网络卫士系列配套软件 证书管理系统用户手册 版本号:5.6.40 了秃 北 京天融信公 司 二00五年十二月
网络卫士系列配套软件 证书管理系统用户手册 版本号: 5.6.40 北 京 天 融 信 公 司 二OO五年十二月
目 录 1系统介绍 .3 1.1数字证书概述 .3 1.1.1数字证书介绍 .3 1.1.2数字证书原理 3 1.2证书管理系统概述 .4 2系统安装… 4 2.1 安装证书管理器 .4 2.2 卸载证书系统… 6 3证书管理器基本功能 .7 3.1管理器配置 7 3.1.1CA配置 7 3.1.2证书有效时间 .8 3.1.3退出. .9 3.2证书操作 9 3.2.1导入证书和私钥 .9 3.2.2批量导入证书和私钥 10 3.2.3导出证书和私钥. 12 3.2.4 EPASS操作 13 3.2.5EKEY操作… 13 3.3用户操作. 13 3.3.1添加新用户 13 3.3.2修改用户信息 .15 3.3.3 删除用户.。 .16 3.3.4批量导入用户… .16 3.4用户查询.. 18 3.4.1刷新… 18 3.4.2编辑查询条件. .18 3.5视图&帮助.… .20 4注意事项&常见问题. .20 4.1注意事项. .20 4.2常见问题.. .21
目 录 1 系统介绍 ......................................................................................................................3 1.1 数字证书概述.....................................................................................................3 1.1.1 数字证书介绍............................................................................................3 1.1.2 数字证书原理............................................................................................3 1.2 证书管理系统概述 .............................................................................................4 2 系统安装 ......................................................................................................................4 2.1 安装证书管理器.................................................................................................4 2.2 卸载证书系统.....................................................................................................6 3 证书管理器基本功能.....................................................................................................7 3.1 管理器配置........................................................................................................7 3.1.1 CA 配置.....................................................................................................7 3.1.2 证书有效时间............................................................................................8 3.1.3 退出..........................................................................................................9 3.2 证书操作............................................................................................................9 3.2.1 导入证书和私钥 ........................................................................................9 3.2.2 批量导入证书和私钥...............................................................................10 3.2.3 导出证书和私钥 ......................................................................................12 3.2.4 EPASS 操作 ............................................................................................13 3.2.5 EKEY 操作 ..............................................................................................13 