手册下载
H3C SecPath BST8000签名验签与时间戳二合一服务器
典型配置
Copyright © 2022-2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录
签名验签与时间戳二合一服务器包含独立的签名验签服务器功能和时间戳服务器功能,本文档介绍该产品一些典型的操作使用场景。
本文档适用于H3C SecPath BST8000签名验签与时间戳二合一服务器E6101P03及以上版本。
签名验签功能需要经过以下步骤:添加用户、配置网络、导入CA证书、配置应用实体、配置路由、配置白名单、进行数据备份。
配置前需要对设备进行激活授权,否则无法使用。
设备通常的组网方式如图2-1,二合一服务器通过GE0/0网口连接局域网,配置PC也通过局域网访问二合一服务器,用于配置参数。如果需要配置双机热备,需要将两台二合一服务器部署在局域网内。
如果不需要双机热备,那么只需要一台二合一服务器。
签名验签服务器功能依赖于应用实体,创建并配置好应用实体后,签名验签服务器功能就可以使用。
按照组网图组网。
(1)添加用户。
(2)修改网络配置。
(3)导入CA证书。
(4)创建配置应用实体。
(5)配置路由。(可选)
(6)配置白名单。(可选)
(7)进行数据备份。(可选)
在【系统用户管理->系统用户添加】页面添加新用户,插入USB-Key到电脑,点击刷新会在【用户令牌 】显示插入的USB-Key序列号,输入USB-Key口令,选择该用户是“管理员”、“操作员”还是“审计员”,点击【添加】按钮完成用户添加,如图2-2。
图2-2 添加新用户
在【设备管理->网络配置】页面进行网络参数配置,网络参数配置需要管理员或操作员权限。
选择网卡端口,输入IP地址、子网掩码,点击【应用配置】,即可保存并立即生效网络配置,支持IPV4和IPV6的配置,网口模式选择聚合模式,可以将所有配置成聚合模式的网口聚合为一个IP,如图2-3。默认网关在【设备管理->路由配置】页面中进行配置,支持IPV4和IPV6默认网关的配置。IPV4默认网关的配置,如图2-4,IPV6默认网关的配置,如图2-5。
注:请确认不同网口不在同一网段内,否则可能导致网口的网络无法使用。双机热备开启之后,网络配置禁止操作,即:【应用配置】为禁用状态。网口聚合模式配置过程中,默认是最后配置的网口配置信息。
图2-3 配置网络参数
图2-4 配置默认网关(IPV4)
图2-5 配置默认网关(IPV6)
从设备注册证书使用的证书注册服务器获取到CA证书,系统菜单选择【证书管理->CA证书管理】,选择证书或证书链,选择证书文件,点击【导入】,如图2-6。
图2-6 导入CA证书
系统菜单选择【应用实体管理->应用实体注册】,密钥类型选择SM2或RSA,输入应用名称、私钥权限码和索引号,创建应用实体,如图2-7。
图2-7 创建应用实体
系统菜单选择【应用实体管理->应用实体信息管理】,选择刚创建的应用实体,点击【生成P10请求】,输入证书请求信息,点击【签名证书P10生成】和【加密证书P10生成】,下载签名证书和加密证书的P10请求文件,如图2-8。
图2-8 生成P10请求
使用P10请求文件从RA服务器申请到签名证书和加密证书,系统菜单选择【应用实体管理->应用实体信息管理】,选择刚创建的应用实体,点击【导入证书】,打开证书导入页面,分别选择签名证书和加密证书,点击导入,如图2-9。如果已有加密密钥对p12文件,则不需要申请导入加密证书,直接选择加密密钥对文件路径和输入密码,点击导入,这样会使用加密密钥对文件中的密钥替换设备中的加密密钥。
图2-9 导入证书
系统菜单选择【设备管理->路由管理】,如图2-10。
图2-10 路由管理
点击【新增】按钮,在弹出窗口中选择普通路由输入路由信息,如图2-11,支持IPV4和IPV6路由,点击【确定】。
注:默认网关的配置在2.6.2修改网络配置中已经描述。
图2-11 新增路由
