收藏
下载资源 加入VIP免费专享

中国工商银行银企互联企业服务器安装手册.doc

上传人:scccc 文档编号:11987833 上传时间:2021-11-30 格式:DOC 页数:15 大小:71KB
返回 下载 相关 举报
中国工商银行银企互联企业服务器安装手册.doc_第1页
第1页 / 共15页
中国工商银行银企互联企业服务器安装手册.doc_第2页
第2页 / 共15页
中国工商银行银企互联企业服务器安装手册.doc_第3页
第3页 / 共15页
中国工商银行银企互联企业服务器安装手册.doc_第4页
第4页 / 共15页
中国工商银行银企互联企业服务器安装手册.doc_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《中国工商银行银企互联企业服务器安装手册.doc》由会员分享,可在线阅读,更多相关《中国工商银行银企互联企业服务器安装手册.doc(15页珍藏版)》请在三一文库上搜索。

1、版本号: 1. 0中国工商银行银企互联企业服务器 安装手册 中国工商银行北京软件研发部 2005 年 02 月 目录1前中国工商银行银企互联企业服务器是架设在企业端的一台 Windows 2000平台的服务器, 它将银行服务直接延伸到企业, 为企业提供更优质的服 务。该服务器上安装有工商银行为银企互联应用专门委托开发的软件NetSafe Client 1.5 for NT,简称NC。通过这个服务器,企业可以方便地同工商银行网上银行对接,实现财务业务与银行业务的无缝继承。该手册将给出基于 NetSafe Client 的银企互联系统网络配置建议,并 说明 NetSafe Client 的安装以及

2、相关的操作指南。此版本支持磁盘证书和 符合PKCS1标准的硬件设备(如加密机、加密卡、IC卡等)。1.1 使用对象NetSafe Client1.5 for NT软件授权使用者。1.2 如何使用本手册会使用WINDOWS作系统,熟悉 Web及网络安全的基础知识,熟悉常用 代理服务器的使用,掌握签名及验签名的基本原理,了解PKCS的相关知识。2 网络配置建议由于进行银企互联业务的企业服务器中配置有企业的证书,并且交易请 求数据都将通过它发向银行,所以它的安全性应该引起充分的重视,必须对 此服务器进行妥善的保护,建议网络如下图进行配置。网络建议图一建议单独设立银企互联服务器,并且与企业的财务服务器

3、用网络直连线 连接组成一个小型专网。在企业财务服务器上不能设置企业内网到银企互联 服务器的路由,以防止不法数据包发给银企互联服务器。另外,建议对银企 互联服务器的操作需要专人负责,并对服务器进行物理隔离,杜绝无关人员 的非法操作。如果为了节省成本,将银企互联服务器和企业财务服务器安装到一起, 则需要采用防火墙等安全设备限制财务应用以外的机器访问该服务器,如下 图所示。网络建议图二3 软件安装与配置3.1 安装 NetSafe Client点击软件介质中的安装程序 setup.exe ,即可开始进行 Netsafe Client 的安装,按照安装提示一步一步即可完成,非常方便。NetSafe C

4、lient 支持P11接口的硬件加密设备,如加密卡、加密机等, 如果企业采用此种硬件加密设备,需要事先将其安装好。具体的操作请参考 加密设备提供商的文档,最好在其厂家的指导下进行。3.2 运行 NetSafe ClientNetsafe Client安装完毕后,在Windows系统中点击开始程序NetTransaction1.5 Netsafe Client ,将出现 Netsafe Client的菜单条。从而可以执行启动Netsafe Client软件程序、查看用户手册和 Readme文件以及卸载 Netsafe Client 的操作如所示,点击“ Netsafe Client ”即进入 N

