指CA用于发布证书及黑名单的LDAP服务。 黑名单：通常所说的CRL（Certificate Revoke List ），因时间或者安全原因被废除的证书列表，一般发布在LDAP上。数字签名（digital signature）：具有手写签名功能如身份证明的一组电子数据。这些附加在数据单元上的一些数据，或是对数据单元所作的密码变换，允许数据单元的接收者用以确认数据单元的来源和完整性，并保护数据，防止被人（例如接收者）伪造。1.5 必读声明本文档中有以下约定，

12、特此声明：l 配置界面中信息输入框后面带“*”，表示此信息为必填项。l 文档中关于配置的一些注意事项和建议都在各个配置项描述后面的“提示”中，配置前务必查看清楚。2 产品简介2.1 主要功能格尔国信签名验证服务能够对应用系统提供证书签名以及签名的验证功能，主要包括： 数据、文件签名及验证 数据、文件PKCS7格式签名及验证 支持sha1、sha256、md5算法签名及验签 支持RSA 1024、2048加密（签名）算法 支持国密局SM2签名算法及SM3摘要算法 支持人行清算中心-第二代支付系统系统签名服务API规范2.2 默认网络配置网络接口对部署、配置、管理格尔国信签名验证服务器非常重要，产

13、品的出厂配置如下：网络接口用途出厂接口地址外网口（Eth0*）此端口物理IP地址SVS服务程序通过绑定在该端口下的虚拟IP方式提供服务192.168.75.8备用口（Eth1）此网口为备用网口192.168.171.8管理口(Eth2)管理员通过此端口方可对产品进行web管理192.168.190.8热备口(Eth3)双机热备网口4.4.4.8图表1 默认网卡设置默认路由：无DNS：无提示：Eth0-Eth2是系统中的网卡的接口名称，LAN0-LAN2是物理意义上的接口，本文中二者指同一对象，在下面的配置中更常用LAN0-LAN2这样的表示方法。3 产品部署格尔国信签名验证服务器采用并联部署。

14、如图：图表 2 并联部署示意图图表 3 双机热备部署4 产品安装本章描述了安装格尔国信签名验证服务器需要进行的工作和步骤。关于硬件的使用保养见附录。4.1 产品检查在安装格尔国信签名验证服务器之前应对照产品清单确保所有部件都已存在，并检查所有部件是否完好。如果有任何部件缺少或者损坏，请不要执行安装，应立即与销售商进行联系。4.2 环境准备4.3 连线格尔国信签名验证服务器工作时需要以下连接线接入设备：l 1或者2根电源线。l 1根RJ-45网线连接外网口与外部网络。l 1根RJ-45网线连接管理口与配置客户端。（配置管理系统时需要）l 1根RJ-45网线连接两台设备的热备口。（双机热备时需要）

15、4.4 开机确保连接线连接无误后，打开设备后面板的电源开关系统加电，系统启动约1分钟。4.5 关机使用配置界面的“关机”项或关闭设备电源。5 Quick Start5.1 登录 根据服务器eth2网卡配置的IP地址（默认为192.168.190.8）登陆管理页面：http:/198.168.190.8输入初始密码123456785.2 可信任站点设置 请将该站点设为可信任站点（http:/198.168.190.8；防止上传证书时浏览的路径发生改变）步骤如下：1. 点击IE浏览器中“工具”2. 选择“Internet选项”3. tab页中“安全”菜单4. 在选择要查看的区域或更改安全设置下方选

16、择“受信任的站点”5. 点击右侧“站点”（在将该网站添加到区域的下方对话框中出现http:/198.168.190.8）6. 点击“添加”7. 点击“关闭”。如图：5.3 证书配置根据服务器的用途进行配置，SVS服务器可用于： RSA签名与验签 SM2 签名与验签 人行清算二代支付系统签名与验签请用户提前准备好需要使用的证书及证书链5.3.1 RSA签名与验签RSA支持RSA签名与验签功能，用户可以根据需要配置RSA签名证书或RSA验签时使用的证书信任链，或者两者同时配置。5.3.1.1 RSA 签名证书RSA签名证书是内置在SVS服务器中，其私钥由SVS服务器产生，并受到服务器保护。为了获得

