银行银企互联企业服务器安装手册模板

版本号：1.0 中国工商银行银企互联企业服务器安装手册中国工商银行北京软件研发部02月目录TOC\o"1-3"\h\z1 前言 31.1 使用对象 31.2 怎样使用本手册 42 网络配置提议 43 软件安装和配置 53.1 安装NetSafeClient 53.2 运行NetSafeClient 53.3 证书请求和导入 73.3.1 软方法申请 83.3.2 软方法证书格式转换 113.3.3 软方法证书导入 173.3.4 工行根证书注册 193.3.5 硬方法 193.4 加密服务 243.4.1 配置 243.4.2 日志管理 313.5 署名服务 323.5.1 配置 323.5.2 日志管理 374 系统运行 384.1 服务开启和停止 384.1.1 开启 384.1.2 停止 384.1.3 重启 384.2 NetSafeClient配置文件 394.2.1 配置 39前言中国工商银行银企互联企业服务器是架设在企业端一台Windows平台服务器，它将银行服务直接延伸到企业，为企业提供更优质服务。该服务器上安装有工商银行为银企互联应用专门委托开发软件NetSafeClient1.5forNT，简称NC。经过这个服务器，企业能够方便地同工商银行网上银行对接，实现财务业务和银行业务无缝继承。该手册将给出基于NetSafeClient银企互联络统网络配置提议，并说明NetSafeClient安装和相关操作指南。此版本支持磁盘证书和符合PKCS11标准硬件设备（如加密机、加密卡、IC卡等）。使用对象NetSafeClient1.5forNT软件授权使用者。怎样使用本手册会使用WINDOWS操作系统，熟悉Web及网络安全基础知识，熟悉常见代理服务器使用，掌握署名及验署名基础原理，了解PKCS相关知识。网络配置提议因为进行银企互联业务企业服务器中配置有企业证书，而且交易请求数据全部将经过它发向银行，所以它安全性应该引发充足重视，必需对此服务器进行妥善保护，提议网络以下图进行配置。网络提议图一网络提议图一提议单独设置银企互联服务器，而且和企业财务服务器用网络直连线连接组成一个小型专网。在企业财务服务器上不能设置企业内网到银企互联服务器路由，以预防不法数据包发给银企互联服务器。另外，提议对银企互联服务器操作需要专员负责，并对服务器进行物理隔离，杜绝无关人员非法操作。假如为了节省成本，将银企互联服务器和企业财务服务器安装到一起，则需要采取防火墙等安全设备限制财务应用以外机器访问该服务器，以下图所表示。网络提议图二网络提议图二软件安装和配置安装NetSafeClient点击软件介质中安装程序setup.exe，即可开始进行NetsafeClient安装，根据安装提醒一步一步即可完成，很方便。NetSafeClient支持P11接口硬件加密设备，如加密卡、加密机等，假如企业采取此种硬件加密设备，需要事先将其安装好。具体操作请参考加密设备提供商文档，最好在其厂家指导下进行。运行NetSafeClientNetsafeClient安装完成后，在Windows系统中点击开始→程序→NetTransaction1.5→NetsafeClient，将出现NetsafeClient菜单条。从而能够实施开启NetsafeClient软件程序、查看用户手册和Readme文件和卸载NetsafeClient操作。如HYPERLINK图3.1所表示，点击“NetsafeClient”即进入NetsafeClient主界面。图3.1如HYPERLINK图3.2所表示，主界面上方是主菜单，下方左侧区域显示是NC所支持协议服务信息，包含服务类型、端口号和状态信息，右侧区域显示则是左侧被选中协议服务开启、重启或停止操作内容，包含时间信息和内容信息。第一次开启时，全部协议服务均处于停止状态。此版本中支持安全Http服务和署名服务。图3.2证书请求和导入根据HYPERLINK图3.3所表示，点击主菜单中“工具”一项，选中“证书请求和导入”，进入HYPERLINK图3.4所表示“证书请求和导入”窗口中。在图3.3“工具”第二项“将证书转换成PFX证书”，是企业用软方法申请证书，在配置署名服务时将证书转换成PFX格式功效处。图3.3图3.4软方法申请所谓软方法就是将私钥文件以文件方法存放在硬盘中，并将申请到证书写入磁盘中。在申请证书前，用户网络配置必需完成，即能够经过公网或专线方法访问工行网银，此时方能够进行证书申请和导入，不然无法完成全部步骤。选择HYPERLINK图3.4所表示第一项，点击“确定”按钮，进入软方法请求过程(共5步)，HYPERLINK图3.5所表示为第一步，分别输入私钥文件名（扩展名必需是.pem）、私钥口令和证书注销口令（口令长度为4－8位），点击“下一步”，进入第二步。