CA 证书使用手册
1.1 系统管理
系统管理模块下分为:角色管理、用户管理、业务管理和角色权限管理。
1.1.1 角色管理
1.1.1.1 功能说明
在Easyca1.0系统中,可以执行的单个操作就是一个权限,一定的权限集合就是管理角色。在Easyca1.0中,系统包含的管理角色有:证书管理角色、模板管理角色和权限管理角色。一个管理员可以被授予一个或多个管理角色,以分权的形式对整个系统进行有效管理。
角色管理可以对角色列表中的角色进行添加、编辑和删除。添加角色是添加新的角色,以便给新的用户添加权限。编辑角色是编辑已有的角色的名称、编辑和角色描述。删除角色将删除你所选择的角色。图3-1:
图
3-1
1.1.2 用户管理
1.1.2.1 功能说明
用户管理模块可以添加新的用户和删除现有的用户,并且在添加新的用户的时候同时分配用户权限,如图3-2:
图3-2
在Easyca1.0系统中,每个用户都必须对应一张系统预置证书角色模板下的有效证书,所以在增加新用户时,必须先得到一张“证书模板”下的,状态为有效的用户证书,然后才能对这张用户证书进行“授权用户权限”操作。
1.1.3 业务管理
1.1.3.1 功能说明
业务管理是详细描述证书管理中操作对象(证书)的权限范围,此权限范围是所有证书的所属的内部操作和管理平台菜单组成。因为证书业务权限信息是规定的证书管理的权限范围,所以只有管理员具有证书管理角色,才能对证书业务权限信息进行授权。图3-3:
图3-3
1.1.4 角色权限管理
1.1.4.1 功能说明
给各个角色赋予各种权限,每个角色都可以拥有不同的权限。sasyca1.0的权限分为两块:
1、 内部操作:包含所有业务的权限。
2、 管理平台菜单:包含所有菜单权限。
在选择权限里面选择了“管理平台菜单”下的某个菜单权限,只能打开左侧相应的菜单,却不能有相应的业务操作。只有在内部操作里面选择好相对应的业务权限。才是一个完整的权限。图
3-4
图3-4
1.2 证书管理
在easyca1.0系统中,只有拥有证书管理角色的管理员才能进行证书和密钥管理的操作。证书和密钥管理主要包括证书的申请,下载,申请并下载,更新并下载,冻结,解冻,更新,查询,证书实体查询的操作。
1.2.1 申请证书
1.2.1.1 功能说明
证书申请主要功能是依据各种不同的模板进行证书的申请操作,如果申请成功则返回下载证书需要的两码(参考号和授权码)。
1、选择证书模板:模板下拉列表框中显示登录的管理员拥有权限的可用的模板列表。用户
依据模板生成申请证书的部分信息(包括基本策略信息,密钥策略信息等)。
2、设置DN :选择一个证书模板后,设置主题项目后的下拉列表框中显示这个用户拥有的
此模板的baseDN ,它可以做为此证书的DN 信息或是其一部分。设置DN 时要注意:DN 中只支持C, 0, OU, T, CN, SN, L, ST, E, DC, UID项;DN 各项值中不能包含下列任意字符之一 / + \ ; ,“#(英文输入法下)。
3、有效期:选择一个证书模板后,生效时间默认为当前时间,
有效期限默认为所选模板的
默认有效期限。此项目设定了所申请证书的有效期生效和失效时间。如图3-5:
图3-5
4、申请证书操作完成后,用户得到两码,同时此证书状态被设为“未下载”。如图3-6
图3-6
1.2.2 下载证书
1.2.2.1 功能说明
下载证书功能是通过证书申请获得的两码(参考号,授权码),选择一个CSP 或是输入自定义P10申请书内容进行证书的下载和安装。
1、 两码(参考号,授权码),用户通过申请证书或是更新证书得到的两码,在此用来证书
下载。
2、 CSP :选择一个CSP 产生密钥信息。
3、 自定义P10申请:复制一份P10申请书内容到输入框中进行证书下载。
4、 “CSP ”和“自定义P10申请”只能选取一种方式。如果选取“CSP ”则生成的证书会
直接安装到本机的IE 浏览器(enroll 控件支持IE )中。如果选择 “自定义P10申请”的方式,则会生成一张p7b 的证书,将证书文件保存到本地,再进行安装。
5、 下载证书操作完成后,证书状态被设为“使用中”。
1.2.2.2 操作步骤
1、点击左边菜单栏中的【下载证书】,返回下载证书页面,图3-7:
图3-7
2、输入通过申请证书或是更新证书获得的两码(参考号,授权码),点【下一步】进入下一页面,图3-8:
图3-8
3、如果选择“CSP ”方式下载证书,则点击“CSP ”单选钮,选择一个需要的CSP 。如下图3-9:
图3-9
在图3-9中点击【下载证书】按钮,进行证书的下载和安装。
1.2.3 申请并下载证书
1.2.3.1 功能说明
申请并下载证书是为了方便用户,将申请证书和下载证书两项操作一起完成的功能。用户根据模板输入必要的申请信息,并且选择CSP 或自定义P10申请书的方式来下载安装证书。
用户根据模板填入必要的信息(详见4.2.1申请证书)由系统产生两码,根据用户选择的证书下载方式(CSP , 自定义P10申请)进行证书的下载和安装(其余功能详见1.2.2下载证书)。
1.2.4 查询证书
1.2.4.1 功能说明
用户通过输入一些查询条件可以查询出符合条件的证书列表,点击证书列表中证书序列号的超链接,可以看到某一张证书的详细信息。
1、用户可以通过证书主题,管理员证书主题,模板,证书序列号和证书状态进行查询。
2、证书序列号:表示证书的序列号,可以唯一标识一张证书的信息。
