时间戳服务配置流程
时间戳服务配置步骤如下:
根证书管理:在时间戳服务-根证书管理页面中导入根证书;可以对导入的证书进行查看,下载证书,删除操作
应用管理:在时间戳服务-应用管理页面中创建应用,可以通过访问密钥管理中对应用访问密钥进行停用和启用操作;在应用授权中可以对时间戳证书(这里的证书对应应用管理中的证书)进行授权和取消授权;进入时间戳密码服务实例管理页面,依次创建对称密钥、配置用户证书及根证书、创建应用并授权证书或密钥;
证书管理:时间戳服务-证书管理中提供生成证书请求,导入PFX密钥两种方法;可以对生成/导入的证书进行查看,更新证书,下载,停用操作
策略管理:时间戳服务-策略管理中包含:时间戳策略管理包括时间戳OID列表,NTP时间源配置管理;在新增完时间戳OID后可以对其进行停用和设置为默认策略操作,NTP时间源配置可以对NTP相关配置进行维护
导入根证书
根证书管理的主要目的用于时间戳密码服务进行验签的时候使用根证书对用户证书的有效性进行验证。提供导入cer证书、下载证书、删除、查询详情等功能。
根证书列表
1.通过左侧菜单栏进入根证书管理列表页面,默认进入根证书管理页面。
2.单击列表上方的“导入Cer证书”进入导入Cer证书页面,按照页面要求导入证书文件,并点击“保存”可完成根证书的导入。根证书导入完成后可以对证书进行:查看,下载,删除操作。
时间戳证书管理
主要用于相关业务操作,提供时间戳证书的配置功能。提供生成证书请求,导入PFX密钥两种方式。
CSR生成证书导入
具体操作步骤如下:
1.单击列表上方的“生成证书请求”按钮,进入生成证书请求页面,在该页面生成证书请求并下载到用户本地;
2.上传CSR证书请求到证书签发机构,完成证书签发并下载到本地;
说明
签发证书的增强型用法中要包含时间戳用法。
3.通过“更新证书”导入证书;
4.完成证书文件导入后,生成可用的时间戳证书。
PFX方式导入证书
具体操作步骤如下:
1.在CA中心签发可用的时间戳证书(单密钥、双密钥均可),选择PKCS12/PFX格式,并下载到用户本地;
说明
签发证书的增强型用法中要包含时间戳用法。
2.在用户证书管理页面选择“导入PFX密钥”,导入PFX文件及密码;
3.完成证书文件导入后,生成可用的时间戳证书。
配置应用
业务应用系统要使用时间戳密码服务前,必须在时间戳密码服务注册,即在时间戳密码服务的应用管理里添加相关的应用信息,提供新增、编辑、删除、启用、停用、访问密钥管理、应用授权等功能。
创建应用
通过左侧菜单栏进入应用管理页面,创建应用,并选择认证方式、是否密钥授权,填入信息后点击“确定”按钮完成应用的新增;
应用认证方式支持两种模式,无认证模式和访问密钥认证模式。
选择“无认证模式”:服务端不会对应用进行校验;
选择“访问密钥认证模式”服务端会校验应用访问密钥「ak」和「sk」的正确性。应用创建之后,需要在应用列表最后的操作列点击“访问密钥管理”,进入访问密钥管理列表页,生成访问密钥,并下载进行妥善保存。
需要密钥授权:
选择“是”,该应用只能使用已授权的时间戳证书,用户需要通过列表右侧操作栏中的“应用授权”为用户授权可用的时间戳证书;
选择“否”,该应用可以任意使用所有的时间戳证书,无论时间戳证书是否在应用授权中进行授权,都可以被业务接口调用。
生成并获取应用访问密钥
通过应用列表的操作栏中“访问密钥管理”进入该应用的访问密钥管理列表页,点击“生成密钥”,生成访问密钥并下载至用户本地;
应用授权
如创建应用时“是否需要密钥授权”选择的“是”,则在使用加密机内的密钥或证书时需要对其进行授权。
在“应用管理”列表的操作栏中,单击“应用授权”,选择对应的密钥或证书并单击“授权”按钮对其进行授权。
配置时间戳策略
通过左侧菜单栏进入时间戳策略管理页面,时间戳策略管理包括RFC时间戳策略配置和时间戳OID列表管理功能。
时间戳OID配置
1.选择时间戳OID列表TAB页,单击列表上方的“新增时间戳策略”按钮,进入“新增时间戳策略OID”页面。
2.按照页面要求输入策略OID并选择时间戳证书,点击“确定”可完成时间戳策略OID的创建。
NTP时间源配置
通过左侧菜单栏进入时间戳策略管理页面,进去NTP时间源配置,需要配置主NTP时间服务器地址、主NTP时间端口、协议版本、同步时间间隔等,并单击“保存”按钮,保存配置内容。
主NTP时间服务器地址、主NTP时间端口、协议版本、同步时间间隔为必填项,其他为非必填项。