3.3 用户操作..........................................................................................................13 3.3.1 添加新用户 .............................................................................................13 3.3.2 修改用户信息..........................................................................................15 3.3.3 删除用户.................................................................................................16 3.3.4 批量导入用户..........................................................................................16 3.4 用户查询..........................................................................................................18 3.4.1 刷新........................................................................................................18 3.4.2 编辑查询条件..........................................................................................18 3.5 视图&帮助 .......................................................................................................20 4 注意事项&常见问题....................................................................................................20 4.1 注意事项..........................................................................................................20 4.2 常见问题..........................................................................................................21
1系统介绍 1.1数字证书概述 1.1.1数字证书介绍 数字证书是由证书颁发机构(CA)对用户信息和用户公钥进行数字签名的数据信息集合。数字 证书能够在网络通讯中标志通讯各方的身份,它提供了在Internet.上验证通信各方身份的方法, 它是由权威机构一CA认证机构,又称为证书授权(Certificate Authority)中心发行。 数字证书是经证书管理中心数字签名的包含公开密钥、拥有者信息以及公开密钥的文件。证 书的格式遵循ITUT X.509国际标准。X.509数字证书通常包含以下内容: 证书的版本信息: 证书的序列号,每个证书都有唯一的证书序列号: 证书所使用的签名算法: 证书的发行机构名称,命名规则一般采用X.500格式: 证书的有效期,通用的证书一般采用UTC时间格式,它的计时范围为1950-2049: 证书所有人的名称,命名规则一般采用X.500格式: 证书所有人的公开密钥: 证书发行者对证书的签名。 1.1.2数字证书原理 数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户可以设定特 定的仅为本人所知的私有密钥(私钥),用它进行数据解密和签名:同时设定一把公共密钥(公 钥)并由本人公开,为对方用户所共享,用于数据加密和验证签名。 当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥 解密,这样信息就可以安全无误地到达目的地了。数字加密是一个不可逆过程,即只有使用私有 密钥才能解密。 在公开密钥密码体制中,常用的是RSA体制。其数学原理是将一个大数分解成两个质数的乘积, 加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出 解密密钥(私密密钥),在计算上是不可能的。 公开密钥体系解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。 使用者可以使用接受方的公开密钥对发送的信息进行加密,安全地传送到对方,然后由接受方使 用自己的私有密钥进行解密。 数字证书中的数字签名部分是用户的电子身份证。用户可以采用自己的私钥对信息加以处理, 由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。数字签名告 诉收件人该信息确实由您发出,不是伪造的,也没有被篡改
