商用itms安装依赖包操作员指南01-tms

非经本公司，任何单位和个人不得擅自摘抄、本文档内容的部分或全部，并不得以传播。商标和其他商标均为技术的商标本文档提及的其他所有商标或商标，由各自的所有人拥有注您的产品、服务或特性等应受公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的或使用范围之内。除非合同另有约定，公司对本文档内容不做任何明示或暗示的或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。技术 市龙岗区坂田总部办公楼 客户服务邮箱：客户服

iManager本文档介绍了TMS1000的SSL模式和各种的相关概念和配置方法。 斜斜体[{x|y|...[x|y|...{x|y|...}[x|y|...]>多级菜单用“>”隔开。如选择“>>文件夹”产品版本（V100R005C00）-文档版本01(2014-02-前 背景知 SSL与 iPSI组 TMS1000SSL组 2中SSL特性说 2.1在中的应 2.1.1上下 2.1.2内外部系统之间的安全通 2.2在中的部署要 2.2.1存放 结 2.2.2的文件名约 2.3SSL特性缺省规 认证模 准备..................................................................................................................................... Tomcat和IE在中配置SSL(按场景 从非SSL切换到 在APP服务器部署SSL..........................................................................................................................在ACS服务器部署SSL.........................................................................................................................在客户端部署SSL...................................................................................................................................SSL模式下的替 增量更新......................................................................................................................................................在服务器端更新SSL...............................................................................................................................在客户端更新SSL...................................................................................................................................从SSL切换到非 部署Tomcat和IE..................................................................................................自签方式部 Tomcat部 IE部 北向接口认 北向接口认 客户端配置工 启动配置工 配置 配置信任......................................................................................................................................................配置吊销列 TMS1000模块与配置文 模块所需配置的文件列 配置文件中具体配置项指 附 启停.............................................................................................................................................................启动..........................................................................................................................................................停止.......................................................................................................................................................... SSL

1背景知识SSLv3（SSL的版本有：SSLv1、SSLv2、SSLv3，标准化版本为TLS(TransportLayerSecurity，版本有：TLS1.0、TLS1.1)。SSL协议位于传输层。SSL（Securesocketlayer）是数字的一种，类似于驾驶证、护照和的的安全、有效。SSL的具体作用如下：的算法为单钥加密算法如RC4、IDEA等。认证：通讯双方的通过公钥加密算法如RSA、DSS等进行签名，杜绝假冒数据完整性：通过HASH算法，例如SHA、MD5等产生消息 AuthenticationCode，所传输的消息均包含数字签名，以保证消息的完整性。LDAP(LightweightDirectoryAccessProtocol)，轻量协议LDAP服务器作为一个第的软件提供用户认证的功能。安全认证组件作为平台安全Secure

， ，SSLOpenSSL项目最早由人EricA.Yang和TimJ.Hudson开发，现在由OpenSSL开源项目小组负责改进和开发。OpenSSL最早的版本在1995年发布，1998年后开始由TLS的支持。应用：VOIP的OpenH323协议、Apache服务器、LinuxiPSIiPSI(integratedPubulicSecurityInfrastructure)是独立研发的，基于SSL开发的组件，Socket连接（包括SSLSSL方式的。iPSISSL的主要特性，相对于业界开源SSL组件有更强的研发于技术支撑能力。

JAVA编写的客户端程序和服务器端程序要实现SSL认证需要符合JCA和JSSE官TMS1000SSL实现，具有iPSIJDK的基本功能。使用本组件，用户无须考SSLSSL情况下的区别，就如使用ACE_SOCK一样简单方便；同时，满足JDK的要求。 SSL特性说明2.1在中的应2.1.1上下2.1.2内外部系统之间的安全通 客户端与服务端之间的通信协议包括TCP、HTTP，其安全加密协议分别是SSL、HTTPs。其中SSL与HTTPs需要部署。 普通的TCP进行通信，没有使用安全通道。2.2在中的部署要2.2.1存放 结 其中，假设的安 结构是一致的，如图2-2所示。 │││││ revoke.crl││ cross.cer（可选）│││ │ │││ │其中%SSLROOT%表示客户端或服务端存放的根路径,假设服务端的安 为D:\TMS1000，那么%SSLROOT%表示D:\TMS1000\server\etc\ssl；假设客户端 D:\TMS1000\\style\defaultstyle\conf\ssl；关于%SSLROOT%后面的章节还会用到，2.2.2的文件名约服务端设备。文件编码格式PEM。目前只TAOSSLIOP应用会使用到此 可以应用到C++或Java应用，包括DesktopService、MRB、EM、Tomcat、Jetty等。目前只有TAOSSLIOP应用会使用到此私钥。客户端设备。文件编码格式PKCS12。其中包括私钥与设备。该主要应用到Java应用，包括JavaGUI以及OpenORB两种应用。2.3SSL特性缺省规认证模3准必须事先为客户端和服务器端准备相关，然后分别使用TMS1000提供的客户端和服务器端的部署工具（服务器端的部署工具目前支持在Windows下使用）进行部署。对于TMS1000服务端和客户端，均假设使用是两级信任机构颁发的，颁发机构的层级关系如图3-1所示。是是1否2否是否 ，文件名建议按表3-1进行重命名，以免 。TMS1000的部署工具本身 信任机构（包括rootCA、subCA1和subCA2）自身的书（.cer）和 TMS1000server.cer及server.cer及无无无TMS1000无无无Tomcat和IE用户需要提前准备好Tomcattomcat.keystore（以及该的和IEca.crt。Tomcat和IE需要根据服务器IP地址或生成。疑问，请联系工程 中配置SSL(按场景SSL以下分别介绍在TMS1000服务器端和客户端部署SSL的方法。前提