3、生效时间和失效时间:表示证书的有效期的时间段。
4、模板名称:下拉列表中显示当前执行操作的管理员拥有权限的的模板名称。可以查询此
管理员拥有权限的全部模板的证书。
5、证书状态:显示证书的所有状态,包括“使用中”,“未下载”,“冻结”,“注销”,四种
状态,而且可以查询全部状态的证书。
6、证书信息的检索支持翻页的查询。
1.2.4.2 操作步骤
1、点击左边菜单栏中的【查询证书】,返回检索条件设置页面,如图3-10:
图3-10
2、输入需要的查询条件,默认证书主题为模糊查询。
3、选中精确查询的选择框,证书主题条件变为精确查询。
4、查询条件输入完成后,点击【查找】按钮,显示符合条件的证书列表。图3-11:
图3-11
5、点击列表中的链接,转到查询证书的详细页面,如下图3-12:
图3-12
6、点击【取消】按钮,返回到查询页面,用户输入的条件仍然保留,便于用户再次查询。
1.2.5 冻结证书
1.2.5.1 功能说明
冻结证书是将使用中的证书冻结一段时间,可以通过解冻操作将其恢复。此操作将证书的状态设为冻结状态,使得证书在一段时间内不能使用,直到证书被解冻。
1、首先通过查询证书的操作检索到需要冻结的证书,此时证书状态为“使用中”,表示冻
结证书操作只能对使用中的证书进行操作,双击打开需要注销的证书。如下图3-13:
图3-13
2、查询操作请参看4.2.4查询证书的操作。
3、通过检索出的证书列表的链接,转到一张证书的冻结页面。用户可以进行冻结操作。
1.2.6 解冻证书
1.2.6.1 功能说明
解冻证书操作是相对于冻结证书操作的,此操作将冻结的证书解冻,即将证书的状态设为使用中,使得证书可以重新使用。
1、先通过查询证书的操作检索到需要解冻的证书,此时证书状态为“冻结”,表示解冻证
书操作只能对冻结中的证书进行操作。
2、查询操作请参看3.2.4查询证书的操作。
3、通过检索出的证书列表的链接,转到一张证书的解冻页面,用户可以进行解冻操作。
1.2.6.2 操作步骤
1、首先检索出符合条件的证书列表,查询操作请参照4.2.4查询证书操作步骤。如图3-14:
图3-14
2、点击证书列表链接,转到解冻证书页面。
3、此面显示了需要被解冻证书的证书序列号和证书主题,点击【解冻】按钮,返回是否确
认解冻提示:如图3-15:
图3-15
4、点【确认】完成解冻证书的操作,提示解冻成功,如图3-16
;点【取消】取消解冻操
作,返回解冻证书页面。
图3-16
1.2.7 更新证书
1.2.7.1 功能说明
更新证书操作是对正在使用中的证书更改其生效时间、有效期以及扩展域信息。
1、 只能对证书状态为使用中且未处于更新过渡期的证书进行更新操作。
2、 除可以对证书的生效时间和有效期进行更新外,如果证书存在需要由用户输入的标准
扩展域信息或自定义扩展域信息,还可以对扩展域信息进行更新。
3、 证书完成更新操作后,获得新的两码。用户通过两码进行4.2.2下载证书的操作,可以
对更新后的证书进行下载并安装的操作。
4、 如果模板中没有设置更新过渡期,对该模板类型的证书进行更新后,原证书被立即注
销;如果模板中设置了更新过渡期,对该模板类型的证书进行更新后,原证书在过渡期内依旧为使用中状态。
1.2.7.2 操作步骤
1、 首先检索出符合条件的证书列表,查询操作请参照4.2.4查询证书操作步骤。如下图3-17:
图3-17
2、 点击证书列表链接,转到更新证书页面。如下图3-18:
图3-18
3、 更新证书页面显示了证书序列号和证书主题,生效时间默认为当前时间,有效期限为
此证书的有效期限以及需要用户设置的扩展域项和信息值。可以对生效时间、有效期限及扩展域信息进行合理修改。
4、 点击【更新】按钮,返回是否确认更新提示,如图3-19:
图3-19
5、 点击【确定】,提示更新成功如图3-20。
图3-20
6、 更新成功,用户可以用更新后的两码重新下载证书。
1.2.8 注销证书
1.2.8.1 功能说明
注销证书操作是对某些证书进行注销操作,被注销的证书禁止使用,并且不能被恢复。
1、 可以注销证书状态为“使用中”,“冻结”,“未下载”的证书。
2、 对处于更新过渡期的证书不能进行注销操作。
3、 注销证书需要选择注销此证书的原因(默认为“未指明原因”),可以填写注销证书的
描述信息。
4、 注销后证书的状态被设为“注销”,如果是未下载的证书被注销则证书被设为“未下载
注销”。
5、 注销后的证书不能被恢复。
1.2.9 查询证书实体
1.2.9.1 功能说明
用户通过输入查询条件可以查询出符合条件的证书列表,点击证书列表的链接,可以将所选中的证书实体保存到本地。
1、 用户可以通过证书主题,模板,证书序列号和证书状态进行查询。
2、 证书主题(证书DN )的查询可以分为精确查询和模糊查询,默认为模糊查询。
3、 模板名称:显示当前系统内存在的所有模板列表。
4、 证书序列号:表示证书的序列号,可以唯一标识一条证书信息。
5、 证书状态:显示可以下载证书实体的证书状态,包括“使用”,“注销”,“冻结”三种
状态,而且可以查询三种状态的所有证书。
6、 证书主题,证书序列号如果不填入信息,模板选择全部模板,证书状态选择所有可查
询状态,则检索出全部模板下三种状态的证书信息。
7、 证书实体查询列表支持翻页功能。图3-21:
图
3-21
1.3 证书模板