5、etsafe Client 的主界面。图 3.1如所示,主界面的上方是主菜单,下方的左侧区域显示的是NC所支持的 协议服务的信息,包括服务类型、端口号和状态信息,右侧区域显示的则是 左侧被选中协议服务的启动、重启或停止的操作内容,包括时间信息和内容 信息。第一次启动时,所有的协议服务均处于停止状态。此版本中支持安全 Http 服务和签名服务。图 3.23.3 证书的请求和导入按照所示,点击主菜单中的“工具”一项,选中“证书请求和导入”, 进入所示的“证书请求和导入”窗口中。在图3.3 “工具”的第二项“将证书转换成 PFX证书”,是企业用软方 式申请证书,在配置签名服务时将证书转换成 PFX格

6、式的功能处。图 3.3图 3.43.3.1 软 方式的申请所谓的软方式就是将私钥文件以文件的方式存储在硬盘中,并将申请到的证书写入磁盘中。在申请证书前,用户的网络配置必须完成,即可以通过公网或者专线方 式访问工行网银,此时方可以进行证书的申请和导入,否则无法完成所有的 步骤。选择所示的第一项, 点击“确定”按钮,进入软方式的请求过程 (共 5步), 所示为第一步,分别输入私钥文件名(扩展名必须是.pem)、私钥口令和证 书注销口令( 口令长度为 48 位),点击“下一步”,进入第二步。图 3.5在第二步中(所示),输入DN其中CN必须输入工行密码信圭寸中给定的 企业ID (图中为test.d.

7、0200 ),另外0U可通过点击“添加”按钮输入多 个,每个 OU 值均可删除或修改,输入完毕后点击“下一步”,出现提示窗 口(如所示),要求确认是否产生 PKCS10请求。点击“是”按钮,进入第三 步,点击“否”按钮,回到第二步。注意,输入的各项参数为工行定义的标 准参数,根据需要工行有权做出更改,即客户输入值工行可以根据需要进行 修改,并将相应信息写入证书中。点击“上一步”可返回第一步进行重新输入。图 3.6图 3.7图 3.8将如所示的证书请求包复制好以后,就可以到工行网站申请证书了。申 请时,首先需要完成银企互联服务器与工行网络的连接(公网或者专线方 式),然后在浏览器中输入(生产系统

8、公网方式),或者使用(生产系统专 线方式)。如果是通过专线方式请求证书,则 IP 地址请与工行相关人员接 洽。注意,同时请在上述URL地址上下载工行根证书ca.cer,并保存好,以 备后面使用。在工行网页上,需要输入从工行获得的证书的参考号和授权码,并将从 获得的证书请求包粘贴到网页中,之后可以获得所申请的证书。将工行网页 中的证书从网页上粘贴到文本文件中,然后存为文件名称为 ICBC_Cert.p7b 的文件。3.3.2 软 方式证书的格式转换证书格式的转换是将 p7b格式证书转化成 Base64编码的pem证书。刚才申请得到的证书是 p7b 格式的证书,该格式的证书不能直接用于启动安全HT

9、TP!艮务和签名服务,下面将详细说明一下如何将其转换成Base64编码的pem格式的证书。下面按步骤说明转换过程。3.321将p7b格式证书导入IE浏览器。打开 IE 浏览器,选择“工具”菜单下的“ Internet 选项”功能, 弹出“ In ternet选项”窗口,选择“内容”页面,如所示,再点击“证 书”按钮,弹出“内容”窗口,如所示,点击左侧的“导入”按钮,进 入“证书导入向导”过程,先点击“下一步”,便进入到指定导入文件 窗口,如所示,指定刚才申请到的工行证书文件后,点击“下一步”, 进入“证书存储”窗口,点击“下一步”,进入“完成证书导入”窗口, 显示导入证书的信息,如所示,点击“

10、完成”按钮,出现窗口提示“导 入成功”,如所示,此时该 p7b 证书已被导入到 IE 浏览器中。图 3.9图 3.10图 3.11图 3.12图 3.133.3.2.2 将导入证书导出成 pem 格式的证书。在如所示的窗口中选择“中级证书颁发机构”页面,如所示,选中 刚刚导入的 p7b 证书,点击“导出”按钮,进入证书导出向导过程,点 击“下一步”,进入“导出文件格式”窗口,如所示, 选择第二项 Base64编码X.509(.CER),点击“下一步”,进入指定要导出文件名窗 口,如所示,直至完成文件导出。图 3.14图 3.15图 3.163.3.2.3 复制证书 Base64 编码用写字板打

