银行银企互联企业服务器安装手册模板.doc

《银行银企互联企业服务器安装手册模板.doc》由会员分享，可在线阅读，更多相关《银行银企互联企业服务器安装手册模板.doc（39页珍藏版）》请在咨信网上搜索。

版本号：1. 0 中国工商银行银企互联企业服务器 安装手册 中国工商银行北京软件研发部 02月 目 录 1 前 言 3 1.1 使用对象 3 1.2 怎样使用本手册 4 2 网络配置提议 4 3 软件安装和配置 5 3.1 安装NetSafe Client 5 3.2 运行NetSafe Client 5 3.3 证书请求和导入 7 3.3.1 软方法申请 8 3.3.2 软方法证书格式转换 11 3.3.3 软方法证书导入 17 3.3.4 工行根证书注册 19 3.3.5 硬方法 19 3.4 加密服务 24 3.4.1 配置 24 3.4.2 日志管理 31 3.5 署名服务 32 3.5.1 配置 32 3.5.2 日志管理 37 4 系统运行 38 4.1 服务开启和停止 38 4.1.1 开启 38 4.1.2 停止 38 4.1.3 重启 38 4.2 NetSafe Client 配置文件 39 4.2.1 配置 39 1 前 言 中国工商银行银企互联企业服务器是架设在企业端一台Windows 平台服务器，它将银行服务直接延伸到企业，为企业提供更优质服务。该服务器上安装有工商银行为银企互联应用专门委托开发软件NetSafe Client 1.5 for NT，简称NC。经过这个服务器，企业能够方便地同工商银行网上银行对接，实现财务业务和银行业务无缝继承。 该手册将给出基于NetSafe Client银企互联络统网络配置提议，并说明NetSafe Client安装和相关操作指南。此版本支持磁盘证书和符合PKCS11标准硬件设备（如加密机、加密卡、IC卡等）。 1.1 使用对象 NetSafe Client1.5 for NT软件授权使用者。 1.2 怎样使用本手册 会使用WINDOWS操作系统，熟悉Web及网络安全基础知识，熟悉常见代理服务器使用，掌握署名及验署名基础原理，了解PKCS相关知识。 2 网络配置提议 因为进行银企互联业务企业服务器中配置有企业证书，而且交易请求数据全部将经过它发向银行，所以它安全性应该引发充足重视，必需对此服务器进行妥善保护，提议网络以下图进行配置。 网络提议图一 提议单独设置银企互联服务器，而且和企业财务服务器用网络直连线连接组成一个小型专网。在企业财务服务器上不能设置企业内网到银企互联服务器路由，以预防不法数据包发给银企互联服务器。另外，提议对银企互联服务器操作需要专员负责，并对服务器进行物理隔离，杜绝无关人员非法操作。 假如为了节省成本，将银企互联服务器和企业财务服务器安装到一起，则需要采取防火墙等安全设备限制财务应用以外机器访问该服务器，以下图所表示。 网络提议图二 3 软件安装和配置 3.1 安装NetSafe Client 点击软件介质中安装程序setup.exe，即可开始进行Netsafe Client安装，根据安装提醒一步一步即可完成，很方便。 NetSafe Client支持P11接口硬件加密设备，如加密卡、加密机等，假如企业采取此种硬件加密设备，需要事先将其安装好。具体操作请参考加密设备提供商文档，最好在其厂家指导下进行。 3.2 运行NetSafe Client Netsafe Client安装完成后，在Windows系统中点击开始→程序→NetTransaction1.5 →Netsafe Client，将出现Netsafe Client菜单条。从而能够实施开启Netsafe Client软件程序、查看用户手册和Readme文件和卸载Netsafe Client操作。 如图3.1所表示，点击“Netsafe Client”即进入Netsafe Client主界面。 图3.1 如图3.2所表示，主界面上方是主菜单，下方左侧区域显示是NC所支持协议服务信息，包含服务类型、端口号和状态信息，右侧区域显示则是左侧被选中协议服务开启、重启或停止操作内容，包含时间信息和内容信息。第一次开启时，全部协议服务均处于停止状态。此版本中支持安全Http服务和署名服务。 图3.2 3.3 证书请求和导入 根据图3.3所表示，点击主菜单中“工具”一项，选中“证书请求和导入”，进入图3.4所表示“证书请求和导入”窗口中。 在图3.3“工具”第二项“将证书转换成PFX证书”，是企业用软方法申请证书，在配置署名服务时将证书转换成PFX格式功效处。 