证书模板用于定义证书的类别,每一个证书模板定义这一类证书的共同特点。包括证书的有效期限制、密钥类型和密钥长度、是否需要发布及发布的方式以及证书中该包含的扩展域及其扩展域的值等信息。
初始化成功后,系统自动创建部分证书模板,包括:
本系统通信证书模板—用于签发本系统使用的安全通信证书(本模板为系统使用模板,
不能进行修改、删除、注销操作)
本系统管理员证书模板—用于签发本系统使用的管理员证书(本模板为系统使用模板,
不能进行修改、删除、注销操作)
通用证书模板—用于签发既包含签名用途又包含加密用途的证书
签名证书模板—用于签发做为签名用途的证书
加密证书模版—用于签发做为加密用途的证书
SSL 服务器证书模板—用于签发SSL 服务器证书
代码签名证书模板—用于签发做为代码签名用途的证书
OCSP 签名证书模板—用于签发OCSP 服务器的签名证书
时间戳签名证书模板—用于签发时间戳服务器签名证书
CA 证书模板—用于签发子CA 签名证书或其它CA 证书
交叉证书模板-用于签发CA 的交叉认证证书
RA 业务员证书模板-用于为RAServer 签发业务管理员证书
对于这些系统模板,如果要颁发的证书需要发布,可以将模板的发布策略改为发布;
预置的扩展域项建议不要删除,但可以添加。其中智能卡登录-域用户证书模板和智能卡登录-域控制器模板是为了Easyca1.0支持Windows 智能卡登录(Smart Card Logon)而预置的,在使用前需要注意:预置的密钥用法、增强型密钥用法扩展域中的项不能删除,只能添加;预置的(用于windows 智能卡登录) 扩展域使用默认值。另外,需要修改主题备用名称(用于Windows 智能卡登录)扩展域:智能卡登录-域用户证书模板需要在智能卡用户域名这项中填写智能卡用户所在域的域名;智能卡登录-域控制器模板需要在域控制器域名这项中填写域控制器所在域的域名,在域控制器GUID 这项中填写域控制器的GUID (域控制器GUID 的获取方法,不在该文档的说明范围,请查阅Windows 相关帮助文档)。
自定义扩展域是用户自己定义的证书扩展域,即当前系统不支持的扩展域,用户可以通过自定义扩展功能来动态的增加对这些扩展域的支持。系统会维护所有自定义扩展域的列表,创建证书模板的时候可以指定证书中包含这些自定义的扩展。
这部分的功能包括证书模板管理和自定义扩展域的管理两部分,只有具有模板管理角色 的管理员才能进行这两部分管理,具体的功能包括:
1、 浏览模板
列出当前系统中定义的所有证书模板,并可以查看模板的详细信息。
2、 添加模板
为系统增加一个证书模板的定义。
3、 修改模板
修改系统中已经存在的一个证书模板。
4、 删除模板
删除一个已经定义好的但是还没有被使用的证书模板。
5、 注销模板
注销已经被使用过的一个证书模板,以后将不再使用该模板。
6、 浏览自定义扩展
列出当前系统中定义的所有自定义扩展域,并可以查看详细信息。
7、 添加自定义扩展
为系统增加一个自定义扩展域的定义。
8、 修改自定义扩展
修改已经存在的一个自定义扩展域。
9、 删除自定义扩展
删除一个已经定义好的但是还没有被某个证书模板使用的自定义扩展域。
10、注销自定义扩展
注销已经被使用过的一个自定义扩展域,以后创建证书模板的时候将不再使用该扩展。
1.3.1 浏览模板
1.3.1.1 功能说明
浏览证书模板功能可以列出当前系统定义的所有证书模板,还可以查看选中的证书模板的详细信息。
在证书模板列表中,按序号显示证书模板,包含模板的名称、模板的状态和模板的描述信息。模板的名称用来在系统中唯一标识一个证书模板,并且可以简要的说明证书模板的用途。模板的状态表示证书模板在系统中所处的状态,包括未使用、使用中和已注销三个状态。其中未使用状态表示模板已经定义好,但还没用来进行证书申请的操作。使用中状态表示已经用该证书模板进行了证书申请的操作。已注销表示证书模板已经作废,以后不能用来进行证书申请,但是考虑到以前已经用它申请了证书,所以系统中保留这样一条记录,通过已注销来标识以后不再使用。证书模板描述信息是对证书模板用途的较为详细的描述。
点击模板列表中的某一个模板名称可以查看该模板的详细信息。详细信息中包括: 基本信息
基本策略
扩展域信息
基本信息中包括模板名称、模板状态、模板描述和模板的属性。模板属性表示该证书模板是CA 证书模板还是用户证书模板。
基本策略中包含有效期策略、密钥策略、发布策略、密钥容器策略、更新时替换原有证书和更新过渡期。有效期策略限制申请证书的最大有效期和最晚的失效时间,同时提供证书的默认有效期;密钥策略指定这类证书使用的密钥算法类型、密钥长度和密钥的产生位置(密钥管理中心或者客户端本地) ;发布策略指定这类证书是否进行发布,如果发布的话选择发布的方式。系统支持两种发布方式:LDAP 和文件;密钥容器策略指定证书的密钥容器类型,即签名和加密两种类型;更新时替换原有证书复选决定更新证书时是否替换原有证书;如果配置文件中配置了应用证书更新过渡期(见CA 安装手册配置文件说明11.2.7.17),选择更新证书时不替换原有证书时,可以设置更新过渡期,更新过渡期内新旧证书状态都为使用中。
扩展域信息中指定这类证书中应该包含的扩展域及扩展域值,其中包括标准扩展域和自定义扩展域两部分。系统目前支持下列标准扩展域:
颁发机构密钥标识符
主题密钥标识符
密钥用法
增强型密钥用法
基本限制
CRL 发布点
签发机构信息访问
Netscape 证书类型
证书策略
策略映射
策略限制
主题备用名称
身份标识码