11、开刚刚导出的CEF证书,复制其证书的Base64编码,如所示。图 3.173.3.3 软 方式证书导入在完成证书格式的转换后,选择所示的第三项,点击“确定”按钮,进 入导入磁盘证书的过程。回到并点击“下一步”,进入第四步,将申请到的 证书包从所示的写字板中粘贴到框中, 如所示, 点击“下一步” 进入第五步, 将生成的证书保存在用户指定的目录中,文件名称请取为ICBC_Cert.pem, 如所示,点击“完成”,出现提示窗口如所示,此时以软方式生成的证书就 完成了。图 3.18图 3.19图 3.203.3.4工行根证书的注册企业互连软件必须在注册工行根证书后才能正常使用。双击在前面申请 证书的时

12、候保存的工行根证书的文件 ca.cer,然后按照windows系统的证书 安装模板进行即可将工行根证书正确安装成为受信根证书。3.3.5硬方式所谓的硬方式就是由硬件设备(支持 PKCS1的 IC卡、加密卡和加密机 等)产生私钥文件,并将申请到的证书存入相应的硬件设备中。硬方式所需的读卡器驱动和捷德卡 CSP(金邦达卡CSP则需使用开发包中提供的CSF安装程序)可从工行网站()中的“电子银行” > “网上银行” > “企业网上银行” > “下载软件一览表”中 获得。金邦达卡在申请证书前必须在银行内部管理系统中进行初始化,捷德卡 则需使用开发包中提供的捷德卡初始化工具进行初始化。

13、3.3.5.1硬方式证书申请选择所示的第二项“使用硬件方式产生PKCS青求包,并将申请到的证书 导入设备中”,点击“确定”按钮,进入硬方式的请求过程(共5步),所示为第一步,分别输入PKCS11库的文件名、设备标识、公钥标识、私钥标识 和设备口令,输入的内容根据硬件设备的不同而不同,具体输入项需要和工行相关人员接洽,不能按照图中输入。输入完成后后,点击“下一步”,进 入第二步。IC卡类型PKCS1库名设备标识名捷德(G&DAetpkss1.dllSafeSig n金邦达(GemPlusNppkcs11.dllNet-Pass00aetpkss1.dll 在 C:WINDOWSsyste

14、m32( XP系统),2000server 是在 C:WINDOWS NT图 3.21在第二步中(所示,同软方式),输入DN其中OU可通过点击“添加” 按钮输入多个,每个OU值均可删除或修改,输入完毕后点击“下一步”, 出现提示窗口,要求确认是否产生 PKCS10青求。点击“是”按钮,进入第 三步,点击“否”按钮,回到第二步。图 3.22第三步和第四步的操作与软方式完全相同(、),进入到第五步时 (如所 示),输入证书的存储标识“ ICBC_Cert”,点击“完成”按钮,出现提示窗 口,提示“请确认您的设备已经准备好!”,如所示。如果加密卡已连接好, 点击“是”按钮,否则点击“否”按钮回到状态

15、,点击“是”按钮后,加密 卡的红灯亮,表示正在将证书存入加密卡中,等红灯灭,绿灯亮时,表示已 存储完毕,又出现提示窗口 (如所示),表示证书已成功存储进加密卡中。图 3.23图 3.24图 3.253.3.5.2硬方式证书导入此项功能主要用于在用户得到了证书请求包后,不能立即去相关的网站 去申请证书,可能要退出 NetSafe Clie nt ,在申请完证书包以后再启动 NetSafe Clie nt 的情况。选择所示的第四项“将申请到的证书导入到设备中”,点击“确定”按 钮,进入已申请证书的存储过程(如所示),输入正确的设备口令,点击“下 一步”,直接进入硬方式的第四步中,操作过程与硬方式完

