银行银企互联企业服务器安装手册.docx

中国工商银行银企互联企业服务器安装手册版本号：1. 0中国工商银行银企互联企业服务器安装手册中国工商银行北京软件研发部2005年02月目 录1前 言31.1使用对象31.2如何使用本手册42网络配置建议43软件安装与配置53.1安装NetSafe Client53.2运行NetSafe Client53.3证书的请求和导入73.3.1软方式的申请83.3.2软方式证书的格式转换113.3.3软方式证书导入173.3.4工行根证书的注册193.3.5硬方式193.4加密服务243.4.1配置243.4.2日志管理313.5签名服务323.5.1配置323.5.2日志管理374系统的运行384.1服务的启动与停止384.1.1启动384.1.2停止384.1.3重启384.2NetSafe Client 的配置文件394.2.1配置391 前 言中国工商银行银企互联企业服务器是架设在企业端的一台Windows 2000平台的服务器，它将银行服务直接延伸到企业，为企业提供更优质的服务。该服务器上安装有工商银行为银企互联应用专门委托开发的软件NetSafe Client 1.5 for NT，简称NC。通过这个服务器，企业可以方便地同工商银行网上银行对接，实现财务业务与银行业务的无缝继承。该手册将给出基于NetSafe Client的银企互联系统网络配置建议，并说明NetSafe Client的安装以及相关的操作指南。此版本支持磁盘证书和符合PKCS11标准的硬件设备（如加密机、加密卡、IC卡等）。1.1 使用对象NetSafe Client1.5 for NT软件授权使用者。1.2 如何使用本手册会使用WINDOWS操作系统，熟悉Web及网络安全的基础知识，熟悉常用代理服务器的使用，掌握签名及验签名的基本原理，了解PKCS的相关知识。2 网络配置建议由于进行银企互联业务的企业服务器中配置有企业的证书，并且交易请求数据都将通过它发向银行，所以它的安全性应该引起充分的重视，必须对此服务器进行妥善的保护，建议网络如下图进行配置。网络建议图一建议单独设立银企互联服务器，并且与企业的财务服务器用网络直连线连接组成一个小型专网。在企业财务服务器上不能设置企业内网到银企互联服务器的路由，以防止不法数据包发给银企互联服务器。另外，建议对银企互联服务器的操作需要专人负责，并对服务器进行物理隔离，杜绝无关人员的非法操作。如果为了节省成本，将银企互联服务器和企业财务服务器安装到一起，则需要采用防火墙等安全设备限制财务应用以外的机器访问该服务器，如下图所示。网络建议图二3 软件安装与配置3.1 安装NetSafe Client点击软件介质中的安装程序setup.exe，即可开始进行Netsafe Client的安装，按照安装提示一步一步即可完成，非常方便。NetSafe Client支持P11接口的硬件加密设备，如加密卡、加密机等，如果企业采用此种硬件加密设备，需要事先将其安装好。具体的操作请参考加密设备提供商的文档，最好在其厂家的指导下进行。3.2 运行NetSafe ClientNetsafe Client安装完毕后，在Windows系统中点击开始程序NetTransaction1.5 Netsafe Client，将出现Netsafe Client的菜单条。从而可以执行启动Netsafe Client软件程序、查看用户手册和Readme文件以及卸载Netsafe Client的操作。如图3.1所示，点击“Netsafe Client”即进入Netsafe Client的主界面。图3.1如图3.2所示，主界面的上方是主菜单，下方的左侧区域显示的是NC所支持的协议服务的信息，包括服务类型、端口号和状态信息，右侧区域显示的则是左侧被选中协议服务的启动、重启或停止的操作内容，包括时间信息和内容信息。第一次启动时，所有的协议服务均处于停止状态。此版本中支持安全Http服务和签名服务。图3.23.3 证书的请求和导入按照图3.3所示，点击主菜单中的“工具”一项，选中“证书请求和导入”，进入图3.4所示的“证书请求和导入”窗口中。在图3.3“工具”的第二项“将证书转换成PFX证书”，是企业用软方式申请证书，在配置签名服务时将证书转换成PFX格式的功能处。图3.3图3.43.3.1 软方式的申请所谓的软方式就是将私钥文件以文件的方式存储在硬盘中，并将申请到的证书写入磁盘中。在申请证书前，用户的网络配置必须完成，即可以通过公网或者专线方式访问工行网银，此时方可以进行证书的申请和导入，否则无法完成所有的步骤。选择图3.4所示的第一项，点击“确定”按钮，进入软方式的请求过程(共5步)，图3.5所示为第一步，分别输入私钥文件名（扩展名必须是.pem）、私钥口令和证书注销口令（口令长度为48位），点击“下一步”，进入第二步。图3.5在第二步中(图3.6所示)，输入DN，其中CN必须输入工行密码信封中给定的企业ID（图中为test.d.0200），另外OU可通过点击“添加”按钮输入多个，每个OU值均可删除或修改，输入完毕后点击“下一步”，出现提示窗口(如图3.7所示)，要求确认是否产生PKCS10请求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。注意，输入的各项参数为工行定义的标准参数，根据需要工行有权做出更改，即客户输入值工行可以根据需要进行修改，并将相应信息写入证书中。点击“上一步”可返回第一步进行重新输入。图3.6图3.7图3.8将如图3.8所示的证书请求包复制好以后，就可以到工行网站申请证书了。申请时，首先需要完成银企互联服务器与工行网络的连接（公网或者专线方式），然后在浏览器中输入（生产系统公网方式），或者使用https:/专网IP/icbc/corporbank/GetCertificate.jsp（生产系统专线方式）。如果是通过专线方式请求证书，则IP地址请与工行相关人员接洽。注意，同时请在上述URL地址上下载工行根证书ca.cer，并保存好，以备后面使用。在工行网页上，需要输入从工行获得的证书的参考号和授权码，并将从图3.8获得的证书请求包粘贴到网页中，之后可以获得所申请的证书。将工行网页中的证书从网页上粘贴到文本文件中，然后存为文件名称为ICBC_Cert.p7b的文件。3.3.2 软方式证书的格式转换证书格式的转换是将p7b格式证书转化成Base64编码的pem证书。刚才申请得到的证书是p7b格式的证书，该格式的证书不能直接用于启动安全HTTP服务和签名服务，下面将详细说明一下如何将其转换成Base64编码的pem格式的证书。下面按步骤说明转换过程。3.3.2.1 将p7b格式证书导入IE浏览器。打开IE浏览器，选择“工具”菜单下的“Internet选项”功能，弹出“Internet选项”窗口，选择“内容”页面，如图3.9所示，再点击“证书”按钮，弹出“内容”窗口，如图3.10所示，点击左侧的“导入”按钮，进入“证书导入向导”过程，先点击“下一步”，便进入到指定导入文件窗口，如图3.11所示，指定刚才申请到的工行证书文件后，点击“下一步”，进入“证书存储”窗口，点击“下一步”，进入“完成证书导入”窗口，显示导入证书的信息，如图3.12所示，点击“完成”按钮，出现窗口提示“导入成功”，如图3.13所示，此时该p7b证书已被导入到IE浏览器中。图3.9图3.10图3.11图3.12图3.13 3.3.2.2 将导入证书导出成pem格式的证书。在如图3.10所示的窗口中选择“中级证书颁发机构”页面，如图3.14所示，选中刚刚导入的p7b证书，点击“导出”按钮，进入证书导出向导过程，点击“下一步”，进入“导出文件格式”窗口，如图3.15所示，选择第二项Base64编码X.509(.CER)，点击“下一步”，进入指定要导出文件名窗口，如图3.16所示，直至完成文件导出。图3.14图3.15图3.163.3.2.3 复制证书Base64编码用写字板打开刚刚导出的CER证书，复制其证书的Base64编码，如图3.17所示。图3.173.3.3 软方式证书导入在完成证书格式的转换后，选择图3.4所示的第三项，点击“确定”按钮，进入导入磁盘证书的过程。回到图3.8并点击“下一步”，进入第四步，将申请到的证书包从图3.17所示的写字板中粘贴到框中，如图3.18所示，点击“下一步”进入第五步，将生成的证书保存在用户指定的目录中，文件名称请取为ICBC_Cert.pem，如图3.19所示，点击“完成”，出现提示窗口如图3.20所示，此时以软方式生成的证书就完成了。图3.18图3.19图3.203.3.4 工行根证书的注册企业互连软件必须在注册工行根证书后才能正常使用。双击在前面申请证书的时候保存的工行根证书的文件ca.cer，然后按照windows系统的证书安装模板进行即可将工行根证书正确安装成为受信根证书。3.3.5 硬方式所谓的硬方式就是由硬件设备（支持PKCS11的IC卡、加密卡和加密机等）产生私钥文件，并将申请到的证书存入相应的硬件设备中。硬方式所需的读卡器驱动和捷德卡CSP（金邦达卡CSP则需使用开发包中提供的CSP安装程序）可从工行网站（）中的“电子银行”>“网上银行”>“企业网上银行”>“下载软件一览表”中获得。金邦达卡在申请证书前必须在银行内部管理系统中进行初始化，捷德卡则需使用开发包中提供的捷德卡初始化工具进行初始化。3.3.5.1 硬方式证书申请选择图3.4所示的第二项“使用硬件方式产生PKCS请求包，并将申请到的证书导入设备中”，点击“确定”按钮，进入硬方式的请求过程(共5步)，图3.21所示为第一步，分别输入PKCS11库的文件名、设备标识、公钥标识、私钥标识和设备口令，输入的内容根据硬件设备的不同而不同，具体输入项需要和工行相关人员接洽，不能按照图中输入。输入完成后后，点击“下一步”，进入第二步。IC卡类型PKCS11库名设备标识名捷德（G&D）Aetpkss1.dllSafeSign金邦达（GemPlus）Nppkcs11.dllNet-Pass00aetpkss1.dll在C:WINDOWSsystem32下（XP系统），2000server是在C:WINDOWS NT下图3.21在第二步中(图3.22所示，同软方式)，输入DN，其中OU可通过点击“添加”按钮输入多个，每个OU值均可删除或修改，输入完毕后点击“下一步”，出现提示窗口，要求确认是否产生PKCS10请求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。图3.22第三步和第四步的操作与软方式完全相同（图3.8、图3.18），进入到第五步时(如图3.23所示)，输入证书的存储标识“ICBC_Cert”，点击“完成”按钮，出现提示窗口，提示“请确认您的设备已经准备好！”，如图3.24所示。如果加密卡已连接好，点击“是”按钮，否则点击“否”按钮回到图3.23状态，点击“是”按钮后，加密卡的红灯亮，表示正在将证书存入加密卡中，等红灯灭，绿灯亮时，表示已存储完毕，又出现提示窗口(如图3.25所示)，表示证书已成功存储进加密卡中。图3.23图3.24图3.25 3.3.5.2 硬方式证书导入此项功能主要用于在用户得到了证书请求包后，不能立即去相关的网站去申请证书，可能要退出NetSafe Client，在申请完证书包以后再启动NetSafe Client的情况。选择图3.4所示的第四项“将申请到的证书导入到设备中”，点击“确定”按钮，进入已申请证书的存储过程(如图3.26所示)，输入正确的设备口令，点击“下一步”，直接进入硬方式的第四步中，操作过程与硬方式完成相同，这里不再详细说明。图3.263.4 加密服务加密服务是指银企互联服务器将客户的http请求转换为安全Http（https）请求的功能。3.4.1 配置在启动所选中的协议服务之前，必须要对该项服务的某些参数进行配置，选中安全Http服务后点击右键，出现右键菜单如图3.27所示，选中“配置”，就出现“配置”窗口，如图3.28所示。图3.27 “配置”窗口中用了5个页面框来显示配置信息的内容，分别是“服务器信息”、“证书”、“基本配置”、“输出信息”、“代理服务器”，下面我们就针对每个配置参数一一来进行说明。3.4.1.1 配置服务器信息在图3.28中显示的即是“服务器信息”页面框，上方的文本框显示的用户要输入的Netsafe Client监听的端口号，即是NetSafe Client中安全HTTP服务所监听的端口号。该项一般配置为448端口，用于监听来自SSL/TLS的请求，也可以根据需要进行配置。如果在同一台机器上有Web Server或其它服务监听448端口，则此项应配为非448的其它适合数。对于普通用户，应选用较高值的端口号，如大于4500的某个端口号。但是必须注意此端口不得被其他服务所占用，必须为此服务所独用。下方则是用户要输入的是安全Http服务通过安全通道（SSL）所访问的工行服务器的IP地址及端口号。如果通过公网访问，可以配置为（生产地址），如果是专线方式，IP地址请与工行相关人员接洽。图3.283.4.1.2 配置证书信息点击“证书”页面框，可以配置“证书”的相关信息，证书的配置根据其存储介质的不同分为两种情况：磁盘证书和硬件证书（IC卡、加密卡、加密机）。3.4.1.2.1 存储介质为磁盘如图3.29所示，上方区域需要用户输入安全Http服务的证书文件及私钥文件的全路径文件名称，点击“浏览”按钮，根据用户存储证书文件的位置选择证书文件和私钥文件，选中后按“保存”按钮。下方区域则需要用户添加工行的根证书（即上级证书链）。根证书在下载证书文件时可同时得到。在对上级证书链的配置中，点击“添加”按钮则显示指示根证书文件的窗口，选中根证书文件后按“保存”，最新的根证书将被添加到最后一行。要执行“修改”或“删除”功能必须先选中某一根证书，否则不予执行。点击“修改”按钮，会显示指示根证书文件的窗口，选中根证书后按“保存”后最新的根证书将替换被选中的根证书。点击“删除”按钮则删除被选中的根证书。图3.29 3.4.1.2.2 存储介质为硬件如图3.30所示，输入工行给定的相对应的证书和其私钥标识、PKCS11库及设备标识（不能按照图中输入），其中PKCS11库最好写入全路径名称，库文件需要根据硬件厂商驱动程序的安装路径确定。图3.303.4.1.3 基本配置信息点击“基本配置”页面框，是对安全Http服务的一些基本配置，如图3.31所示。用户需要输入最低加密强度，是指安全Http服务所支持与其相连接的Server(如NS)的最低密钥强度，NC最低支持40Bit的密钥强度，建议设置为128位。连接超时时间是指客户端与NC连接超时时间，单位是秒，建议配置为900秒。本地域名输入本机的IP地址。最下方指的是NC所支持的协议，有SSL2、SSL3、TSL1三种协议，必须至少选择一种协议，否则不予通过。图3.313.4.1.4 配置输出信息点击“输出信息”页面框，是对安全Http服务的输出信息的配置，如图3.32所示。上方区域显示的是对安全Http服务日志文件的设置，点击“浏览”则会显示窗口来选择要输入的日志文件，选中后点击“保存”按钮，有以下几点需要注意：用户可以自定义文件名，但必须指明其文件名和路径。当指定目录下无该文件时，程序将新建一个，如果无指定目录，则程序将不记录日志。日志保存自服务启动后所做的每一项操作的记录，包括时间、服务的启动、退出、监听状态、出错原因、用户的IP、访问的URL等。在“日志内容”区域中用户可以根据需要来选择输入日志的内容，包括登录信息、用户访问的URL信息、服务器运行状况的信息、错误信息等。下方区域显示的是对NC维护信息文件的配置，维护信息文件是用来记录NC接收与发送信息的内容，主要用于出现BUG时查看NC的接收与发送信息的情况，在NC正常运行情况下，建议不使用该项。点击“浏览”会显示窗口来选择要输入的维护信息文件，在“维护信息文件”区域中用户可以根据需要来选择输入维护信息的内容，主要包括接收到的信息和发送的信息，默认情况下不选中该两项内容。图3.323.4.1.5 配置代理服务器信息点击“代理服务器”页面框，是对安全Http服务的代理服务器的配置，如图3.33所示。选中“代理服务器”，NC就会允许输入有关代理服务器的一些参数。在“代理类型和服务器”区域中，用户输入代理服务器的IP地址及代理端口，NetSafe Client 只支持Socks4和Socks5协议，其中Socks5支持带用户名口令方式的身份认证。当选中Sock5协议而又需身份认证时，用户就必须配置验证用户身份的用户名和口令参数项。图3.33以上所有参数配置完毕，欲使参数生效点击“确定”，否则点击“取消”。3.4.2 日志管理在以上图3.27所示的界面中，选中“日志”，就出现“日志”窗口，如图3.34所示。点击“查看”按钮则打开日志文件，右方显示出日志文件的全部内容信息。点击“刷新”按钮则刷新当前日志文件内容。点击“清空”按钮则清空当前日志文件的所有内容，所以在执行该功能之前应小心谨慎。点击“备份”按钮则会提示用户将日志文件备份为其他的路径及文件名。点击“关闭”按钮则关闭“日志”窗口。图3.343.5 签名服务3.5.1 配置在启动所选中的协议服务之前，必须要对该项服务的某些参数进行配置，在图3.27中选中签名服务器后点击右键，出现右键菜单，选中“配置”，就出现“配置”窗口，如图3.35所示。3.5.1.1 基本配置信息在图3.35中显示的即是“基本配置”页面框，上方的文本框显示的用户要输入的签名服务器监听的端口号。该项一般配置为449端口，用于监听签名和验签名的请求，也可以根据需要进行配置。如果在同一台机器上有WebServer或其它服务监听449端口，则此项应配为非449的其它适合数。对于普通用户，应选用较高值的端口号，如大于4500的某个端口号。但是必须注意此端口不得被其他服务所占用，必须为此服务所独用。图3.35下方则是用户要输入的验签名时受信任的根证书，请下载并配置为工行的根证书。在对上级证书链的配置中，点击“添加”按钮则显示指示根证书文件的窗口，选中根证书文件后按“保存”，最新的根证书将被添加到最后一行。要执行“修改”或“删除”功能必须先选中某一根证书，否则不予执行。点击“修改”按钮，会显示指示根证书文件的窗口，选中根证书后按“保存”后最新的根证书将替换被选中的根证书。点击“删除”按钮则删除被选中的根证书。3.5.1.2 配置证书信息3.5.1.2.1 存储介质为磁盘点击“证书”页面框，可以配置“证书”的相关信息，如图3.36所示，上方区域需要用户输入签名服务器的签名证书文件的全路径文件名称，必须为PFX格式，点击“浏览”按钮即可选择，选中后按“保存”按钮。图3.363.5.1.2.2 存储介质为加密卡根据工行给出的名称输入PKCS11库、设备标识、证书标识和相对应的私钥标识，其中PKCS11库最好写入全路径文件名称，库文件的具体路径则需要根据厂商加密硬件驱动安转的位置确定。如图3.37所示。图3.373.5.1.3 配置验签名返回信息点击“验签名返回信息”页面框，是对验签名返回信息的配置，如图3.38所示。想返回的信息内容，选中即可。选中“原文”是指返回请求签名的原文信息，否则不返回。选中“证书(Base64编码)”是指返回进行签名的证书的64位编码信息，否则不返回。选中“证书主题”是指返回签名证书的主题信息，否则不返回。选中“证书发布者”是指返回签名证书的发布者信息，否则不返回。选中“证书有效期”是指返回签名证书的起始时间和终止时间，否则不返回。选中“证书序列号(字符串)”是指返回签名证书的序列号字符串，否则不返回。图3.38 3.5.1.4 配置输出信息点击“输出信息”页面框，是对Netsafe Client的输出信息的配置，如图3.39所示。上方区域显示的是对签名服务器日志文件的设置，点击“浏览”则会显示窗口来选择要输入的日志文件，选中后点击“保存”按钮，有以下几点需要注意：用户可以自定义文件名，但必须指明其文件名和路径。当指定目录下无该文件时，程序将新建一个，如果无指定目录，则程序将不记录日志。日志保存自服务启动后所做的每一项操作的记录，包括时间、服务的启动、退出、监听状态、出错原因、用户的IP、访问的URL等。在“日志内容”区域中用户可以根据需要来选择输入日志的内容，包括登录信息、服务器运行状况的信息、错误信息等。下方区域显示的是对签名服务器维护信息文件的配置，维护信息文件是用来记录NC接收与发送信息的内容，主要用于出现BUG时查看NC的接收与发送信息的情况，签名服务器正常运行情况下，建议不使用该项。点击“浏览”会显示窗口来选择要输入的维护信息文件，在“维护信息文件”区域中用户可以根据需要来选择输入维护信息的内容，主要包括接收到的信息和发送的信息，默认情况下不选中该两项内容。图3.393.5.2 日志管理在图3.27中选中签名服务器后点击右键，出现右键菜单，选中“日志”，就出现“日志”窗口，如图3.40所示。点击“查看”按钮则打开日志文件，右方显示出日志文件的全部内容信息。点击“刷新”按钮则刷新当前日志文件内容。点击“清空”按钮则清空当前日志文件的所有内容，所以在执行该功能之前应小心谨慎。点击“备份”按钮则会提示用户将日志文件备份为其他的路径及文件名。点击“关闭”按钮则关闭“日志”窗口。图3.40 4 系统的运行4.1 服务的启动与停止4.1.1 启动当要启动相应的服务的时候，在其右键菜单中选择“启动”，如上图3.2所示，在启动时如果证书存储在证书需要输入保护私钥的口令，如果证书存储在加密卡中则需要输入加密设备的设备口令。4.1.2 停止当要停止相应的服务的时候，在其右键菜单中选择“停止”。4.1.3 重启当要重启相应的服务的时候，在其右键菜单中选择“重启”。4.2 NetSafe Client 的配置文件对NetSafe Client中的每个不同的服务有不同的配置文件。在配置窗口中对每个参数的修改也会保存到相应的配置文件中，如图4.1所示为安全Http服务协议的配置文件，签名服务器的配置文件与其相似。图4.14.2.1 配置在“配置”窗口中配置NC的一些参数后，在参数提示显示信息旁带#的表示需要重新启动程序该参数才会生效，带*的表示需要重启服务才能生效，其他的参数则立即生效。如果系统提示一定要重启服务或程序，请务必按照系统提示去做。© 版权所有 中国工商银行北京软件研发部 38