个人社会保险号
企业组织机构代码
企业工商注册号
企业税号
证书模板(用于windows 智能卡登录)
如果还需要在证书中支持其他种类的扩展域,可以通过添加自定义扩展域的功能来实
现。
1.3.1.2 操作步骤
1、 点击左边的模板管理展开功能项,点击【浏览模板】,显示所有模板列表,如图3-22:
图3-22
序号:标识该证书模板在当页显示的位置。
名称:标识该证书模板名字。
状态:标识该证书模板在本系统中的状态,包括未使用、使用中、已注销。
描述:标识该证书模板简单的描述。
2、 双击打开后可以显示模板的详细信息,如选择通用证书模板进行查看。浏览证书模板
的时候,不能修改模板信息。如图3-23:
图3-23
3、 标准扩展域信息和自定义扩展域信息可以点击标题进行收缩和展开查看。
1.3.2 添加模板
1.3.2.1 功能说明
添加证书模板功能用于向系统中增加一个新的证书模板。用户通过指定模板的基本信
息和策略信息,完成一个证书模板的定义,然后提交给系统。模板中的信息详见浏览模板功能说明中的介绍。
基本信息中,模板名称是必须填写的,必须为一个有效的证书模板名称。模板名称用
来在系统中唯一确定一个证书模板,名称中不能包含下列任意字符之一 / \ : * ? “ |(英文输入法下)。模板描述用来较为详细的描述模板的用途,填写这项的时候一定要注意与模板的用途保持一致。模板的属性表示该模板为CA 证书模板还是用户证书模板,默认为用户证书模板。
基本策略中,有效期策略用来限制申请证书的有效期,包含三项内容:默认有效期、
最大有效期和失效时间限制。默认有效期用来设定使用该模板申请证书时默认填写的证书
的有效期;最大有效期就是用这个证书模板申请的证书的有效期的最大值;失效时间限制用来限制证书的失效时间,用这个模板申请的证书的失效时间不能晚于这个限制。
扩展信息中定义证书中应该包含那些扩展域,包括标准扩展域和自定义扩展域。对于
每一个扩展域,如果选中的话,都必须指定是否是关键的属性。对于签发机构密钥标识符、主题密钥标识符、CRL 发布点、签发机构信息访问和证书策略这几个标准扩展域来说,只要选中是否支持该扩展域和指定关键与否的属性即可。而密钥用法、增强型密钥用法、Netscape 证书类型、基本限制、策略映射、策略限制、主题备用名称等,还需要指定扩展域的值或取值方式。
1.3.2.2 操作步骤
1、 左边菜单栏中点击【添加模板】,显示添加模板信息设置页面,图3-24:
图3-24
2、 合理设置证书模板基本信息和基本策略。
3、 配置扩展域信息:扩展域信息中列出了系统中支持的标准扩展域,可以通过扩展域前
面的复选框选择定义模板中是否包含这个扩展域,并设置关键与否。如图3-25:
图3-25
其中,密钥用法、增强型密钥用法、Netscape 证书类型、基本限制、策略映射、策略限制、主题备用名称等几个扩展域的值需要进行设置,如果选择这几个扩展域的话,必须进行扩展域值的配置。
配置基本限制,可以配置证书是否为CA 证书。如图3-26:
图3-26
4、策略映射、策略限制、主题备用名称、身份标识码、个人社会保险号、企业组织机构代
码、企业工商注册号、企业税号除设置关键与否外,还要设置取值方式。取值方式有两种: 证书申请时非必须指定即申请证书时可以不设定该扩展项的值;证书申请时必须指定即申 请证书时必须设定该扩展项的值。如图3-27:
图3-27-
7、完成所有的信息设置后,点击【添加模板】按钮提交新定义的模板,添加成功后,返回
模板列表,其中包含新定义的模板。
1.3.3 修改模板
1.3.3.1 功能说明
修改证书模板功能可以用来修改证书模板的内容,系统允许修改未使用的证书模板和使用中的证书模板,对于已经注销的模板,不允许进行修改。对于未使用状态的证书模板,除了模板名称和模板状态不能修改外,其他属性都允许修改;对于使用中的证书模板,只允许对发布策略、密钥容器策略、更新时是否替换原有证书进行修改。证书模板的具体修改过程跟证书模板的添加过程类似,可以参考证书模板的添加功能。
1.3.3.2 操作步骤
1、 点击左边菜单栏中的【修改模板】功能,显示所有未使用状态和使用中状态的证书模
板列表。
2、选择要修改的证书模板,点击显示模板的详细信息页面。其中各项信息配置和操作方
式跟添加证书基本相同,可以简单的看作添加一个新的模板的操作,只是多了一些已经配置好的默认值,按照需要修改这些默认值即可。可以参考4.3.2.2进行具体配置项的修改。
1.3.4 删除模板
1.3.4.1 功能说明:
删除证书模板,可以删除系统中状态是“未使用”证书模板。成功删除证书模板后,系统中将不存在该证书模板。
1.3.4.2 操作步骤
1、 点击左边菜单栏中的【删除模板】功能,显示所有未使用状态的证书模板列表,如图
3-28:
图3-28
2、 可以通过点击模板序号前的【删除】按钮直接删除模板,返回确认删除提示,如图3-29:
图3-29
点【确定】后删除模板成功,返回的模板列表中将不会列出刚才被删除的模板;点【取消】取消删除,返回的模板列表中依旧能看到被操作的模板。
3、 图3-3-4-2-1
中,点击模板名称超级链接,进入模板的详细内容页面,页面所有的信息
项全部为只读不能进行任何修改。点击页面下方的【删除】按钮,同样返回图3-3-4-2-2所示的删除提示。点【确定】后删除模板成功,返回的模板列表中将不会列出被删除的模板;点【取消】取消删除,返回的模板列表中依旧能看到被操作的模板。