17、与私钥匹配的数字证书，用户需要完成站点证书的申请过程，具体步骤如下： 1. 生成站点证书请求：点击证书管理生成证书请求，如图：站点名称（必选项）国家代码（必选项）2. 保存生成的请求文件到CA中心签发站点证书3. 将CA签发的站点证书上传：点击证书管理，将CA签发的证书上传如图：4. 站点证书截止时间一项，用来标记证书过期(红色背景)、证书即将过期(距离截止日期3个月时给出提示，黄色背景)5.3.1.2 RSA证书信任链与黑名单证书链就是所谓的信任证书链，服务器在对用户证书进行验证的时候重要的一条就是验证证书链。在验签的时候，对证书的验证。1. 证书链管理：上传该站点证书的根CA证书及子CA证

18、书，点击证书管理证书链管理，如图：2. 如需配置黑名单（请见本手册7.1.4配置黑名单下载）5.3.2 SM2签名与验签SVS支持SM2签名与验签功能，用户可以根据需要配置SM2签名证书或SM2验签时使用的证书信任链，或者两者同时配置。5.3.2.1 SM2签名证书SM2签名证书是内置在SVS服务器中，其私钥由SVS服务器产生，并受到服务器保护。为了获得与私钥匹配的数字证书，用户需要完成站点证书的申请过程，具体步骤如下（同RSA签名证书步骤基本相同）： 1. 申请SM2站点证书请求：点击证书管理生成证书请求，如图站点名称（必选项）国家代码（必选项）2. 保存生成的文件请求去CA中心签发站点证书

19、3. 将CA签发出来的SM2站点证书上传：点击证书管理站点证书管理，如图：4. 站点证书截止时间一项，用来标记证书过期(红色背景)、证书即将过期(距离截止日期3个月时给出提示，黄色背景)5.3.2.2 SM2证书信任链与黑名单1. SM2证书链管理：上传该SM2站点证书的CA根证书及CA子证书。点击证书管理证书链管理如图：2. 如需配置黑名单（请见本手册7.1.4配置黑名单下载）5.3.3 人行清算二代支付系统签名与验签二代支付中使用签名证书通过上传pfx文件的方式实现的，验签证书是通过上传证书文件实现的。5.3.3.1 签名证书管理签名解密证书管理：浏览上传选择签名使用的pfx文件，并输入私

20、钥文件口令，点击证书管理签名解密证书管理，如图：注：签名证书截止时间一项，用来标记证书过期(红色背景)、证书即将过期(距离截止日期3个月时给出提示，黄色背景)5.3.3.2 验签证书配置验签加密证书配置就是上传普通证书。l 验签加密证书管理：浏览选择验签证书上传，步骤如下：点击证书管理签名加密证书管理，如图：注： 1. 验签证书截止时间一项，用来标记证书过期(红色背景)、证书即将过期(距离截止日期3个月时给出提示，黄色背景)2 . 单击“验签证书行号”一项，可以将该验签证书已cer的格式导出到本地5.4 服务配置每个SVS服务都可以同时提供以下一个或多个功能 RSA签名与验签 SM2 签名与验

21、签 人行清算二代支付系统签名与验签其中，人行清算二代支付系统签名与验签无需在服务中配置即可使用。5.4.1 选择运行模式SVS支持单机模式与双机热备模式运行。这两种模式都使用绑定在第一块网卡上的虚拟IP 地址对外提供SVS签名和验签服务。5.4.1.1 选择运行模式（单机模式）5.4.2 服务基本配置l 添加服务：点击服务管理签名服务管理（添加验证服务） 基本参数配置服务名称（仅支持数字及英文字母）是否自启动（只能选择“是”或者“否”）服务端口（范围1024-65535，除5000）日志级别（错误、警告、信息、调试）点击保存，如图：5.4.3 RSA签名与验签配置SVS服务使用的签名与验签证书

22、是从已配置好的站点证书和证书链中进行选择（2.3.3版本可以不选择证书链）。l 进入服务的证书配置界面l 选择要使用的签名证书如图：l 签名摘要算法提供sha1、sha256、md5等摘要算法l 验签摘要算法提供自适应（客户端使用什么样的摘要算法、该服务就使用相对应的摘要算法进行验签）。l 如有需要验签请将需要的根证书勾选及后方对话框选择黑名单名称（如不需要验签仅需要签名请忽略此步）5.4.4 SM2签名与验签配置SVS服务使用的SM2签名与验签证书是从配置好的SM2站点证书和证书链中进行选择（2.3.3版本可以不选择证书链）。l 配置服务基本配置（请参考5.3.1服务基本配置）l 选择要使用

