CA证书使用说明13页word资料.docx
《CA证书使用说明13页word资料.docx》由会员分享,可在线阅读,更多相关《CA证书使用说明13页word资料.docx(18页珍藏版)》请在冰点文库上搜索。
CA证书使用说明13页word资料
CA证书使用手册
1.1唐宋或更早之前,针对“经学”“律学”“算学”和“书学”各科目,其相应传授者称为“博士”,这与当今“博士”含义已经相去甚远。
而对那些特别讲授“武事”或讲解“经籍”者,又称“讲师”。
“教授”和“助教”均原为学官称谓。
前者始于宋,乃“宗学”“律学”“医学”“武学”等科目的讲授者;而后者则于西晋武帝时代即已设立了,主要协助国子、博士培养生徒。
“助教”在古代不仅要作入流的学问,其教书育人的职责也十分明晰。
唐代国子学、太学等所设之“助教”一席,也是当朝打眼的学官。
至明清两代,只设国子监(国子学)一科的“助教”,其身价不谓显赫,也称得上朝廷要员。
至此,无论是“博士”“讲师”,还是“教授”“助教”,其今日教师应具有的基本概念都具有了。
系统管理
要练说,先练胆。
说话胆小是幼儿语言发展的障碍。
不少幼儿当众说话时显得胆怯:
有的结巴重复,面红耳赤;有的声音极低,自讲自听;有的低头不语,扯衣服,扭身子。
总之,说话时外部表现不自然。
我抓住练胆这个关键,面向全体,偏向差生。
一是和幼儿建立和谐的语言交流关系。
每当和幼儿讲话时,我总是笑脸相迎,声音亲切,动作亲昵,消除幼儿畏惧心理,让他能主动的、无拘无束地和我交谈。
二是注重培养幼儿敢于当众说话的习惯。
或在课堂教学中,改变过去老师讲学生听的传统的教学模式,取消了先举手后发言的约束,多采取自由讨论和谈话的形式,给每个幼儿较多的当众说话的机会,培养幼儿爱说话敢说话的兴趣,对一些说话有困难的幼儿,我总是认真地耐心地听,热情地帮助和鼓励他把话说完、说好,增强其说话的勇气和把话说好的信心。
三是要提明确的说话要求,在说话训练中不断提高,我要求每个幼儿在说话时要仪态大方,口齿清楚,声音响亮,学会用眼神。
对说得好的幼儿,即使是某一方面,我都抓住教育,提出表扬,并要其他幼儿模仿。
长期坚持,不断训练,幼儿说话胆量也在不断提高。
系统管理模块下分为:
角色管理、用户管理、业务管理和角色权限管理。
1.1.1要练说,先练胆。
说话胆小是幼儿语言发展的障碍。
不少幼儿当众说话时显得胆怯:
有的结巴重复,面红耳赤;有的声音极低,自讲自听;有的低头不语,扯衣服,扭身子。
总之,说话时外部表现不自然。
我抓住练胆这个关键,面向全体,偏向差生。
一是和幼儿建立和谐的语言交流关系。
每当和幼儿讲话时,我总是笑脸相迎,声音亲切,动作亲昵,消除幼儿畏惧心理,让他能主动的、无拘无束地和我交谈。
二是注重培养幼儿敢于当众说话的习惯。
或在课堂教学中,改变过去老师讲学生听的传统的教学模式,取消了先举手后发言的约束,多采取自由讨论和谈话的形式,给每个幼儿较多的当众说话的机会,培养幼儿爱说话敢说话的兴趣,对一些说话有困难的幼儿,我总是认真地耐心地听,热情地帮助和鼓励他把话说完、说好,增强其说话的勇气和把话说好的信心。
三是要提明确的说话要求,在说话训练中不断提高,我要求每个幼儿在说话时要仪态大方,口齿清楚,声音响亮,学会用眼神。
对说得好的幼儿,即使是某一方面,我都抓住教育,提出表扬,并要其他幼儿模仿。
长期坚持,不断训练,幼儿说话胆量也在不断提高。
角色管理
1.1.1.1功能说明
在Easyca1.0系统中,可以执行的单个操作就是一个权限,一定的权限集合就是管理角色。
在Easyca1.0中,系统包含的管理角色有:
证书管理角色、模板管理角色和权限管理角色。
一个管理员可以被授予一个或多个管理角色,以分权的形式对整个系统进行有效管理。
角色管理可以对角色列表中的角色进行添加、编辑和删除。
添加角色是添加新的角色,以便给新的用户添加权限。
