中国工商银行银企互联企业服务器安装手册.doc

《中国工商银行银企互联企业服务器安装手册.doc》由会员分享，可在线阅读，更多相关《中国工商银行银企互联企业服务器安装手册.doc（42页珍藏版）》请在咨信网上搜索。

版本号：1. 0 中国工商银行银企互联公司服务器 安装手册 中国工商银行北京软件研发部 2023年02月 目 录 1 前 言 3 1.1 使用对象 3 1.2 如何使用本手册 4 2 网络配置建议 4 3 软件安装与配置 5 3.1 安装NetSafe Client 5 3.2 运营NetSafe Client 5 3.3 证书的请求和导入 7 3.3.1 软方式的申请 8 3.3.2 软方式证书的格式转换 11 3.3.3 软方式证书导入 17 3.3.4 工行根证书的注册 19 3.3.5 硬方式 19 3.4 加密服务 24 3.4.1 配置 24 3.4.2 日记管理 31 3.5 署名服务 32 3.5.1 配置 32 3.5.2 日记管理 37 4 系统的运营 38 4.1 服务的启动与停止 38 4.1.1 启动 38 4.1.2 停止 38 4.1.3 重启 38 4.2 NetSafe Client 的配置文献 39 4.2.1 配置 39 1 前 言 中国工商银行银企互联公司服务器是架设在公司端的一台Windows 2023平台的服务器，它将银行服务直接延伸到公司，为公司提供更优质的服务。该服务器上安装有工商银行为银企互联应用专门委托开发的软件NetSafe Client 1.5 for NT，简称NC。通过这个服务器，公司可以方便地同工商银行网上银行对接，实现财务业务与银行业务的无缝继承。 该手册将给出基于NetSafe Client的银企互联系统网络配置建议，并说明NetSafe Client的安装以及相关的操作指南。此版本支持磁盘证书和符合PKCS11标准的硬件设备（如加密机、加密卡、IC卡等）。 1.1 使用对象 NetSafe Client1.5 for NT软件授权使用者。 1.2 如何使用本手册 会使用WINDOWS操作系统，熟悉Web及网络安全的基础知识，熟悉常用代理服务器的使用，掌握署名及验署名的基本原理，了解PKCS的相关知识。 2 网络配置建议 由于进行银企互联业务的公司服务器中配置有公司的证书，并且交易请求数据都将通过它发向银行，所以它的安全性应当引起充足的重视，必须对此服务器进行妥善的保护，建议网络如下图进行配置。 网络建议图一 建议单独设立银企互联服务器，并且与公司的财务服务器用网络直连线连接组成一个小型专网。在公司财务服务器上不能设立公司内网到银企互联服务器的路由，以防止不法数据包发给银企互联服务器。此外，建议对银企互联服务器的操作需要专人负责，并对服务器进行物理隔离，杜绝无关人员的非法操作。 假如为了节省成本，将银企互联服务器和公司财务服务器安装到一起，则需要采用防火墙等安全设备限制财务应用以外的机器访问该服务器，如下图所示。 网络建议图二 3 软件安装与配置 3.1 安装NetSafe Client 点击软件介质中的安装程序setup.exe，即可开始进行Netsafe Client的安装，按照安装提醒一步一步即可完毕，非常方便。 NetSafe Client支持P11接口的硬件加密设备，如加密卡、加密机等，假如公司采用此种硬件加密设备，需要事先将其安装好。具体的操作请参考加密设备提供商的文档，最佳在其厂家的指导下进行。 3.2 运营NetSafe Client Netsafe Client安装完毕后，在Windows系统中点击开始→程序→NetTransaction1.5 →Netsafe Client，将出现Netsafe Client的菜单条。从而可以执行启动Netsafe Client软件程序、查看用户手册和Readme文献以及卸载Netsafe Client的操作。 