16、成相同,这里不再详细说明图 3.263.4 加密服务加密服务是指银企互联服务器将客户的 http 请求转换为安全 Http( https )请求的功能。3.4.1 配 置在启动所选中的协议服务之前, 必须要对该项服务的某些参数进行配置, 选中安全 Http 服务后点击右键,出现右键菜单如所示,选中“配置”,就 出现“配置”窗口,如所示。图 3.27“配置”窗口中用了 5 个页面框来显示配置信息的内容,分别是“服务 器信息”、“证书”、“基本配置”、“输出信息”、“代理服务器”,下 面我们就针对每个配置参数一一来进行说明。3.4.1.1 配 置服务器信息在中显示的即是“服务器信息”页面框,上方的

17、文本框显示的用户要输入的Netsafe Client 监听的端口号,即是 NetSafe Client 中安全HTTP服务所监听的端口号。该项一般配置为 448端口,用于监听来自SSL/TLS的请 求,也可以根据需要进行配置。如果在同一台机器上有 Web Server 或其它 服务监听 448端口,则此项应配为非 448的其它适合数。对于普通用户,应 选用较高值的端口号,如大于 4500的某个端口号。但是必须注意此端口不 得被其他服务所占用,必须为此服务所独用。下方则是用户要输入的是安全 Http服务通过安全通道(SSL所访问的 工行服务器的IP地址及端口号。如果通过公网访问,可以配置为 (生

18、产地址),如果是专线方式, IP 地址请与工行 相关人员接洽。图 3.283.4.1.2 配 置证书信息点击“证书”页面框,可以配置“证书”的相关信息,证书的配置根据其存储介质的不同分为两种情况:磁盘证书和硬件证书( IC 卡、加密卡、加 密机)。3.4.1.2.1 存储介质为磁盘如所示,上方区域需要用户输入安全 Http 服务的证书文件及私钥文件的 全路径文件名称,点击“浏览”按钮,根据用户存储证书文件的位置选择证 书文件和私钥文件,选中后按“保存”按钮。下方区域则需要用户添加工行的根证书(即上级证书链)。根证书在下 载证书文件时可同时得到。在对上级证书链的配置中,点击“添加”按钮则显示指示

19、根证书文件的 窗口,选中根证书文件后按“保存”,最新的根证书将被添加到最后一行。要执行“修改”或“删除”功能必须先选中某一根证书,否则不予执行。 点击“修改”按钮,会显示指示根证书文件的窗口,选中根证书后按“保存” 后最新的根证书将替换被选中的根证书。点击“删除”按钮则删除被选中的 根证书。图 3.293.4.1.2.2 存储介质为硬件如所示,输入工行给定的相对应的证书和其私钥标识、PKCS1库及设备 标识(不能按照图中输入), 其中PKCS1库最好写入全路径名称,库文件 需要根据硬件厂商驱动程序的安装路径确定。图 3.303.4.1.3 基本配置信息点击“基本配置” 页面框,是对安全 Htt

20、p 服务的一些基本配置, 如所示用户需要输入最低加密强度,是指安全 Http 服务所支持与其相连接的 Server(如NS)的最低密钥强度,NC最低支持40Bit的密钥强度,建议设置 为 128 位。连接超时时间是指客户端与 NC连接超时时间,单位是秒,建议配置为 900 秒。本地域名输入本机的 IP 地址。最下方指的是NC所支持的协议,有SSL2 SSL3 TSL1三种协议,必须 至少选择一种协议,否则不予通过。图 3.313.4.1.4 配置输出信息点击“输出信息”页面框,是对安全 Http 服务的输出信息的配置,如所 示。上方区域显示的是对安全 Http 服务日志文件的设置,点击“浏览”