编辑角色是编辑已有的角色的名称、编辑和角色描述。
删除角色将删除你所选择的角色。
图3-1:
图3-1
1.1.2用户管理
1.1.2.1功能说明
用户管理模块可以添加新的用户和删除现有的用户,并且在添加新的用户的时候同时分配用户权限,如图3-2:
图3-2
在Easyca1.0系统中,每个用户都必须对应一张系统预置证书角色模板下的有效证书,所以在增加新用户时,必须先得到一张“证书模板”下的,状态为有效的用户证书,然后才能对这张用户证书进行“授权用户权限”操作。
1.1.3业务管理
1.1.3.1功能说明
业务管理是详细描述证书管理中操作对象(证书)的权限范围,此权限范围是所有证书的所属的内部操作和管理平台菜单组成。
因为证书业务权限信息是规定的证书管理的权限范围,所以只有管理员具有证书管理角色,才能对证书业务权限信息进行授权。
图3-3:
图3-3
1.1.4角色权限管理
1.1.4.1功能说明
给各个角色赋予各种权限,每个角色都可以拥有不同的权限。
sasyca1.0的权限分为两块:
1、内部操作:
包含所有业务的权限。
2、管理平台菜单:
包含所有菜单权限。
在选择权限里面选择了“管理平台菜单”下的某个菜单权限,只能打开左侧相应的菜单,却不能有相应的业务操作。
只有在内部操作里面选择好相对应的业务权限。
才是一个完整的权限。
图3-4
图3-4
1.2证书管理
在easyca1.0系统中,只有拥有证书管理角色的管理员才能进行证书和密钥管理的操作。
证书和密钥管理主要包括证书的申请,下载,申请并下载,更新并下载,冻结,解冻,更新,查询,证书实体查询的操作。
1.2.1申请证书
1.2.1.1功能说明
证书申请主要功能是依据各种不同的模板进行证书的申请操作,如果申请成功则返回下载证书需要的两码(参考号和授权码)。
1、选择证书模板:
模板下拉列表框中显示登录的管理员拥有权限的可用的模板列表。
用户依据模板生成申请证书的部分信息(包括基本策略信息,密钥策略信息等)。
2、设置DN:
选择一个证书模板后,设置主题项目后的下拉列表框中显示这个用户拥有的此模板的baseDN,它可以做为此证书的DN信息或是其一部分。
设置DN时要注意:
DN中只支持C,0,OU,T,CN,SN,L,ST,E,DC,UID项;DN各项值中不能包含下列任意字符之一/+\;,“#(英文输入法下)。
3、有效期:
选择一个证书模板后,生效时间默认为当前时间,有效期限默认为所选模板的默认有效期限。
此项目设定了所申请证书的有效期生效和失效时间。
如图3-5:
图3-5
4、申请证书操作完成后,用户得到两码,同时此证书状态被设为“未下载”。
如图3-6
图3-6
1.2.2下载证书
1.2.2.1功能说明
下载证书功能是通过证书申请获得的两码(参考号,授权码),选择一个CSP或是输入自定义P10申请书内容进行证书的下载和安装。
1、两码(参考号,授权码),用户通过申请证书或是更新证书得到的两码,在此用来证书下载。
2、CSP:
选择一个CSP产生密钥信息。
3、自定义P10申请:
复制一份P10申请书内容到输入框中进行证书下载。
4、“CSP”和“自定义P10申请”只能选取一种方式。
如果选取“CSP”则生成的证书会直接安装到本机的IE浏览器(enroll控件支持IE)中。
如果选择“自定义P10申请”的方式,则会生成一张p7b的证书,将证书文件保存到本地,再进行安装。
5、下载证书操作完成后,证书状态被设为“使用中”。
1.2.2.2操作步骤
1、点击左边菜单栏中的【下载证书】,返回下载证书页面,图3-7:
图3-7
2、输入通过申请证书或是更新证书获得的两码(参考号,授权码),点【下一步】进入下一页面,图3-8:
图3-8
3、如果选择“CSP”方式下载证书,则点击“CSP”单选钮,选择一个需要的CSP。
如下图3-9:
图3-9
在图3-9中点击【下载证书】按钮,进行证书的下载和安装。