23、的SM2签名证书（如不需要签名仅需要验签请忽略此步），如图：l 如有需要验签请将需要的根证书勾选及后方对话框选择黑名单名称（如不需要验签仅需要签名请忽略此步）5.4.5 证书库证书配置l 签名摘要算法提供sha1、sha256、md5等摘要算法（注：仅对RSA证书有效）。l SM2 P7签名格式：1、GM:国密格式；2、OPL：ASN.1格式l 如有需要验签请将需要的根证书勾选及后方对话框选择黑名单名称（如不需要验签仅需要签名请忽略此步）5.4.6 启动和停止服务更改服务配置后，必须重启服务才能生效。l 停止服务：点击验证服务管理找到对应的服务后点击停止服务l 启动服务：点击验证服务管理找到对

24、应的服务后点击启动服务至此，已能够通过KOALII SVS Client API访问签名验签服务，或通过我们提供的其他客户端测试工具进行访问。6 登录服务器本章描述了如何使管理客户端通过管理口登录格尔国信签名验证服务器。6.1 管理客户端准备整个配置过程都是基于Web方式的，通过管理客户端的浏览器连接系统进行各种管理和配置。对于需要进行远程配置的客户端需要如下条件：l Windows操作系统，建议IE6.0以上版本，显示分辨率为1024*768。l 将管理客户端的机器与服务器的管理口通过网络连接。网口直接相连时需要使用交叉网线。l 配置管理客户端为192.168.190.X网段，子网掩码为25

25、5.255.255.0，IP地址配置为除192.168.75.8以外的其它地址（管理接口的出厂配置为192.168.75.8）。6.2 登录系统对服务器的所有配置和管理，管理员都可以通过web配置界面方式进行。为了保证系统的安全，系统只能通过管理口进行配置。系统登录的步骤：l 准备好管理客户端机器，配置好IP地址。l 将客户端机器通过网络与服务器的管理口连接，确保网络连通。可在客户端机器上使用“ping 192.168.190.8”验证是否连通。l 在客户端机器上打开IE浏览器，在地址栏中键入http:/192.168.190.8/，出现如下所示登录页面：图表 4登录服务器提示：n 界面右上角

26、显示的“版本2.3.7”表示当前的软件版本号。输入默认口令：12345678, 单击“确定”按钮，进入服务器管理主页面，表明登录系统成功，可以进行以后的各项操作了。提示：n 为了保证登录顺利无误，尽可能使用交叉网线直接将客户端机器与服务器的管理口（eth2）连接。n 为了保证安全，管理员第一次登录系统后应立即更改默认密码。6.3 更改密码服务器的管理员只有一个，因此为了保证安全，管理员应该定期改变密码。更改密码的前提是管理员已经成功登录系统，更改后的密码将从下次登录起生效。更改密码步骤：l 管理员点击管理面右上角“修改密码”按钮，出现以下对话框：图表 5 修改管理密码对话框l 在修改密码对话框

27、中输入旧密码，输入新密码以及确认新密码（必须与新密码相同），密码最长为8位，不能为空密码，点击“确定”修改密码。提示：n 请妥善保管好管理员密码，管理员密码丢失将无法登录管理系统，用户自行无法恢复，必须请厂家技术人员现场维护恢复。证书管理证书是服务器进行身份验证的核心，系统中一般存在三类证书：l CA证书：用于标识证书颁发机构的身份，如上海CA，CFCA等。多级CA证书形成的链状关系又称为证书链，正确配置证书链，才能有效的验证身份。l 站点证书：用于服务器向用户标识自己的身份。l 用户证书：标识用户的身份，一般情况下，用户证书保存在用户持有的USB设备或IC卡中。本章主要描述如何配置证书相关的

28、信息，使得服务器在网络认证中合法有效的应用。点击WEB界面一级菜单中的“证书管理”即可进入对应界面。7 证书配置管理证书配置管理中包含了对所有服务器涉及到的证书进行管理，包括站点证书和证书链管理。7.1.1 站点证书配置管理站点证书是CA签发给签名验证服务的，签名验证服务使用站点证书进行签名表明自己的数字身份。为了保障站点证书的唯一性，站点证书生成的流程是：l 服务器生成站点证书请求。私钥本地产生和保存，将公钥及站点描述信息作为证书请求。l 将站点证书请求发送到CA中心签发证书。l 将签发的站点证书导入服务器与私钥匹配成功后完成站点证书生成。提示：n 只有正确的配置完成站点证书后，配置签名验证