21、则会 显示窗口来选择要输入的日志文件,选中后点击“保存”按钮,有以下几点 需要注意:用户可以自定义文件名,但必须指明其文件名和路径。 当指定目录下无该文件时,程序将新建一个,如果无指定目录,则程序 将不记录日志。日志保存自服务启动后所做的每一项操作的记录,包括时间、服务的启动、退出、监听 状态、出错原因、用户的 IP、访问的URL等。在“日志内容”区域中用户可以根据需要来选择输入日志的内容,包括登录信息、用户访问的URL信息、服务器运行状况的信息、错误信息等。下方区域显示的是对NC维护信息文件的配置,维护信息文件是用来记录 NC接收与发送信息的内容,主要用于出现 BUG寸查看NC的接收与发送信

22、息 的情况,在NC正常运行情况下,建议不使用该项。点击“浏览”会显示窗口来选择要输入的维护信息文件,在“维护信息 文件”区域中用户可以根据需要来选择输入维护信息的内容,主要包括接收 到的信息和发送的信息,默认情况下不选中该两项内容。图 3.323.4.1.5 配置代理服务器信息点击“代理服务器”页面框,是对安全 Http 服务的代理服务器的配置, 如所示。选中“代理服务器”,NC就会允许输入有关代理服务器的一些参数。在“代理类型和服务器”区域中,用户输入代理服务器的 IP 地址及代理 端口,NetSafe Client 只支持Socks4和Socks5协议,其中Socks5支持带 用户名口令方

23、式的身份认证。当选中Sock5协议而又需身份认证时,用户就必须配置验证用户身份的 用户名和口令参数项。图 3.33以上所有参数配置完毕, 欲使参数生效点击 “确定”,否则点击“取消”。3.4.2 日 志管理在以上所示的界面中,选中“日志”,就出现“日志”窗口,如所示。 点击“查看”按钮则打开日志文件,右方显示出日志文件的全部内容信 息。点击“刷新”按钮则刷新当前日志文件内容。点击“清空”按钮则清空当前日志文件的所有内容,所以在执行该功能 之前应小心谨慎。点击“备份”按钮则会提示用户将日志文件备份为其他的路径及文件名。 点击“关闭”按钮则关闭“日志”窗口。图 3.343.5 签名服务3.5.1

24、配 置在启动所选中的协议服务之前, 必须要对该项服务的某些参数进行配置, 在中 选中签名服务器后点击右键, 出现右键菜单, 选中“配置” ,就出现“配 置”窗口,如所示。3.5.1.1 基本配置信息在中显示的即是“基本配置”页面框,上方的文本框显示的用户要输入 的签名服务器监听的端口号。该项一般配置为 449 端口,用于监听签名和验 签名的请求,也可以根据需要进行配置。如果在同一台机器上有 WebServer 或其它服务监听 449端口,则此项应配为非 449 的其它适合数。对于普通用 户,应选用较高值的端口号,如大于 4500 的某个端口号。但是必须注意此 端口不得被其他服务所占用,必须为此

25、服务所独用。图 3.35下方则是用户要输入的验签名时受信任的根证书,请下载并配置为工行 的根证书。在对上级证书链的配置中,点击“添加”按钮则显示指示根证书文件的 窗口,选中根证书文件后按“保存”,最新的根证书将被添加到最后一行。要执行“修改”或“删除”功能必须先选中某一根证书,否则不予执行。 点击“修改”按钮,会显示指示根证书文件的窗口,选中根证书后按“保存” 后最新的根证书将替换被选中的根证书。点击“删除”按钮则删除被选中的 根证书。3.5.1.2 配 置证书信息3.5.1.2.1 存储介质为磁盘点击“证书”页面框,可以配置“证书”的相关信息,如所示,上方区 域需要用户输入签名服务器的签名证