图3.3 图3.4 3.3.1 软方法申请 所谓软方法就是将私钥文件以文件方法存放在硬盘中，并将申请到证书写入磁盘中。 在申请证书前，用户网络配置必需完成，即能够经过公网或专线方法访问工行网银，此时方能够进行证书申请和导入，不然无法完成全部步骤。 选择图3.4所表示第一项，点击“确定”按钮，进入软方法请求过程(共5步)，图3.5所表示为第一步，分别输入私钥文件名（扩展名必需是.pem）、私钥口令和证书注销口令（口令长度为4－8位），点击“下一步”，进入第二步。 图3.5 在第二步中(图3.6所表示)，输入DN，其中CN必需输入工行密码信封中给定企业ID（图中为test.d.0200），另外OU可经过点击“添加”按钮输入多个，每个OU值均可删除或修改，输入完成后点击“下一步”，出现提醒窗口(如图3.7所表示)，要求确定是否产生PKCS10请求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。注意，输入各项参数为工行定义标准参数，依据需要工行有权做出更改，即用户输入值工行能够依据需要进行修改，并将对应信息写入证书中。 点击“上一步”可返回第一步进行重新输入。 图3.6 图3.7 图3.8 将如图3.8所表示证书请求包复制好以后，就能够到工行网站申请证书了。申请时，首先需要完成银企互联服务器和工行网络连接（公网或专线方法），然后在浏览器中输入（生产系统公网方法），或使用https://专网IP/icbc/corporbank/GetCertificate.jsp（生产系统专线方法）。假如是经过专线方法请求证书，则IP地址请和工行相关人员接洽。 注意，同时请在上述URL地址上下载工行根证书ca.cer，并保留好，以备后面使用。 在工行网页上，需要输入从工行取得证书参考号和授权码，并将从图3.8取得证书请求包粘贴到网页中，以后能够取得所申请证书。将工行网页中证书从网页上粘贴到文本文件中，然后存为文件名称为ICBC_Cert.p7b文件。 3.3.2 软方法证书格式转换 证书格式转换是将p7b格式证书转化成Base64编码pem证书。 刚才申请得到证书是p7b格式证书，该格式证书不能直接用于开启安全HTTP服务和署名服务，下面将具体说明一下怎样将其转换成Base64编码pem格式证书。下面按步骤说明转换过程。 3.3.2.1 将p7b格式证书导入IE浏览器。 打开IE浏览器，选择“工具”菜单下“Internet选项”功效，弹出“Internet选项”窗口，选择“内容”页面，如图3.9所表示，再点击“证书”按钮，弹出“内容”窗口，如图3.10所表示，点击左侧“导入”按钮，进入“证书导入向导”过程，先点击“下一步”，便进入到指定导入文件窗口，如图3.11所表示，指定刚才申请到工行证书文件后，点击“下一步”，进入“证书存放”窗口，点击“下一步”，进入“完成证书导入”窗口，显示导入证书信息，如图3.12所表示，点击“完成”按钮，出现窗口提醒“导入成功”，如图3.13所表示，此时该p7b证书已被导入到IE浏览器中。 图3.9 图3.10 图3.11 图3.12 图3.13 3.3.2.2 将导入证书导出成pem格式证书。 在如图3.10所表示窗口中选择“中级证书颁发机构”页面，如图3.14所表示，选中刚刚导入p7b证书，点击“导出”按钮，进入证书导出向导过程，点击“下一步”，进入“导出文件格式”窗口，如图3.15所表示，选择第二项——Base64编码X.509(.CER)，点击“下一步”，进入指定要导出文件名窗口，如图3.16所表示，直至完成文件导出。 图3.14 图3.15 图3.16 3.3.2.3 复制证书Base64编码 用写字板打开刚刚导出CER证书，复制其证书Base64编码，如图3.17所表示。 图3.17 3.3.3 软方法证书导入 在完成证书格式转换后，选择图3.4所表示第三项，点击“确定”按钮，进入导入磁盘证书过程。回到图3.8并点击“下一步”，进入第四步，将申请到证书包从图3.17所表示写字板中粘贴到框中，如图3.18所表示，点击“下一步”进入第五步，将生成证书保留在用户指定目录中，文件名称请取为ICBC_Cert.pem，如图3.19所表示，点击“完成”，出现提醒窗口如图3.20所表示，此时以软方法生成证书就完成了。 图3.18 图3.19 图3.20 3.3.4 工行根证书注册 企业互连软件必需在注册工行根证书后才能正常使用。