图3.5在第二步中(HYPERLINK图3.6所表示)，输入DN，其中CN必需输入工行密码信封中给定企业ID（图中为test.d.0200），另外OU可经过点击“添加”按钮输入多个，每个OU值均可删除或修改，输入完成后点击“下一步”，出现提醒窗口(如HYPERLINK图3.7所表示)，要求确定是否产生PKCS10请求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。注意，输入各项参数为工行定义标准参数，依据需要工行有权做出更改，即用户输入值工行能够依据需要进行修改，并将对应信息写入证书中。点击“上一步”可返回第一步进行重新输入。图3.6图3.7图3.8将如HYPERLINK图3.8所表示证书请求包复制好以后，就能够到工行网站申请证书了。申请时，首先需要完成银企互联服务器和工行网络连接（公网或专线方法），然后在浏览器中输入（生产系统公网方法），或使用https://专网IP/icbc/corporbank/GetCertificate.jsp（生产系统专线方法）。假如是经过专线方法请求证书，则IP地址请和工行相关人员接洽。注意，同时请在上述URL地址上下载工行根证书ca.cer，并保留好，以备后面使用。在工行网页上，需要输入从工行取得证书参考号和授权码，并将从HYPERLINK图3.8取得证书请求包粘贴到网页中，以后能够取得所申请证书。将工行网页中证书从网页上粘贴到文本文件中，然后存为文件名称为ICBC_Cert.p7b文件。软方法证书格式转换证书格式转换是将p7b格式证书转化成Base64编码pem证书。刚才申请得到证书是p7b格式证书，该格式证书不能直接用于开启安全HTTP服务和署名服务，下面将具体说明一下怎样将其转换成Base64编码pem格式证书。下面按步骤说明转换过程。将p7b格式证书导入IE浏览器。打开IE浏览器，选择“工具”菜单下“Internet选项”功效，弹出“Internet选项”窗口，选择“内容”页面，如HYPERLINK图3.9所表示，再点击“证书”按钮，弹出“内容”窗口，如HYPERLINK图3.10所表示，点击左侧“导入”按钮，进入“证书导入向导”过程，先点击“下一步”，便进入到指定导入文件窗口，如HYPERLINK图3.11所表示，指定刚才申请到工行证书文件后，点击“下一步”，进入“证书存放”窗口，点击“下一步”，进入“完成证书导入”窗口，显示导入证书信息，如HYPERLINK图3.12所表示，点击“完成”按钮，出现窗口提醒“导入成功”，如HYPERLINK图3.13所表示，此时该p7b证书已被导入到IE浏览器中。图3.9图3.10图3.11图3.12图3.13将导入证书导出成pem格式证书。在如HYPERLINK图3.10所表示窗口中选择“中级证书颁发机构”页面，如HYPERLINK图3.14所表示，选中刚刚导入p7b证书，点击“导出”按钮，进入证书导出向导过程，点击“下一步”，进入“导出文件格式”窗口，如HYPERLINK图3.15所表示，选择第二项——Base64编码X.509(.CER)，点击“下一步”，进入指定要导出文件名窗口，如HYPERLINK图3.16所表示，直至完成文件导出。图3.14图3.15图3.16复制证书Base64编码用写字板打开刚刚导出CER证书，复制其证书Base64编码，如HYPERLINK图3.17所表示。图3.17软方法证书导入在完成证书格式转换后，选择HYPERLINK图3.4所表示第三项，点击“确定”按钮，进入导入磁盘证书过程。回到HYPERLINK图3.8并点击“下一步”，进入第四步，将申请到证书包从HYPERLINK图3.17所表示写字板中粘贴到框中，如HYPERLINK图3.18所表示，点击“下一步”进入第五步，将生成证书保留在用户指定目录中，文件名称请取为ICBC_Cert.pem，如HYPERLINK图3.19所表示，点击“完成”，出现提醒窗口如HYPERLINK图3.20所表示，此时以软方法生成证书就完成了。图3.18图3.19图3.20工行根证书注册企业互连软件必需在注册工行根证书后才能正常使用。双击在前面申请证书时候保留工行根证书文件ca.cer，然后根据windows系统证书安装模板进行即可将工行根证书正确安装成为受信根证书。硬方法所谓硬方法就是由硬件设备（支持PKCS11IC卡、加密卡和加密机等）产生私钥文件，并将申请到证书存入对应硬件设备中。硬方法所需读卡器驱动和捷德卡CSP（金邦达卡CSP则需使用开发包中提供CSP安装程序）可从工行网站（）中“电子银行”－>“网上银行”－>“企业网上银行”－>“下载软件一览表”中取得。金邦达卡在申请证书前必需在银行内部管理系统中进行初始化，捷德卡则需使用开发包中提供捷德卡初始化工具进行初始化。