《银行银企互联企业服务器安装手册.doc》由会员分享,可在线阅读,更多相关《银行银企互联企业服务器安装手册.doc(39页珍藏版)》请在三一文库上搜索。
1、版本号:版本号:1. 0中国工商银行银企互联企业服务器中国工商银行银企互联企业服务器安装手册安装手册中国工商银行北京软件研发部2005 年年 02 月月目目 录录1前前 言言.31.1使用对象.31.2如何使用本手册.42网络配置建议网络配置建议.43软件安装与配置软件安装与配置.53.1安装 NetSafe Client.53.2运行 NetSafe Client.53.3证书的请求和导入.73.3.1软方式的申请.83.3.2软方式证书的格式转换.113.3.3软方式证书导入.173.3.4工行根证书的注册.193.3.5硬方式.193.4加密服务.243.4.1配置.243.4.2日志管
2、理.313.5签名服务.323.5.1配置.323.5.2日志管理.374系统的运行系统的运行.384.1服务的启动与停止.384.1.1启动.384.1.2停止.384.1.3重启.384.2NetSafe Client 的配置文件.394.2.1配置.391 前前 言言中国工商银行银企互联企业服务器是架设在企业端的一台 Windows 2000 平台的服务器,它将银行服务直接延伸到企业,为企业提供更优质的服务。该服务器上安装有工商银行为银企互联应用专门委托开发的软件NetSafe Client 1.5 for NT,简称 NC。通过这个服务器,企业可以方便地同工商银行网上银行对接,实现财务
3、业务与银行业务的无缝继承。该手册将给出基于 NetSafe Client 的银企互联系统网络配置建议,并说明 NetSafe Client 的安装以及相关的操作指南。此版本支持磁盘证书和符合PKCS11 标准的硬件设备(如加密机、加密卡、IC 卡等)。1.1 使用对象使用对象NetSafe Client1.5 for NT 软件授权使用者。1.2 如何使用本手册如何使用本手册会使用 WINDOWS 操作系统,熟悉 Web 及网络安全的基础知识,熟悉常用代理服务器的使用,掌握签名及验签名的基本原理,了解 PKCS 的相关知识。2 网络配置建议网络配置建议由于进行银企互联业务的企业服务器中配置有企
4、业的证书,并且交易请求数据都将通过它发向银行,所以它的安全性应该引起充分的重视,必须对此服务器进行妥善的保护,建议网络如下图进行配置。银银企企互互联联服服务务器器企企业业财财务务服服务务器器网网络络直直连连线线例:192.x.x.x例:10.x.x.x工行内网(或者公网)企业内网建议单独设立银企互联服务器,并且与企业的财务服务器用网络直连线连接组成一个小型专网。在企业财务服务器上不能设置企业内网到银企互联服务器的路由,以防止不法数据包发给银企互联服务器。另外,建议对银企互联服务器的操作需要专人负责,并对服务器进行物理隔离,杜绝无关人员的非法操作。如果为了节省成本,将银企互联服务器和企业财务服务
5、器安装到一起,则需要采用防火墙等安全设备限制财务应用以外的机器访问该服务器,如下图所示。企企业业财财务务服服务务器器银银企企互互联联服服务务器器例:192.x.x.x例:10.x.x.x防火墙工行内网(或者公网)企业内网网络建议图一网络建议图二3 软件安装与配置软件安装与配置3.1 安装安装 NetSafe Client点击软件介质中的安装程序 setup.exe,即可开始进行 Netsafe Client 的安装,按照安装提示一步一步即可完成,非常方便。NetSafe Client 支持 P11 接口的硬件加密设备,如加密卡、加密机等,如果企业采用此种硬件加密设备,需要事先将其安装好。具体的
