银行银企互联企业服务器安装手册

《银行银企互联企业服务器安装手册》由会员分享，可在线阅读，更多相关《银行银企互联企业服务器安装手册（38页珍藏版）》请在金锄头文库上搜索。

1、中国工商银行银企互联企业服务器安装手册版本号：1. 0中国工商银行银企互联企业服务器安装手册中国工商银行北京软件研发部2005年02月目 录1前 言31.1使用对象31.2如何使用本手册42网络配置建议43软件安装与配置53.1安装NetSafe Client53.2运行NetSafe Client53.3证书的请求和导入73.3.1软方式的申请83.3.2软方式证书的格式转换113.3.3软方式证书导入173.3.4工行根证书的注册193.3.5硬方式193.4加密服务243.4.1配置243.4.2日志管理313.5签名服务323.5.1配置323.5.2日志管理374系统的运行384.1

2、服务的启动与停止384.1.1启动384.1.2停止384.1.3重启384.2NetSafe Client 的配置文件394.2.1配置391 前 言中国工商银行银企互联企业服务器是架设在企业端的一台Windows 2000平台的服务器，它将银行服务直接延伸到企业，为企业提供更优质的服务。该服务器上安装有工商银行为银企互联应用专门委托开发的软件NetSafe Client 1.5 for NT，简称NC。通过这个服务器，企业可以方便地同工商银行网上银行对接，实现财务业务与银行业务的无缝继承。该手册将给出基于NetSafe Client的银企互联系统网络配置建议，并说明NetSafe Clie

3、nt的安装以及相关的操作指南。此版本支持磁盘证书和符合PKCS11标准的硬件设备（如加密机、加密卡、IC卡等）。1.1 使用对象NetSafe Client1.5 for NT软件授权使用者。1.2 如何使用本手册会使用WINDOWS操作系统，熟悉Web及网络安全的基础知识，熟悉常用代理服务器的使用，掌握签名及验签名的基本原理，了解PKCS的相关知识。2 网络配置建议由于进行银企互联业务的企业服务器中配置有企业的证书，并且交易请求数据都将通过它发向银行，所以它的安全性应该引起充分的重视，必须对此服务器进行妥善的保护，建议网络如下图进行配置。网络建议图一建议单独设立银企互联服务器，并且与企业的财

4、务服务器用网络直连线连接组成一个小型专网。在企业财务服务器上不能设置企业内网到银企互联服务器的路由，以防止不法数据包发给银企互联服务器。另外，建议对银企互联服务器的操作需要专人负责，并对服务器进行物理隔离，杜绝无关人员的非法操作。如果为了节省成本，将银企互联服务器和企业财务服务器安装到一起，则需要采用防火墙等安全设备限制财务应用以外的机器访问该服务器，如下图所示。网络建议图二3 软件安装与配置3.1 安装NetSafe Client点击软件介质中的安装程序setup.exe，即可开始进行Netsafe Client的安装，按照安装提示一步一步即可完成，非常方便。NetSafe Client支持

5、P11接口的硬件加密设备，如加密卡、加密机等，如果企业采用此种硬件加密设备，需要事先将其安装好。具体的操作请参考加密设备提供商的文档，最好在其厂家的指导下进行。3.2 运行NetSafe ClientNetsafe Client安装完毕后，在Windows系统中点击开始程序NetTransaction1.5 Netsafe Client，将出现Netsafe Client的菜单条。从而可以执行启动Netsafe Client软件程序、查看用户手册和Readme文件以及卸载Netsafe Client的操作。如图3.1所示，点击“Netsafe Client”即进入Netsafe Client的

6、主界面。图3.1如图3.2所示，主界面的上方是主菜单，下方的左侧区域显示的是NC所支持的协议服务的信息，包括服务类型、端口号和状态信息，右侧区域显示的则是左侧被选中协议服务的启动、重启或停止的操作内容，包括时间信息和内容信息。第一次启动时，所有的协议服务均处于停止状态。此版本中支持安全Http服务和签名服务。图3.23.3 证书的请求和导入按照图3.3所示，点击主菜单中的“工具”一项，选中“证书请求和导入”，进入图3.4所示的“证书请求和导入”窗口中。在图3.3“工具”的第二项“将证书转换成PFX证书”，是企业用软方式申请证书，在配置签名服务时将证书转换成PFX格式的功能处。图3.3图3.43

7、.3.1 软方式的申请所谓的软方式就是将私钥文件以文件的方式存储在硬盘中，并将申请到的证书写入磁盘中。在申请证书前，用户的网络配置必须完成，即可以通过公网或者专线方式访问工行网银，此时方可以进行证书的申请和导入，否则无法完成所有的步骤。选择图3.4所示的第一项，点击“确定”按钮，进入软方式的请求过程(共5步)，图3.5所示为第一步，分别输入私钥文件名（扩展名必须是.pem）、私钥口令和证书注销口令（口令长度为48位），点击“下一步”，进入第二步。图3.5在第二步中(图3.6所示)，输入DN，其中CN必须输入工行密码信封中给定的企业ID（图中为test.d.0200），另外OU可通过点击“添加”

8、按钮输入多个，每个OU值均可删除或修改，输入完毕后点击“下一步”，出现提示窗口(如图3.7所示)，要求确认是否产生PKCS10请求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。注意，输入的各项参数为工行定义的标准参数，根据需要工行有权做出更改，即客户输入值工行可以根据需要进行修改，并将相应信息写入证书中。点击“上一步”可返回第一步进行重新输入。图3.6图3.7图3.8将如图3.8所示的证书请求包复制好以后，就可以到工行网站申请证书了。申请时，首先需要完成银企互联服务器与工行网络的连接（公网或者专线方式），然后在浏览器中输入（生产系统公网方式），或者使用https:/专网IP/icb