CA 证书使用手册
1.1 系统管理
系统管理模块下分为:角色管理、用户管理、业务管理和角色权限管理。
1.1.1 角色管理
1.1.1.1 功能说明
在Easyca1.0系统中,可以执行的单个操作就是一个权限,一定的权限集合就是管理角色。在Easyca1.0中,系统包含的管理角色有:证书管理角色、模板管理角色和权限管理角色。一个管理员可以被授予一个或多个管理角色,以分权的形式对整个系统进行有效管理。
角色管理可以对角色列表中的角色进行添加、编辑和删除。添加角色是添加新的角色,以便给新的用户添加权限。编辑角色是编辑已有的角色的名称、编辑和角色描述。删除角色将删除你所选择的角色。图3-1:
图
3-1
1.1.2 用户管理
1.1.2.1 功能说明
用户管理模块可以添加新的用户和删除现有的用户,并且在添加新的用户的时候同时分配用户权限,如图3-2:
图3-2
在Easyca1.0系统中,每个用户都必须对应一张系统预置证书角色模板下的有效证书,所以在增加新用户时,必须先得到一张“证书模板”下的,状态为有效的用户证书,然后才能对这张用户证书进行“授权用户权限”操作。
1.1.3 业务管理
1.1.3.1 功能说明
业务管理是详细描述证书管理中操作对象(证书)的权限范围,此权限范围是所有证书的所属的内部操作和管理平台菜单组成。因为证书业务权限信息是规定的证书管理的权限范围,所以只有管理员具有证书管理角色,才能对证书业务权限信息进行授权。图3-3:
图3-3
1.1.4 角色权限管理
1.1.4.1 功能说明
给各个角色赋予各种权限,每个角色都可以拥有不同的权限。sasyca1.0的权限分为两块:
1、 内部操作:包含所有业务的权限。
2、 管理平台菜单:包含所有菜单权限。
在选择权限里面选择了“管理平台菜单”下的某个菜单权限,只能打开左侧相应的菜单,却不能有相应的业务操作。只有在内部操作里面选择好相对应的业务权限。才是一个完整的权限。图
3-4
图3-4
1.2 证书管理
在easyca1.0系统中,只有拥有证书管理角色的管理员才能进行证书和密钥管理的操作。证书和密钥管理主要包括证书的申请,下载,申请并下载,更新并下载,冻结,解冻,更新,查询,证书实体查询的操作。
1.2.1 申请证书
1.2.1.1 功能说明
证书申请主要功能是依据各种不同的模板进行证书的申请操作,如果申请成功则返回下载证书需要的两码(参考号和授权码)。
1、选择证书模板:模板下拉列表框中显示登录的管理员拥有权限的可用的模板列表。用户
依据模板生成申请证书的部分信息(包括基本策略信息,密钥策略信息等)。
2、设置DN :选择一个证书模板后,设置主题项目后的下拉列表框中显示这个用户拥有的
此模板的baseDN ,它可以做为此证书的DN 信息或是其一部分。设置DN 时要注意:DN 中只支持C, 0, OU, T, CN, SN, L, ST, E, DC, UID项;DN 各项值中不能包含下列任意字符之一 / + \ ; ,“#(英文输入法下)。
3、有效期:选择一个证书模板后,生效时间默认为当前时间,
有效期限默认为所选模板的
默认有效期限。此项目设定了所申请证书的有效期生效和失效时间。如图3-5:
图3-5
4、申请证书操作完成后,用户得到两码,同时此证书状态被设为“未下载”。如图3-6
图3-6
1.2.2 下载证书
1.2.2.1 功能说明
下载证书功能是通过证书申请获得的两码(参考号,授权码),选择一个CSP 或是输入自定义P10申请书内容进行证书的下载和安装。
1、 两码(参考号,授权码),用户通过申请证书或是更新证书得到的两码,在此用来证书
下载。
2、 CSP :选择一个CSP 产生密钥信息。
3、 自定义P10申请:复制一份P10申请书内容到输入框中进行证书下载。
4、 “CSP ”和“自定义P10申请”只能选取一种方式。如果选取“CSP ”则生成的证书会
直接安装到本机的IE 浏览器(enroll 控件支持IE )中。如果选择 “自定义P10申请”的方式,则会生成一张p7b 的证书,将证书文件保存到本地,再进行安装。
5、 下载证书操作完成后,证书状态被设为“使用中”。
1.2.2.2 操作步骤
1、点击左边菜单栏中的【下载证书】,返回下载证书页面,图3-7:
图3-7
2、输入通过申请证书或是更新证书获得的两码(参考号,授权码),点【下一步】进入下一页面,图3-8:
图3-8
3、如果选择“CSP ”方式下载证书,则点击“CSP ”单选钮,选择一个需要的CSP 。如下图3-9:
图3-9
在图3-9中点击【下载证书】按钮,进行证书的下载和安装。
1.2.3 申请并下载证书
1.2.3.1 功能说明
申请并下载证书是为了方便用户,将申请证书和下载证书两项操作一起完成的功能。用户根据模板输入必要的申请信息,并且选择CSP 或自定义P10申请书的方式来下载安装证书。
用户根据模板填入必要的信息(详见4.2.1申请证书)由系统产生两码,根据用户选择的证书下载方式(CSP , 自定义P10申请)进行证书的下载和安装(其余功能详见1.2.2下载证书)。
1.2.4 查询证书
1.2.4.1 功能说明
用户通过输入一些查询条件可以查询出符合条件的证书列表,点击证书列表中证书序列号的超链接,可以看到某一张证书的详细信息。
1、用户可以通过证书主题,管理员证书主题,模板,证书序列号和证书状态进行查询。
2、证书序列号:表示证书的序列号,可以唯一标识一张证书的信息。