1 系统介绍 1.1 数字证书概述 1.1.1 数字证书介绍 数字证书是由证书颁发机构(CA)对用户信息和用户公钥进行数字签名的数据信息集合。数字 证书能够在网络通讯中标志通讯各方的身份,它提供了在Internet上验证通信各方身份的方法, 它是由权威机构-CA认证机构,又称为证书授权(Certificate Authority)中心发行。 数字证书是经证书管理中心数字签名的包含公开密钥、拥有者信息以及公开密钥的文件。证 书的格式遵循ITUT X.509国际标准。X.509数字证书通常包含以下内容: 证书的版本信息; 证书的序列号,每个证书都有唯一的证书序列号; 证书所使用的签名算法; 证书的发行机构名称,命名规则一般采用X.500格式; 证书的有效期,通用的证书一般采用UTC时间格式,它的计时范围为1950-2049; 证书所有人的名称,命名规则一般采用X.500格式; 证书所有人的公开密钥; 证书发行者对证书的签名。 1.1.2 数字证书原理 数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户可以设定特 定的仅为本人所知的私有密钥(私钥),用它进行数据解密和签名;同时设定一把公共密钥(公 钥)并由本人公开,为对方用户所共享,用于数据加密和验证签名。 当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥 解密,这样信息就可以安全无误地到达目的地了。数字加密是一个不可逆过程,即只有使用私有 密钥才能解密。 在公开密钥密码体制中,常用的是RSA体制。其数学原理是将一个大数分解成两个质数的乘积, 加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出 解密密钥(私密密钥),在计算上是不可能的。 公开密钥体系解决了密钥发布的管理问题,用户可以公开其公开密钥,而保留其私有密钥。 使用者可以使用接受方的公开密钥对发送的信息进行加密,安全地传送到对方,然后由接受方使 用自己的私有密钥进行解密。 数字证书中的数字签名部分是用户的电子身份证。用户可以采用自己的私钥对信息加以处理, 由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。数字签名告 诉收件人该信息确实由您发出,不是伪造的,也没有被篡改
1.2证书管理系统概述 证书管理系统是一个小型的CA(Certificate Authority)认证系统。在目前国内CA系统还不 是很完善的情况下,可以代替CA系统完成证书请求,证书以及私钥的生成。 证书管理系统采用图形化的界面,分级目录的形式进行管理,以方便用户的使用。由于本系 统采用分级目录的形式,证书和私钥在磁盘上的存放清晰明了,手工管理也非常方便。用户还可 以直接在磁盘上获得相应的证书和私钥文件。 2系统安装 2.1安装证书管理器 证书管理器是一个小型的证书管理系统。它支持Windows98以后的各种操作系统,全中文界 面,安装、操作方便简单。其安装步骤如下: 点击证书管理器的安装程序,弹出如图2.1-1的设置界面, 16 天刚信 TOPSEC 天黄临活核 天信伊,束依开内座过设些 三速香丰有导有保容异民山作所南应再理年可 苦更量法,请唐下一卡“。 天 信 5f1●11 证书管理器 e传 图2.1-1安装界面一 直接点击“下一步”,出现如图界面:
1.2 证书管理系统概述 证书管理系统是一个小型的CA(Certificate Authority)认证系统。在目前国内CA系统还不 是很完善的情况下,可以代替CA系统完成证书请求,证书以及私钥的生成。 证书管理系统采用图形化的界面,分级目录的形式进行管理,以方便用户的使用。由于本系 统采用分级目录的形式,证书和私钥在磁盘上的存放清晰明了,手工管理也非常方便。用户还可 以直接在磁盘上获得相应的证书和私钥文件。 2 系统安装 2.1 安装证书管理器 证书管理器是一个小型的证书管理系统。它支持Windows98以后的各种操作系统,全中文界 面,安装、操作方便简单。其安装步骤如下: 点击证书管理器的安装程序,弹出如图2.1-1的设置界面, 图 2.1-1 安装界面一 直接点击“下一步”, 出现如图界面:
天融信VP系统 ☒ 欢迎您使用天融信VP系统 本向导允许您升级计算机中的天融信证书管理器到5.60,40版, 若要继缕,请单击“下一步”。 天 信 InstallShield 〈上一步)下一步)习 取消 图2.1-2安装界面二 继续点击“下一步”, 天融信VPI系统 ☒ 安装状态 证书管理器安装程序正在执,行所请求的操作。 安装 C:Pro胶mFi1esl天融信证书管理器1ibey32.Ll II 天 融 信 InstullShed 取消
图2.1-2 安装界面二 继续点击“下一步
图2.1-3安装界面三 安装完成后, 天融信T系统 天融信VT系统 升级向导 已成功升级了天融信证书管理器,在使用本系统之前,必须重新启动计算机。 ◇是,立即重新启动计算机。 ●否,稍后再重新启动计算机。 从动器中取出所有避盘,然后单击“完成”以完成安装。 天 信 InstaliShield 〈上一步)厂完成 取消 图2.1-4安装界面四 点击“完成”,等待计算机重启后既可使用。 2.2卸载证书系统 用户如果需要卸载证书管理系统,请点击“开始”菜单,在“程序”中找到“证书管理系统”,点 击“卸载证书管理系统”选项(如图2-7)既可完成卸载
图2.1-3 安装界面三 安装完成后, 图2.1-4 安装界面四 点击“完成”,等待计算机重启后既可使用。 2.2 卸载证书系统 用户如果需要卸载证书管理系统,请点击“开始”菜单,在“程序”中找到“证书管理系统”,点 击“卸载证书管理系统”选项(如图2-7)既可完成卸载
3证书管理器基本功能 启动证书管理系统后,如下图所示,证书管理器应用程序主界面是个标准的Windows应用 程序,主要由证书管理树视图区、用户列表区、查询结果区、证书信息区、私钥信息区构成,下 面将对其基本功能分别介绍。 参证书管理器一[用户列表] ▣ :管理器配置证书操作用户操作用户查询视窗帮助 -日× :凹牌米雪牌*四山贝B竹k“的$厚宁免司回▣回②②纪 天融信证书管理器名 证书管理 编号国家省直辖市市地区组织部门用户名邮箱用户类型证 Q证书管理中心 用户列表 信息窗口 W4◆M正书信息人私钥信息/ CAP NUM SCRL 图3-1CA证书管理主界面 3.1管理器配置 3.1.1CA配置 操作步骤: 1.点主菜单管理器配置->CA配置,弹出CA配置对话框:
