中国工商银行银企互联企业服务器安装手册样本

版本号：1.0 中华人民共和国工商银行银企互联公司服务器安装手册中华人民共和国工商银行北京软件研发部02月目录TOC\o"1-3"\h\z1 前言 31.1 使用对象 31.2 如何使用本手册 42 网络配备建议 43 软件安装与配备 53.1 安装NetSafeClient 53.2 运营NetSafeClient 53.3 证书祈求和导入 73.3.1 软方式申请 83.3.2 软方式证书格式转换 113.3.3 软方式证书导入 173.3.4 工行根证书注册 193.3.5 硬方式 193.4 加密服务 243.4.1 配备 243.4.2 日记管理 313.5 签名服务 323.5.1 配备 323.5.2 日记管理 374 系统运营 384.1 服务启动与停止 384.1.1 启动 384.1.2 停止 384.1.3 重启 384.2 NetSafeClient配备文献 394.2.1 配备 39前言中华人民共和国工商银行银企互联公司服务器是架设在公司端一台Windows平台服务器，它将银行服务直接延伸到公司，为公司提供更优质服务。该服务器上安装有工商银行为银企互联应用专门委托开发软件NetSafeClient1.5forNT，简称NC。通过这个服务器，公司可以以便地同工商银行网上银行对接，实现财务业务与银行业务无缝继承。该手册将给出基于NetSafeClient银企互联系统网络配备建议，并阐明NetSafeClient安装以及有关操作指南。此版本支持磁盘证书和符合PKCS11原则硬件设备（如加密机、加密卡、IC卡等）。使用对象NetSafeClient1.5forNT软件授权使用者。如何使用本手册会使用WINDOWS操作系统，熟悉Web及网络安全基本知识，熟悉惯用代理服务器使用，掌握签名及验签名基本原理，理解PKCS有关知识。网络配备建议由于进行银企互联业务公司服务器中配备有公司证书，并且交易祈求数据都将通过它发向银行，因此它安全性应当引起充分注重，必要对此服务器进行妥善保护，建议网络如下图进行配备。网络建议图一网络建议图一建议单独设立银企互联服务器，并且与公司财务服务器用网络直连线连接构成一种小型专网。在公司财务服务器上不能设立公司内网到银企互联服务器路由，以防止不法数据包发给银企互联服务器。此外，建议对银企互联服务器操作需要专人负责，并对服务器进行物理隔离，杜绝无关人员非法操作。如果为了节约成本，将银企互联服务器和公司财务服务器安装到一起，则需要采用防火墙等安全设备限制财务应用以外机器访问该服务器，如下图所示。网络建议图二网络建议图二软件安装与配备安装NetSafeClient点击软件介质中安装程序setup.exe，即可开始进行NetsafeClient安装，按照安装提示一步一步即可完毕，非常以便。NetSafeClient支持P11接口硬件加密设备，如加密卡、加密机等，如果公司采用此种硬件加密设备，需要事先将其安装好。详细操作请参照加密设备提供商文档，最佳在其厂家指引下进行。运营NetSafeClientNetsafeClient安装完毕后，在Windows系统中点击开始→程序→NetTransaction1.5→NetsafeClient，将浮现NetsafeClient菜单条。从而可以执行启动NetsafeClient软件程序、查看顾客手册和Readme文献以及卸载NetsafeClient操作。如HYPERLINK图3.1所示，点击“NetsafeClient”即进入NetsafeClient主界面。图3.1如HYPERLINK图3.2所示，主界面上方是主菜单，下方左侧区域显示是NC所支持合同服务信息，涉及服务类型、端标语和状态信息，右侧区域显示则是左侧被选中合同服务启动、重启或停止操作内容，涉及时间信息和内容信息。