双击在前面申请证书时候保留工行根证书文件ca.cer，然后根据windows系统证书安装模板进行即可将工行根证书正确安装成为受信根证书。 3.3.5 硬方法 所谓硬方法就是由硬件设备（支持PKCS11IC卡、加密卡和加密机等）产生私钥文件，并将申请到证书存入对应硬件设备中。 硬方法所需读卡器驱动和捷德卡CSP（金邦达卡CSP则需使用开发包中提供CSP安装程序）可从工行网站（）中“电子银行”－>“网上银行”－>“企业网上银行”－>“下载软件一览表”中取得。 金邦达卡在申请证书前必需在银行内部管理系统中进行初始化，捷德卡则需使用开发包中提供捷德卡初始化工具进行初始化。 3.3.5.1 硬方法证书申请 选择图3.4所表示第二项“使用硬件方法产生PKCS请求包，并将申请到证书导入设备中”，点击“确定”按钮，进入硬方法请求过程(共5步)，图3.21所表示为第一步，分别输入PKCS11库文件名、设备标识、公钥标识、私钥标识和设备口令，输入内容依据硬件设备不一样而不一样，具体输入项需要和工行相关人员接洽，不能根据图中输入。输入完成后后，点击“下一步”，进入第二步。 IC卡类型 PKCS11库名 设备标识名 捷德（G&D） Aetpkss1.dll SafeSign 金邦达（GemPlus） Nppkcs11.dll Net-Pass00 aetpkss1.dll在C:\WINDOWS\system32下（XP系统），server是在C:\WINDOWS NT下 图3.21 在第二步中(图3.22所表示，同软方法)，输入DN，其中OU可经过点击“添加”按钮输入多个，每个OU值均可删除或修改，输入完成后点击“下一步”，出现提醒窗口，要求确定是否产生PKCS10请求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。 图3.22 第三步和第四步操作和软方法完全相同（图3.8、图3.18），进入到第五步时(如图3.23所表示)，输入证书存放标识“ICBC_Cert”，点击“完成”按钮，出现提醒窗口，提醒“请确定您设备已经准备好！”，如图3.24所表示。假如加密卡已连接好，点击“是”按钮，不然点击“否”按钮回到图3.23状态，点击“是”按钮后，加密卡红灯亮，表示正在将证书存入加密卡中，等红灯灭，绿灯亮时，表示已存放完成，又出现提醒窗口(如图3.25所表示)，表示证书已成功存放进加密卡中。 图3.23 图3.24 图3.25 3.3.5.2 硬方法证书导入 此项功效关键用于在用户得到了证书请求包后，不能立即去相关网站去申请证书，可能要退出NetSafe Client，在申请完证书包以后再开启NetSafe Client情况。 选择图3.4所表示第四项“将申请到证书导入到设备中”，点击“确定”按钮，进入已申请证书存放过程(如图3.26所表示)，输入正确设备口令，点击“下一步”，直接进入硬方法第四步中，操作过程和硬方法完成相同，这里不再具体说明。 图3.26 3.4 加密服务 加密服务是指银企互联服务器将用户http请求转换为安全Http（https）请求功效。 3.4.1 配置 在开启所选中协议服务之前，必需要对该项服务一些参数进行配置，选中安全Http服务后点击右键，出现右键菜单如图3.27所表示，选中“配置”，就出现“配置”窗口，如图3.28所表示。 图3.27 “配置”窗口中用了5个页面框来显示配置信息内容，分别是“服务器信息”、“证书”、“基础配置”、“输出信息”、“代理服务器”，下面我们就针对每个配置参数一一来进行说明。 3.4.1.1 配置服务器信息 在图3.28中显示即是“服务器信息”页面框，上方文本框显示用户要输入Netsafe Client监听端口号，即是NetSafe Client中安全HTTP服务所监听端口号。该项通常配置为448端口，用于监听来自SSL/TLS请求，也能够依据需要进行配置。假如在同一台机器上有Web Server或其它服务监听448端口，则此项应配为非448其它适合数。对于一般用户，应选择较高值端口号，如大于4500某个端口号。不过必需注意此端口不得被其它服务所占用，必需为此服务所独用。 下方则是用户要输入是安全Http服务经过安全通道（SSL）所访问工行服务器IP地址及端口号。假如经过公网访问，能够配置为（生产地址），假如是专线方法，IP地址请和工行相关人员接洽。 图3.28 3.4.1.2 配置证书信息 点击“证书”页面框，能够配置“证书”相关信息，证书配置依据其存放介质不一样分为两种情况：磁盘证书和硬件证书（IC卡、加密卡、加密机）。 