6、操作请参考加密设备提供商的文档,最好在其厂家的指导下进行。3.2 运行运行 NetSafe ClientNetsafe Client 安装完毕后,在 Windows 系统中点击开始程序NetTransaction1.5 Netsafe Client,将出现 Netsafe Client 的菜单条。从而可以执行启动 Netsafe Client 软件程序、查看用户手册和 Readme文件以及卸载 Netsafe Client 的操作。如图 3.1 所示,点击“Netsafe Client”即进入 Netsafe Client 的主界面。图 3.1如图 3.2 所示,主界面的上方是主菜单,下方的左
7、侧区域显示的是 NC所支持的协议服务的信息,包括服务类型、端口号和状态信息,右侧区域显示的则是左侧被选中协议服务的启动、重启或停止的操作内容,包括时间信息和内容信息。第一次启动时,所有的协议服务均处于停止状态。此版本中支持安全 Http 服务和签名服务。图 3.23.3 证书的请求和导入证书的请求和导入按照图 3.3 所示,点击主菜单中的“工具”一项,选中“证书请求和导入”,进入图 3.4 所示的“证书请求和导入”窗口中。在图 3.3“工具”的第二项“将证书转换成 PFX 证书”,是企业用软方式申请证书,在配置签名服务时将证书转换成 PFX 格式的功能处。图 3.3图 3.43.3.1 软方式
8、软方式的申请的申请所谓的软方式就是将私钥文件以文件的方式存储在硬盘中,并将申请到的证书写入磁盘中。在申请证书前,用户的网络配置必须完成,即可以通过公网或者专线方式访问工行网银,此时方可以进行证书的申请和导入,否则无法完成所有的步骤。选择图 3.4 所示的第一项,点击“确定”按钮,进入软方式的请求过程(共 5 步),图 3.5 所示为第一步,分别输入私钥文件名(扩展名必须是.pem)、私钥口令和证书注销口令(口令长度为 48 位),点击“下一步”,进入第二步。图 3.5在第二步中(图 3.6 所示),输入 DN,其中 CN 必须输入工行密码信封中给定的企业 ID(图中为 test.d.0200)
9、,另外 OU 可通过点击“添加”按钮输入多个,每个 OU 值均可删除或修改,输入完毕后点击“下一步”,出现提示窗口(如图 3.7 所示),要求确认是否产生 PKCS10 请求。点击“是”按钮,进入第三步,点击“否”按钮,回到第二步。注意,输入的各项参数为工行定义的标准参数,根据需要工行有权做出更改,即客户输入值工行可以根据需要进行修改,并将相应信息写入证书中。点击“上一步”可返回第一步进行重新输入。图 3.6图 3.7图 3.8将如图 3.8 所示的证书请求包复制好以后,就可以到工行网站申请证书了。申请时,首先需要完成银企互联服务器与工行网络的连接(公网或者专线方式),然后在浏览器中输入htt
10、ps:/ https:/专网IP/icbc/corporbank/GetCertificate.jsp(生产系统专线方式)。如果是通过专线方式请求证书,则 IP 地址请与工行相关人员接洽。注意,同时请在上述 URL 地址上下载工行根证书 ca.cer,并保存好,以备后面使用。在工行网页上,需要输入从工行获得的证书的参考号和授权码,并将从图 3.8 获得的证书请求包粘贴到网页中,之后可以获得所申请的证书。将工行网页中的证书从网页上粘贴到文本文件中,然后存为文件名称为ICBC_Cert.p7b 的文件。3.3.2 软方式证书的格式转换软方式证书的格式转换证书格式的转换是将 p7b 格式证书转化成
11、Base64 编码的 pem 证书。刚才申请得到的证书是 p7b 格式的证书,该格式的证书不能直接用于启动安全 HTTP 服务和签名服务,下面将详细说明一下如何将其转换成Base64 编码的 pem 格式的证书。下面按步骤说明转换过程。3.3.2.1将将 p7b 格式证书导入格式证书导入 IE 浏览器。浏览器。打开 IE 浏览器,选择“工具”菜单下的“Internet 选项”功能,弹出“Internet 选项”窗口,选择“内容”页面,如图 3.9 所示,再点击“证书”按钮,弹出“内容”窗口,如图 3.10 所示,点击左侧的“导入”按钮,进入“证书导入向导”过程,先点击“下一步”,便进入到指定导