1.2.3申请并下载证书
1.2.3.1功能说明
申请并下载证书是为了方便用户,将申请证书和下载证书两项操作一起完成的功能。
用户根据模板输入必要的申请信息,并且选择CSP或自定义P10申请书的方式来下载安装证书。
用户根据模板填入必要的信息(详见4.2.1申请证书)由系统产生两码,根据用户选择的证书下载方式(CSP,自定义P10申请)进行证书的下载和安装(其余功能详见1.2.2下载证书)。
1.2.4查询证书
1.2.4.1功能说明
用户通过输入一些查询条件可以查询出符合条件的证书列表,点击证书列表中证书序列号的超链接,可以看到某一张证书的详细信息。
1、用户可以通过证书主题,管理员证书主题,模板,证书序列号和证书状态进行查询。
2、证书序列号:
表示证书的序列号,可以唯一标识一张证书的信息。
3、生效时间和失效时间:
表示证书的有效期的时间段。
4、模板名称:
下拉列表中显示当前执行操作的管理员拥有权限的的模板名称。
可以查询此管理员拥有权限的全部模板的证书。
5、证书状态:
显示证书的所有状态,包括“使用中”,“未下载”,“冻结”,“注销”,四种状态,而且可以查询全部状态的证书。
6、证书信息的检索支持翻页的查询。
1.2.4.2操作步骤
1、点击左边菜单栏中的【查询证书】,返回检索条件设置页面,如图3-10:
图3-10
2、输入需要的查询条件,默认证书主题为模糊查询。
3、选中精确查询的选择框,证书主题条件变为精确查询。
4、查询条件输入完成后,点击【查找】按钮,显示符合条件的证书列表。
图3-11:
图3-11
5、点击列表中的链接,转到查询证书的详细页面,如下图3-12:
图3-12
6、点击【取消】按钮,返回到查询页面,用户输入的条件仍然保留,便于用户再次查询。
1.2.5冻结证书
1.2.5.1功能说明
冻结证书是将使用中的证书冻结一段时间,可以通过解冻操作将其恢复。
此操作将证书的状态设为冻结状态,使得证书在一段时间内不能使用,直到证书被解冻。
1、首先通过查询证书的操作检索到需要冻结的证书,此时证书状态为“使用中”,表示冻结证书操作只能对使用中的证书进行操作,双击打开需要注销的证书。
如下图3-13:
图3-13
2、查询操作请参看4.2.4查询证书的操作。
3、通过检索出的证书列表的链接,转到一张证书的冻结页面。
用户可以进行冻结操作。
1.2.6解冻证书
1.2.6.1功能说明
解冻证书操作是相对于冻结证书操作的,此操作将冻结的证书解冻,即将证书的状态设为使用中,使得证书可以重新使用。
1、先通过查询证书的操作检索到需要解冻的证书,此时证书状态为“冻结”,表示解冻证书操作只能对冻结中的证书进行操作。
2、查询操作请参看3.2.4查询证书的操作。
3、通过检索出的证书列表的链接,转到一张证书的解冻页面,用户可以进行解冻操作。
1.2.6.2操作步骤
1、首先检索出符合条件的证书列表,查询操作请参照4.2.4查询证书操作步骤。
如图3-14:
图3-14
2、点击证书列表链接,转到解冻证书页面。
3、此面显示了需要被解冻证书的证书序列号和证书主题,点击【解冻】按钮,返回是否确认解冻提示:
如图3-15:
图3-15
4、点【确认】完成解冻证书的操作,提示解冻成功,如图3-16;点【取消】取消解冻操作,返回解冻证书页面。
图3-16
1.2.7更新证书
1.2.7.1功能说明
更新证书操作是对正在使用中的证书更改其生效时间、有效期以及扩展域信息。
1、只能对证书状态为使用中且未处于更新过渡期的证书进行更新操作。
2、除可以对证书的生效时间和有效期进行更新外,如果证书存在需要由用户输入的标准扩展域信息或自定义扩展域信息,还可以对扩展域信息进行更新。
3、证书完成更新操作后,获得新的两码。
用户通过两码进行4.2.2下载证书的操作,可以对更新后的证书进行下载并安装的操作。