如图3.1所示，点击“Netsafe Client”即进入Netsafe Client的主界面。 图3.1 如图3.2所示，主界面的上方是主菜单，下方的左侧区域显示的是NC所支持的协议服务的信息，涉及服务类型、端标语和状态信息，右侧区域显示的则是左侧被选中协议服务的启动、重启或停止的操作内容，涉及时间信息和内容信息。第一次启动时，所有的协议服务均处在停止状态。此版本中支持安全Http服务和署名服务。 图3.2 3.3 证书的请求和导入 按照图3.3所示，点击主菜单中的“工具”一项，选中“证书请求和导入”，进入图3.4所示的“证书请求和导入”窗口中。 在图3.3“工具”的第二项“将证书转换成PFX证书”，是公司用软方式申请证书，在配置署名服务时将证书转换成PFX格式的功能处。 图3.3 图3.4 3.3.1 软方式的申请 所谓的软方式就是将私钥文献以文献的方式存储在硬盘中，并将申请到的证书写入磁盘中。 在申请证书前，用户的网络配置必须完毕，即可以通过公网或者专线方式访问工行网银，此时方可以进行证书的申请和导入，否则无法完毕所有的环节。 选择图3.4所示的第一项，点击“拟定”按钮，进入软方式的请求过程(共5步)，图3.5所示为第一步，分别输入私钥文献名（扩展名必须是.pem）、私钥口令和证书注销口令（口令长度为4－8位），点击“下一步”，进入第二步。 图3.5 在第二步中(图3.6所示)，输入DN，其中CN必须输入工行密码信封中给定的公司ID（图中为test.d.0200），此外OU可通过点击“添加”按钮输入多个，每个OU值均可删除或修改，输入完毕后点击“下一步”，出现提醒窗口(如图3.7所示)，规定确认是否产生PKCS10请求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。注意，输入的各项参数为工行定义的标准参数，根据需要工行有权做出更改，即客户输入值工行可以根据需要进行修改，并将相应信息写入证书中。 点击“上一步”可返回第一步进行重新输入。 图3.6 图3.7 图3.8 将如图3.8所示的证书请求包复制好以后，就可以到工行网站申请证书了。申请时，一方面需要完毕银企互联服务器与工行网络的连接（公网或者专线方式），然后在浏览器中输入（生产系统公网方式），或者使用https://专网IP/icbc/corporbank/GetCertificate.jsp（生产系统专线方式）。假如是通过专线方式请求证书，则IP地址请与工行相关人员接洽。 注意，同时请在上述URL地址上下载工行根证书ca.cer，并保存好，以备后面使用。 在工行网页上，需要输入从工行获得的证书的参考号和授权码，并将从图3.8获得的证书请求包粘贴到网页中，之后可以获得所申请的证书。将工行网页中的证书从网页上粘贴到文本文献中，然后存为文献名称为ICBC_Cert.p7b的文献。 3.3.2 软方式证书的格式转换 证书格式的转换是将p7b格式证书转化成Base64编码的pem证书。 刚才申请得到的证书是p7b格式的证书，该格式的证书不能直接用于启动安全HTTP服务和署名服务，下面将具体说明一下如何将其转换成Base64编码的pem格式的证书。下面按环节说明转换过程。 3.3.2.1 将p7b格式证书导入IE浏览器。 打开IE浏览器，选择“工具”菜单下的“Internet选项”功能，弹出“Internet选项”窗口，选择“内容”页面，如图3.9所示，再点击“证书”按钮，弹出“内容”窗口，如图3.10所示，点击左侧的“导入”按钮，进入“证书导入向导”过程，先点击“下一步”，便进入到指定导入文献窗口，如图3.11所示，指定刚才申请到的工行证书文献后，点击“下一步”，进入“证书存储”窗口，点击“下一步”，进入“完毕证书导入”窗口，显示导入证书的信息，如图3.12所示，点击“完毕”按钮，出现窗口提醒“导入成功”，如图3.13所示，此时该p7b证书已被导入到IE浏览器中。 