Académique Documents
Professionnel Documents
Culture Documents
manual
06.07.22
Página No. / Página No.
1 Introducción / Alcance
El servidor EJBCA de signos es un marco de aplicación firmas de bajo rendimiento para otras aplicaciones. Está pensado para ser
utilizado en entornos en los que se supone claves a ser protegidos en hardware, pero no es posible conectar este hardware a las
aplicaciones empresariales existentes. Otro uso es el de proporcionar un método simplificado para proporcionar firmas en diferentes
aplicación administrada de un lugar en la empresa.
El servidor de suscripción havebeen diseñada para alta disponibilidad y pueden ser agrupados para una máxima fiabilidad. El servidor de suscripción
viene con un RFC 3161 compatible firmante marca de tiempo a atender las solicitudes a través de HTTP o HTTPS autenticada-cliente.
Dibujo 1: Visión general de un conjunto posible de una señal solución de servidor de alta disponibilidad
Tabla de Contenidos
En esta sección se mostrará cómo configurar un servidor de marca de tiempo independiente rápida y sencilla, aceptar solicitudes de sello de
tiempo a través de HTTP sin formato.
1-servidor web del almacén de claves en formato Java del almacén de claves (ACA), (marido surethat el certificado del servidor tiene el nombre de
host justo en que es CN)
1 Certificado de raíz del servidor web 1 in der codificación
4. Cambie el nombre del almacén de claves de servidor Web para tomcat.jks al ponerlo en un subdirectorio 'p12'. También colocar el
certificado raíz del servidor web en la codificación DER en el mismo directorio, lo llaman rootcert.cer
6. Do 'ant deploy' y luego iniciar JBoss (JBOSS_HOME \ bin \ run.sh) en otra consola.
a continuación, ejecutar
bin \ signserver.sh getConfig 1
Y vuelva a verificar la configuración con la referencia Propety. (Importante, las propiedades son mayúsculas y minúsculas). Finalmente
la carrera
CD dist-cliente
java-jar timeStampClient.jar " http: // localhost: 8080 / Sign Server / TSA signerId = 1 "
El mensaje de "petición de marca horaria Validado" debe aparecer una vez por segundo. También puedes ver JBOSS_HOME / server
/ default / log / server.log que los mensajes aparecen con éxito.
Página No. / Página No.
4 Arquitectura general
El servidor de suscripción es un marco diseñado para llevar a cabo diferentes tipos de firmas digitales para diferentes aplicaciones.
Para acceder al servidor de suscripción, hay diferentes opciones dependiendo de la persona que firma utilizado. El firmante de sello de tiempo
utiliza HTTP para el acceso remoto y el MRDT firmante utiliza RMI SSL. Hay dos conceptos principales en el servidor de suscripción y que los
firmantes de hielo (que realiza la firma real y son identificados por un signerId) y el signo de emergencia ¿Qué es una entidad que realiza un
Las aplicaciones en el administrada a través de una interfaz de línea de comandos, donde el control de propiedades y el acceso se puede
configurar.
Los documentos que actualmente existen dos modos de autenticación, un cliente autenticado utilizando SSL, donde el número de serie
de cada cliente firmante tiene que estar en la lista de acceso para la firma firmantes a realizar. El otro es un modo no autenticado
donde no hay ningún requisito a los que se solicita una firma.
5 firmantes disponibles
Actualmente existen dos tipos de firmantes. El primero es el sello de tiempo firmante Generating RFC 3161 marcas de tiempo que cumplen
utilizando la biblioteca BouncyCastle. El otro es un firmante DVLM la creación de firmas 'Máquina lector de documentos de viaje' utilizando
el algoritmo RSA a partir de datos de pre-rellenados.
Sellos de Tiempo solicitudes se atienden a través de un servicio HTTP en la URL: http: // <nombre de
host> / Sign Server / TSA SignerId = <firmante Id> '
Si va a la ID de 1 usarse no 'signerId' parámetro hielo no especificado a continuación, como valor predeterminado. El firmante de sello de tiempo
requiere un certificado de sello de tiempo con la tecla 'sello de tiempo' uso extendido solamente.
TIEMPO DE FUENTE = propiedad que contiene la ruta de clase a la aplicación ITimeSource thatshould ser utilizado. (Opcional,
por defecto Fuente local Hora del ordenador)
ACCEPTEDALGORITHMS = A ';' cadena separada que contiene algoritmos aceptados, puede ser nulo si no debe ser
utilizado. (OPCIONAL, muy recomendable)
Página No. / Página No.
Algoritmos soportados son: GOST3411, MD5, SHA1, SHA224, SHA256, SHA384, SHA512,
RIPEMD128, RIPEMD160, RIPEMD256
ACCEPTEDPOLICIES = A ';' cadena separada que contiene las políticas aceptadas, puede ser nulo si no debe ser utilizado.