系统菜单选择【设备管理->白名单管理】,如图2-12。白名单管理包括白名单的IP配置,配置可以是IP段或IP地址,配置IP之后,只允许白名单中的设备访问签名验签服务器,白名单之外的设备不允许访问。当白名单列表为空时,白名单功能关闭。
图2-12 白名单管理
点击新增,可新增白名单,如图2-13。
图2-13 白名单新增
删除最后一个白名单时,会提示删除并关闭白名单确认框,如图2-14。
图2-14 白名单删除确认
点击【开始备份】按钮,依次插入5个USB-Key,输入USB-Key的口令,点击【导入密钥】,备份密钥分割成5份,分别存储到5个USB-Key中,完成全部导入密钥操作之后,点击【下载文件】按钮,如图2-15。可将设备配置数据及密钥以密文形式下载到本地。
图2-15 数据备份
系统菜单选择【系统用户管理->系统用户管理】,在用户列表显示添加的用户,如图2-16。且新添加的用户可以正常登录WEB管理页。
图2-16 用户列表
点击【应用配置】后可以使用新配置的ip访问设备。系统菜单选择【设备管理->网络配置】,显示的网络配置为修改后的配置,如图2-17。点击【设备管理->路由配置】,可查看到配置的默认网关,如图2-18。
图2-17 网络配置
图2-18 路由列表默认网关
系统菜单选择【证书管理->CA证书管理】,在CA证书列表中显示导入的CA证书,如图2-19。
图2-19 CA证书列表
系统菜单选择【应用实体管理->应用实体信息管理】,在应用实体列表中可以看到创建的应用实体,且应用实体的状态为“可用”,如图2-20。
图2-20 应用实体列表
系统菜单选择【设备管理->路由管理】,在路由列表中显示添加的路由,且路由生效,如图2-21。
图2-21 路由列表
系统菜单选择【设备管理->白名单管理】,在白名单列表中显示添加的白名单,且白名单外的电脑无法访问设备(可以通过浏览器访问https://设备IP检测是否可以访问设备),如图2-22。
图2-22 白名单列表
完成后下载到数据备份文件(.zip文件),如图2-23。说明数据备份完成。
图2-23 数据备份
时间戳功能需要经过以下步骤:添加用户、配置网络、导入CA证书、导入设备证书、配置时间源、配置路由、配置白名单、进行数据备份。
配置前需要对设备进行激活,否则无法使用。
设备通常的组网方式如图3-1,二合一服务器通过GE0/0网口连接局域网,配置PC也通过局域网访问二合一服务器,用于配置参数。如果需要配置双机热备,需要将两台二合一服务器部署在局域网内。
图3-1 组网图
如果不需要双机热备,那么只需要一台二合一服务器。
时间戳服务器功能依赖于设备证书,设备证书正确导入后 ,时间戳服务器功能就可以使用。时间戳服务器通常需要配置时间源来保证时间的准确。
按照组网图组网。
(1)添加用户。
(2)修改网络配置。
(3)导入CA证书。
(4)导入设备证书。
(5)配置时间源。(可选)
(6)配置路由。(可选)
(7)配置白名单。(可选)
(8)进行数据备份。(可选)
在【系统用户管理->系统用户添加】页面添加新用户,插入USB-Key到电脑,点击刷新会在【用户令牌 】显示插入的USB-Key序列号,输入USB-Key口令,选择该用户是“管理员”、“操作员”或“审计员”,点击【添加】按钮完成用户添加,如图3-2。
图3-2 添加新用户
在【设备管理->网络配置】页面进行网络参数配置,网络参数配置需要管理员或操作员权限。
选择网卡端口,输入IP地址、子网掩码,点击【应用配置】,即可保存并立即生效网络配置,支持Ipv4和Ipv6的配置,网口模式选择聚合模式,可以将所有配置成聚合模式的网口聚合为一个IP,如图3-3。默认网关在【设备管理->路由配置】页面中进行配置,支持IPV4和IPV6默认网关的配置。IPV4默认网关的配置,如图3-4,IPV6默认网关的配置,如图3-5。
注:请确认不同网口不在同一网段内,否则可能导致网口的网络无法使用。双机热备开启之后,网络配置禁止操作,即:【保存配置】和【应用配置】为禁用状态。网口聚合模式配置过程中,默认是最后配置的网口配置信息。
图3-3 配置网络参数
图3-4 配置默认网关(IPV4)
图3-5 配置默认网关(IPV6)
