中国某银行银企互联企业服务器安装手册.docx

中国某银行银企互联企业服务器安装手册中国工商银行银企互联企业服务器安装手册中国工商银行北京软件研发部2005年02月目 录1 前 言 31.1 使用对象 31.2 如何使用本手册 42 网络配置建议 43 软件安装与配置 53.1 安装NetSafe Client 53.2 运行NetSafe Client 53.3 证书的要求和导入 73.3.1 软方式的申请 83.3.2 软方式证书的格式转换 113.3.3 软方式证书导入 173.3.4 工行根证书的注册 193.3.5 硬方式 193.4 加密服务 243.4.1 配置 243.4.2 日志治理 313.5 签名服务 323.5.1 配置 323.5.2 日志治理 374 系统的运行 384.1 服务的启动与停止 384.1.1 启动 384.1.2 停止 384.1.3 重启 384.2 NetSafe Client 的配置文件 394.2.1 配置 391 前 言中国工商银行银企互联企业服务器是架设在企业端的一台Windows 2000平台的服务器，它将银行服务直截了当延伸到企业，为企业提供更优质的服务该服务器上安装有工商银行为银企互联应用专门托付开发的软件NetSafe Client 1.5 for NT，简称NC。

通过那个服务器，企业能够方便地同工商银行网上银行对接，实现财务业务与银行业务的无缝继承该手册将给出基于NetSafe Client的银企互联系统网络配置建议，并说明NetSafe Client的安装以及相关的操作指南此版本支持磁盘证书和符合PKCS11标准的硬件设备〔如加密机、加密卡、IC卡等〕1.1 使用对象NetSafe Client1.5 for NT软件授权使用者1.2 如何使用本手册会使用WINDOWS操作系统，熟悉Web及网络安全的基础知识，熟悉常用代理服务器的使用，把握签名及验签名的差不多原理，了解PKCS的相关知识2 网络配置建议由于进行银企互联业务的企业服务器中配置有企业的证书，同时交易要求数据都将通过它发向银行，因此它的安全性应该引起充分的重视，必须对此服务器进行妥善的爱护，建议网络如以下图进行配置网络建议图一建议单独设立银企互联服务器，同时与企业的财务服务器用网络直连线连接组成一个小型专网在企业财务服务器上不能设置企业内网到银企互联服务器的路由，以防止不法数据包发给银企互联服务器另外，建议对银企互联服务器的操作需要专人负责，并对服务器进行物理隔离，杜绝无关人员的非法操作。

假如为了节约成本，将银企互联服务器和企业财务服务器安装到一起，那么需要采纳防火墙等安全设备限制财务应用以外的机器访问该服务器，如以下图所示网络建议图二3 软件安装与配置3.1 安装NetSafe Client点击软件介质中的安装程序setup.exe，即可开始进行Netsafe Client的安装，按照安装提示一步一步即可完成，专门方便NetSafe Client支持P11接口的硬件加密设备，如加密卡、加密机等，假如企业采纳此种硬件加密设备，需要事先将其安装好具体的操作请参考加密设备提供商的文档，最好在其厂家的指导下进行3.2 运行NetSafe ClientNetsafe Client安装完毕后，在Windows系统中点击开始→程序→NetTransaction1.5 →Netsafe Client，将显现Netsafe Client的菜单条从而能够执行启动Netsafe Client软件程序、查看用户手册和Readme文件以及卸载Netsafe Client的操作如图3.1所示，点击〝Netsafe Client〞即进入Netsafe Client的主界面图3.1如图3.2所示，主界面的上方是主菜单，下方的左侧区域显示的是NC所支持的协议服务的信息，包括服务类型、端口号和状态信息，右侧区域显示的那么是左侧被选中协议服务的启动、重启或停止的操作内容，包括时刻信息和内容信息。

第一次启动时，所有的协议服务均处于停止状态此版本中支持安全 服务和签名服务图3.23.3 证书的要求和导入按照图3.3所示，点击主菜单中的〝工具〞一项，选中〝证书要求和导入〞，进入图3.4所示的〝证书要求和导入〞窗口中在图3.3〝工具〞的第二项〝将证书转换成PFX证书〞，是企业用软方式申请证书，在配置签名服务时将证书转换成PFX格式的功能处图3.3图3.43.3.1 软方式的申请所谓的软方式确实是将私钥文件以文件的方式储备在硬盘中，并将申请到的证书写入磁盘中在申请证书前，用户的网络配置必须完成，即能够通过公网或者专线方式访问工行网银，现在方能够进行证书的申请和导入，否那么无法完成所有的步骤选择图3.4所示的第一项，点击〝确定〞按钮，进入软方式的要求过程(共5步)，图3.5所示为第一步，分别输入私钥文件名〔扩展名必须是.pem〕、私钥口令和证书注销口令〔口令长度为4－8位〕，点击〝下一步〞，进入第二步图3.5在第二步中(图3.6所示)，输入DN，其中CN必须输入工行密码信封中给定的企业ID〔图中为test.d.0200〕，另外OU可通过点击〝添加〞按钮输入多个，每个OU值均可删除或修改，输入完毕后点击〝下一步〞，显现提示窗口(如图3.7所示)，要求确认是否产生PKCS10要求。