4、如果模板中没有设置更新过渡期,对该模板类型的证书进行更新后,原证书被立即注销;如果模板中设置了更新过渡期,对该模板类型的证书进行更新后,原证书在过渡期内依旧为使用中状态。
1.2.7.2操作步骤
1、首先检索出符合条件的证书列表,查询操作请参照4.2.4查询证书操作步骤。
如下图3-17:
图3-17
2、点击证书列表链接,转到更新证书页面。
如下图3-18:
图3-18
3、更新证书页面显示了证书序列号和证书主题,生效时间默认为当前时间,有效期限为此证书的有效期限以及需要用户设置的扩展域项和信息值。
可以对生效时间、有效期限及扩展域信息进行合理修改。
4、点击【更新】按钮,返回是否确认更新提示,如图3-19:
图3-19
5、点击【确定】,提示更新成功如图3-20。
图3-20
6、更新成功,用户可以用更新后的两码重新下载证书。
1.2.8注销证书
1.2.8.1功能说明
注销证书操作是对某些证书进行注销操作,被注销的证书禁止使用,并且不能被恢复。
1、可以注销证书状态为“使用中”,“冻结”,“未下载”的证书。
2、对处于更新过渡期的证书不能进行注销操作。
3、注销证书需要选择注销此证书的原因(默认为“未指明原因”),可以填写注销证书的描述信息。
4、注销后证书的状态被设为“注销”,如果是未下载的证书被注销则证书被设为“未下载注销”。
5、注销后的证书不能被恢复。
1.2.9查询证书实体
1.2.9.1功能说明
用户通过输入查询条件可以查询出符合条件的证书列表,点击证书列表的链接,可以将所选中的证书实体保存到本地。
1、用户可以通过证书主题,模板,证书序列号和证书状态进行查询。
2、证书主题(证书DN)的查询可以分为精确查询和模糊查询,默认为模糊查询。
3、模板名称:
显示当前系统内存在的所有模板列表。
4、证书序列号:
表示证书的序列号,可以唯一标识一条证书信息。
5、证书状态:
显示可以下载证书实体的证书状态,包括“使用”,“注销”,“冻结”三种状态,而且可以查询三种状态的所有证书。
6、证书主题,证书序列号如果不填入信息,模板选择全部模板,证书状态选择所有可查询状态,则检索出全部模板下三种状态的证书信息。
7、证书实体查询列表支持翻页功能。
图3-21:
图3-21
1.3证书模板
证书模板用于定义证书的类别,每一个证书模板定义这一类证书的共同特点。
包括证书的有效期限制、密钥类型和密钥长度、是否需要发布及发布的方式以及证书中该包含的扩展域及其扩展域的值等信息。
初始化成功后,系统自动创建部分证书模板,包括:
Ø本系统通信证书模板—用于签发本系统使用的安全通信证书(本模板为系统使用模板,不能进行修改、删除、注销操作)
Ø本系统管理员证书模板—用于签发本系统使用的管理员证书(本模板为系统使用模板,不能进行修改、删除、注销操作)
Ø通用证书模板—用于签发既包含签名用途又包含加密用途的证书
Ø签名证书模板—用于签发做为签名用途的证书
Ø加密证书模版—用于签发做为加密用途的证书
ØSSL服务器证书模板—用于签发SSL服务器证书
Ø代码签名证书模板—用于签发做为代码签名用途的证书
ØOCSP签名证书模板—用于签发OCSP服务器的签名证书
Ø时间戳签名证书模板—用于签发时间戳服务器签名证书
ØCA证书模板—用于签发子CA签名证书或其它CA证书
Ø交叉证书模板-用于签发CA的交叉认证证书
ØRA业务员证书模板-用于为RAServer签发业务管理员证书
对于这些系统模板,如果要颁发的证书需要发布,可以将模板的发布策略改为发布;
预置的扩展域项建议不要删除,但可以添加。
其中智能卡登录-域用户证书模板和智能卡登录-域控制器模板是为了Easyca1.0支持Windows智能卡登录(SmartCardLogon)而预置的,在使用前需要注意:
预置的密钥用法、增强型密钥用法扩展域中的项不能删除,只能添加;预置的CRL分布点扩展域不能删除;证书模板(用于windows智能卡登录)扩展域使用默认值。