从设备注册证书使用的证书注册服务器获取到CA证书,系统菜单选择【证书管理->CA证书管理】,选择证书或证书链,选择证书文件,点击【导入】,如图3-6。
图3-6 导入CA证书
系统菜单选择【证书管理->设备证书管理】,在设备密钥生成窗口选择SM2或RSA,点击【生成P10】,输入证书申请信息,点击提交,下载设备证书P10申请文件,如图3-7。
图3-7 设备证书P10生成
使用P10请求文件从RA服务器申请到设备证书,系统菜单选择【证书管理->设备证书管理】,在设备证书导入窗口选择设备证书,点击【导入】,如图3-8。
图3-8 设备证书导入
系统菜单选择【设备管理->时间源配置】,输入NTP服务器IP地址和对时周期,点击开启即可开启NTP时间源对时,如图3-9。
图3-9 时间源配置
系统菜单选择【设备管理->路由管理】,如图3-10。
图3-10 路由管理
点击【新增】按钮,在弹出窗口输入路由信息,支持IPV4和IPV6路由,点击【确定】按钮,如图3-11。
注:默认网关的配置在3.6.2修改网络配置中已经描述。
图3-11 新增路由
系统菜单选择【设备管理->白名单管理】,如图3-12,白名单管理包括白名单的IP配置,配置可以是IP段或IP地址,配置IP之后,只允许白名单中得设备访问签名验签服务器,白名单之外的设备不允许访问。当白名单列表为空时,白名单功能关闭。
图3-12 白名单管理
点击新增,可新增白名单,如图3-13。
图3-13 白名单新增
删除最后一个白名单时,会提示删除并关闭白名单确认框,如图3-14。
图3-14 白名单删除确认
点击【开始备份】按钮,依次插入5个USB-Key,依次输入5个USB-Key的口令,依次点击导入密钥,备份密钥分割成5份,分别存储到5个USB-Key中,完成全部导入密钥操作之后,点击【下载文件】按钮,如图3-15,可将设备配置数据及密钥以密文形式下载到本地。
图3-15 数据备份
系统菜单选择【系统用户管理->系统用户管理】,在用户列表显示添加的用户。如图3-16。且新添加的用户可以正常登录WEB管理页。
图3-16 用户列表
点击【应用配置】后可以使用新配置的ip访问设备。系统菜单选择【设备管理->网络配置】,显示的网络配置为修改后的配置,如图3-17。点击【设备管理->路由配置】,可查看到配置的默认网关,如图3-18。
图3-17 网络配置
图3-18 路由列表默认网关
系统菜单选择【证书管理->CA证书管理】,在CA证书列表中显示导入的CA证书,如图3-19。
图3-19 CA证书列表
系统菜单选择【证书管理->设备证书管理】,设备证书列表中包含导入的设备证书,如图3-20。
图3-20 设备证书列表
WEB管理页右上角可以查看设备时间,设备时间被同步为时间源时间,如图3-21。
图3-21 时间源
系统菜单选择【设备管理->路由管理】,在路由列表中显示添加的路由,且路由生效,如图2-22。
图3-22 路由列表
系统菜单选择【设备管理->白名单管理】,在白名单列表中显示添加的白名单,且白名单外的电脑无法访问设备,如图3-23(可以通过浏览器访问https://设备IP检测是否可以访问设备)。
图3-23 白名单列表
完成后下载到数据备份文件(.zip文件),如图3-24。说明数据备份完成。
图3-24 数据备份文件
二合一服务器支持将两台设备配置成双机热备,对外只提供一个统一的主IP进行访问。在主IP上进行的操作会同步到两台设备上,两台设备中任意一台设备出现故障,另一台正常设备会继续提供服务。
配置前需要对设备进行激活,否则无法使用。配置前需要确保两台设备在同一子网内。配置的两台设备需要是相同版本。双机热备只会同步开启双机热备后对设备进行的操作,开启双机热备前设备已有的数据不会同步,因此建议双机热备前保证两台设备的数据全为初始状态或数据一致。
注:配置前激活设备之后,新创建的用户必须确保使用同一个USB-Key,USB-Key的登录密码以最后创建新用户时设置的为准。
设备通常的组网方式如图4-1,将两台二合一服务器通过GE0/0网口连接局域网,配置PC也通过局域网访问二合一服务器,用于配置参数。确保两台二合一服务器和配置PC间网络都能互通。