第一次启动时，所有合同服务均处在停止状态。此版本中支持安全Http服务和签名服务。图3.2证书祈求和导入按照HYPERLINK图3.3所示，点击主菜单中“工具”一项，选中“证书祈求和导入”，进入HYPERLINK图3.4所示“证书祈求和导入”窗口中。在图3.3“工具”第二项“将证书转换成PFX证书”，是公司用软方式申请证书，在配备签名服务时将证书转换成PFX格式功能处。图3.3图3.4软方式申请所谓软方式就是将私钥文献以文献方式存储在硬盘中，并将申请到证书写入磁盘中。在申请证书前，顾客网络配备必要完毕，即可以通过公网或者专线方式访问工行网银，此时方可以进行证书申请和导入，否则无法完毕所有环节。选取HYPERLINK图3.4所示第一项，点击“拟定”按钮，进入软方式祈求过程(共5步)，HYPERLINK图3.5所示为第一步，分别输入私钥文献名（扩展名必要是.pem）、私钥口令和证书注销口令（口令长度为4－8位），点击“下一步”，进入第二步。图3.5在第二步中(HYPERLINK图3.6所示)，输入DN，其中CN必要输入工行密码信封中给定公司ID（图中为test.d.0200），此外OU可通过点击“添加”按钮输入各种，每个OU值均可删除或修改，输入完毕后点击“下一步”，浮现提示窗口(如HYPERLINK图3.7所示)，规定确认与否产生PKCS10祈求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。注意，输入各项参数为工行定义原则参数，依照需要工行有权做出更改，即客户输入值工行可以依照需要进行修改，并将相应信息写入证书中。点击“上一步”可返回第一步进行重新输入。图3.6图3.7图3.8将如HYPERLINK图3.8所示证书祈求包复制好后来，就可以到工行网站申请证书了。申请时，一方面需要完毕银企互联服务器与工行网络连接（公网或者专线方式），然后在浏览器中输入（生产系统公网方式），或者使用https://专网IP/icbc/corporbank/GetCertificate.jsp（生产系统专线方式）。如果是通过专线方式祈求证书，则IP地址请与工行有关人员接洽。注意，同步请在上述URL地址上下载工行根证书ca.cer，并保存好，以备背面使用。在工行网页上，需要输入从工行获得证书参照号和授权码，并将从HYPERLINK图3.8获得证书祈求包粘贴到网页中，之后可以获得所申请证书。将工行网页中证书从网页上粘贴到文本文献中，然后存为文献名称为ICBC_Cert.p7b文献。软方式证书格式转换证书格式转换是将p7b格式证书转化成Base64编码pem证书。刚才申请得到证书是p7b格式证书，该格式证书不能直接用于启动安全HTTP服务和签名服务，下面将详细阐明一下如何将其转换成Base64编码pem格式证书。下面按环节阐明转换过程。将p7b格式证书导入IE浏览器。打开IE浏览器，选取“工具”菜单下“Internet选项”功能，弹出“Internet选项”窗口，选取“内容”页面，如HYPERLINK图3.9所示，再点击“证书”按钮，弹出“内容”窗口，如HYPERLINK图3.10所示，点击左侧“导入”按钮，进入“证书导入向导”过程，先点击“下一步”，便进入到指定导入文献窗口，如HYPERLINK图3.11所示，指定刚才申请到工行证书文献后，点击“下一步”，进入“证书存储”窗口，点击“下一步”，进入“完毕证书导入”窗口，显示导入证书信息，如HYPERLINK图3.12所示，点击“完毕”按钮，浮现窗口提示“导入成功”，如HYPERLINK图3.13所示，此时该p7b证书已被导入到IE浏览器中。图3.9图3.10图3.11图3.12图3.13将导入证书导出成pem格式证书。