3、生效时间和失效时间:表示证书的有效期的时间段。
4、模板名称:下拉列表中显示当前执行操作的管理员拥有权限的的模板名称。可以查询此
管理员拥有权限的全部模板的证书。
5、证书状态:显示证书的所有状态,包括“使用中”,“未下载”,“冻结”,“注销”,四种
状态,而且可以查询全部状态的证书。
6、证书信息的检索支持翻页的查询。
1.2.4.2 操作步骤
1、点击左边菜单栏中的【查询证书】,返回检索条件设置页面,如图3-10:
图3-10
2、输入需要的查询条件,默认证书主题为模糊查询。
3、选中精确查询的选择框,证书主题条件变为精确查询。
4、查询条件输入完成后,点击【查找】按钮,显示符合条件的证书列表。图3-11:
图3-11
5、点击列表中的链接,转到查询证书的详细页面,如下图3-12:
图3-12
6、点击【取消】按钮,返回到查询页面,用户输入的条件仍然保留,便于用户再次查询。
1.2.5 冻结证书
1.2.5.1 功能说明
冻结证书是将使用中的证书冻结一段时间,可以通过解冻操作将其恢复。此操作将证书的状态设为冻结状态,使得证书在一段时间内不能使用,直到证书被解冻。
1、首先通过查询证书的操作检索到需要冻结的证书,此时证书状态为“使用中”,表示冻
结证书操作只能对使用中的证书进行操作,双击打开需要注销的证书。如下图3-13:
图3-13
2、查询操作请参看4.2.4查询证书的操作。
3、通过检索出的证书列表的链接,转到一张证书的冻结页面。用户可以进行冻结操作。
1.2.6 解冻证书
1.2.6.1 功能说明
解冻证书操作是相对于冻结证书操作的,此操作将冻结的证书解冻,即将证书的状态设为使用中,使得证书可以重新使用。
1、先通过查询证书的操作检索到需要解冻的证书,此时证书状态为“冻结”,表示解冻证
书操作只能对冻结中的证书进行操作。
2、查询操作请参看3.2.4查询证书的操作。
3、通过检索出的证书列表的链接,转到一张证书的解冻页面,用户可以进行解冻操作。
1.2.6.2 操作步骤
1、首先检索出符合条件的证书列表,查询操作请参照4.2.4查询证书操作步骤。如图3-14:
图3-14
2、点击证书列表链接,转到解冻证书页面。
3、此面显示了需要被解冻证书的证书序列号和证书主题,点击【解冻】按钮,返回是否确
认解冻提示:如图3-15:
图3-15
4、点【确认】完成解冻证书的操作,提示解冻成功,如图3-16
;点【取消】取消解冻操
作,返回解冻证书页面。
图3-16
1.2.7 更新证书
1.2.7.1 功能说明
更新证书操作是对正在使用中的证书更改其生效时间、有效期以及扩展域信息。
1、 只能对证书状态为使用中且未处于更新过渡期的证书进行更新操作。
2、 除可以对证书的生效时间和有效期进行更新外,如果证书存在需要由用户输入的标准
扩展域信息或自定义扩展域信息,还可以对扩展域信息进行更新。
3、 证书完成更新操作后,获得新的两码。用户通过两码进行4.2.2下载证书的操作,可以
对更新后的证书进行下载并安装的操作。
4、 如果模板中没有设置更新过渡期,对该模板类型的证书进行更新后,原证书被立即注
销;如果模板中设置了更新过渡期,对该模板类型的证书进行更新后,原证书在过渡期内依旧为使用中状态。
1.2.7.2 操作步骤
1、 首先检索出符合条件的证书列表,查询操作请参照4.2.4查询证书操作步骤。如下图3-17:
图3-17
2、 点击证书列表链接,转到更新证书页面。如下图3-18:
图3-18
3、 更新证书页面显示了证书序列号和证书主题,生效时间默认为当前时间,有效期限为
此证书的有效期限以及需要用户设置的扩展域项和信息值。可以对生效时间、有效期限及扩展域信息进行合理修改。
4、 点击【更新】按钮,返回是否确认更新提示,如图3-19:
图3-19
5、 点击【确定】,提示更新成功如图3-20。
图3-20
6、 更新成功,用户可以用更新后的两码重新下载证书。
1.2.8 注销证书
1.2.8.1 功能说明
注销证书操作是对某些证书进行注销操作,被注销的证书禁止使用,并且不能被恢复。
1、 可以注销证书状态为“使用中”,“冻结”,“未下载”的证书。
2、 对处于更新过渡期的证书不能进行注销操作。
3、 注销证书需要选择注销此证书的原因(默认为“未指明原因”),可以填写注销证书的
描述信息。
4、 注销后证书的状态被设为“注销”,如果是未下载的证书被注销则证书被设为“未下载
注销”。
5、 注销后的证书不能被恢复。
1.2.9 查询证书实体
1.2.9.1 功能说明
用户通过输入查询条件可以查询出符合条件的证书列表,点击证书列表的链接,可以将所选中的证书实体保存到本地。
1、 用户可以通过证书主题,模板,证书序列号和证书状态进行查询。
2、 证书主题(证书DN )的查询可以分为精确查询和模糊查询,默认为模糊查询。
3、 模板名称:显示当前系统内存在的所有模板列表。
4、 证书序列号:表示证书的序列号,可以唯一标识一条证书信息。
5、 证书状态:显示可以下载证书实体的证书状态,包括“使用”,“注销”,“冻结”三种
状态,而且可以查询三种状态的所有证书。
6、 证书主题,证书序列号如果不填入信息,模板选择全部模板,证书状态选择所有可查
询状态,则检索出全部模板下三种状态的证书信息。
7、 证书实体查询列表支持翻页功能。图3-21:
图
3-21
1.3 证书模板