9、c/corporbank/GetCertificate.jsp（生产系统专线方式）。如果是通过专线方式请求证书，则IP地址请与工行相关人员接洽。注意，同时请在上述URL地址上下载工行根证书ca.cer，并保存好，以备后面使用。在工行网页上，需要输入从工行获得的证书的参考号和授权码，并将从图3.8获得的证书请求包粘贴到网页中，之后可以获得所申请的证书。将工行网页中的证书从网页上粘贴到文本文件中，然后存为文件名称为ICBC_Cert.p7b的文件。3.3.2 软方式证书的格式转换证书格式的转换是将p7b格式证书转化成Base64编码的pem证书。刚才申请得到的证书是p7b格式的证书，该格式的证书不

10、能直接用于启动安全HTTP服务和签名服务，下面将详细说明一下如何将其转换成Base64编码的pem格式的证书。下面按步骤说明转换过程。3.3.2.1 将p7b格式证书导入IE浏览器。打开IE浏览器，选择“工具”菜单下的“Internet选项”功能，弹出“Internet选项”窗口，选择“内容”页面，如图3.9所示，再点击“证书”按钮，弹出“内容”窗口，如图3.10所示，点击左侧的“导入”按钮，进入“证书导入向导”过程，先点击“下一步”，便进入到指定导入文件窗口，如图3.11所示，指定刚才申请到的工行证书文件后，点击“下一步”，进入“证书存储”窗口，点击“下一步”，进入“完成证书导入”窗口，显示

11、导入证书的信息，如图3.12所示，点击“完成”按钮，出现窗口提示“导入成功”，如图3.13所示，此时该p7b证书已被导入到IE浏览器中。图3.9图3.10图3.11图3.12图3.13 3.3.2.2 将导入证书导出成pem格式的证书。在如图3.10所示的窗口中选择“中级证书颁发机构”页面，如图3.14所示，选中刚刚导入的p7b证书，点击“导出”按钮，进入证书导出向导过程，点击“下一步”，进入“导出文件格式”窗口，如图3.15所示，选择第二项Base64编码X.509(.CER)，点击“下一步”，进入指定要导出文件名窗口，如图3.16所示，直至完成文件导出。图3.14图3.15图3.163.3

12、.2.3 复制证书Base64编码用写字板打开刚刚导出的CER证书，复制其证书的Base64编码，如图3.17所示。图3.173.3.3 软方式证书导入在完成证书格式的转换后，选择图3.4所示的第三项，点击“确定”按钮，进入导入磁盘证书的过程。回到图3.8并点击“下一步”，进入第四步，将申请到的证书包从图3.17所示的写字板中粘贴到框中，如图3.18所示，点击“下一步”进入第五步，将生成的证书保存在用户指定的目录中，文件名称请取为ICBC_Cert.pem，如图3.19所示，点击“完成”，出现提示窗口如图3.20所示，此时以软方式生成的证书就完成了。图3.18图3.19图3.203.3.4 工

13、行根证书的注册企业互连软件必须在注册工行根证书后才能正常使用。双击在前面申请证书的时候保存的工行根证书的文件ca.cer，然后按照windows系统的证书安装模板进行即可将工行根证书正确安装成为受信根证书。3.3.5 硬方式所谓的硬方式就是由硬件设备（支持PKCS11的IC卡、加密卡和加密机等）产生私钥文件，并将申请到的证书存入相应的硬件设备中。硬方式所需的读卡器驱动和捷德卡CSP（金邦达卡CSP则需使用开发包中提供的CSP安装程序）可从工行网站（）中的“电子银行”“网上银行”“企业网上银行”“下载软件一览表”中获得。金邦达卡在申请证书前必须在银行内部管理系统中进行初始化，捷德卡则需使用开发包

14、中提供的捷德卡初始化工具进行初始化。3.3.5.1 硬方式证书申请选择图3.4所示的第二项“使用硬件方式产生PKCS请求包，并将申请到的证书导入设备中”，点击“确定”按钮，进入硬方式的请求过程(共5步)，图3.21所示为第一步，分别输入PKCS11库的文件名、设备标识、公钥标识、私钥标识和设备口令，输入的内容根据硬件设备的不同而不同，具体输入项需要和工行相关人员接洽，不能按照图中输入。输入完成后后，点击“下一步”，进入第二步。IC卡类型PKCS11库名设备标识名捷德（G&D）Aetpkss1.dllSafeSign金邦达（GemPlus）Nppkcs11.dllNet-Pass00aetpks

15、s1.dll在C:WINDOWSsystem32下（XP系统），2000server是在C:WINDOWS NT下图3.21在第二步中(图3.22所示，同软方式)，输入DN，其中OU可通过点击“添加”按钮输入多个，每个OU值均可删除或修改，输入完毕后点击“下一步”，出现提示窗口，要求确认是否产生PKCS10请求。点击“是”按钮，进入第三步，点击“否”按钮，回到第二步。图3.22第三步和第四步的操作与软方式完全相同（图3.8、图3.18），进入到第五步时(如图3.23所示)，输入证书的存储标识“ICBC_Cert”，点击“完成”按钮，出现提示窗口，提示“请确认您的设备已经准备好！”，如图3.24