图3.9 图3.10 图3.11 图3.12 图3.13 3.3.2.2 将导入证书导出成pem格式的证书。 在如图3.10所示的窗口中选择“中级证书颁发机构”页面，如图3.14所示，选中刚刚导入的p7b证书，点击“导出”按钮，进入证书导出向导过程，点击“下一步”，进入“导出文献格式”窗口，如图3.15所示，选择第二项——Base64编码X.509(.CER)，点击“下一步”，进入指定要导出文献名窗口，如图3.16所示，直至完毕文献导出。 图3.14 图3.15 图3.16 3.3.2.3 复制证书Base64编码 用写字板打开刚刚导出的CER证书，复制其证书的Base64编码，如图3.17所示。 图3.17 3.3.3 软方式证书导入 在完毕证书格式的转换后，选择图3.4所示的第三项，点击“拟定”按钮，进入导入磁盘证书的过程。回到图3.8并点击“下一步”，进入第四步，将申请到的证书包从图3.17所示的写字板中粘贴到框中，如图3.18所示，点击“下一步”进入第五步，将生成的证书保存在用户指定的目录中，文献名称请取为ICBC_Cert.pem，如图3.19所示，点击“完毕”，出现提醒窗口如图3.20所示，此时以软方式生成的证书就完毕了。 图3.18 图3.19 图3.20 3.3.4 工行根证书的注册 公司互连软件必须在注册工行根证书后才干正常使用。双击在前面申请证书的时候保存的工行根证书的文献ca.cer，然后按照windows系统的证书安装模板进行即可将工行根证书对的安装成为受信根证书。 3.3.5 硬方式 所谓的硬方式就是由硬件设备（支持PKCS11的IC卡、加密卡和加密机等）产生私钥文献，并将申请到的证书存入相应的硬件设备中。 硬方式所需的读卡器驱动和捷德卡CSP（金邦达卡CSP则需使用开发包中提供的CSP安装程序）可从工行网站（）中的“电子银行”－>“网上银行”－>“公司网上银行”－>“下载软件一览表”中获得。 金邦达卡在申请证书前必须在银行内部管理系统中进行初始化，捷德卡则需使用开发包中提供的捷德卡初始化工具进行初始化。 3.3.5.1 硬方式证书申请 选择图3.4所示的第二项“使用硬件方式产生PKCS请求包，并将申请到的证书导入设备中”，点击“拟定”按钮，进入硬方式的请求过程(共5步)，图3.21所示为第一步，分别输入PKCS11库的文献名、设备标记、公钥标记、私钥标记和设备口令，输入的内容根据硬件设备的不同而不同，具体输入项需要和工行相关人员接洽，不能按照图中输入。输入完毕后后，点击“下一步”，进入第二步。 IC卡类型 PKCS11库名 设备标记名 捷德（G&D） Aetpkss1.dll SafeSign 金邦达（GemPlus） Nppkcs11.dll Net-Pass00 aetpkss1.dll在C:\WINDOWS\system32下（XP系统），2023server是在C:\WINDOWS NT下 图3.21 在第二步中(图3.22所示，同软方式)，输入DN，其中OU可通过点击“添加”按钮输入多个，每个OU值均可删除或修改，输入完毕后点击“下一步”，出现提醒窗口，规定确认是否产生PKCS10请求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。 图3.22 第三步和第四步的操作与软方式完全相同（图3.8、图3.18），进入到第五步时(如图3.23所示)，输入证书的存储标记“ICBC_Cert”，点击“完毕”按钮，出现提醒窗口，提醒“请确认您的设备已经准备好！”，如图3.24所示。假如加密卡已连接好，点击“是”按钮，否则点击“否”按钮回到图3.23状态，点击“是”按钮后，加密卡的红灯亮，表达正在将证书存入加密卡中，等红灯灭，绿灯亮时，表达已存储完毕，又出现提醒窗口(如图3.25所示)，表达证书已成功存储进加密卡中。 