(Opcional, recomendado)
ACCEPTEDEXTENSIONS = A ';' cadena separada que contiene extensiones aceptadas, puede ser nulo si no debe ser
utilizado. (Opcional)
ACCURACYMICROS = Precisión en micro segundos, sólo el formato de número decimal, sólo una de las propiedades de
precisión debe ser ajustada (opcional)
ACCURACYMILLIS = Precisión en milisegundos, Sólo formato decimal número, sólo una de las propiedades de precisión
debe estar activado (opcional)
ACCURACYSECONDS = Precisión en cuestión de segundos. Sólo formato de número decimal, sólo una de las propiedades de
precisión se debe establecer (opcional)
El DVLM firmante realiza una operación de firma RSA en los datos entrantes. Los datos deben estar acolchados alreadyloggedin. Este firmante que
utiliza para firmar es decir, pasaportes electrónicos sobre los documentos de viaje de lectura mecánica. Las firmas se solicita a través de RMI SSL y
el primer tarjeta se requiere para su construcción. Sin equilibrador de carga se requiere para que sea redundante, esto se hace con las bibliotecas de
cliente.
6 SignTokens disponibles
Existe dos tipos de fichas de signos, una ampliación de las teclas de software y uno en la tarjeta inteligente. Vea la sección de desarrollador para
obtener información sobre el desarrollo de apoyo a otros HSMS.
6.1 P12SignToken
El firmante P12SignToken tiene la ruta de clase:
se.primeKey.signserver.server.signertokens.P12SignToken
6.1.1 Información general
Una señal de emergencia usando una tienda de 12 teclas PKCS en el sistema de archivos. sólo puede contener 'una clave de firma. En un
entorno en clúster debe ser el almacén de claves en el mismo lugar en todos los nodos.
Contraseña del almacén: La contraseña que bloquea la clave de la tienda. Se utiliza para la activación automática.
6.2 PrimeCardHSMSignToken
PrimeCardHSM requiere software pcscd y los controladores de tarjetas inteligentes. Ver la documentación correspondiente sobre la instalación
de PrimeCardHSM.
Por defecto es la autenticación de certificado de cliente necesario para una petición de firma para ser procesados. Esto se puede cambiar
con el TipoAut propiedad.
TipoAut = noauth, establece que el servidor no requiere ningún tipo de autenticación. TipoAut = clientcert (por defecto) requiere
un certificado de todos los clientes. Los certificados deben estar en la lista de control de acceso firmantes y ser de confianza
Un firmante puede ser desactivado, lo que Esto significa que no realizará ninguna firma o pedir solicitudes incluidas en la comprobación de la Salud.
9 Respuestas de archivado
Si hay una necesidad de guardar todas las respuestas generadas, a continuación, establecer el "archivo" propiedad "TRUE" y todas las respuestas
generado para dicho firmante se guardarán en la base de datos.
Las respuestas archivados más adelante pueden ser extraídos de la base de datos utilizando la interfaz CLI. Vea la sección de CLI para obtener
más información.
Para construir e implementar el primer marido Sign Server surethat hormiga, Java y JBoss se ha instalado correctamente. Luego
Antes de empezar a hacer, asegurarse de que tiene un almacén de claves del servidor web en formato JKS (y esposo surethat el certificado del
servidor tiene el nombre de host justo en que es CN). Nombre que tomcat.jks a lo puso en un subdirectorio p12. También colocar el certificado raíz del
servidor Web en la codificación DER en el mismo directorio, lo llaman rootcert.cer
Editar el archivo signserver_build.properties. Al menos configurar la propiedad httpsserver.password. Si está utilizando otra base de datos que
HSQL construido en Jboss (recomendado para su uso en producción) y luego configurar las propiedades de base de datos.
Página No. / Página No.
A continuación, edite el archivo signserver_server.properties. Este es el archivo donde se configuran los firmantes disponibles y que se debe firmar un
uso simbólico. Por defecto es un símbolo de marca de tiempo con un signo pkcs12 token como signerId '1'.
Ahora ya está listo para configurar el firmante y firmar fichas. Esto se hace por el bin \ signserver.sh setProperty <signerId> <property>
<valor> comando. Vea la sección "Administrar el servidor de suscripción 'para obtener más información sobre los comandos de la CLI
disponibles.
Página No. / Página No.
Cada firmante se identifica mediante un ID. El ID es el mismo que se especifica en las signserver_config.properties. Es posible realizar una
configuración mientras se está en producción. Todos los comandos de configuración son guardados hasta que se emite una orden de recarga y
la configuración se activa.