26、书文件的全路径文件名称,必须为 PFX 格式,点击“浏览”按钮即可选择,选中后按“保存”按钮。图 3.363.5.1.2.2 存储介质为加密卡根据工行给出的名称输入PKCS11库、设备标识、证书标识和相对应的私 钥标识,其中PKCS1库最好写入全路径文件名称,库文件的具体路径则需 要根据厂商加密硬件驱动安转的位置确定。 如所示。图 3.373.5.1.3 配置验签名返回信息点击“验签名返回信息”页面框,是对验签名返回信息的配置,如所示。 想返回的信息内容,选中即可。选中“原文”是指返回请求签名的原文信息,否则不返回。选中“证书 (Base64 编码) ”是指返回进行签名的证书的 64位编码信息

27、, 否则不返回。选中“证书主题”是指返回签名证书的主题信息,否则不返回。 选中“证书发布者”是指返回签名证书的发布者信息,否则不返回。 选中“证书有效期”是指返回签名证书的起始时间和终止时间,否则不 返回。选中“证书序列号 (字符串) ”是指返回签名证书的序列号字符串,否则 不返回。图 3.383.5.1.4 配置输出信息点击“输出信息”页面框,是对 Netsafe Client 的输出信息的配置,如 所示。上方区域显示的是对签名服务器日志文件的设置,点击“浏览”则会显 示窗口来选择要输入的日志文件,选中后点击“保存”按钮,有以下几点需'I I I、I -、八要注意:用户可以自定义文件

28、名,但必须指明其文件名和路径。当指定目录下无该文件时,程序将新建一个,如果无指定目录,则程序将不记录日志。 日志保存自服务启动后所做的每一项操作的记录,包括时间、服务的启动、退出、监听状态、出错原因、用户的IP、访问的URL等。在“日志内容”区域中用户可以根据需要来选择输入日志的内容,包括 登录信息、服务器运行状况的信息、错误信息等。下方区域显示的是对签名服务器维护信息文件的配置,维护信息文件是用来记录NC接收与发送信息的内容,主要用于出现 BUG寸查看NC的接收与 发送信息的情况,签名服务器正常运行情况下,建议不使用该项。点击“浏览”会显示窗口来选择要输入的维护信息文件,在“维护信息 文件”

29、区域中用户可以根据需要来选择输入维护信息的内容,主要包括接收 到的信息和发送的信息,默认情况下不选中该两项内容。图 3.393.5.2 日 志管理在中选中签名服务器后点击右键,出现右键菜单, 选中“日志”,就出 现“日志”窗口,如所示。点击“查看”按钮则打开日志文件,右方显示出日志文件的全部内容信 息。点击“刷新”按钮则刷新当前日志文件内容。 点击“清空”按钮则清空当前日志文件的所有内容,所以在执行该功能 之前应小心谨慎。点击“备份”按钮则会提示用户将日志文件备份为其他的路径及文件名。 点击“关闭”按钮则关闭“日志”窗口。图 3.404 系统的运行4.1 服务的启动与停止4.1.1 启 动当要

30、启动相应的服务的时候,在其右键菜单中选择“启动”,如上所示, 在启动时如果证书存储在证书需要输入保护私钥的口令,如果证书存储在加 密卡中则需要输入加密设备的设备口令。4.1.2 停 止当要停止相应的服务的时候,在其右键菜单中选择“停止”。4.1.3 重 启当要重启相应的服务的时候,在其右键菜单中选择“重启”。4.2 NetSafe Client 的配置文件对 NetSafe Client 中的每个不同的服务有不同的配置文件。在配置窗口 中对每个参数的修改也会保存到相应的配置文件中,如所示为安全 Http 服 务协议的配置文件,签名服务器的配置文件与其相似。图 4.14.2.1 配 置在“配置”窗口中配置 NC的一些参数后,在参数提示显示信息旁带 #的 表示需要重新启动程序该参数才会生效,带 *的表示需要重启服务才能生效, 其他的参数则立即生效。如果系统提示一定要重启服务或程序,请务必按照 系统提示去做。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 社会民生


经营许可证编号:宁ICP备18001539号-1