图3.23 图3.24 图3.25 3.3.5.2 硬方式证书导入 此项功能重要用于在用户得到了证书请求包后，不能立即去相关的网站去申请证书，也许要退出NetSafe Client，在申请完证书包以后再启动NetSafe Client的情况。 选择图3.4所示的第四项“将申请到的证书导入到设备中”，点击“拟定”按钮，进入已申请证书的存储过程(如图3.26所示)，输入对的的设备口令，点击“下一步”，直接进入硬方式的第四步中，操作过程与硬方式完毕相同，这里不再具体说明。 图3.26 3.4 加密服务 加密服务是指银企互联服务器将客户的http请求转换为安全Http（https）请求的功能。 3.4.1 配置 在启动所选中的协议服务之前，必须要对该项服务的某些参数进行配置，选中安全Http服务后点击右键，出现右键菜单如图3.27所示，选中“配置”，就出现“配置”窗口，如图3.28所示。 图3.27 “配置”窗口中用了5个页面框来显示配置信息的内容，分别是“服务器信息”、“证书”、“基本配置”、“输出信息”、“代理服务器”，下面我们就针对每个配置参数一一来进行说明。 3.4.1.1 配置服务器信息 在图3.28中显示的即是“服务器信息”页面框，上方的文本框显示的用户要输入的Netsafe Client监听的端标语，即是NetSafe Client中安全HTTP服务所监听的端标语。该项一般配置为448端口，用于监听来自SSL/TLS的请求，也可以根据需要进行配置。假如在同一台机器上有Web Server或其它服务监听448端口，则此项应配为非448的其它适合数。对于普通用户，应选用较高值的端标语，如大于4500的某个端标语。但是必须注意此端口不得被其他服务所占用，必须为此服务所独用。 下方则是用户要输入的是安全Http服务通过安全通道（SSL）所访问的工行服务器的IP地址及端标语。假如通过公网访问，可以配置为（生产地址），假如是专线方式，IP地址请与工行相关人员接洽。 图3.28 3.4.1.2 配置证书信息 点击“证书”页面框，可以配置“证书”的相关信息，证书的配置根据其存储介质的不同分为两种情况：磁盘证书和硬件证书（IC卡、加密卡、加密机）。 3.4.1.2.1 存储介质为磁盘 如图3.29所示，上方区域需要用户输入安全Http服务的证书文献及私钥文献的全途径文献名称，点击“浏览”按钮，根据用户存储证书文献的位置选择证书文献和私钥文献，选中后按“保存”按钮。 下方区域则需要用户添加工行的根证书（即上级证书链）。根证书在下载证书文献时可同时得到。 在对上级证书链的配置中，点击“添加”按钮则显示指示根证书文献的窗口，选中根证书文献后按“保存”，最新的根证书将被添加到最后一行。 要执行“修改”或“删除”功能必须先选中某一根证书，否则不予执行。点击“修改”按钮，会显示指示根证书文献的窗口，选中根证书后按“保存”后最新的根证书将替换被选中的根证书。点击“删除”按钮则删除被选中的根证书。 图3.29 3.4.1.2.2 存储介质为硬件 如图3.30所示，输入工行给定的相相应的证书和其私钥标记、PKCS11库及设备标记（不能按照图中输入），其中PKCS11库最佳写入全途径名称，库文献需要根据硬件厂商驱动程序的安装途径拟定。 图3.30 3.4.1.3 基本配置信息 点击“基本配置”页面框，是对安全Http服务的一些基本配置，如图3.31所示。 用户需要输入最低加密强度，是指安全Http服务所支持与其相连接的Server(如NS)的最低密钥强度，NC最低支持40Bit的密钥强度，建议设立为128位。 连接超时时间是指客户端与NC连接超时时间，单位是秒，建议配置为900秒。 本地区名输入本机的IP地址。 