Hay un archivo de propiedades especiales para la interfaz CLI llamados signserver_cli.properties definir qué nodos que existe en el
clúster. Las propiedades son:
hostname.masternode = sólo debe contener 'uno de los nodos, no especificado como nodo maestro. Utilizado por las operaciones
que se ocupan de la base de datos y donde no todos los nodos del clúster debe ser contactado.
hostname.allnodes = Debe Containe todos los nodos de la agrupación, separadas por un ';'. Utilizado por los comandos
Agrega un firmantes de certificados de cliente a una lista de clientes que utilizan este aceptables firmante. especifique el
número de serie del certificado en hexadecimal y el issuerDN del certificado de cliente.
firmante, en caso de que la TSA es el número de serie de información Marca de tiempo utilizado. Los datos se almacenan con el mismo
como archivos separados con el ID de archivo como el nombre del archivo en la ruta especificada.
Todos los datos se almacenan como archivos separados con el ID de archivo como el nombre del archivo en la ruta especificada.
firmantes basados HTTP como la TSA pueden ser agrupados utilizando un servlet chequeo devolver el estado del servidor de señalización. El servlet
de comprobación de estado se puede configurar en el archivo src / web / chequeo de salud / WEB-INF / web.xml. Con la configuración por defecto
será el servlet devolver el texto 'Allok' Al acceder a la url http: // localhost: 8080 / servidor señal / Verificación de salud / servidor Muestra de la salud . Si hay
algún problema con el servidor de señalización y el mensaje de error será tarde vuelta en su lugar.
Página No. / Página No.
El servlet de comprobación de estado también se puede utilizar para monitorear los signos erver mediante la creación de un guión que supervisa la url
periódicamente mensajes de error.
Punta, latido del corazón con ldirectord es una buena solución para un equilibrador de carga y funciona bien con el servidor de suscripción.
Aquí viene algunas notas sobre la configuración de un cluster MySQL y perfoming los
testscripts utilizados para configurarlo.
Probado con MySQL 4.1.11 y 3.1.10 conector JDBC En primer lugar instalar
# servidor de gestión
[NDB_MGMD]
Hostname = 192.168.0.3 # la IP de este servidor
# Motores de almacenamiento
[NDBD]
Hostname = 192.168.0.1 # la IP del primer servidor
DATADIR = / var / lib / MySQL-cluster [NDBD]
-----FIN ----
ndb_mgmd
siguiente:
- - - - - COMENZAR
---- [mysqld] ndbcluster
La variable de almacenamiento por defecto deben fijarse de manera JBOSS puede crear
automáticamente es tablas.
inicio /etc/rc.d/init.d/mysql.server
Nota: Se debe utilizar SOLAMENTE --initial Si usted está comenzando desde cero o ha cambiado el archivo
config.ini en la gerencia de lo contrario sólo tiene que utilizar ndbd. Hacer exactamente lo mismo para el otro
nodo.
El siguiente paso es comprobar que todo está funcionando. Esto se realiza en la estación de
administración con el comando ndbd_mgm. En el 'show' de impresión consola y obtendrá
algo como:
---- ----- BEGIN
configuración de clúster
----------------- - ---
Página No. / Página No.
id = 1
nodo (s) id = 4
TIP Si experimenta problemas después de un nodo de datos MySQL bajando y se quejan de no poder
conectarse a una toma de corriente, ejecute este comando en el concole managment: borrar
definitivamente sesiones rancio
Para hacer una prueba de la setupsusing JDBC Hay dos pequeñas escritura de la prueba. En
primer lugar crear una base de datos de prueba en una mesa y 'ctest' con los siguientes comandos:
prueba de uso;
GRANT ALL ON * A prueba de 'usuario' @ '<su anfitrión escritura de la prueba>' IDENTIFICADAS POR 'foo123' Para probar el
cluster Hay dos scripts de prueba pequeña prueba de hormigas:. DB que hace pruebas básicas de funcionalidad
y pruebas: dbContiously que se suma un entero cada segundo y comprueba que lo que realmente
havebeen añadió. Se da salida a los datos de las cuales usted puede test_out.txt cola para ver lo que
está pasando Cuando uno de los servidores es derribado.
13 Pruebas
Sólo funciona sin requisitos de autenticación de clientes ya través de HTTP. Para ejecutar el cliente
hacer
hormiga
CD dist-cliente
java-jar timeStampClient.jar "http: // <nombre de host>: 8080 / Sign Server / TSA signerId = 1"
El firmante marca de tiempo havebeen probado con el cliente OpenTSA con molestarse HTTP y HTTPS.
14 para desarrolladores
Para los firmantes personalizados DE DESARROLLO PARA EL señal de fichas de los siguientes pasos tienen que ser hechas
Puede definir sus propias propiedades que el firmante puede utilizar para la configuración.
• Grabar el firmante de la solicitud mediante la edición del archivo signserver_server.properties y asignarle un ID.
Puede definir las propiedades propias de unas fichas de signo en la misma forma que para los firmantes. Las propiedades llegan tarde a las
fichas de señal en la inicialización.
• Grabar la señal de signo a un firmante mediante la edición del archivo signserver_server.properties.
Página No. / Página No.
15 Referencias