图4-1 组网图
(1) 配置双机热备不会同步两台设备开启热备之前的数据,请在配置双机热备前使用数据备份恢复功能将一台设备的所有数据备份恢复到另外一台(具体操作可参考web配置指导)。部署完成后请使用配置的主服务IP进行访问。
(2) 双机下不允许配置网络信息,请关闭双机 再进行配置。
系统菜单选择【双机热备管理->热备设置】,选中【启动双机热备】选项,选择主服务设备网口,输入主服务IP、另一台热备设备IP地址、虚拟路由ID,点击【保存】,如图4-2,完成此设备的双机热备配置,要真正实现双机热备功能,还需要在另一台服务器上按上述配置完成双机热备配置(主服务IP和虚拟路由ID两台设备要配置一致),同时保证双台设备间网络可达。
图4-2 双机热备
两台设备都开启双机热备后,在系统菜单选择【双机热备管理->数据同步】,如图4-3,点击【开启数据同步】,另一台服务器也要做同样的操作。
图4-3 数据同步
使用设备实际IP登录WEB管理页(不要使用主服务IP访问),系统菜单选择【双机热备管理->热备设置】,选中关闭双机热备,点击【保存】按钮,然后重启设备生效。如图4-4。再访问双机热备的另一台设备进行同样的关闭操作。
图4-4 关闭双机热备
使用浏览器访问https://[主服务IP]可以访问设备WEB管理页,说明双机热备配置完成。
然后点击【数据同步】,若数据同步成功,弹出数据同步成功结果,如图4-5,相反,若数据同步失败,弹出数据同步失败结果,如图4-6。
图4-5 数据同步成功状态
图4-6 数据同步失败状态
重启设备之后,使用浏览器访问https://[主服务IP]无法访问,说明双机热备关闭完成,并分别访问两台设备WEB管理页面后,点击【数据同步】查看到数据同步状态禁用,则数据同步也已关闭完成,如图4-7。
图4-7 数据同步禁用状态
二合一服务器支持将多个网口聚合,对外只提供一个统一的服务网口,这样当其中一个网口故障可以保证正常提供服务。
配置前需要对设备进行激活授权,否则无法使用,配置聚合之前网口需为普通模式。
注:二合一服务器网络配置聚合模式默认仅支持模式1(主备模式),配置聚合时交换机连接设备的两个口,不需要做二层链路聚合,只需要将每个口单独放通相应的业务 vlan即可,链路选择由设备聚合口主备决定。
单机设备通常的聚合组网方式如图5-1,将一台二合一服务器通过GE0/0网口和GE0/1网口(或其他网口,本次以GE0/0和GE0/1口为例)聚合连接局域网,配置PC也通过局域网访问二合一服务器,用于配置参数。确保二合一服务器和配置PC间网络互通。
图5-1 组网图
配置多个网口聚合为同一个聚合口,聚合网口的IP以最后一个配置聚合模式的网口IP为准,本次以将网口GE0/0和GE0/1聚合为一个网口为例,配置聚合网口。
选择网口GE0/1,模式选择【聚合模式】,网络类型选择【IPV4】,输入IPV4地址为192.168.3.1,子网掩码为255.255.255.0,点击【应用配置】,如图5-2。
图5-2 配置网口GE0/1
选择网口GE0/0,模式选择【聚合模式】,网络类型选择【IPV4】,输入IPV4地址为192.168.11.60,子网掩码为255.255.255.0,点击【应用配置】,如图5-3。
图5-3 配置网口GE0/0
点击【应用配置】之后,弹出网络配置成功提示框,如图5-4。
图5-4 网口GE0/1聚合配置保存提示框
点击【应用配置】之后,弹出网络配置成功提示框,如图5-5。
图5-5 网口GE0/0聚合配置保存提示框
配置完成之后,刷新页面,在首页网络状态处查看,新增聚合bond0口,说明配置成功,如图5-6。
图5-6 首页网络状态
点击GE0/0和GE0/1之后,也可看到两个网口的模式为聚合模式并且IP和子网掩码一样,网口GE0/0聚合配置IP不变,如图5-7。网口GE0/1原有的IP192.168.3.1显示为192.168.11.60,可见聚合网口配置完之后,生效IP以最后一个网口配置聚合模式时设置的IP一致。如图5-8。
图5-7 网口GE0/0
图5-8 网口GE0/1