硬方法证书申请选择HYPERLINK图3.4所表示第二项“使用硬件方法产生PKCS请求包，并将申请到证书导入设备中”，点击“确定”按钮，进入硬方法请求过程(共5步)，HYPERLINK图3.21所表示为第一步，分别输入PKCS11库文件名、设备标识、公钥标识、私钥标识和设备口令，输入内容依据硬件设备不一样而不一样，具体输入项需要和工行相关人员接洽，不能根据图中输入。输入完成后后，点击“下一步”，进入第二步。IC卡类型PKCS11库名设备标识名捷德（G&D）Aetpkss1.dllSafeSign金邦达（GemPlus）Nppkcs11.dllNet-Pass00aetpkss1.dll在C:\WINDOWS\system32下（XP系统），server是在C:\WINDOWSNT下图3.21在第二步中(HYPERLINK图3.22所表示，同软方法)，输入DN，其中OU可经过点击“添加”按钮输入多个，每个OU值均可删除或修改，输入完成后点击“下一步”，出现提醒窗口，要求确定是否产生PKCS10请求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。图3.22第三步和第四步操作和软方法完全相同（HYPERLINK图3.8、HYPERLINK图3.18），进入到第五步时(如HYPERLINK图3.23所表示)，输入证书存放标识“ICBC_Cert”，点击“完成”按钮，出现提醒窗口，提醒“请确定您设备已经准备好！”，如HYPERLINK图3.24所表示。假如加密卡已连接好，点击“是”按钮，不然点击“否”按钮回到HYPERLINK图3.23状态，点击“是”按钮后，加密卡红灯亮，表示正在将证书存入加密卡中，等红灯灭，绿灯亮时，表示已存放完成，又出现提醒窗口(如HYPERLINK图3.25所表示)，表示证书已成功存放进加密卡中。图3.23图3.24图3.25硬方法证书导入此项功效关键用于在用户得到了证书请求包后，不能立即去相关网站去申请证书，可能要退出NetSafeClient，在申请完证书包以后再开启NetSafeClient情况。选择HYPERLINK图3.4所表示第四项“将申请到证书导入到设备中”，点击“确定”按钮，进入已申请证书存放过程(如HYPERLINK图3.26所表示)，输入正确设备口令，点击“下一步”，直接进入硬方法第四步中，操作过程和硬方法完成相同，这里不再具体说明。图3.26加密服务加密服务是指银企互联服务器将用户http请求转换为安全Http（https）请求功效。配置在开启所选中协议服务之前，必需要对该项服务一些参数进行配置，选中安全Http服务后点击右键，出现右键菜单如HYPERLINK图3.27所表示，选中“配置”，就出现“配置”窗口，如HYPERLINK图3.28所表示。图3.27“配置”窗口中用了5个页面框来显示配置信息内容，分别是“服务器信息”、“证书”、“基础配置”、“输出信息”、“代理服务器”，下面我们就针对每个配置参数一一来进行说明。配置服务器信息在HYPERLINK图3.29所表示，上方区域需要用户输入安全Http服务证书文件及私钥文件全路径文件名称，点击“浏览”按钮，依据用户存放证书文件位置选择证书文件和私钥文件，选中后按“保留”按钮。下方区域则需要用户添加工行根证书（即上级证书链）。根证书在下载证书文件时可同时得到。在对上级证书链配置中，点击“添加”按钮则显示指示根证书文件窗口，选中根证书文件后按“保留”，最新根证书将被添加到最终一行。要实施“修改”或“删除”功效必需先选中某一根证书，不然不予实施。点击“修改”按钮，会显示指示根证书文件窗口，选中根证书后按“保留”后最新根证书将替换被选中根证书。点击“删除”按钮则删除被选中根证书。图3.29存放介质为硬件如HYPERLINK图3.30所表示，输入工行给定相对应证书和其私钥标识、PKCS11库及设备标识（不能根据图中输入），其中PKCS11库最好写入全路径名称，库文件需要依据硬件厂商驱动程序安装路径确定。图3.30基础配置信息点击“基础配置”页面框，是对安全Http服务部分基础配置，如HYPERLINK图3.31所表示。用户需要输入最低加密强度，是指安全Http服务所支持和其相连接Server(如NS)最低密钥强度，NC最低支持40Bit密钥强度，提议设置为128位。连接超时时间是指用户端和NC连接超时时间，单位是秒，提议配置为900秒。当地域名输入本机IP地址。最下方指是NC所支持协议，有SSL2、SSL3、TSL1三种协议，必需最少选择一个协议，不然不予经过。图3.31配置输出信息点击“输出信息”页面框，是对安全Http服务输出信息配置，如HYPERLINK图3.32所表示。