12、入文件窗口,如图 3.11 所示,指定刚才申请到的工行证书文件后,点击“下一步”,进入“证书存储”窗口,点击“下一步”,进入“完成证书导入”窗口,显示导入证书的信息,如图 3.12 所示,点击“完成”按钮,出现窗口提示“导入成功”,如图 3.13 所示,此时该 p7b 证书已被导入到 IE 浏览器中。图 3.9图 3.10图 3.11图 3.12图 3.13 3.3.2.2将导入证书导出成将导入证书导出成 pem 格式的证书。格式的证书。在如图 3.10 所示的窗口中选择“中级证书颁发机构”页面,如图3.14 所示,选中刚刚导入的 p7b 证书,点击“导出”按钮,进入证书导出向导过程,点击“下
13、一步”,进入“导出文件格式”窗口,如图3.15 所示,选择第二项Base64 编码 X.509(.CER),点击“下一步”,进入指定要导出文件名窗口,如图 3.16 所示,直至完成文件导出。图 3.14图 3.15图 3.163.3.2.3复制证书复制证书 Base64 编码编码用写字板打开刚刚导出的 CER 证书,复制其证书的 Base64 编码,如图3.17 所示。图 3.173.3.3 软方式证书软方式证书导入导入在完成证书格式的转换后,选择图 3.4 所示的第三项,点击“确定”按钮,进入导入磁盘证书的过程。回到图 3.8 并点击“下一步”,进入第四步,将申请到的证书包从图 3.17 所
14、示的写字板中粘贴到框中,如图 3.18 所示,点击“下一步”进入第五步,将生成的证书保存在用户指定的目录中,文件名称请取为 ICBC_Cert.pem,如图 3.19 所示,点击“完成”,出现提示窗口如图 3.20 所示,此时以软方式生成的证书就完成了。 图 3.18图 3.19 图 3.203.3.4 工行根证书的注册工行根证书的注册企业互连软件必须在注册工行根证书后才能正常使用。双击在前面申请证书的时候保存的工行根证书的文件 ca.cer,然后按照 windows 系统的证书安装模板进行即可将工行根证书正确安装成为受信根证书。3.3.5 硬方式硬方式所谓的硬方式就是由硬件设备(支持 PKC
15、S11 的 IC 卡、加密卡和加密机等)产生私钥文件,并将申请到的证书存入相应的硬件设备中。硬方式所需的读卡器驱动和捷德卡 CSP(金邦达卡 CSP 则需使用开发包中提供的 CSP 安装程序)可从工行网站(http:/)中的“电子银行”“网上银行”“企业网上银行”“下载软件一览表”中获得。金邦达卡在申请证书前必须在银行内部管理系统中进行初始化,捷德卡则需使用开发包中提供的捷德卡初始化工具进行初始化。3.3.5.1硬方式证书申请硬方式证书申请选择图 3.4 所示的第二项“使用硬件方式产生 PKCS 请求包,并将申请到的证书导入设备中”,点击“确定”按钮,进入硬方式的请求过程(共 5步),图 3.
16、21 所示为第一步,分别输入 PKCS11 库的文件名、设备标识、公钥标识、私钥标识和设备口令,输入的内容根据硬件设备的不同而不同,具体输入项需要和工行相关人员接洽,不能按照图中输入。输入完成后后,点击“下一步”,进入第二步。IC 卡类型卡类型PKCS11 库名库名设备标识名设备标识名捷德(G&D)Aetpkss1.dllSafeSign金邦达(GemPlus)Nppkcs11.dllNet-Pass00aetpkss1.dll 在 C:WINDOWSsystem32 下(XP 系统),2000server 是在C:WINDOWS NT 下图 3.21在第二步中(图 3.22 所示,同软方式)
17、,输入 DN,其中 OU 可通过点击“添加”按钮输入多个,每个 OU 值均可删除或修改,输入完毕后点击“下一步”,出现提示窗口,要求确认是否产生 PKCS10 请求。点击“是”按钮,进入第三步,点击“否”按钮,回到第二步。图 3.22第三步和第四步的操作与软方式完全相同(图 3.8、图 3.18),进入到第五步时(如图 3.23 所示),输入证书的存储标识“ICBC_Cert”,点击“完成”按钮,出现提示窗口,提示“请确认您的设备已经准备好!”,如图3.24 所示。如果加密卡已连接好,点击“是”按钮,否则点击“否”按钮回到图 3.23 状态,点击“是”按钮后,加密卡的红灯亮,表示正在将证书存入