在如HYPERLINK图3.10所示窗口中选取“中级证书颁发机构”页面，如HYPERLINK图3.14所示，选中刚刚导入p7b证书，点击“导出”按钮，进入证书导出向导过程，点击“下一步”，进入“导出文献格式”窗口，如HYPERLINK图3.15所示，选取第二项——Base64编码X.509(.CER)，点击“下一步”，进入指定要导出文献名窗口，如HYPERLINK图3.16所示，直至完毕文献导出。图3.14图3.15图3.16复制证书Base64编码用写字板打开刚刚导出CER证书，复制其证书Base64编码，如HYPERLINK图3.17所示。图3.17软方式证书导入在完毕证书格式转换后，选取HYPERLINK图3.4所示第三项，点击“拟定”按钮，进入导入磁盘证书过程。回到HYPERLINK图3.8并点击“下一步”，进入第四步，将申请到证书包从HYPERLINK图3.17所示写字板中粘贴到框中，如HYPERLINK图3.18所示，点击“下一步”进入第五步，将生成证书保存在顾客指定目录中，文献名称请取为ICBC_Cert.pem，如HYPERLINK图3.19所示，点击“完毕”，浮现提示窗口如HYPERLINK图3.20所示，此时以软方式生成证书就完毕了。图3.18图3.19图3.20工行根证书注册公司互连软件必要在注册工行根证书后才干正常使用。双击在前面申请证书时候保存工行根证书文献ca.cer，然后按照windows系统证书安装模板进行即可将工行根证书对的安装成为受信根证书。硬方式所谓硬方式就是由硬件设备（支持PKCS11IC卡、加密卡和加密机等）产生私钥文献，并将申请到证书存入相应硬件设备中。硬方式所需读卡器驱动和捷德卡CSP（金邦达卡CSP则需使用开发包中提供CSP安装程序）可从工行网站（）中“电子银行”－>“网上银行”－>“公司网上银行”－>“下载软件一览表”中获得。金邦达卡在申请证书前必要在银行内部管理系统中进行初始化，捷德卡则需使用开发包中提供捷德卡初始化工具进行初始化。硬方式证书申请选取HYPERLINK图3.4所示第二项“使用硬件方式产生PKCS祈求包，并将申请到证书导入设备中”，点击“拟定”按钮，进入硬方式祈求过程(共5步)，HYPERLINK图3.21所示为第一步，分别输入PKCS11库文献名、设备标记、公钥标记、私钥标记和设备口令，输入内容依照硬件设备不同而不同，详细输入项需要和工行有关人员接洽，不能按照图中输入。输入完毕后后，点击“下一步”，进入第二步。IC卡类型PKCS11库名设备标记名捷德（G&D）Aetpkss1.dllSafeSign金邦达（GemPlus）Nppkcs11.dllNet-Pass00aetpkss1.dll在C:\WINDOWS\system32下（XP系统），server是在C:\WINDOWSNT下图3.21在第二步中(HYPERLINK图3.22所示，同软方式)，输入DN，其中OU可通过点击“添加”按钮输入各种，每个OU值均可删除或修改，输入完毕后点击“下一步”，浮现提示窗口，规定确认与否产生PKCS10祈求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。图3.22第三步和第四步操作与软方式完全相似（HYPERLINK图3.8、HYPERLINK图3.18），进入到第五步时(如HYPERLINK图3.23所示)，输入证书存储标记“ICBC_Cert”，点击“完毕”按钮，浮现提示窗口，提示“请确认您设备已经准备好！”，如HYPERLINK图3.24所示。如果加密卡已连接好，点击“是”按钮，否则点击“否”按钮回到HYPERLINK图3.23状态，点击“是”按钮后，加密卡红灯亮，表达正在将证书存入加密卡中，等红灯灭，绿灯亮时，表达已存储完毕，又浮现提示窗口(如HYPERLINK图3.25所示)，表达证书已成功存储进加密卡中。