另外,需要修改主题备用名称(用于Windows智能卡登录)扩展域:
智能卡登录-域用户证书模板需要在智能卡用户域名这项中填写智能卡用户所在域的域名;智能卡登录-域控制器模板需要在域控制器域名这项中填写域控制器所在域的域名,在域控制器GUID这项中填写域控制器的GUID(域控制器GUID的获取方法,不在该文档的说明范围,请查阅Windows相关帮助文档)。
自定义扩展域是用户自己定义的证书扩展域,即当前系统不支持的扩展域,用户可以通过自定义扩展功能来动态的增加对这些扩展域的支持。
系统会维护所有自定义扩展域的列表,创建证书模板的时候可以指定证书中包含这些自定义的扩展。
这部分的功能包括证书模板管理和自定义扩展域的管理两部分,只有具有模板管理角色
的管理员才能进行这两部分管理,具体的功能包括:
1、浏览模板
列出当前系统中定义的所有证书模板,并可以查看模板的详细信息。
2、添加模板
为系统增加一个证书模板的定义。
3、修改模板
修改系统中已经存在的一个证书模板。
4、删除模板
删除一个已经定义好的但是还没有被使用的证书模板。
5、注销模板
注销已经被使用过的一个证书模板,以后将不再使用该模板。
6、浏览自定义扩展
列出当前系统中定义的所有自定义扩展域,并可以查看详细信息。
7、添加自定义扩展
为系统增加一个自定义扩展域的定义。
8、修改自定义扩展
修改已经存在的一个自定义扩展域。
9、删除自定义扩展
删除一个已经定义好的但是还没有被某个证书模板使用的自定义扩展域。
10、注销自定义扩展
注销已经被使用过的一个自定义扩展域,以后创建证书模板的时候将不再使用该扩展。
1.3.1浏览模板
1.3.1.1功能说明
浏览证书模板功能可以列出当前系统定义的所有证书模板,还可以查看选中的证书模板的详细信息。
在证书模板列表中,按序号显示证书模板,包含模板的名称、模板的状态和模板的描述信息。
模板的名称用来在系统中唯一标识一个证书模板,并且可以简要的说明证书模板的用途。
模板的状态表示证书模板在系统中所处的状态,包括未使用、使用中和已注销三个状态。
其中未使用状态表示模板已经定义好,但还没用来进行证书申请的操作。
使用中状态表示已经用该证书模板进行了证书申请的操作。
已注销表示证书模板已经作废,以后不能用来进行证书申请,但是考虑到以前已经用它申请了证书,所以系统中保留这样一条记录,通过已注销来标识以后不再使用。
证书模板描述信息是对证书模板用途的较为详细的描述。
点击模板列表中的某一个模板名称可以查看该模板的详细信息。
详细信息中包括:
Ø基本信息
Ø基本策略
Ø扩展域信息
基本信息中包括模板名称、模板状态、模板描述和模板的属性。
模板属性表示该证书模板是CA证书模板还是用户证书模板。
基本策略中包含有效期策略、密钥策略、发布策略、密钥容器策略、更新时替换原有证书和更新过渡期。
有效期策略限制申请证书的最大有效期和最晚的失效时间,同时提供证书的默认有效期;密钥策略指定这类证书使用的密钥算法类型、密钥长度和密钥的产生位置(密钥管理中心或者客户端本地);发布策略指定这类证书是否进行发布,如果发布的话选择发布的方式。
系统支持两种发布方式:
LDAP和文件;密钥容器策略指定证书的密钥容器类型,即签名和加密两种类型;更新时替换原有证书复选决定更新证书时是否替换原有证书;如果配置文件中配置了应用证书更新过渡期(见CA安装手册配置文件说明11.2.7.17),选择更新证书时不替换原有证书时,可以设置更新过渡期,更新过渡期内新旧证书状态都为使用中。
扩展域信息中指定这类证书中应该包含的扩展域及扩展域值,其中包括标准扩展域和自定义扩展域两部分。
系统目前支持下列标准扩展域:
Ø颁发机构密钥标识符
Ø主题密钥标识符
Ø密钥用法
Ø增强型密钥用法
Ø基本限制
ØCRL发布点
Ø签发机构信息访问