18、加密卡中,等红灯灭,绿灯亮时,表示已存储完毕,又出现提示窗口(如图 3.25 所示),表示证书已成功存储进加密卡中。图 3.23图 3.24图 3.25 3.3.5.2硬方式证书导入硬方式证书导入此项功能主要用于在用户得到了证书请求包后,不能立即去相关的网站去申请证书,可能要退出 NetSafe Client,在申请完证书包以后再启动NetSafe Client 的情况。选择图 3.4 所示的第四项“将申请到的证书导入到设备中”,点击“确定”按钮,进入已申请证书的存储过程(如图 3.26 所示),输入正确的设备口令,点击“下一步”,直接进入硬方式的第四步中,操作过程与硬方式完成相同,这里不再详
19、细说明。图 3.263.4 加密服务加密服务加密服务是指银企互联服务器将客户的 http 请求转换为安全Http(https)请求的功能。3.4.1 配置配置在启动所选中的协议服务之前,必须要对该项服务的某些参数进行配置,选中安全 Http 服务后点击右键,出现右键菜单如图 3.27 所示,选中“配置”,就出现“配置”窗口,如图 3.28 所示。 图 3.27 “配置”窗口中用了 5 个页面框来显示配置信息的内容,分别是“服务器信息”、“证书”、“基本配置”、“输出信息”、“代理服务器”,下面我们就针对每个配置参数一一来进行说明。3.4.1.1配置服务器信息配置服务器信息在图 3.28 中显示
20、的即是“服务器信息”页面框,上方的文本框显示的用户要输入的 Netsafe Client 监听的端口号,即是 NetSafe Client 中安全HTTP 服务所监听的端口号。该项一般配置为 448 端口,用于监听来自SSL/TLS 的请求,也可以根据需要进行配置。如果在同一台机器上有 Web Server 或其它服务监听 448 端口,则此项应配为非 448 的其它适合数。对于普通用户,应选用较高值的端口号,如大于 4500 的某个端口号。但是必须注意此端口不得被其他服务所占用,必须为此服务所独用。下方则是用户要输入的是安全 Http 服务通过安全通道(SSL)所访问的工行服务器的 IP 地
21、址及端口号。如果通过公网访问,可以配置为(生产地址),如果是专线方式,IP 地址请与工行相关人员接洽。 图 3.283.4.1.2配置证书信息配置证书信息点击“证书”页面框,可以配置“证书”的相关信息,证书的配置根据其存储介质的不同分为两种情况:磁盘证书和硬件证书(IC 卡、加密卡、加密机)。3.4.1.2.1存储介质为磁盘存储介质为磁盘如图 3.29 所示,上方区域需要用户输入安全 Http 服务的证书文件及私钥文件的全路径文件名称,点击“浏览”按钮,根据用户存储证书文件的位置选择证书文件和私钥文件,选中后按“保存”按钮。下方区域则需要用户添加工行的根证书(即上级证书链)。根证书在下载证书文
22、件时可同时得到。在对上级证书链的配置中,点击“添加”按钮则显示指示根证书文件的窗口,选中根证书文件后按“保存”,最新的根证书将被添加到最后一行。要执行“修改”或“删除”功能必须先选中某一根证书,否则不予执行。点击“修改”按钮,会显示指示根证书文件的窗口,选中根证书后按“保存”后最新的根证书将替换被选中的根证书。点击“删除”按钮则删除被选中的根证书。图 3.29 3.4.1.2.2存储介质为存储介质为硬件硬件如图 3.30 所示,输入工行给定的相对应的证书和其私钥标识、PKCS11库及设备标识(不能按照图中输入),其中 PKCS11 库最好写入全路径名称,库文件需要根据硬件厂商驱动程序的安装路径
23、确定。图 3.303.4.1.3基本配置信息基本配置信息点击“基本配置”页面框,是对安全 Http 服务的一些基本配置,如图3.31 所示。用户需要输入最低加密强度,是指安全 Http 服务所支持与其相连接的Server(如 NS)的最低密钥强度,NC 最低支持 40Bit 的密钥强度,建议设置为 128 位。连接超时时间是指客户端与 NC 连接超时时间,单位是秒,建议配置为900 秒。本地域名输入本机的 IP 地址。最下方指的是 NC 所支持的协议,有 SSL2、SSL3、TSL1 三种协议,必须至少选择一种协议,否则不予通过。 图 3.313.4.1.4配置输出信息配置输出信息点击“输出信