29、服务时才会有可用的站点证书。7.1.1.1 生成证书请求站点证书中需要包含一些对站点的描述信息，此信息需要填写在生成的证书请求中。在证书服务管理页面中，点击“生成证书请求”按钮，进入证书请求页面：图表 6 生成证书请求以上各个输入框的说明如下：1. 站点名称：必填项，该项为服务器所代表的站点域名（或IP地址），形如，或者192.168.0.1，需要注意的是，域名必须用小写字母输入。这一项对应到站点证书的CN项。2. 国家代码：必填项，目前只支持中国。这一项对应到站点证书的C项。3. 省 份：可选项，这一项对应到站点证书的ST项。如果需要输入英文，请选择下拉列表的最后一项“其他”，然后在后面的输

30、入框中输入。4. 城 市：可选项，这一项对应到站点证书的L项，如果需要输入英文或者下拉列表中不存在的城市名，请选择下拉列表的最后一项“其他”，然后在后面的输入框中输入。5. 公司名称：可选项，这一项对应到站点证书的O项。6. 部 门：可选项，这一项对应到站点证书的OU项。7. Email ：可选项，管理员的邮箱地址，这一项对应到站点证书的Email项。8. 密钥长度：此版本支持1024和2048长度填写好信息后，点击“生成站点证书请求”按钮，系统将根据所填写的信息生成站点请求：图表 7 导出站点证书请求页面文本框中的信息就是站点证书请求信息，格式为PKCS10标准格式。证书请求的保存方式有两种

31、一是可以使用拷贝、粘贴方式将信息保存到另外的文件中；二是可以直接在页面上点击“保存”，将信息作为文件保存在本地，文件默认的是“站点名称”.p10。站点证书请求生成后就可以到CA中心申请签发站点证书了。提示：n 站点名称使用域名还是IP地址取决于用户通过什么方式来访问（即用户在浏览器地址栏中键入什么来访问应用），如用户通过域名来获取服务，则站点名称需要填写域名，反之亦然。否则客户端验证服务端站点证书时会提示站点证书与所访问站点不匹配。n 系统不提供下载已经生成站点证书请求的功能，因此生成站点请求后务必保存站点证书请求。n 在省、市选项中选择“其他”，可以输入下拉列表中不存在的信息。7.1.1.

32、2 申请站点证书申请站点证书的过程是将生成的站点证书请求发送到CA中心，CA中心根据请求签发站点证书，然后将证书文件返回给用户，用户得到证书文件后就可以进行最后一步操作：导入站点证书了。7.1.1.3 查看站点证书在认证服务管理页面中，点击“站点证书管理”按钮，进入配置页面：图表 8 站点证书配置站点管理页面中显示已经存在的站点证书，显示名称为生成请求时填写的站点名称。提示：n 站点证书显示的名称是证书内容的CN项值。n 站点证书截止时间一项，用来标记证书过期(红色背景)、证书即将过期(距离截止日期3个月时给出提示，黄色背景)7.1.1.4 导入站点证书导入站点证书管理就是将CA中心签发的证书

33、导入服务器中与相应的私钥匹配，形成完整的站点证书。导入正确站点证书后，在配置服务时才有可选择的站点证书进行配置。在站点证书配置页面中点击“浏览”，选择需要导入的站点证书文件，点击“上传”按钮，系统将上传的证书文件与系统内的私钥进行匹配，如果匹配成功将在站点证书列表中显示此站点证书，若无匹配的私钥，则显示如下信息：图表 9 站点证书私钥不匹配提示：n 上传的站点证书文件必须为Base64编码或p12文件格式。n 上传证书的大小不能超过5k，不能小于512字节。7.1.1.5 删除站点证书在站点证书配置页面中选中需要删除的站点证书，点击“删除”按钮，所选中的站点证书将被删除。提示：n 删除站点证书