ØNetscape证书类型
Ø证书策略
Ø策略映射
Ø策略限制
Ø主题备用名称
Ø身份标识码
Ø个人社会保险号
Ø企业组织机构代码
Ø企业工商注册号
Ø企业税号
Ø证书模板(用于windows智能卡登录)
如果还需要在证书中支持其他种类的扩展域,可以通过添加自定义扩展域的功能来实现。
1.3.1.2操作步骤
1、点击左边的模板管理展开功能项,点击【浏览模板】,显示所有模板列表,如图3-22:
图3-22
序号:
标识该证书模板在当页显示的位置。
名称:
标识该证书模板名字。
状态:
标识该证书模板在本系统中的状态,包括未使用、使用中、已注销。
描述:
标识该证书模板简单的描述。
2、双击打开后可以显示模板的详细信息,如选择通用证书模板进行查看。
浏览证书模板的时候,不能修改模板信息。
如图3-23:
图3-23
3、标准扩展域信息和自定义扩展域信息可以点击标题进行收缩和展开查看。
1.3.2添加模板
1.3.2.1功能说明
添加证书模板功能用于向系统中增加一个新的证书模板。
用户通过指定模板的基本信息和策略信息,完成一个证书模板的定义,然后提交给系统。
模板中的信息详见浏览模板功能说明中的介绍。
基本信息中,模板名称是必须填写的,必须为一个有效的证书模板名称。
模板名称用来在系统中唯一确定一个证书模板,名称中不能包含下列任意字符之一/\:
*?
“<>|(英文输入法下)。
模板描述用来较为详细的描述模板的用途,填写这项的时候一定要注意与模板的用途保持一致。
模板的属性表示该模板为CA证书模板还是用户证书模板,默认为用户证书模板。
基本策略中,有效期策略用来限制申请证书的有效期,包含三项内容:
默认有效期、最大有效期和失效时间限制。
默认有效期用来设定使用该模板申请证书时默认填写的证书的有效期;最大有效期就是用这个证书模板申请的证书的有效期的最大值;失效时间限制用来限制证书的失效时间,用这个模板申请的证书的失效时间不能晚于这个限制。
扩展信息中定义证书中应该包含那些扩展域,包括标准扩展域和自定义扩展域。
对于每一个扩展域,如果选中的话,都必须指定是否是关键的属性。
对于签发机构密钥标识符、主题密钥标识符、CRL发布点、签发机构信息访问和证书策略这几个标准扩展域来说,只要选中是否支持该扩展域和指定关键与否的属性即可。
而密钥用法、增强型密钥用法、Netscape证书类型、基本限制、策略映射、策略限制、主题备用名称等,还需要指定扩展域的值或取值方式。
1.3.2.2操作步骤
1、左边菜单栏中点击【添加模板】,显示添加模板信息设置页面,图3-24:
图3-24
2、合理设置证书模板基本信息和基本策略。
3、配置扩展域信息:
扩展域信息中列出了系统中支持的标准扩展域,可以通过扩展域前面的复选框选择定义模板中是否包含这个扩展域,并设置关键与否。
如图3-25:
图3-25
其中,密钥用法、增强型密钥用法、Netscape证书类型、基本限制、策略映射、策略限制、主题备用名称等几个扩展域的值需要进行设置,如果选择这几个扩展域的话,必须进行扩展域值的配置。
配置基本限制,可以配置证书是否为CA证书。
如图3-26:
图3-26
4、策略映射、策略限制、主题备用名称、身份标识码、个人社会保险号、企业组织机构代
码、企业工商注册号、企业税号除设置关键与否外,还要设置取值方式。
取值方式有两种:
证书申请时非必须指定即申请证书时可以不设定该扩展项的值;证书申请时必须指定即申
请证书时必须设定该扩展项的值。
如图3-27:
图3-27-
7、完成所有的信息设置后,点击【添加模板】按钮提交新定义的模板,添加成功后,返回模板列表,其中包含新定义的模板。
1.3.3修改模板
1.3.3.1功能说明
修改证书模板功能可以用来修改证书模板的内容,系统允许修改未使用的证书模板和使用中的证书模板,对于已经注销的模板,不允许进行修改。
对于未使用状态的证书
升级会员 