24、息”页面框,是对安全 Http 服务的输出信息的配置,如图 3.32 所示。上方区域显示的是对安全 Http 服务日志文件的设置,点击“浏览”则会显示窗口来选择要输入的日志文件,选中后点击“保存”按钮,有以下几点需要注意:用户可以自定义文件名,但必须指明其文件名和路径。当指定目录下无该文件时,程序将新建一个,如果无指定目录,则程序将不记录日志。日志保存自服务启动后所做的每一项操作的记录,包括时间、服务的启动、退出、监听状态、出错原因、用户的 IP、访问的 URL 等。在“日志内容”区域中用户可以根据需要来选择输入日志的内容,包括登录信息、用户访问的 URL 信息、服务器运行状况的信息、错误信息
25、等。下方区域显示的是对 NC 维护信息文件的配置,维护信息文件是用来记录 NC 接收与发送信息的内容,主要用于出现 BUG 时查看 NC 的接收与发送信息的情况,在 NC 正常运行情况下,建议不使用该项。点击“浏览”会显示窗口来选择要输入的维护信息文件,在“维护信息文件”区域中用户可以根据需要来选择输入维护信息的内容,主要包括接收到的信息和发送的信息,默认情况下不选中该两项内容。图 3.323.4.1.5配置代理服务器信息配置代理服务器信息点击“代理服务器”页面框,是对安全 Http 服务的代理服务器的配置,如图 3.33 所示。选中“代理服务器”,NC 就会允许输入有关代理服务器的一些参数。
26、在“代理类型和服务器”区域中,用户输入代理服务器的 IP 地址及代理端口,NetSafe Client 只支持 Socks4 和 Socks5 协议,其中 Socks5 支持带用户名口令方式的身份认证。当选中 Sock5 协议而又需身份认证时,用户就必须配置验证用户身份的用户名和口令参数项。图 3.33以上所有参数配置完毕,欲使参数生效点击“确定”,否则点击“取消”。3.4.2 日志管理日志管理在以上图 3.27 所示的界面中,选中“日志”,就出现“日志”窗口,如图 3.34 所示。点击“查看”按钮则打开日志文件,右方显示出日志文件的全部内容信息。点击“刷新”按钮则刷新当前日志文件内容。点击“
27、清空”按钮则清空当前日志文件的所有内容,所以在执行该功能之前应小心谨慎。点击“备份”按钮则会提示用户将日志文件备份为其他的路径及文件名。点击“关闭”按钮则关闭“日志”窗口。图 3.343.5 签名服务签名服务3.5.1 配置配置在启动所选中的协议服务之前,必须要对该项服务的某些参数进行配置,在图 3.27 中选中签名服务器后点击右键,出现右键菜单,选中“配置”,就出现“配置”窗口,如图 3.35 所示。3.5.1.1基本配置信息基本配置信息在图 3.35 中显示的即是“基本配置”页面框,上方的文本框显示的用户要输入的签名服务器监听的端口号。该项一般配置为 449 端口,用于监听签名和验签名的请
28、求,也可以根据需要进行配置。如果在同一台机器上有 WebServer 或其它服务监听 449 端口,则此项应配为非 449 的其它适合数。对于普通用户,应选用较高值的端口号,如大于 4500 的某个端口号。但是必须注意此端口不得被其他服务所占用,必须为此服务所独用。图 3.35下方则是用户要输入的验签名时受信任的根证书,请下载并配置为工行的根证书。在对上级证书链的配置中,点击“添加”按钮则显示指示根证书文件的窗口,选中根证书文件后按“保存”,最新的根证书将被添加到最后一行。要执行“修改”或“删除”功能必须先选中某一根证书,否则不予执行。点击“修改”按钮,会显示指示根证书文件的窗口,选中根证书后