最下方指的是NC所支持的协议，有SSL2、SSL3、TSL1三种协议，必须至少选择一种协议，否则不予通过。 图3.31 3.4.1.4 配置输出信息 点击“输出信息”页面框，是对安全Http服务的输出信息的配置，如图3.32所示。 上方区域显示的是对安全Http服务日记文献的设立，点击“浏览”则会显示窗口来选择要输入的日记文献，选中后点击“保存”按钮，有以下几点需要注意： 用户可以自定义文献名，但必须指明其文献名和途径。 当指定目录下无该文献时，程序将新建一个，假如无指定目录，则程序将不记录日记。 日记保存自服务启动后所做的每一项操作的记录，涉及时间、服务的启动、退出、监听状态、犯错因素、用户的IP、访问的URL等。 在“日记内容”区域中用户可以根据需要来选择输入日记的内容，涉及登录信息、用户访问的URL信息、服务器运营状况的信息、错误信息等。 下方区域显示的是对NC维护信息文献的配置，维护信息文献是用来记录NC接受与发送信息的内容，重要用于出现BUG时查看NC的接受与发送信息的情况，在NC正常运营情况下，建议不使用该项。 点击“浏览”会显示窗口来选择要输入的维护信息文献，在“维护信息文献”区域中用户可以根据需要来选择输入维护信息的内容，重要涉及接受到的信息和发送的信息，默认情况下不选中该两项内容。 图3.32 3.4.1.5 配置代理服务器信息 点击“代理服务器”页面框，是对安全Http服务的代理服务器的配置，如图3.33所示。选中“代理服务器”，NC就会允许输入有关代理服务器的一些参数。 在“代理类型和服务器”区域中，用户输入代理服务器的IP地址及代理端口，NetSafe Client 只支持Socks4和Socks5协议，其中Socks5支持带用户名口令方式的身份认证。 当选中Sock5协议而又需身份认证时，用户就必须配置验证用户身份的用户名和口令参数项。 图3.33 以上所有参数配置完毕，欲使参数生效点击“拟定”，否则点击“取消”。 3.4.2 日记管理 在以上图3.27所示的界面中，选中“日记”，就出现“日记”窗口，如图3.34所示。 点击“查看”按钮则打开日记文献，右方显示出日记文献的所有内容信息。 点击“刷新”按钮则刷新当前日记文献内容。 点击“清空”按钮则清空当前日记文献的所有内容，所以在执行该功能之前应小心谨慎。 点击“备份”按钮则会提醒用户将日记文献备份为其他的途径及文献名。 点击“关闭”按钮则关闭“日记”窗口。 图3.34 3.5 署名服务 3.5.1 配置 在启动所选中的协议服务之前，必须要对该项服务的某些参数进行配置，在图3.27中选中署名服务器后点击右键，出现右键菜单，选中“配置”，就出现“配置”窗口，如图3.35所示。 3.5.1.1 基本配置信息 在图3.35中显示的即是“基本配置”页面框，上方的文本框显示的用户要输入的署名服务器监听的端标语。该项一般配置为449端口，用于监听署名和验署名的请求，也可以根据需要进行配置。假如在同一台机器上有WebServer或其它服务监听449端口，则此项应配为非449的其它适合数。对于普通用户，应选用较高值的端标语，如大于4500的某个端标语。但是必须注意此端口不得被其他服务所占用，必须为此服务所独用。 图3.35 下方则是用户要输入的验署名时受信任的根证书，请下载并配置为工行的根证书。 在对上级证书链的配置中，点击“添加”按钮则显示指示根证书文献的窗口，选中根证书文献后按“保存”，最新的根证书将被添加到最后一行。 要执行“修改”或“删除”功能必须先选中某一根证书，否则不予执行。点击“修改”按钮，会显示指示根证书文献的窗口，选中根证书后按“保存”后最新的根证书将替换被选中的根证书。点击“删除”按钮则删除被选中的根证书。 