证书模板用于定义证书的类别,每一个证书模板定义这一类证书的共同特点。包括证书的有效期限制、密钥类型和密钥长度、是否需要发布及发布的方式以及证书中该包含的扩展域及其扩展域的值等信息。
初始化成功后,系统自动创建部分证书模板,包括:
本系统通信证书模板—用于签发本系统使用的安全通信证书(本模板为系统使用模板,
不能进行修改、删除、注销操作)
本系统管理员证书模板—用于签发本系统使用的管理员证书(本模板为系统使用模板,
不能进行修改、删除、注销操作)
通用证书模板—用于签发既包含签名用途又包含加密用途的证书
签名证书模板—用于签发做为签名用途的证书
加密证书模版—用于签发做为加密用途的证书
SSL 服务器证书模板—用于签发SSL 服务器证书
代码签名证书模板—用于签发做为代码签名用途的证书
OCSP 签名证书模板—用于签发OCSP 服务器的签名证书
时间戳签名证书模板—用于签发时间戳服务器签名证书
CA 证书模板—用于签发子CA 签名证书或其它CA 证书
交叉证书模板-用于签发CA 的交叉认证证书
RA 业务员证书模板-用于为RAServer 签发业务管理员证书
对于这些系统模板,如果要颁发的证书需要发布,可以将模板的发布策略改为发布;
预置的扩展域项建议不要删除,但可以添加。其中智能卡登录-域用户证书模板和智能卡登录-域控制器模板是为了Easyca1.0支持Windows 智能卡登录(Smart Card Logon)而预置的,在使用前需要注意:预置的密钥用法、增强型密钥用法扩展域中的项不能删除,只能添加;预置的(用于windows 智能卡登录) 扩展域使用默认值。另外,需要修改主题备用名称(用于Windows 智能卡登录)扩展域:智能卡登录-域用户证书模板需要在智能卡用户域名这项中填写智能卡用户所在域的域名;智能卡登录-域控制器模板需要在域控制器域名这项中填写域控制器所在域的域名,在域控制器GUID 这项中填写域控制器的GUID (域控制器GUID 的获取方法,不在该文档的说明范围,请查阅Windows 相关帮助文档)。
自定义扩展域是用户自己定义的证书扩展域,即当前系统不支持的扩展域,用户可以通过自定义扩展功能来动态的增加对这些扩展域的支持。系统会维护所有自定义扩展域的列表,创建证书模板的时候可以指定证书中包含这些自定义的扩展。
这部分的功能包括证书模板管理和自定义扩展域的管理两部分,只有具有模板管理角色 的管理员才能进行这两部分管理,具体的功能包括:
1、 浏览模板
列出当前系统中定义的所有证书模板,并可以查看模板的详细信息。
2、 添加模板
为系统增加一个证书模板的定义。
3、 修改模板
修改系统中已经存在的一个证书模板。
4、 删除模板
删除一个已经定义好的但是还没有被使用的证书模板。
5、 注销模板
注销已经被使用过的一个证书模板,以后将不再使用该模板。
6、 浏览自定义扩展
列出当前系统中定义的所有自定义扩展域,并可以查看详细信息。
7、 添加自定义扩展
为系统增加一个自定义扩展域的定义。
8、 修改自定义扩展
修改已经存在的一个自定义扩展域。
9、 删除自定义扩展
删除一个已经定义好的但是还没有被某个证书模板使用的自定义扩展域。
10、注销自定义扩展
注销已经被使用过的一个自定义扩展域,以后创建证书模板的时候将不再使用该扩展。
1.3.1 浏览模板
1.3.1.1 功能说明
浏览证书模板功能可以列出当前系统定义的所有证书模板,还可以查看选中的证书模板的详细信息。
在证书模板列表中,按序号显示证书模板,包含模板的名称、模板的状态和模板的描述信息。模板的名称用来在系统中唯一标识一个证书模板,并且可以简要的说明证书模板的用途。模板的状态表示证书模板在系统中所处的状态,包括未使用、使用中和已注销三个状态。其中未使用状态表示模板已经定义好,但还没用来进行证书申请的操作。使用中状态表示已经用该证书模板进行了证书申请的操作。已注销表示证书模板已经作废,以后不能用来进行证书申请,但是考虑到以前已经用它申请了证书,所以系统中保留这样一条记录,通过已注销来标识以后不再使用。证书模板描述信息是对证书模板用途的较为详细的描述。
点击模板列表中的某一个模板名称可以查看该模板的详细信息。详细信息中包括: 基本信息
基本策略
扩展域信息
基本信息中包括模板名称、模板状态、模板描述和模板的属性。模板属性表示该证书模板是CA 证书模板还是用户证书模板。
基本策略中包含有效期策略、密钥策略、发布策略、密钥容器策略、更新时替换原有证书和更新过渡期。有效期策略限制申请证书的最大有效期和最晚的失效时间,同时提供证书的默认有效期;密钥策略指定这类证书使用的密钥算法类型、密钥长度和密钥的产生位置(密钥管理中心或者客户端本地) ;发布策略指定这类证书是否进行发布,如果发布的话选择发布的方式。系统支持两种发布方式:LDAP 和文件;密钥容器策略指定证书的密钥容器类型,即签名和加密两种类型;更新时替换原有证书复选决定更新证书时是否替换原有证书;如果配置文件中配置了应用证书更新过渡期(见CA 安装手册配置文件说明11.2.7.17),选择更新证书时不替换原有证书时,可以设置更新过渡期,更新过渡期内新旧证书状态都为使用中。
扩展域信息中指定这类证书中应该包含的扩展域及扩展域值,其中包括标准扩展域和自定义扩展域两部分。系统目前支持下列标准扩展域:
颁发机构密钥标识符
主题密钥标识符
密钥用法
增强型密钥用法
基本限制
CRL 发布点
签发机构信息访问
Netscape 证书类型
证书策略
策略映射
策略限制
主题备用名称
身份标识码