34、会导致使用此站点证书的签名验证服务无法启动。n 如果现有的服务配置中引用了此站点证书，则会弹出下面的对话框提示用户：图表 10 删除站点证书n 如果签名验证服务正在使用这张证书，则点击确定也无法删除，需要先到签名验证服务-证书配置中取消对该证书的引用。图表 11 无法删除正在使用的站点证书7.1.1.6 证书链管理这里提到的证书链就是所谓的信任证书链，服务器在对用户证书进行验证的时候重要的一条就是验证证书链，即用户证书是否是服务器信任的CA中心签发，因此，服务器为了验证用户，必须首先将信任CA中心的证书配置到信任列表中。之所以称之为证书链是因为CA证书是分层次的，通常由根证书、一级CA证书、二

35、级CA证书等组成一条信任链，如图：图表 12 证书链结构签名验证服务必须配置了根证书、CA证书作为信任链才能验证此链下面的用户证书。在认证服务管理界面中点击“证书链管理”，出现证书链配置页面：图表 13 证书链管理页面中显示已经存在的受信任的证书链文件（系统初始默认设置中有一个信任证书文件，为系统缺省服务所用），显示名称是证书的CN项内容或者DN项内容（CN项不存在时）。提示：n 证书链显示的名称是CA证书内容的CN项值或者CA证书内容的DN项值（若CN项不存在）。n 在证书链配置中可以导入信任的用户证书，用于直接验证签名而无需验证证书链。7.1.1.7 导入证书链导入证书链文件后，在配置签名

36、验证服务时才有可以信任的证书链进行选择。在证书链配置页面中点击“浏览”，选择需要导入的证书链文件，点击“上传”按钮，系统将显示上传的证书，并对证书链进行上级匹配，若已经存在上级证书则显示证书名，若没有相应的上级证书，则系统将进行提示，显示如下信息：图表 14 上传证书链提示：n 在证书链配置中可以导入信任的用户证书，用于直接验证签名而无需验证证书链。n 上传的证书文件必须为Base64编码格式，如果证书文件是DER格式的，则可以将其导入IE，然后选择Base64格式导出。n 上传证书的大小不能超过5k，不能小于512字节。n 请勿将多个证书合并到一个文件中上传。n 系统仅检测证书的上级证书是否

37、存在，因此根CA始终显示正常，如果下级CA证书没有上传也无法形成完整的证书链。7.1.1.8 删除证书链在证书链配置页面中选中需要删除的证书链，点击“删除”按钮，所选中的证书链将被删除。提示：n 删除证书链会导致使用此证书链的签名验证服务无法验证此证书链中的用户证书。n 如果现有的服务配置中引用了此证书链，则会弹出下面的对话框提示用户：图表 15 删除证书链n 如果签名验证服务正在使用这张证书，则点击确定也无法删除，需要先到签名验证服务-证书配置中取消对该证书的引用。图表 16 无法删除正在使用的站点证书7.1.2 SM2证书管理证书配置管理中包含了对所有服务器涉及到的证书进行管理，包括SM2

38、证书和SM2证书链管理7.1.2.1 生成SM2证书请求站点证书中需要包含一些对站点的描述信息，此信息需要填写在生成的证书请求中。在证书服务管理页面中，点击“生成SM2证书请求”按钮，进入证书请求页面：图表 32 生成证书请求以上各个输入框的说明如下：9. 站点名称：必填项，该项为服务器所代表的站点域名（或IP地址），形如，或者192.168.0.1，需要注意的是，域名必须用小写字母输入。这一项对应到站点证书的CN项。10. 国家代码：必填项，目前只支持中国。这一项对应到站点证书的C项。11. 省 份：可选项，这一项对应到站点证书的ST项。如果需要输入英文，请选择下拉列表的最后一项“其他”，然

39、后在后面的输入框中输入。12. 城 市：可选项，这一项对应到站点证书的L项，如果需要输入英文或者下拉列表中不存在的城市名，请选择下拉列表的最后一项“其他”，然后在后面的输入框中输入。13. 公司名称：可选项，这一项对应到站点证书的O项。14. 部 门：可选项，这一项对应到站点证书的OU项。15. Email ：可选项，管理员的邮箱地址，这一项对应到站点证书的Email项。填写好信息后，点击“生成站点证书请求”按钮，系统将根据所填写的信息生成站点请求：图表 33 导出站点证书请求页面文本框中的信息就是站点证书请求信息，格式为PKCS10标准格式。证书请求的保存方式有两种：一是可以使用拷贝、粘贴方