点击〝是〞按钮，进入第三步，点击〝否〞按钮，回到第二步注意，输入的各项参数为工行定义的标准参数，依照需要工行有权做出更换，即客户输入值工行能够依照需要进行修改，并将相应信息写入证书中点击〝上一步〞可返回第一步进行重新输入图3.6图3.7图3.8将如图3.8所示的证书要求包复制好以后，就能够到工行网站申请证书了申请时，第一需要完成银企互联服务器与工行网络的连接〔公网或者专线方式〕，然后在扫瞄器中输入 s://directbank.icbc .cn/icbc/corporbank/GetCertificate.jsp〔生产系统公网方式〕，或者使用 s://专网IP/icbc/corporbank/GetCertificate.jsp〔生产系统专线方式〕假如是通过专线方式要求证书，那么IP地址请与工行相关人员接洽注意，同时请在上述URL地址上下载工行根证书ca.cer，并储存好，以备后面使用在工行网页上，需要输入从工行获得的证书的参考号和授权码，并将从图3.8获得的证书要求包粘贴到网页中，之后能够获得所申请的证书将工行网页中的证书从网页上粘贴到文本文件中，然后存为文件名称为ICBC_Cert.p7b的文件。

3.3.2 软方式证书的格式转换证书格式的转换是将p7b格式证书转化成Base64编码的pem证书刚才申请得到的证书是p7b格式的证书，该格式的证书不能直截了当用于启动安全 服务和签名服务，下面将详细说明一下如何将其转换成Base64编码的pem格式的证书下面按步骤说明转换过程3.3.2.1 将p7b格式证书导入IE扫瞄器打开IE扫瞄器，选择〝工具〞菜单下的〝Internet选项〞功能，弹出〝Internet选项〞窗口，选择〝内容〞页面，如图3.9所示，再点击〝证书〞按钮，弹出〝内容〞窗口，如图3.10所示，点击左侧的〝导入〞按钮，进入〝证书导入向导〞过程，先点击〝下一步〞，便进入到指定导入文件窗口，如图3.11所示，指定刚才申请到的工行证书文件后，点击〝下一步〞，进入〝证书储备〞窗口，点击〝下一步〞，进入〝完成证书导入〞窗口，显示导入证书的信息，如图3.12所示，点击〝完成〞按钮，显现窗口提示〝导入成功〞，如图3.13所示，现在该p7b证书已被导入到IE扫瞄器中图3.9图3.10图3.11图3.12图3.13 3.3.2.2 将导入证书导出成pem格式的证书在如图3.10所示的窗口中选择〝中级证书颁发机构〞页面，如图3.14所示，选中刚刚导入的p7b证书，点击〝导出〞按钮，进入证书导出向导过程，点击〝下一步〞，进入〝导出文件格式〞窗口，如图3.15所示，选择第二项——Base64编码X.509(.CER)，点击〝下一步〞，进入指定要导出文件名窗口，如图3.16所示，直至完成文件导出。

图3.14图3.15图3.163.3.2.3 复制证书Base64编码用写字板打开刚刚导出的CER证书，复制其证书的Base64编码，如图3.17所示图3.173.3.3 软方式证书导入在完成证书格式的转换后，选择图3.4所示的第三项，点击〝确定〞按钮，进入导入磁盘证书的过程回到图3.8并点击〝下一步〞，进入第四步，将申请到的证书包从图3.17所示的写字板中粘贴到框中，如图3.18所示，点击〝下一步〞进入第五步，将生成的证书储存在用户指定的名目中，文件名称请取为ICBC_Cert.pem，如图3.19所示，点击〝完成〞，显现提示窗口如图3.20所示，现在以软方式生成的证书就完成了图3.18图3.19图3.203.3.4 工行根证书的注册企业互连软件必须在注册工行根证书后才能正常使用双击在前面申请证书的时候储存的工行根证书的文件ca.cer，然后按照windows系统的证书安装模板进行即可将工行根证书正确安装成为受信根证书3.3.5 硬方式所谓的硬方式确实是由硬件设备〔支持PKCS11的IC卡、加密卡和加密机等〕产生私钥文件，并将申请到的证书存入相应的硬件设备中硬方式所需的读卡器驱动和捷德卡CSP〔金邦达卡CSP那么需使用开发包中提供的CSP安装程序〕可从工行网站〔 :// icbc .cn〕中的〝电子银行〞－>〝网上银行〞－>〝企业网上银行〞－>〝下载软件一览表〞中获得。

金邦达卡在申请证书前必须在银行内部治理系统中进行初始化，捷德卡那么需使用开发包中提供的捷德卡初始化工具进行初始化3.3.5.1 硬方式证书申请选择图3.4所示的第二项〝使用硬件方式产生PKCS要求包，并将申请到的证书导入设备中〞，点击〝确定〞按钮，进入硬方式的要求过程(共5步)，图3.21所示为第一步，分别输入PKCS11库的文件名、设备标识、公钥标识、私钥标识和设备口令，输入的内容依照硬件设备的不同而不同，具体输入项需要和工行相关人员接洽，不能按照图中输入输入完成后后，点击〝下一步〞，进入第二步IC卡类型PKCS11库名设备标识名捷德〔G&D〕Aetpkss1.dllSafeSign金邦达〔GemPlus〕Nppkcs11.dllNet-Pass00aetpkss1.dll在C:\WINDOWS\system32下〔XP系统〕，2000server是在C:\WINDOWS NT下图3.21在第二步中(图3.22所示，同软方式)，输入DN，其中OU可通过点击〝添加〞按钮输入多个，每个OU值均可删除或修改，输入完毕后点击〝下一步〞，显现提示窗口，要求确认是否产生PKCS10要求点击〝是〞按钮，进入第三步，点击〝否〞按钮，回到第二步。

图3.22第三步和第四步的操作与软方式完全相同〔图3.8、图3.1。