3.4.1.2.1 存放介质为磁盘 如图3.29所表示，上方区域需要用户输入安全Http服务证书文件及私钥文件全路径文件名称，点击“浏览”按钮，依据用户存放证书文件位置选择证书文件和私钥文件，选中后按“保留”按钮。 下方区域则需要用户添加工行根证书（即上级证书链）。根证书在下载证书文件时可同时得到。 在对上级证书链配置中，点击“添加”按钮则显示指示根证书文件窗口，选中根证书文件后按“保留”，最新根证书将被添加到最终一行。 要实施“修改”或“删除”功效必需先选中某一根证书，不然不予实施。点击“修改”按钮，会显示指示根证书文件窗口，选中根证书后按“保留”后最新根证书将替换被选中根证书。点击“删除”按钮则删除被选中根证书。 图3.29 3.4.1.2.2 存放介质为硬件 如图3.30所表示，输入工行给定相对应证书和其私钥标识、PKCS11库及设备标识（不能根据图中输入），其中PKCS11库最好写入全路径名称，库文件需要依据硬件厂商驱动程序安装路径确定。 图3.30 3.4.1.3 基础配置信息 点击“基础配置”页面框，是对安全Http服务部分基础配置，如图3.31所表示。 用户需要输入最低加密强度，是指安全Http服务所支持和其相连接Server(如NS)最低密钥强度，NC最低支持40Bit密钥强度，提议设置为128位。 连接超时时间是指用户端和NC连接超时时间，单位是秒，提议配置为900秒。 当地域名输入本机IP地址。 最下方指是NC所支持协议，有SSL2、SSL3、TSL1三种协议，必需最少选择一个协议，不然不予经过。 图3.31 3.4.1.4 配置输出信息 点击“输出信息”页面框，是对安全Http服务输出信息配置，如图3.32所表示。 上方区域显示是对安全Http服务日志文件设置，点击“浏览”则会显示窗口来选择要输入日志文件，选中后点击“保留”按钮，有以下几点需要注意： 用户能够自定义文件名，但必需指明其文件名和路径。 当指定目录下无该文件时，程序将新建一个，假如无指定目录，则程序将不统计日志。 日志保留自服务开启后所做每一项操作统计，包含时间、服务开启、退出、监听状态、犯错原因、用户IP、访问URL等。 在“日志内容”区域中用户能够依据需要来选择输入日志内容，包含登录信息、用户访问URL信息、服务器运行情况信息、错误信息等。 下方区域显示是对NC维护信息文件配置，维护信息文件是用来统计NC接收和发送信息内容，关键用于出现BUG时查看NC接收和发送信息情况，在NC正常运行情况下，提议不使用该项。 点击“浏览”会显示窗口来选择要输入维护信息文件，在“维护信息文件”区域中用户能够依据需要来选择输入维护信息内容，关键包含接收到信息和发送信息，默认情况下不选中该两项内容。 图3.32 3.4.1.5 配置代理服务器信息 点击“代理服务器”页面框，是对安全Http服务代理服务器配置，如图3.33所表示。选中“代理服务器”，NC就会许可输入相关代理服务器部分参数。 在“代理类型和服务器”区域中，用户输入代理服务器IP地址及代理端口，NetSafe Client 只支持Socks4和Socks5协议，其中Socks5支持带用户名口令方法身份认证。 当选中Sock5协议而又需身份认证时，用户就必需配置验证用户身份用户名和口令参数项。 图3.33 以上全部参数配置完成，欲使参数生效点击“确定”，不然点击“取消”。 3.4.2 日志管理 在以上图3.27所表示界面中，选中“日志”，就出现“日志”窗口，如图3.34所表示。 点击“查看”按钮则打开日志文件，右方显示出日志文件全部内容信息。 点击“刷新”按钮则刷新目前日志文件内容。 点击“清空”按钮则清空目前日志文件全部内容，所以在实施该功效之前应小心谨慎。 点击“备份”按钮则会提醒用户将日志文件备份为其它路径及文件名。 点击“关闭”按钮则关闭“日志”窗口。 图3.34 3.5 署名服务 3.5.1 配置 在开启所选中协议服务之前，必需要对该项服务一些参数进行配置，在图3.27中选中署名服务器后点击右键，出现右键菜单，选中“配置”，就出现“配置”窗口，如图3.35所表示。 3.5.1.1 基础配置信息 在图3.35中显示即是“基础配置”页面框，上方文本框显示用户要输入署名服务器监听端口号。该项通常配置为449端口，用于监听署名和验署名请求，也能够依据需要进行配置。假如在同一台机器上有WebServer或其它服务监听449端口，则此项应配为非449其它适合数。