3.5.1.2 配置证书信息 3.5.1.2.1 存储介质为磁盘 点击“证书”页面框，可以配置“证书”的相关信息，如图3.36所示，上方区域需要用户输入署名服务器的署名证书文献的全途径文献名称，必须为PFX格式，点击“浏览”按钮即可选择，选中后按“保存”按钮。 图3.36 3.5.1.2.2 存储介质为加密卡 根据工行给出的名称输入PKCS11库、设备标记、证书标记和相相应的私钥标记，其中PKCS11库最佳写入全途径文献名称，库文献的具体途径则需要根据厂商加密硬件驱动安转的位置拟定。如图3.37所示。 图3.37 3.5.1.3 配置验署名返回信息 点击“验署名返回信息”页面框，是对验署名返回信息的配置，如图3.38所示。想返回的信息内容，选中即可。 选中“原文”是指返回请求署名的原文信息，否则不返回。 选中“证书(Base64编码)”是指返回进行署名的证书的64位编码信息，否则不返回。 选中“证书主题”是指返回署名证书的主题信息，否则不返回。 选中“证书发布者”是指返回署名证书的发布者信息，否则不返回。 选中“证书有效期”是指返回署名证书的起始时间和终止时间，否则不返回。 选中“证书序列号(字符串)”是指返回署名证书的序列号字符串，否则不返回。 图3.38 3.5.1.4 配置输出信息 点击“输出信息”页面框，是对Netsafe Client的输出信息的配置，如图3.39所示。 上方区域显示的是对署名服务器日记文献的设立，点击“浏览”则会显示窗口来选择要输入的日记文献，选中后点击“保存”按钮，有以下几点需要注意： 用户可以自定义文献名，但必须指明其文献名和途径。 当指定目录下无该文献时，程序将新建一个，假如无指定目录，则程序将不记录日记。 日记保存自服务启动后所做的每一项操作的记录，涉及时间、服务的启动、退出、监听状态、犯错因素、用户的IP、访问的URL等。 在“日记内容”区域中用户可以根据需要来选择输入日记的内容，涉及登录信息、服务器运营状况的信息、错误信息等。 下方区域显示的是对署名服务器维护信息文献的配置，维护信息文献是用来记录NC接受与发送信息的内容，重要用于出现BUG时查看NC的接受与发送信息的情况，署名服务器正常运营情况下，建议不使用该项。 点击“浏览”会显示窗口来选择要输入的维护信息文献，在“维护信息文献”区域中用户可以根据需要来选择输入维护信息的内容，重要涉及接受到的信息和发送的信息，默认情况下不选中该两项内容。 图3.39 3.5.2 日记管理 在图3.27中选中署名服务器后点击右键，出现右键菜单，选中“日记”，就出现“日记”窗口，如图3.40所示。 点击“查看”按钮则打开日记文献，右方显示出日记文献的所有内容信息。 点击“刷新”按钮则刷新当前日记文献内容。 点击“清空”按钮则清空当前日记文献的所有内容，所以在执行该功能之前应小心谨慎。 点击“备份”按钮则会提醒用户将日记文献备份为其他的途径及文献名。 点击“关闭”按钮则关闭“日记”窗口。 图3.40 4 系统的运营 4.1 服务的启动与停止 4.1.1 启动 当要启动相应的服务的时候，在其右键菜单中选择“启动”，如上图3.2所示，在启动时假如证书存储在证书需要输入保护私钥的口令，假如证书存储在加密卡中则需要输入加密设备的设备口令。 4.1.2 停止 当要停止相应的服务的时候，在其右键菜单中选择“停止”。 4.1.3 重启 当要重启相应的服务的时候，在其右键菜单中选择“重启”。 4.2 NetSafe Client 的配置文献 对NetSafe Client中的每个不同的服务有不同的配置文献。在配置窗口中对每个参数的修改也会保存到相应的配置文献中，如图4.1所示为安全Http服务协议的配置文献，署名服务器的配置文献与其相似。 图4.1 4.2.1 配置 在“配置”窗口中配置NC的一些参数后，在参数提醒显示信息旁带#的表达需要重新启动程序该参数才会生效，带*的表达需要重启服务才干生效，其他的参数则立即生效。假如系统提醒一定要重启服务或程序，请务必按照系统提醒去做。