个人社会保险号
企业组织机构代码
企业工商注册号
企业税号
证书模板(用于windows 智能卡登录)
如果还需要在证书中支持其他种类的扩展域,可以通过添加自定义扩展域的功能来实
现。
1.3.1.2 操作步骤
1、 点击左边的模板管理展开功能项,点击【浏览模板】,显示所有模板列表,如图3-22:
图3-22
序号:标识该证书模板在当页显示的位置。
名称:标识该证书模板名字。
状态:标识该证书模板在本系统中的状态,包括未使用、使用中、已注销。
描述:标识该证书模板简单的描述。
2、 双击打开后可以显示模板的详细信息,如选择通用证书模板进行查看。浏览证书模板
的时候,不能修改模板信息。如图3-23:
图3-23
3、 标准扩展域信息和自定义扩展域信息可以点击标题进行收缩和展开查看。
1.3.2 添加模板
1.3.2.1 功能说明
添加证书模板功能用于向系统中增加一个新的证书模板。用户通过指定模板的基本信
息和策略信息,完成一个证书模板的定义,然后提交给系统。模板中的信息详见浏览模板功能说明中的介绍。
基本信息中,模板名称是必须填写的,必须为一个有效的证书模板名称。模板名称用
来在系统中唯一确定一个证书模板,名称中不能包含下列任意字符之一 / \ : * ? “ |(英文输入法下)。模板描述用来较为详细的描述模板的用途,填写这项的时候一定要注意与模板的用途保持一致。模板的属性表示该模板为CA 证书模板还是用户证书模板,默认为用户证书模板。
基本策略中,有效期策略用来限制申请证书的有效期,包含三项内容:默认有效期、
最大有效期和失效时间限制。默认有效期用来设定使用该模板申请证书时默认填写的证书
的有效期;最大有效期就是用这个证书模板申请的证书的有效期的最大值;失效时间限制用来限制证书的失效时间,用这个模板申请的证书的失效时间不能晚于这个限制。
扩展信息中定义证书中应该包含那些扩展域,包括标准扩展域和自定义扩展域。对于
每一个扩展域,如果选中的话,都必须指定是否是关键的属性。对于签发机构密钥标识符、主题密钥标识符、CRL 发布点、签发机构信息访问和证书策略这几个标准扩展域来说,只要选中是否支持该扩展域和指定关键与否的属性即可。而密钥用法、增强型密钥用法、Netscape 证书类型、基本限制、策略映射、策略限制、主题备用名称等,还需要指定扩展域的值或取值方式。
1.3.2.2 操作步骤
1、 左边菜单栏中点击【添加模板】,显示添加模板信息设置页面,图3-24:
图3-24
2、 合理设置证书模板基本信息和基本策略。
3、 配置扩展域信息:扩展域信息中列出了系统中支持的标准扩展域,可以通过扩展域前
面的复选框选择定义模板中是否包含这个扩展域,并设置关键与否。如图3-25:
图3-25
其中,密钥用法、增强型密钥用法、Netscape 证书类型、基本限制、策略映射、策略限制、主题备用名称等几个扩展域的值需要进行设置,如果选择这几个扩展域的话,必须进行扩展域值的配置。
配置基本限制,可以配置证书是否为CA 证书。如图3-26:
图3-26
4、策略映射、策略限制、主题备用名称、身份标识码、个人社会保险号、企业组织机构代
码、企业工商注册号、企业税号除设置关键与否外,还要设置取值方式。取值方式有两种: 证书申请时非必须指定即申请证书时可以不设定该扩展项的值;证书申请时必须指定即申 请证书时必须设定该扩展项的值。如图3-27:
图3-27-
7、完成所有的信息设置后,点击【添加模板】按钮提交新定义的模板,添加成功后,返回
模板列表,其中包含新定义的模板。
1.3.3 修改模板
1.3.3.1 功能说明
修改证书模板功能可以用来修改证书模板的内容,系统允许修改未使用的证书模板和使用中的证书模板,对于已经注销的模板,不允许进行修改。对于未使用状态的证书模板,除了模板名称和模板状态不能修改外,其他属性都允许修改;对于使用中的证书模板,只允许对发布策略、密钥容器策略、更新时是否替换原有证书进行修改。证书模板的具体修改过程跟证书模板的添加过程类似,可以参考证书模板的添加功能。
1.3.3.2 操作步骤
1、 点击左边菜单栏中的【修改模板】功能,显示所有未使用状态和使用中状态的证书模
板列表。
2、选择要修改的证书模板,点击显示模板的详细信息页面。其中各项信息配置和操作方
式跟添加证书基本相同,可以简单的看作添加一个新的模板的操作,只是多了一些已经配置好的默认值,按照需要修改这些默认值即可。可以参考4.3.2.2进行具体配置项的修改。
1.3.4 删除模板
1.3.4.1 功能说明:
删除证书模板,可以删除系统中状态是“未使用”证书模板。成功删除证书模板后,系统中将不存在该证书模板。
1.3.4.2 操作步骤
1、 点击左边菜单栏中的【删除模板】功能,显示所有未使用状态的证书模板列表,如图
3-28:
图3-28
2、 可以通过点击模板序号前的【删除】按钮直接删除模板,返回确认删除提示,如图3-29:
图3-29
点【确定】后删除模板成功,返回的模板列表中将不会列出刚才被删除的模板;点【取消】取消删除,返回的模板列表中依旧能看到被操作的模板。
3、 图3-3-4-2-1
中,点击模板名称超级链接,进入模板的详细内容页面,页面所有的信息
项全部为只读不能进行任何修改。点击页面下方的【删除】按钮,同样返回图3-3-4-2-2所示的删除提示。点【确定】后删除模板成功,返回的模板列表中将不会列出被删除的模板;点【取消】取消删除,返回的模板列表中依旧能看到被操作的模板。