上方区域显示是对安全Http服务日志文件设置，点击“浏览”则会显示窗口来选择要输入日志文件，选中后点击“保留”按钮，有以下几点需要注意：用户能够自定义文件名，但必需指明其文件名和路径。当指定目录下无该文件时，程序将新建一个，假如无指定目录，则程序将不统计日志。日志保留自服务开启后所做每一项操作统计，包含时间、服务开启、退出、监听状态、犯错原因、用户IP、访问URL等。在“日志内容”区域中用户能够依据需要来选择输入日志内容，包含登录信息、用户访问URL信息、服务器运行情况信息、错误信息等。下方区域显示是对NC维护信息文件配置，维护信息文件是用来统计NC接收和发送信息内容，关键用于出现BUG时查看NC接收和发送信息情况，在NC正常运行情况下，提议不使用该项。点击“浏览”会显示窗口来选择要输入维护信息文件，在“维护信息文件”区域中用户能够依据需要来选择输入维护信息内容，关键包含接收到信息和发送信息，默认情况下不选中该两项内容。图3.32配置代理服务器信息点击“代理服务器”页面框，是对安全Http服务代理服务器配置，如HYPERLINK图3.33所表示。选中“代理服务器”，NC就会许可输入相关代理服务器部分参数。在“代理类型和服务器”区域中，用户输入代理服务器IP地址及代理端口，NetSafeClient只支持Socks4和Socks5协议，其中Socks5支持带用户名口令方法身份认证。当选中Sock5协议而又需身份认证时，用户就必需配置验证用户身份用户名和口令参数项。图3.33以上全部参数配置完成，欲使参数生效点击“确定”，不然点击“取消”。日志管理在以上HYPERLINK图3.27所表示界面中，选中“日志”，就出现“日志”窗口，如HYPERLINK图3.34所表示。点击“查看”按钮则打开日志文件，右方显示出日志文件全部内容信息。点击“刷新”按钮则刷新目前日志文件内容。点击“清空”按钮则清空目前日志文件全部内容，所以在实施该功效之前应小心谨慎。点击“备份”按钮则会提醒用户将日志文件备份为其它路径及文件名。点击“关闭”按钮则关闭“日志”窗口。图3.34署名服务配置在开启所选中协议服务之前，必需要对该项服务一些参数进行配置，在HYPERLINK图3.27中选中署名服务器后点击右键，出现右键菜单，选中“配置”，就出现“配置”窗口，如HYPERLINK图3.35所表示。基础配置信息在HYPERLINK图3.35中显示即是“基础配置”页面框，上方文本框显示用户要输入署名服务器监听端口号。该项通常配置为449端口，用于监听署名和验署名请求，也能够依据需要进行配置。假如在同一台机器上有WebServer或其它服务监听449端口，则此项应配为非449其它适合数。对于一般用户，应选择较高值端口号，如大于4500某个端口号。不过必需注意此端口不得被其它服务所占用，必需为此服务所独用。图3.35下方则是用户要输入验署名时受信任根证书，请下载并配置为工行根证书。在对上级证书链配置中，点击“添加”按钮则显示指示根证书文件窗口，选中根证书文件后按“保留”，最新根证书将被添加到最终一行。要实施“修改”或“删除”功效必需先选中某一根证书，不然不予实施。点击“修改”按钮，会显示指示根证书文件窗口，选中根证书后按“保留”后最新根证书将替换被选中根证书。点击“删除”按钮则删除被选中根证书。配置证书信息存放介质为磁盘点击“证书”页面框，能够配置“证书”相关信息，如HYPERLINK图3.36所表示，上方区域需要用户输入署名服务器署名证书文件全路径文件名称，必需为PFX格式，点击“浏览”按钮即可选择，选中后按“保留”按钮。图3.36存放介质为加密卡依据工行给出名称输入PKCS11库、设备标识、证书标识和相对应私钥标识，其中PKCS11库最好写入全路径文件名称，库文件具体路径则需要依据厂商加密硬件驱动安转位置确定。如HYPERLINK图3.37所表示。图3.37配置验署名返回信息点击“验署名返回信息”页面框，是对验署名返回信息配置，如HYPERLINK图3.38所表示。想返回信息内容，选中即可。选中“原文”是指返回请求署名原文信息，不然不返回。选中“证书(Base64编码)”是指返回进行署名证书64位编码信息，不然不返回。选中“证书专题”是指返回署名证书专题信息，不然不返回。选中“证书公布者”是指返回署名证书公布者信息，不然不返回。选中“证书使用期”是指返回署名证书起始时间和终止时间，不然不返回。选中“证书序列号(字符串)”是指返回署名证书序列号字符串，不然不返回。图3.38配置输出信息点击“输出信息”页面框，是对NetsafeClient输出信息配置，如HYPERLINK图3.39所表示。上方区域显示是对署名服务器日志文件设置，点击“浏览”则会显示窗口来选择要输入日志文件，选中后点击“保留”按钮，有以下几点需要注意：用户能够自定义文件名，但必需指明其文件名和路径。当指定目录下无该文件时，程序将新建一个，假如