29、按“保存”后最新的根证书将替换被选中的根证书。点击“删除”按钮则删除被选中的根证书。3.5.1.2配置证书信息配置证书信息3.5.1.2.1存储介质为磁盘存储介质为磁盘点击“证书”页面框,可以配置“证书”的相关信息,如图 3.36 所示,上方区域需要用户输入签名服务器的签名证书文件的全路径文件名称,必须为 PFX 格式,点击“浏览”按钮即可选择,选中后按“保存”按钮。图 3.363.5.1.2.2存储介质为加密卡存储介质为加密卡根据工行给出的名称输入 PKCS11 库、设备标识、证书标识和相对应的私钥标识,其中 PKCS11 库最好写入全路径文件名称,库文件的具体路径则需要根据厂商加密硬件驱动
30、安转的位置确定。如图 3.37 所示。图 3.373.5.1.3配置验签名返回信息配置验签名返回信息点击“验签名返回信息”页面框,是对验签名返回信息的配置,如图3.38 所示。想返回的信息内容,选中即可。选中“原文”是指返回请求签名的原文信息,否则不返回。选中“证书(Base64 编码)”是指返回进行签名的证书的 64 位编码信息,否则不返回。选中“证书主题”是指返回签名证书的主题信息,否则不返回。选中“证书发布者”是指返回签名证书的发布者信息,否则不返回。选中“证书有效期”是指返回签名证书的起始时间和终止时间,否则不返回。选中“证书序列号(字符串)”是指返回签名证书的序列号字符串,否则不返回
31、。图 3.38 3.5.1.4配置输出信息配置输出信息点击“输出信息”页面框,是对 Netsafe Client 的输出信息的配置,如图 3.39 所示。上方区域显示的是对签名服务器日志文件的设置,点击“浏览”则会显示窗口来选择要输入的日志文件,选中后点击“保存”按钮,有以下几点需要注意:用户可以自定义文件名,但必须指明其文件名和路径。当指定目录下无该文件时,程序将新建一个,如果无指定目录,则程序将不记录日志。日志保存自服务启动后所做的每一项操作的记录,包括时间、服务的启动、退出、监听状态、出错原因、用户的 IP、访问的 URL 等。在“日志内容”区域中用户可以根据需要来选择输入日志的内容,包
32、括登录信息、服务器运行状况的信息、错误信息等。下方区域显示的是对签名服务器维护信息文件的配置,维护信息文件是用来记录 NC 接收与发送信息的内容,主要用于出现 BUG 时查看 NC 的接收与发送信息的情况,签名服务器正常运行情况下,建议不使用该项。点击“浏览”会显示窗口来选择要输入的维护信息文件,在“维护信息文件”区域中用户可以根据需要来选择输入维护信息的内容,主要包括接收到的信息和发送的信息,默认情况下不选中该两项内容。图 3.393.5.2 日志管理日志管理在图 3.27 中选中签名服务器后点击右键,出现右键菜单,选中“日志”,就出现“日志”窗口,如图 3.40 所示。点击“查看”按钮则打
33、开日志文件,右方显示出日志文件的全部内容信息。点击“刷新”按钮则刷新当前日志文件内容。点击“清空”按钮则清空当前日志文件的所有内容,所以在执行该功能之前应小心谨慎。点击“备份”按钮则会提示用户将日志文件备份为其他的路径及文件名。点击“关闭”按钮则关闭“日志”窗口。图 3.40 4 系统的运行系统的运行4.1 服务的启动与停止服务的启动与停止4.1.1 启动启动当要启动相应的服务的时候,在其右键菜单中选择“启动”,如上图3.2 所示,在启动时如果证书存储在证书需要输入保护私钥的口令,如果证书存储在加密卡中则需要输入加密设备的设备口令。4.1.2 停止停止当要停止相应的服务的时候,在其右键菜单中选
34、择“停止”。4.1.3 重启重启当要重启相应的服务的时候,在其右键菜单中选择“重启”。4.2 NetSafe Client 的配置的配置文件文件对 NetSafe Client 中的每个不同的服务有不同的配置文件。在配置窗口中对每个参数的修改也会保存到相应的配置文件中,如图 4.1 所示为安全Http 服务协议的配置文件,签名服务器的配置文件与其相似。图 4.14.2.1 配置配置在“配置”窗口中配置 NC 的一些参数后,在参数提示显示信息旁带#的表示需要重新启动程序该参数才会生效,带*的表示需要重启服务才能生效,其他的参数则立即生效。如果系统提示一定要重启服务或程序,请务必按照系统提示去做。