图3.23图3.24图3.25硬方式证书导入此项功能重要用于在顾客得到了证书祈求包后，不能及时去有关网站去申请证书，也许要退出NetSafeClient，在申请完证书包后来再启动NetSafeClient状况。选取HYPERLINK图3.4所示第四项“将申请到证书导入到设备中”，点击“拟定”按钮，进入已申请证书存储过程(如HYPERLINK图3.26所示)，输入对的设备口令，点击“下一步”，直接进入硬方式第四步中，操作过程与硬方式完毕相似，这里不再详细阐明。图3.26加密服务加密服务是指银企互联服务器将客户http祈求转换为安全Http（https）祈求功能。配备在启动所选中合同服务之前，必要要对该项服务某些参数进行配备，选中安全Http服务后点击右键，浮现右键菜单如HYPERLINK图3.27所示，选中“配备”，就浮现“配备”窗口，如HYPERLINK图3.28所示。图3.27“配备”窗口中用了5个页面框来显示配备信息内容，分别是“服务器信息”、“证书”、“基本配备”、“输出信息”、“代理服务器”，下面咱们就针对每个配备参数一一来进行阐明。配备服务器信息在HYPERLINK图3.29所示，上方区域需要顾客输入安全Http服务证书文献及私钥文献全途径文献名称，点击“浏览”按钮，依照顾客存储证书文献位置选取证书文献和私钥文献，选中后按“保存”按钮。下方区域则需要顾客添加工行根证书（即上级证书链）。根证书在下载证书文献时可同步得到。在对上级证书链配备中，点击“添加”按钮则显示批示根证书文献窗口，选中根证书文献后按“保存”，最新根证书将被添加到最后一行。要执行“修改”或“删除”功能必要先选中某一根证书，否则不予执行。点击“修改”按钮，会显示批示根证书文献窗口，选中根证书后按“保存”后最新根证书将替代被选中根证书。点击“删除”按钮则删除被选中根证书。图3.29存储介质为硬件如HYPERLINK图3.30所示，输入工行给定相相应证书和其私钥标记、PKCS11库及设备标记（不能按照图中输入），其中PKCS11库最佳写入全途径名称，库文献需要依照硬件厂商驱动程序安装途径拟定。图3.30基本配备信息点击“基本配备”页面框，是对安全Http服务某些基本配备，如HYPERLINK图3.31所示。顾客需要输入最低加密强度，是指安全Http服务所支持与其相连接Server(如NS)最低密钥强度，NC最低支持40Bit密钥强度，建议设立为128位。连接超时时间是指客户端与NC连接超时时间，单位是秒，建议配备为900秒。本地区名输入本机IP地址。最下方指是NC所支持合同，有SSL2、SSL3、TSL1三种合同，必要至少选取一种合同，否则不予通过。图3.31配备输出信息点击“输出信息”页面框，是对安全Http服务输出信息配备，如HYPERLINK图3.32所示。上方区域显示是对安全Http服务日记文献设立，点击“浏览”则会显示窗口来选取要输入日记文献，选中后点击“保存”按钮，有如下几点需要注意：顾客可以自定义文献名，但必要指明其文献名和途径。当指定目录下无该文献时，程序将新建一种，如果无指定目录，则程序将不记录日记。日记保存自服务启动后所做每一项操作记录，涉及时间、服务启动、退出、监听状态、出错因素、顾客IP、访问URL等。在“日记内容”区域中顾客可以依照需要来选取输入日记内容，涉及登录信息、顾客访问URL信息、服务器运营状况信息、错误信息等。下方区域显示是对NC维护信息文献配备，维护信息文献是用来记录NC接受与发送信息内容，重要用于浮现BUG时查看NC接受与发送信息状况，在NC正常运营状况下，建议不使用该项。点击“浏览”会显示窗口来选取要输入维护信息文献，在“维护信息文献”区域中顾客可以依照需要来选取输入维护信息内容，重要涉及接受到信息和发送信息，默认状况下不选中该两项内容。