3 证书管理器基本功能 启动证书管理系统后,如下图所示,证书管理器应用程序主界面是个标准的 Windows 应用 程序,主要由证书管理树视图区、用户列表区、查询结果区、证书信息区、私钥信息区构成,下 面将对其基本功能分别介绍。 图 3-1 CA 证书管理主界面 3.1 管理器配置 3.1.1 CA 配置 操作步骤: 1.点主菜单管理器配置->CA 配置,弹出 CA 配置对话框;
CA设置 模式设置LDAP SCEP C外部CA C内部CA 一根证书 当前根证书文件: C:\certngicacert.pem 重新导入· 当前私钥文件: :ertng\private\cakey.pem 重新导入.一 厂L自动更新: 时 分 厂更新CL失败后,允许使用以前的CL进行验证 确定 取消 图3.1.1-1CA设置 2.也可以点“重新导入..”钮,选择*pem证书文件导入根证书文件和私钥文件替换当前根 证书文件和当前私钥文件: 内部CA:当前为内部CA工作模式 根证书:选择的CA根证书将用来对证书进行数字签名 3.1.2证书有效时间 证书管理器支持证书有效时间设置。 操作步骤: 1.点主菜单管理器配置->证书有效时间,弹出证书有效时间设置对话框,如图: 证书有效时问设置 当前有效时间为: 730 天(1-9125) 修改为: 1000 天(1-9125) 确定(Q) 取消(C) 图3.1.2-1证书有效时间设置
图 3.1.1-1 CA 设置 2.也可以点“重新导入…”钮,选择*.pem 证书文件导入根证书文件和私钥文件替换当前根 证书文件和当前私钥文件; 内部 CA: 当前为内部 CA 工作模式 根证书: 选择的 CA 根证书将用来对证书进行数字签名 3.1.2 证书有效时间 证书管理器支持证书有效时间设置。 操作步骤: 1.点主菜单管理器配置->证书有效时间,弹出证书有效时间设置对话框,如图; 图 3.1.2-1 证书有效时间设置
2.默认的有效时间是730天,用户可以根据自己的需要改为需要的时间(1-9125天),修 改完成后点击确定按钮: 3.操作完成后,系统弹出提示对话框,如图: 证书有效期限设置 ☒ 修改成功,以后生成的证书的有效哪限是1000天。已经生成的证书不受影响 确定 图3.1.2-2证书有效期限设置成功 4.点击确定按钮,操作成功。 3.1.3退出 在使用完毕后,需要终止证书管理器程序时,执行退出操作。也可点击主窗口右上角“X” 钮关闭主窗口,达到退出程序目的。 3.2证书操作 证书操作菜单下主要用来单独导入、批量导入证书和私钥,及对EPASS或者EKEY的各项 操作。下面将分别介绍。 3.2.1导入证书和私钥 在证书管理器中,可以通过“导入证书和私钥”项单独导入单个用户的证书和私钥。 操作步骤: 1、点击主菜单证书操作->导入证书和私钥,弹出“指定证书和私钥文件”对话框,如图: 指定证书和私钥文件 证书文件 私钥文件 浏览.. 确定 取消 图3.2.1-1指定证书和私钥文件 2、选择指定的证书文件和私钥文件,点击确定,可以看到选定的用户证书和私钥文件己经 添加进证书管理器。选定当前用户证书,可以在右边窗口下边窗口中可以看到当前选定用户证书 信息和私钥信息。如图:
2.默认的有效时间是 730 天,用户可以根据自己的需要改为需要的时间(1-9125 天),修 改完成后点击确定按钮; 3.操作完成后,系统弹出提示对话框,如图; 图 3.1.2-2 证书有效期限设置成功 4.点击确定按钮,操作成功。 3.1.3 退出 在使用完毕后,需要终止证书管理器程序时,执行退出操作。也可点击主窗口右上角“X” 钮关闭主窗口,达到退出程序目的。 3.2 证书操作 证书操作菜单下主要用来单独导入、批量导入证书和私钥,及对 EPASS 或者 EKEY 的各项 操作。下面将分别介绍。 3.2.1 导入证书和私钥 在证书管理器中,可以通过“导入证书和私钥”项单独导入单个用户的证书和私钥。 操作步骤: 1、点击主菜单证书操作->导入证书和私钥,弹出“指定证书和私钥文件”对话框,如图: 图 3.2.1-1 指定证书和私钥文件 2、选择指定的证书文件和私钥文件,点击确定,可以看到选定的用户证书和私钥文件已经 添加进证书管理器。选定当前用户证书,可以在右边窗口下边窗口中可以看到当前选定用户证书 信息和私钥信息。如图:
命证书管理器一【用户列表] -▣× :管理器配置证书操作用户操作用户查询视窗帮助 -日X :凹?留服留臼贝B的乎的中寻分%司回▣▣②1⑦0 天融信证书管理器 证书管理 编号国家省值辖市市地区组织部门用P名趣箱用户类型 一Q证书管理中心 CN rT.. Vc用P■C 月用户列表 信息窗口 Certificate: Data: Version:3 (0x2) Serial Number:65 (0x41) Signature Algorithm:md5WithRSAEncryption Issuer:C=CN,ST=hb,L=wh,0=tit,OU=vpn, Validity Not Refore·Anm13n1·36~dd2 0nd GuT N4,H证书信息人私钥信息 CAP NUM SCRL 图3.2.1-2导入证书和私钥 3.2.2批量导入证书和私钥 在证书管理器中,可以通过“批量导入证书和私钥”项批量导入多个用户的证书和私钥,这 样可以方便管理员操作、管理,并大大减轻管理员的工作量。 操作步骤: 1、点击主菜单证书操作->批量导入证书和私钥,弹出“打开”对话框,选定要导入的所有证 书和私钥,如图: 打开 3X 查找范围): B新建文件夹 久包心困 cert01.pem key4e.key cert4d.pem key10.key cert4e.pem cert10.pem key01.key key4d.key 文件名图): "key10.key""cert01.pem""cert4d.pem" 打开@) 文件类型①): 证书或私钥文件体.pem:*,key) 取消
图 3.2.1-2 导入证书和私钥 3.2.2 批量导入证书和私钥 在证书管理器中,可以通过“批量导入证书和私钥”项批量导入多个用户的证书和私钥,这 样可以方便管理员操作、管理,并大大减轻管理员的工作量。 操作步骤: 1、点击主菜单证书操作->批量导入证书和私钥,弹出“打开”对话框,选定要导入的所有证 书和私钥,如图: