银行银企互联企业服务器安装办法

1、版本号：1 中国工商银行银企互联企业服务器安装手册中国工商银行北京软件研发部2005年02月目 录 TOC o13 h HYPERLINK N:整理后l1前 言PAGEFToc512824 h HYPELIK l_Toc9512824 1.1使用对象 AREF _o92 h HYPERLINK N:整理后1.如何使用本手册PAGREF _oc58246 HYPELINl To5128247网络配置建议PGREF _Toc5128247 h HYPERLINK l _oc928248 3软件安装与配置PAGRE oc9512248 h5 HYPERLIN l _To91282 3安装etSf C

2、ient PAGERF _oc5128249h5HYPERLINK N:整理后2运行etSafe Cent GERF _Toc2820 h 5 HYPERLINKl_Tc521 3.3证书的请求和导入 PAGEE _c951285h7HYPERLINK N:整理后33.1软方式的申请PAEE_To18252 h 8 HYPERLK l_Toc9528533.软方式证书的格式转换 PAGEREF c951253 h 1HYPERLINK N:整理后3.3.软方式证书导入 PAEREF_Toc91285 h 17HYPERLINK N:整理后l3.3工行根证书的注册 PGERE_oc512855

3、h HYERNKl _Toc951856 3.3.5硬方式 PAGEREF oc9528256 19HYELIN l oc91282573加密服务 PAGREF _oc912257 2HPERLINKl oc9128258 3.1配置 PAGEREF _T512258h 2HYPERLINK N:整理后l3.4.2日志治理 PEREF Toc9229 h 31 HPRNK l _Toc92860 3.5签名服务PAGERE_oc512826 3HYPERLN l_Toc9512821 5.1配置 AGER_Toc9512861 h 32HYPERLINK N:整理后l35.2日志治理 PAGE

4、RF Tc5282 h37 HYERLINK l_Toc9128263 4系统的运行 PAGREF _Toc128263 h 38 HYRLINK l _T9528264 4.1服务的启动与停止PREF_To95128264 h 8 HPELINl _Toc95128265 1.启动 AERF_Toc9512826 h 38HYPERLINK N:整理后4.1.2停止 PAREF _oc91826h 38HYPERLINK N:整理后.1.3重启 AGEEF _Tc1267 3 YPRINK l _oc952868 2NetSae Clent 的配置文件 AGERE _o95828 h 39

5、HYPERLIN l_oc928294.1配置 PAGREF _Toc9512829 h 9前 言中国工商银行银企互联企业服务器是架设在企业端的一台Window2000平台的服务器，它将银行服务直接延伸到企业,为企业提供更优质的服务。该服务器上安装有工商银行为银企互联应用专门托付开发的软件etSfe lnt .5 forT，简称C。通过那个服务器,企业能够方便地同工商银行网上银行对接,实现财务业务与银行业务的无缝继承。该手册将给出基于NeSafeCliet的银企互联系统网络配置建议,并讲明NetSafe Clet的安装以及相关的操作指南。此版本支持磁盘证书和符合KCS1标准的硬件设备(如加密机

6、、加密卡、I卡等）。使用对象etaf Clin1.5 or NT软件授权使用者。如何使用本手册会使用WINOWS操作系统,熟悉Web及网络安全的基础知识,熟悉常用代理服务器的使用,掌握签名及验签名的差不多原理，了解PKC的相关知识。网络配置建议由于进行银企互联业务的企业服务器中配置有企业的证书,同时交易请求数据都将通过它发向银行，因此它的安全性应该引起充分的重视,必须对此服务器进行妥善的爱护,建议网络如下图进行配置。网络建议图一建议单独设立银企互联服务器,同时与企业的财务服务器用网络直连线连接组成一个小型专网。在企业财务服务器上不能设置企业内网到银企互联服务器的路由，以防止不法数据包发给银企互

7、联服务器。另外,建议对银企互联服务器的操作需要专人负责,并对服务器进行物理隔离，杜绝无关人员的非法操作。假如为了节约成本，将银企互联服务器和企业财务服务器安装到一起，则需要采纳防火墙等安全设备限制财务应用以外的机器访问该服务器,如下图所示。网络建议图二软件安装与配置安装eae Cliet点击软件介质中的安装程序set.exe，即可开始进行Ntsafe lit的安装,按照安装提示一步一步即可完成,特不方便。Ntae lien支持1接口的硬件加密设备，如加密卡、加密机等，假如企业采纳此种硬件加密设备，需要事先将其安装好。具体的操作请参考加密设备提供商的文档,最好在其厂家的指导下进行。运行etSaf

8、lintNetafe Clen安装完毕后,在Window系统中点击开始程序Netrnsacin1. tsaf Clent,将出现etse Clint的菜单条。从而能够执行启动Nesaf Clint软件程序、查看用户手册和eadme文件以及卸载Nesafe Cien的操作。如HYPERLINK N:整理后图3.所示，点击“Netsae Cle”即进入Netae Cliet的主界面。图3.1如YERLINK l OLLN2 图3.所示,主界面的上方是主菜单,下方的左侧区域显示的是C所支持的协议服务的信息，包括服务类型、端口号和状态信息，右侧区域显示的则是左侧被选中协议服务的启动、重启或停止的操作内

9、容,包括时刻信息和内容信息。第一次启动时，所有的协议服务均处于停止状态。此版本中支持安全Htp服务和签名服务。图3.证书的请求和导入按照 HPRINK l OL_LK3图3.3所示,点击主菜单中的“工具”一项，选中“证书请求和导入”，进入 YERLNK lLE_LINK4图3.4所示的“证书请求和导入”窗口中。在图.3“工具”的第二项“将证书转换成P证书”，是企业用软方式申请证书,在配置签名服务时将证书转换成PFX格式的功能处。图3.3图.4软方式的申请所谓的软方式确实是将私钥文件以文件的方式存储在硬盘中,并将申请到的证书写入磁盘中。在申请证书前，用户的网络配置必须完成，即能够通过公网或者专线

10、方式访问工行网银,现在方能够进行证书的申请和导入,否则无法完成所有的步骤。选择HPERLIKl OLE_LN4 图3.4所示的第一项,点击“确定”按钮，进入软方式的请求过程(共5步)， HYPERLK l ELN5 图.5所示为第一步,分不输入私钥文件名（扩展名必须是pm)、私钥口令和证书注销口令（口令长度为48位）,点击“下一步”，进入第二步。图35在第二步中（HYPERLINK N:整理后图3.所示)，输入DN，其中C必须输入工行密码信封中给定的企业ID(图中为test.200），另外O可通过点击“添加”按钮输入多个，每个O值均可删除或修改，输入完毕后点击“下一步”，出现提示窗口(如HYP

11、ERLINK N:整理后 l OL_N图3.所示),要求确认是否产生PKS1请求。点击“是”按钮,进入第三步，点击“否”按钮,回到第二步。注意，输入的各项参数为工行定义的标准参数,依照需要工行有权做出更改，即客户输入值工行能够依照需要进行修改,并将相应信息写入证书中。点击“上一步”可返回第一步进行重新输入。图6图.7图.8将如HYPRLIN l OLE_LN 图3.所示的证书请求包复制好以后，就能够到工行网站申请证书了。申请时,首先需要完成银企互联服务器与工行网络的连接（公网或者专线方式），然后在扫瞄器中输入HYPERLINK N:整理后ttp:drcaicccomcicbororanketC

12、etifiate.ttps:/cn/cbcrobakGetCetificatesp（生产系统公网方式)，或者使用HYPERLINK N:整理后htps：专网IPicbccorporbankGtertfate.jspttps:/专网IP/iccorrbnk/GtCetifiatesp(生产系统专线方式)。假如是通过专线方式请求证书,则P地址请与工行相关人员接洽。注意,同时请在上述UL地址上下载工行根证书c.cer,并保存好，以备后面使用。在工行网页上,需要输入从工行获得的证书的参考号和授权码，并将从HYPERLINK N:整理后图.8获得的证书请求包粘贴到网页中,之后能够获得所申请的证书。将工行

13、网页中的证书从网页上粘贴到文本文件中,然后存为文件名称为ICB_Cet.p7的文件。软方式证书的格式转换证书格式的转换是将7b格式证书转化成Bs64编码的pem证书。刚才申请得到的证书是p7格式的证书,该格式的证书不能直接用于启动安全HTT服务和签名服务，下面将详细讲明一下如何将其转换成Bae64编码的pe格式的证书。下面按步骤讲明转换过程。将p7b格式证书导入E扫瞄器。打开IE扫瞄器,选择“工具”菜单下的“Interet选项”功能,弹出“ntenet选项”窗口,选择“内容”页面,如HYPRLIN l pic39 图3.9所示，再点击“证书”按钮,弹出“内容”窗口,如HYPERLINK N:整

14、理后l图30所示，点击左侧的“导入”按钮,进入“证书导入向导”过程，先点击“下一步”,便进入到指定导入文件窗口,如HYPERLINK N:整理后图3.1所示，指定刚才申请到的工行证书文件后,点击“下一步”,进入“证书存储”窗口,点击“下一步”，进入“完成证书导入”窗口，显示导入证书的信息,如HYPERLINK N:整理后l图.12所示，点击“完成”按钮,出现窗口提示“导入成功”,如 HPLNK l 3 图3.13所示，现在该p7b证书已被导入到E扫瞄器中。图3.9图3.1图3.11图3.2图.3将导入证书导出成em格式的证书。在如HYPERLINK N:整理后图3.10所示的窗口中选择“中级证

15、书颁发机构”页面,如HYPERLINK N:整理后图3.14所示，选中刚刚导入的p7b证书，点击“导出”按钮，进入证书导出向导过程,点击“下一步”，进入“导出文件格式”窗口，如HYELI l i15图.15所示，选择第二项Base4编码X.09(.CER)，点击“下一步”,进入指定要导出文件名窗口，如HYPERLINK N:整理后l图3.6所示,直至完成文件导出。图3.4图1图316复制证书se64编码用写字板打开刚刚导出的CER证书，复制其证书的Bse4编码，如 HYERLINK l pic31 图37所示。图3.17软方式证书导入在完成证书格式的转换后,选择 HERLIN l OL_LIN

16、K 图3.4所示的第三项,点击“确定”按钮，进入导入磁盘证书的过程。回到 YPELK l LE_NK8 图38并点击“下一步”，进入第四步，将申请到的证书包从HYPERLINK N:整理后图37所示的写字板中粘贴到框中，如HYPERLINK lLELIN9 图38所示，点击“下一步”进入第五步，将生成的证书保存在用户指定的目录中，文件名称请取为IB_Cert.pe，如HYPERLINK N:整理后图39所示,点击“完成”,出现提示窗口如 HPENKl LEINK11图.2所示,现在以软方式生成的证书就完成了。图3.18图.19图20工行根证书的注册企业互连软件必须在注册工行根证书后才能正常使用

17、。双击在前面申请证书的时候保存的工行根证书的文件acr，然后按照wdows系统的证书安装模板进行即可将工行根证书正确安装成为受信根证书。硬方式所谓的硬方式确实是由硬件设备（支持PKC1的I卡、加密卡和加密机等）产生私钥文件,并将申请到的证书存入相应的硬件设备中。硬方式所需的读卡器驱动和捷德卡CSP(金邦达卡C则需使用开发包中提供的CP安装程序)可从工行网站(htt:/www.icbccmc)中的“电子银行”-“网上银行”-“企业网上银行”-“下载软件一览表”中获得。金邦达卡在申请证书前必须在银行内部治理系统中进行初始化，捷德卡则需使用开发包中提供的捷德卡初始化工具进行初始化。硬方式证书申请选择

18、HYPERLINK N:整理后图3.所示的第二项“使用硬件方式产生PKCS请求包，并将申请到的证书导入设备中”，点击“确定”按钮,进入硬方式的请求过程(共5步), HYPERLN lOLE_K2 图.2所示为第一步,分不输入PKCS11库的文件名、设备标识、公钥标识、私钥标识和设备口令,输入的内容依照硬件设备的不同而不同，具体输入项需要和工行相关人员接洽，不能按照图中输入。输入完成后后,点击“下一步”,进入第二步。IC卡类型PKCS1库名设备标识名捷德（G&D)Aetpkss1.dlSafeSign金邦达(GemPlu)Npps1dlt-as00aepks1dl在C:WINDOWSstem下（

19、XP系统)，2000seer是在C：WNDOWSN下图321在第二步中(HYPERLINK N:整理后图22所示,同软方式),输入DN，其中U可通过点击“添加”按钮输入多个，每个OU值均可删除或修改，输入完毕后点击“下一步”,出现提示窗口，要求确认是否产生PKCS0请求。点击“是”按钮,进入第三步,点击“否”按钮,回到第二步。图3.22第三步和第四步的操作与软方式完全相同(HYPERLINK N:整理后图3.8、 YPRLINK l OLE_LIK9 图31)，进入到第五步时(如HYPERLINK N:整理后l图323所示),输入证书的存储标识“C_Cert”,点击“完成”按钮,出现提示窗口,

20、提示“请确认您的设备差不多预备好!”,如 HYPERLINK l OLE_NK图3.24所示。假如加密卡已连接好,点击“是”按钮，否则点击“否”按钮回到 HYPERI lOLLIN14 图.23状态，点击“是”按钮后，加密卡的红灯亮,表示正在将证书存入加密卡中,等红灯灭,绿灯亮时，表示已存储完毕,又出现提示窗口(如HYPERLINK N:整理后图3.25所示)，表示证书已成功存储进加密卡中。图3.3图3.24图3.25 硬方式证书导入此项功能要紧用于在用户得到了证书请求包后,不能立即去相关的网站去申请证书,可能要退出NetSaf lient,在申请完证书包以后再启动NtSfeClient的情况

21、。选择 HPERLINK l LE_L 图3所示的第四项“将申请到的证书导入到设备中”,点击“确定”按钮,进入已申请证书的存储过程(如HYPERLINK N:整理后l图3.2所示)，输入正确的设备口令，点击“下一步”，直接进入硬方式的第四步中,操作过程与硬方式完成相同,那个地点不再详细讲明。图3.2加密服务加密服务是指银企互联服务器将客户的htp请求转换为安全Htp(https）请求的功能。配置在启动所选中的协议服务之前，必须要对该项服务的某些参数进行配置，选中安全t服务后点击右键,出现右键菜单如 PINK l OLE_LIN8图.所示，选中“配置”,就出现“配置”窗口，如HYPERLINK

22、N:整理后l图3.8所示。图3.27 “配置”窗口中用了5个页面框来显示配置信息的内容，分不是“服务器信息”、“证书”、“差不多配置”、“输出信息”、“代理服务器”,下面我们就针对每个配置参数一一来进行讲明。配置服务器信息在HYPENK lL_LNK19图3.中显示的即是“服务器信息”页面框，上方的文本框显示的用户要输入的Netae Clie监听的端口号，即是NeSafe Clien中安全HTP服务所监听的端口号。该项一般配置为448端口,用于监听来自L/TLS的请求，也能够依照需要进行配置。假如在同一台机器上有Web erver或其它服务监听448端口,则此项应配为非48的其它适合数。关于一

23、般用户，应选用较高值的端口号,如大于400的某个端口号。然而必须注意此端口不得被其他服务所占用,必须为此服务所独用。下方则是用户要输入的是安全Http服务通过安全通道(SL)所访问的工行服务器的IP地址及端口号。假如通过公网访问，能够配置为diretban.(生产地址)，假如是专线方式,IP地址请与工行相关人员接洽。图328配置证书信息点击“证书”页面框,能够配置“证书”的相关信息,证书的配置依照其存储介质的不同分为两种情况：磁盘证书和硬件证书(IC卡、加密卡、加密机）。存储介质为磁盘如HYPERLINK N:整理后l图.29所示,上方区域需要用户输入安全tp服务的证书文件及私钥文件的全路径文

24、件名称,点击“扫瞄”按钮，依照用户存储证书文件的位置选择证书文件和私钥文件,选中后按“保存”按钮。下方区域则需要用户添加工行的根证书(即上级证书链）。根证书在下载证书文件时可同时得到。在对上级证书链的配置中，点击“添加”按钮则显示指示根证书文件的窗口，选中根证书文件后按“保存”,最新的根证书将被添加到最后一行。要执行“修改”或“删除”功能必须先选中某一根证书，否则不予执行。点击“修改”按钮，会显示指示根证书文件的窗口,选中根证书后按“保存”后最新的根证书将替换被选中的根证书。点击“删除”按钮则删除被选中的根证书。图3.9 存储介质为硬件如HPRIK lOE_NK21 图3.所示,输入工行给定的

25、相对应的证书和其私钥标识、P1库及设备标识（不能按照图中输入),其中CS1库最好写入全路径名称,库文件需要依照硬件厂商驱动程序的安装路径确定。图3.30差不多配置信息点击“差不多配置”页面框,是对安全Ht服务的一些差不多配置,如YERINK lOLE_I22 图.1所示。用户需要输入最低加密强度，是指安全Http服务所支持与其相连接的Srver(如NS）的最低密钥强度,C最低支持40Bit的密钥强度，建议设置为128位。连接超时时刻是指客户端与连接超时时刻,单位是秒，建议配置为00秒。本地域名输入本机的地址。最下方指的是N所支持的协议，有S、SL3、SL1三种协议,必须至少选择一种协议,否则不

26、予通过。图331配置输出信息点击“输出信息”页面框，是对安全ttp服务的输出信息的配置，如 HYLINK l OLE_LIN2 图3.32所示。上方区域显示的是对安全tt服务日志文件的设置,点击“扫瞄”则会显示窗口来选择要输入的日志文件,选中后点击“保存”按钮,有以下几点需要注意:用户能够自定义文件名,但必须指明其文件名和路径。当指定目录下无该文件时，程序将新建一个，假如无指定目录,则程序将不记录日志。日志保存自服务启动后所做的每一项操作的记录,包括时刻、服务的启动、退出、监听状态、出错缘故、用户的P、访问的UR等。在“日志内容”区域中用户能够依照需要来选择输入日志的内容，包括登录信息、用户访

27、问的URL信息、服务器运行状况的信息、错误信息等。下方区域显示的是对N维护信息文件的配置,维护信息文件是用来记录NC接收与发送信息的内容，要紧用于出现BU时查看NC的接收与发送信息的情况,在正常运行情况下,建议不使用该项。点击“扫瞄”会显示窗口来选择要输入的维护信息文件，在“维护信息文件”区域中用户能够依照需要来选择输入维护信息的内容,要紧包括接收到的信息和发送的信息，默认情况下不选中该两项内容。图3.2配置代理服务器信息点击“代理服务器”页面框，是对安全Hp服务的代理服务器的配置，如HYPERLINK l OLE_LIK24 图3.所示。选中“代理服务器”,就会同意输入有关代理服务器的一些参

28、数。在“代理类型和服务器”区域中,用户输入代理服务器的I地址及代理端口,tSae 只支持Socks4和ock5协议,其中ck5支持带用户名口令方式的身份认证。当选中Sock协议而又需身份认证时,用户就必须配置验证用户身份的用户名和口令参数项。图3.3以上所有参数配置完毕,欲使参数生效点击“确定”,否则点击“取消”。日志治理在以上HYPINK lOLE_LIN1 图3.27所示的界面中,选中“日志”，就出现“日志”窗口，如 HYERLINK l L_LINK25 图3.3所示。点击“查看”按钮则打开日志文件，右方显示出日志文件的全部内容信息。点击“刷新”按钮则刷新当前日志文件内容。点击“清空”按

29、钮则清空当前日志文件的所有内容,因此在执行该功能之前应小心慎重。点击“备份”按钮则会提示用户将日志文件备份为其他的路径及文件名。点击“关闭”按钮则关闭“日志”窗口。图.4签名服务配置在启动所选中的协议服务之前，必须要对该项服务的某些参数进行配置，在 HYPERLINK lOE_LINK8 图3.27中选中签名服务器后点击右键，出现右键菜单，选中“配置”，就出现“配置”窗口,如YPERLIN l OL_INK26 图.5所示。差不多配置信息在HYPERLINK N:整理后l图3.3中显示的即是“差不多配置”页面框，上方的文本框显示的用户要输入的签名服务器监听的端口号。该项一般配置为9端口，用于监

30、听签名和验签名的请求,也能够依照需要进行配置。假如在同一台机器上有WebServr或其它服务监听49端口，则此项应配为非44的其它适合数。关于一般用户,应选用较高值的端口号，如大于400的某个端口号。然而必须注意此端口不得被其他服务所占用，必须为此服务所独用。图3.35下方则是用户要输入的验签名时受信任的根证书，请下载并配置为工行的根证书。在对上级证书链的配置中，点击“添加”按钮则显示指示根证书文件的窗口，选中根证书文件后按“保存”,最新的根证书将被添加到最后一行。要执行“修改”或“删除”功能必须先选中某一根证书，否则不予执行。点击“修改”按钮,会显示指示根证书文件的窗口，选中根证书后按“保存

31、”后最新的根证书将替换被选中的根证书。点击“删除”按钮则删除被选中的根证书。配置证书信息存储介质为磁盘点击“证书”页面框,能够配置“证书”的相关信息,如HYPERLINK N:整理后l图3.36所示，上方区域需要用户输入签名服务器的签名证书文件的全路径文件名称，必须为PX格式,点击“扫瞄”按钮即可选择，选中后按“保存”按钮。图36存储介质为加密卡依照工行给出的名称输入PKCS1库、设备标识、证书标识和相对应的私钥标识,其中PS11库最好写入全路径文件名称,库文件的具体路径则需要依照厂商加密硬件驱动安转的位置确定。如HYPERLINK N:整理后图3所示。图37配置验签名返回信息点击“验签名返回

32、信息”页面框,是对验签名返回信息的配置,如HYPERLINK N:整理后 l LELK2图3.38所示。想返回的信息内容,选中即可。选中“原文”是指返回请求签名的原文信息，否则不返回。选中“证书(Bse64编码）”是指返回进行签名的证书的64位编码信息，否则不返回。选中“证书主题”是指返回签名证书的主题信息,否则不返回。选中“证书公布者”是指返回签名证书的公布者信息，否则不返回。选中“证书有效期”是指返回签名证书的起始时刻和终止时刻,否则不返回。选中“证书序列号(字符串)”是指返回签名证书的序列号字符串,否则不返回。图3.3 配置输出信息点击“输出信息”页面框,是对Netsfe lint的输出信息的配置，如HYPERLINK N:整理后图339所示。上方区域显示的是对签名服务器日志文件的设置,点