40、式将信息保存到另外的文件中；二是可以直接在页面上点击“保存”，将信息作为文件保存在本地，文件默认的是“站点名称”.p10。站点证书请求生成后就可以到CA中心申请签发站点证书了。提示：n 站点名称使用域名还是IP地址取决于用户通过什么方式来访问（即用户在浏览器地址栏中键入什么来访问应用），如用户通过域名来获取服务，则站点名称需要填写域名，反之亦然。否则客户端验证服务端站点证书时会提示站点证书与所访问站点不匹配。n 系统不提供下载已经生成站点证书请求的功能，因此生成站点请求后务必保存站点证书请求。n 在省、市选项中选择“其他”，可以输入下拉列表中不存在的信息。7.1.2.2 申请SM2证书申请SM

41、2证书的过程是将生成的站点证书请求发送到CA中心，CA中心根据请求签发站点证书，然后将证书文件返回给用户，用户得到证书文件后就可以进行最后一步操作：导入SM2证书了。7.1.2.3 查看SM2证书在认证服务管理页面中，点击“站点证书管理”按钮，进入管理页面：图表 34 站点证书管理站点配置页面中显示已经存在的SM2证书，显示名称为生成请求时填写的站点名称。站点证书截止时间一项，用来标记证书过期(红色背景)、证书即将过期(距离截止日期3个月时给出提示，黄色背景)7.1.2.4 导入SM2证书导入SM2证书就是将CA中心签发的证书导入服务器中与相应的私钥匹配，形成完整的SM2证书。导入正确SM2证

42、书后，在配置服务时才有可选择的SM2证书进行配置。在SM2证书配置页面中点击“浏览”，选择需要导入的SM证书文件，点击“上传”按钮，系统将上传的证书文件与系统内的私钥进行匹配，如果匹配成功将在站点证书列表中显示此站点证书，若无匹配的私钥，则显示如下信息：图表 35 SM2证书私钥不匹配提示：n 上传的站点证书文件必须为Base64编码或p12文件格式。n 上传证书的大小不能超过5k，不能小于512字节。7.1.2.5 删除SM2证书在SM2证书配置页面中选中需要删除的站点证书，点击“删除”按钮，所选中的SM2证书将被删除。提示：n 删除SM2证书会导致使用此SM2证书的签名验证服务无法启动。n

43、 如果现有的服务配置中引用了此SM2证书，则会弹出下面的对话框提示用户：图表 36 删除站点证书n 如果签名验证服务正在使用这张证书，则点击确定也无法删除，需要先到签名验证服务-证书配置中取消对该证书的引用。图表 37 无法删除正在使用的站点证书7.1.2.6 导入SM2证书链导入证书链文件后，在配置签名验证服务时才有可以信任的证书链进行选择。在证书链管理页面中点击“浏览”，选择需要导入的证书链文件，点击“上传”按钮，系统将显示上传的证书，并对证书链进行上级匹配，若已经存在上级证书则显示证书名，若没有相应的上级证书，则系统将进行提示，显示如下信息：图表 38 上传证书链提示：n 在证书链配置中

44、可以导入信任的用户证书，用于直接验证签名而无需验证证书链。n 上传的证书文件必须为Base64编码格式，如果证书文件是DER格式的，则可以将其导入IE，然后选择Base64格式导出。n 上传证书的大小不能超过5k，不能小于512字节。n 请勿将多个证书合并到一个文件中上传。n 系统仅检测证书的上级证书是否存在，因此根CA始终显示正常，如果下级CA证书没有上传也无法形成完整的证书链。7.1.2.7 删除SM2证书链在证书链配置页面中选中需要删除的证书链，点击“删除”按钮，所选中的证书链将被删除。提示：n 删除证书链会导致使用此证书链的签名验证服务无法验证此证书链中的用户证书。n 如果现有的服务配置中引用了此证书链，则会弹出下面的对话框提示用户：图表 39 删除证书链n 如果签名验证服务正在使用这张证书，则点击确定也无法删除，需要先到签名验证服务-证书配置中取消对该证书的引用。图表 40 无法删除正在使用的站点证书7.1.3 证书库管理证书库配置管理中包含了对所有服务器涉及到的CNAPS证书进行管理，包括签名证书配置和验签证书配置7.1.3.1 签名解密证书管理导