图3.32配备代理服务器信息点击“代理服务器”页面框，是对安全Http服务代理服务器配备，如HYPERLINK图3.33所示。选中“代理服务器”，NC就会容许输入关于代理服务器某些参数。在“代理类型和服务器”区域中，顾客输入代理服务器IP地址及代理端口，NetSafeClient只支持Socks4和Socks5合同，其中Socks5支持带顾客名口令方式身份认证。当选中Sock5合同而又需身份认证时，顾客就必要配备验证顾客身份顾客名和口令参数项。图3.33以上所有参数配备完毕，欲使参数生效点击“拟定”，否则点击“取消”。日记管理在以上HYPERLINK图3.27所示界面中，选中“日记”，就浮现“日记”窗口，如HYPERLINK图3.34所示。点击“查看”按钮则打开日记文献，右方显示出日记文献所有内容信息。点击“刷新”按钮则刷新当前日记文献内容。点击“清空”按钮则清空当前日记文献所有内容，因此在执行该功能之前应小心谨慎。点击“备份”按钮则会提示顾客将日记文献备份为其她途径及文献名。点击“关闭”按钮则关闭“日记”窗口。图3.34签名服务配备在启动所选中合同服务之前，必要要对该项服务某些参数进行配备，在HYPERLINK图3.27中选中签名服务器后点击右键，浮现右键菜单，选中“配备”，就浮现“配备”窗口，如HYPERLINK图3.35所示。基本配备信息在HYPERLINK图3.35中显示即是“基本配备”页面框，上方文本框显示顾客要输入签名服务器监听端标语。该项普通配备为449端口，用于监听签名和验签名祈求，也可以依照需要进行配备。如果在同一台机器上有WebServer或其他服务监听449端口，则此项应配为非449其他适合数。对于普通顾客，应选用较高值端标语，如不不大于4500某个端标语。但是必要注意此端口不得被其她服务所占用，必要为此服务所独用。图3.35下方则是顾客要输入验签名时受信任根证书，请下载并配备为工行根证书。在对上级证书链配备中，点击“添加”按钮则显示批示根证书文献窗口，选中根证书文献后按“保存”，最新根证书将被添加到最后一行。要执行“修改”或“删除”功能必要先选中某一根证书，否则不予执行。点击“修改”按钮，会显示批示根证书文献窗口，选中根证书后按“保存”后最新根证书将替代被选中根证书。点击“删除”按钮则删除被选中根证书。配备证书信息存储介质为磁盘点击“证书”页面框，可以配备“证书”有关信息，如HYPERLINK图3.36所示，上方区域需要顾客输入签名服务器签名证书文献全途径文献名称，必要为PFX格式，点击“浏览”按钮即可选取，选中后按“保存”按钮。图3.36存储介质为加密卡依照工行给出名称输入PKCS11库、设备标记、证书标记和相相应私钥标记，其中PKCS11库最佳写入全途径文献名称，库文献详细途径则需要依照厂商加密硬件驱动安转位置拟定。如HYPERLINK图3.37所示。图3.37配备验签名返回信息点击“验签名返回信息”页面框，是对验签名返回信息配备，如HYPERLINK图3.38所示。想返回信息内容，选中即可。选中“原文”是指返回祈求签名原文信息，否则不返回。选中“证书(Base64编码)”是指返回进行签名证书64位编码信息，否则不返回。选中“证书主题”是指返回签名证书主题信息，否则不返回。选中“证书发布者”是指返回签名证书发布者信息，否则不返回。选中“证书有效期”是指返回签名证书起始时间和终结时间，否则不返回。选中“证书序列号(字符串)”是指返回签名证书序列号字符串，否则不返回。图3.38配备输出信息点击“输出信息”页面框，是对NetsafeClient输出信息配备，如HYPERLINK图3.39所示。上方区域显示是对签名服务器日记文献设立，点击“浏览”则会显示窗口来选取要输入日记文献，选中后点击“保存”按钮，有如下几点需要注意：顾客可以自定义文献名，但必要指明其文献名和途径。当指定目录下无该文献时，程序将新建一种，