2.4. Web 界面

本节介绍 Firefox 访问 PKI 服务的浏览器初始化。

您可以通过在浏览器中打开 https://host_name:port 来访问 PKI 服务。

所有子系统都使用基于 HTML 的管理界面。可通过输入主机名和安全端口作为 URL 访问，使用管理员的证书进行身份验证，然后单击适当的 Administrators 链接。

注意

所有子系统都有一个 TLS 端口，用于管理员和代理服务。对这些服务的访问受基于证书的身份验证的限制。

HTML 管理界面比 Java 控制台更有限；主要管理功能是管理子系统用户。

TPS 仅允许操作管理 TPS 子系统的用户。但是，TPS 管理页面也可以列出令牌，并显示在 TPS 上执行的所有活动（包括通常隐藏的管理操作）。

图 2.2. TPS Admin Page

代理服务页面几乎执行所有证书和密钥管理任务。这些服务基于 HTML，代理使用特殊代理证书向站点进行身份验证。

图 2.3. 证书管理器的代理服务页面

具体操作因子系统而异：

证书管理器代理服务包括批准证书请求（签发证书）、撤销证书以及发布证书和 CRL。CA 发布的所有证书都可以通过其代理服务页面进行管理。
TPS 代理服务（如 CA 代理服务）管理已格式化且已通过 TPS 向它们发布证书的所有令牌。令牌可以被代理注册、暂停和删除。另外两个角色(operator 和 admin)可在 Web 服务页面中查看令牌，但不能对令牌执行任何操作。
KRA 代理服务页面处理密钥恢复请求，如果证书丢失，该请求是否允许使用现有密钥对来签发证书。
OCSP 代理服务页面允许代理配置将 CRL 发布到 OCSP 的 CA，手动将 CRL 加载到 OCSP，并查看客户端 OCSP 请求的状态。

TKS 是唯一没有代理服务页面的子系统。

CA 和 TPS 都以某种方式处理直接用户请求。这意味着最终用户必须有一个方法来连接这些子系统。CA 具有 最终用户或终端实体 HTML 服务。TPS 使用企业安全客户端。

最终用户服务使用服务器的主机名和标准端口号通过标准 HTTP 访问；也可以使用服务器的主机名和特定的端到端 TLS 端口通过 HTTPS 访问它们。

对于 CA，每种类型的 TLS 证书都通过一个特定的在线提交表单进行处理，称为 profile。CA 有大约两个取消注册的证书配置文件，涵盖所有类型的证书 - 用户 TLS 证书、服务器 TLS 证书、日志和文件签名证书、电子邮件证书和每种类型的子系统证书。也可以有自定义配置集。

图 2.4. 证书管理器的端到端页面

最终用户在签发证书时通过 CA 页面检索其证书。它们还可以下载 CA 链和 CRL，并通过这些页面撤销或更新其证书。