对于一般用户，应选择较高值端口号，如大于4500某个端口号。不过必需注意此端口不得被其它服务所占用，必需为此服务所独用。 图3.35 下方则是用户要输入验署名时受信任根证书，请下载并配置为工行根证书。 在对上级证书链配置中，点击“添加”按钮则显示指示根证书文件窗口，选中根证书文件后按“保留”，最新根证书将被添加到最终一行。 要实施“修改”或“删除”功效必需先选中某一根证书，不然不予实施。点击“修改”按钮，会显示指示根证书文件窗口，选中根证书后按“保留”后最新根证书将替换被选中根证书。点击“删除”按钮则删除被选中根证书。 3.5.1.2 配置证书信息 3.5.1.2.1 存放介质为磁盘 点击“证书”页面框，能够配置“证书”相关信息，如图3.36所表示，上方区域需要用户输入署名服务器署名证书文件全路径文件名称，必需为PFX格式，点击“浏览”按钮即可选择，选中后按“保留”按钮。 图3.36 3.5.1.2.2 存放介质为加密卡 依据工行给出名称输入PKCS11库、设备标识、证书标识和相对应私钥标识，其中PKCS11库最好写入全路径文件名称，库文件具体路径则需要依据厂商加密硬件驱动安转位置确定。如图3.37所表示。 图3.37 3.5.1.3 配置验署名返回信息 点击“验署名返回信息”页面框，是对验署名返回信息配置，如图3.38所表示。想返回信息内容，选中即可。 选中“原文”是指返回请求署名原文信息，不然不返回。 选中“证书(Base64编码)”是指返回进行署名证书64位编码信息，不然不返回。 选中“证书专题”是指返回署名证书专题信息，不然不返回。 选中“证书公布者”是指返回署名证书公布者信息，不然不返回。 选中“证书使用期”是指返回署名证书起始时间和终止时间，不然不返回。 选中“证书序列号(字符串)”是指返回署名证书序列号字符串，不然不返回。 图3.38 3.5.1.4 配置输出信息 点击“输出信息”页面框，是对Netsafe Client输出信息配置，如图3.39所表示。 上方区域显示是对署名服务器日志文件设置，点击“浏览”则会显示窗口来选择要输入日志文件，选中后点击“保留”按钮，有以下几点需要注意： 用户能够自定义文件名，但必需指明其文件名和路径。 当指定目录下无该文件时，程序将新建一个，假如无指定目录，则程序将不统计日志。 日志保留自服务开启后所做每一项操作统计，包含时间、服务开启、退出、监听状态、犯错原因、用户IP、访问URL等。 在“日志内容”区域中用户能够依据需要来选择输入日志内容，包含登录信息、服务器运行情况信息、错误信息等。 下方区域显示是对署名服务器维护信息文件配置，维护信息文件是用来统计NC接收和发送信息内容，关键用于出现BUG时查看NC接收和发送信息情况，署名服务器正常运行情况下，提议不使用该项。 点击“浏览”会显示窗口来选择要输入维护信息文件，在“维护信息文件”区域中用户能够依据需要来选择输入维护信息内容，关键包含接收到信息和发送信息，默认情况下不选中该两项内容。 图3.39 3.5.2 日志管理 在图3.27中选中署名服务器后点击右键，出现右键菜单，选中“日志”，就出现“日志”窗口，如图3.40所表示。 点击“查看”按钮则打开日志文件，右方显示出日志文件全部内容信息。 点击“刷新”按钮则刷新目前日志文件内容。 点击“清空”按钮则清空目前日志文件全部内容，所以在实施该功效之前应小心谨慎。 点击“备份”按钮则会提醒用户将日志文件备份为其它路径及文件名。 点击“关闭”按钮则关闭“日志”窗口。 图3.40 4 系统运行 4.1 服务开启和停止 4.1.1 开启 当要开启对应服务时候，在其右键菜单中选择“开启”，如上图3.2所表示，在开启时假如证书存放在证书需要输入保护私钥口令，假如证书存放在加密卡中则需要输入加密设备设备口令。 4.1.2 停止 当要停止对应服务时候，在其右键菜单中选择“停止”。 4.1.3 重启 当要重启对应服务时候，在其右键菜单中选择“重启”。 4.2 NetSafe Client 配置文件 对NetSafe Client中每个不一样服务有不一样配置文件。在配置窗口中对每个参数修改也会保留到对应配置文件中，如图4.1所表示为安全Http服务协议配置文件，署名服务器配置文件和其相同。 图4.1 4.2.1 配置 在“配置”窗口中配置NC部分参数后，在参数提醒显示信息旁带#表示需要重新开启程序该参数才会生效，带*表示需要重启服务才能生效，其它参数则立即生效。假如系统提醒一定要重启服务或程序，请务必根据系统提醒去做。