迈普mpseccmsssl故障排除手册.docVIP

迈普MPSec CMS-SSL故障排除手册 v1.0 2004年5月 CMS、SSL工作的基本原理及快速入门 本章简单介绍了CMS、SSL的基本工作原理。通过本章的阅读，您将了解到CMS、SSL的使用环境，应用模式以及相关的技术标准。 CMS/SSL的应用环境 SSL是能够实现远程移动办公的一款产品。它适用的环境如下： 公司或者企业有移动办公的用户或者分支机构、合作伙伴等，需要访问中心的业务服务器，虽然不使用SSL系统也能够实现这样的功能，但是在上面的网络拓扑中，所有的业务数据都是通过Internet上面明文传输，其安全性得不到保证。 当采用了SSL系统以后，其网络拓扑如下： 这时候，在中心端放置一台SSL600服务器，在下端的PC上面，安装SSL 600客户端软件，他就可以和中心的SSL 600建立SSL隧道，保证用户的数据在Internet上面能够安全的传输。 在上面的网络拓扑中，CMS并没有和SSL 600服务器或者SSL600客户端连接在一起。CMS扮演的角色是给SSL系统中的每一个使用者颁发、撤销证书，而证书的分发方式是通过离线方式的。只有当需要在线更新证书、SSL下载CRL列表等情况下才需要CMS与SSL 600服务器端连接到一起。证书的作用是什么呢？其实很好理解，证书有点类似于生活当中的身份证，是证明使用者身份的。对于不安全的Internet网络来说，要想与SSL 600服务器端建立SSL隧道，必须要有管理员统一颁发的证书，并且证书必须是有效地——证书无效的含义有：证书已经被撤销、证书已经过期、证书被篡改等。由于证书的重要性，其存储的方式就非常重要。目前，证书是存储在USB卡（通俗称之为USB钥匙）中。 CMS/SSL使用简述 CMS/SSL的使用相对于路由器、交换机等网络设备来说，复杂一些。CMS/SSL更类似于架构一台服务器所做的一些操作。以下是CMS/SSL使用的整个过程。 初始化USB卡 USB卡在第一次使用的时候，需要进行初始化。没有初始化的USB卡在CMS和SSL上面是无法使用的。此外，只有进行了初始化的USB卡，当USB卡的口令丢失的时候，才能够进行解锁。 ( 注： 目前，有两种USB卡——SSL卡和VRC卡。如下图： 由于成本的考虑，这两种USB卡没有进行统一。SSL卡的容量是8K，是使用在CMS、SSL等设备上面，VRC卡的容量是32K，只能够使用在VRC上面。从USB卡的标签上面可以分别出来，VRC卡有32的字样，SSL卡有8的字样，同时，经过工厂发货后，对于VRC卡，会贴上“MP SEC”的字样，对于SSL卡，会贴上“MP SPC”字样。最后，两种卡是不能够混用的，SSL卡只能按CMS卡的格式进行初始化，VRC卡只能够按VRC卡的格式初始化。 初始化CMS服务器 启动CMS服务器后，在全局模式下面输入cmsserver init命令，按照提示进行操作。在中途，注意牢记您所设置的系统启动密码和超级管理员用户名和密码。 ( 注： 系统启动密码：是启动cmsserver服务需要的密码，如果丢失该密码，cmsserver将无法启动服务。由于该口令无法恢复，如果丢失该口令，只有重新初始化cmsserver，这样会丢失所有数据。 超级管理员用户名和密码：是执行cmsmanager命令后，登录时需要提供的用户名和口令。在cmsmanager里面能够注册管理员用户，并给管理员用户申请证书。如果丢失了超级管理员用户名和密码，将无法重新注册管理员用户，无法对cms服务器证书进行更新，无法更改系统启动密码等各种操作。该用户名和口令也是无法恢复，如果丢失了，也只能初始化cmsserver，这样会丢失所有数据。 启动CMSServer，并且注册管理员用户 系统初始化完成以后，执行cmsserver命令，输入在初始化过程中设置的系统启动密码，就可以启动cmsserver服务。然后执行cmsmanager命令进入到CMS管理工具中。 在CMS管理工具里面，先注册一个管理员用户，然后给该用户申请证书，在申请证书之前，插上USB卡，申请到的证书就被写入到USB卡中。该卡一般被称之为管理员卡，以区别于普通的SSL用户卡。该卡的作用是使用在CMS管理员客户端上面，CMS管理客户端连接到CMS服务器的时候，需要该卡来登录。 在CMS管理客户端登录到CMS服务器颁发普通的SSL卡 使用1.2.3中的做的管理员卡，插到安装了CMS管理客户端的PC上面，如果一切正常的话，就能够登录到CMS服务器。这时候，就可以来注册用户和颁发SSL用户证书了。 对于SSL来说，使用了两种证书，其一是服务器端证书，是使用在SSL 600服务器端；其二是客户端证书，是使用在SSL 600客户端。在申请证