−PKCS12（PFX格式的单一文件：将与私钥打包到一起，并且通过口令加−与私钥分离：文件（后缀为.cer）与私钥文件（后缀为.pem）采用两个 背景

操作1步骤3对已有的和配置进行手工备份：把%IMAP_ROOT%\etc\ssl 步骤4使用以下命令部署C:\Users\Administrator>ssl_adm-cmdrece_certs-dir - s是放置了的路径（详见“前提条件“”是服务器的设备如果是“与私钥分离”的形式，则该可以用户指定，命令执行时该会用于的转换（转换成“PKCS12”形式，该是用输入的进行加密的）。用户指定的中的所有转换并更新到%IMAP_ROOT%/etc/ssl。 滚（不会破坏原有的和配置），并给出错误提示信息。以下任一原因都会导致部署失败，-dir指定的路径中：−没有信−没有 −如果书是server.cer，私钥文件server_key.pem与该书不匹配置后验步骤2启动，参见“A.1.1启动”失败后的1步骤2停止，参见“A.1.2停止”步骤3使用备份 清空 把备份目录“%IMAP_ROOT%\var\backup\deployssl\ssl”中文件拷贝 也支持SSL模式）。C:\Users\Administrator>ssl_adm-cmdsetmode步骤5启动，参见“A.1.1启动”前提

操作步骤1进入TMS1000安 替换为正式的root.crt和root.key。步骤2启动，参见“A.1.1启动”。步骤3将 .crt导入终端。在客户端部署SSL前提

操作

步骤1配置书和信任，吊销列表（可选）。操作方法请参见“7客户端配2启动客户端，以安全（SSL）模式登录，看是否能够成功登录服务器（前提：服务器已经是SSL模式）。SSL模式下的替如果TMS1000当前的通讯模式已经是SSL模式，但SSL过期或者要求使用指定的除了服务器端不需要进行通讯模式的切换（即不需要执行ssl_adm-cmdsetmodessl|前提

−PKCS12（PFX格式的单一文件：将与私钥打包到一起，并且通过口令加−与私钥分离：文件（后缀为.cer）与私钥文件（后缀为.pem）采用两个 操作1步骤3对已有的进行手工备份：把%IMAP_ROOT%\etc\ssl 步骤4使用以下命令更新C:\Users\Administrator>ssl_adm-cmdupdate_certs-dir - s是放置了的路径（详见“前提条件如果是“与私钥分离”的形式，则该可以用户指定，命令执行时该会用于的转换（转换成“PKCS12”形式，该是用输入的进行加密的）。命令执行后会将用户指定的中的信任和撤销列表转换并增加 滚（不会破坏原有的和配置），并给出错误提示信息。以下任一原因都会导致更新失败，-dir指定的路径中：−没有 −如果书是server.cer，私钥文件server_key.pem与该书不匹配置后验

如果命令执行后的提示中显示“Thecurrentcommunicationmodeiscommon.”表示当前运行模式为commonSSL（需要C:\Users\Administrator>ssl_adm-cmdsetmode如果提示中显示“ThecurrentcommunicationmodeisSSL.”表示当前运行模式已经是SSL模式。步骤2启动，参见“A.1.1启动”失败后的在客户端更新SSL 前提操作

步骤1根据需要更新书、信任、吊销列表。操作方法请参见“7客户端配2启动客户端，以安全（SSL）模式登录，看是否能够成功登录服务器（前提：服务器已经是SSL模式）。操作1步骤2停止，参见“A.1.2停止”步骤4启动，参见“A.1.1启动”部署 和自签方式部Tomcat部假设TMS1000安装 为D:\TMS1000，Tomcat部署方法如下：2修改D:\TMS1000\server\tomcat\conf\server.xml文件。在server.xml文件中，有如下内容：把<Connectorport="86"protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="8443"/><Connectorport="86"protocol="org.apache.coyote.http11.Http11Protocol"SSLEnabled="true"maxThreads="150"scheme="https"secure="true"Auth="false"sslProtocol="TLS"keystoreFile="conf/tomcat.keystore"keystorePass="aaaaaa"/>keystorePass指的是Tomcat的 然后把这里的keystorePass设置为该 步骤3将Tomcattomcat.keystore拷贝到 步骤4启动，参考“A.1.1启动”IE部FireFoxIE署方法”。步骤1打开IE浏览器，选择“工具>Internet选项>内容>>导入”，打开如下导入向导

北向接口认证北向接口提供认证机制，包括IP认证和帐号/认证机制，北向接口统一以这两种方将Tomcat文件tomcat.keystore保存在TMS1000安开启IP认证和帐号/认证。如果用户不想开启北向认证，可以将此配置项改为0.tbl