銀行銀企互聯(lián)企業(yè)服務(wù)器安裝手冊(cè)

1、版本號(hào)：版本號(hào)：1. 0中國(guó)工商中國(guó)工商銀銀行行銀銀企互企互聯(lián)聯(lián)企企業(yè)業(yè)服服務(wù)務(wù)器器安裝手冊(cè)安裝手冊(cè)中國(guó)工商銀行北京軟件研發(fā)部2005 年年 02 月月目目 錄錄1前前 言言.31.1使用對(duì)象.31.2如何使用本手冊(cè).42網(wǎng)絡(luò)配置建議網(wǎng)絡(luò)配置建議.43軟件安裝與配置軟件安裝與配置.53.1安裝 NetSafe Client.53.2運(yùn)行 NetSafe Client.53.3證書的請(qǐng)求和導(dǎo)入.73.3.1軟方式的申請(qǐng).83.3.2軟方式證書的格式轉(zhuǎn)換.113.3.3軟方式證書導(dǎo)入.173.3.4工行根證書的注冊(cè).193.3.5硬方式.193.4加密服務(wù).243.4.1配置.243.4.2日志管

2、理.313.5簽名服務(wù).323.5.1配置.323.5.2日志管理.374系統(tǒng)的運(yùn)行系統(tǒng)的運(yùn)行.384.1服務(wù)的啟動(dòng)與停止.384.1.1啟動(dòng).384.1.2停止.384.1.3重啟.384.2NetSafe Client 的配置文件.394.2.1配置.391 前前 言言中國(guó)工商銀行銀企互聯(lián)企業(yè)服務(wù)器是架設(shè)在企業(yè)端的一臺(tái) Windows 2000 平臺(tái)的服務(wù)器，它將銀行服務(wù)直接延伸到企業(yè)，為企業(yè)提供更優(yōu)質(zhì)的服務(wù)。該服務(wù)器上安裝有工商銀行為銀企互聯(lián)應(yīng)用專門委托開發(fā)的軟件NetSafe Client 1.5 for NT，簡(jiǎn)稱 NC。通過(guò)這個(gè)服務(wù)器，企業(yè)可以方便地同工商銀行網(wǎng)上銀行對(duì)接，實(shí)現(xiàn)財(cái)務(wù)

3、業(yè)務(wù)與銀行業(yè)務(wù)的無(wú)縫繼承。該手冊(cè)將給出基于 NetSafe Client 的銀企互聯(lián)系統(tǒng)網(wǎng)絡(luò)配置建議，并說(shuō)明 NetSafe Client 的安裝以及相關(guān)的操作指南。此版本支持磁盤證書和符合PKCS11 標(biāo)準(zhǔn)的硬件設(shè)備（如加密機(jī)、加密卡、IC 卡等）。1.1 使用對(duì)象使用對(duì)象NetSafe Client1.5 for NT 軟件授權(quán)使用者。1.2 如何使用本手冊(cè)如何使用本手冊(cè)會(huì)使用 WINDOWS 操作系統(tǒng)，熟悉 Web 及網(wǎng)絡(luò)安全的基礎(chǔ)知識(shí)，熟悉常用代理服務(wù)器的使用，掌握簽名及驗(yàn)簽名的基本原理，了解 PKCS 的相關(guān)知識(shí)。2 網(wǎng)絡(luò)配置建議網(wǎng)絡(luò)配置建議由于進(jìn)行銀企互聯(lián)業(yè)務(wù)的企業(yè)服務(wù)器中配置有企

4、業(yè)的證書，并且交易請(qǐng)求數(shù)據(jù)都將通過(guò)它發(fā)向銀行，所以它的安全性應(yīng)該引起充分的重視，必須對(duì)此服務(wù)器進(jìn)行妥善的保護(hù)，建議網(wǎng)絡(luò)如下圖進(jìn)行配置。銀銀企企互互聯(lián)聯(lián)服服務(wù)務(wù)器器企企業(yè)業(yè)財(cái)財(cái)務(wù)務(wù)服服務(wù)務(wù)器器網(wǎng)網(wǎng)絡(luò)絡(luò)直直連連線線例：192.x.x.x例：10.x.x.x工行內(nèi)網(wǎng)（或者公網(wǎng)）企業(yè)內(nèi)網(wǎng)建議單獨(dú)設(shè)立銀企互聯(lián)服務(wù)器，并且與企業(yè)的財(cái)務(wù)服務(wù)器用網(wǎng)絡(luò)直連線連接組成一個(gè)小型專網(wǎng)。在企業(yè)財(cái)務(wù)服務(wù)器上不能設(shè)置企業(yè)內(nèi)網(wǎng)到銀企互聯(lián)服務(wù)器的路由，以防止不法數(shù)據(jù)包發(fā)給銀企互聯(lián)服務(wù)器。另外，建議對(duì)銀企互聯(lián)服務(wù)器的操作需要專人負(fù)責(zé)，并對(duì)服務(wù)器進(jìn)行物理隔離，杜絕無(wú)關(guān)人員的非法操作。如果為了節(jié)省成本，將銀企互聯(lián)服務(wù)器和企業(yè)財(cái)務(wù)服務(wù)

5、器安裝到一起，則需要采用防火墻等安全設(shè)備限制財(cái)務(wù)應(yīng)用以外的機(jī)器訪問(wèn)該服務(wù)器，如下圖所示。企企業(yè)業(yè)財(cái)財(cái)務(wù)務(wù)服服務(wù)務(wù)器器銀銀企企互互聯(lián)聯(lián)服服務(wù)務(wù)器器例：192.x.x.x例：10.x.x.x防火墻工行內(nèi)網(wǎng)（或者公網(wǎng)）企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)建議圖一網(wǎng)絡(luò)建議圖二3 軟件安裝與配置軟件安裝與配置3.1 安裝安裝 NetSafe Client點(diǎn)擊軟件介質(zhì)中的安裝程序 setup.exe，即可開始進(jìn)行 Netsafe Client 的安裝，按照安裝提示一步一步即可完成，非常方便。NetSafe Client 支持 P11 接口的硬件加密設(shè)備，如加密卡、加密機(jī)等，如果企業(yè)采用此種硬件加密設(shè)備，需要事先將其安裝好。具體的

6、操作請(qǐng)參考加密設(shè)備提供商的文檔，最好在其廠家的指導(dǎo)下進(jìn)行。3.2 運(yùn)行運(yùn)行 NetSafe ClientNetsafe Client 安裝完畢后，在 Windows 系統(tǒng)中點(diǎn)擊開始程序NetTransaction1.5 Netsafe Client，將出現(xiàn) Netsafe Client 的菜單條。從而可以執(zhí)行啟動(dòng) Netsafe Client 軟件程序、查看用戶手冊(cè)和 Readme文件以及卸載 Netsafe Client 的操作。如圖 3.1 所示，點(diǎn)擊“Netsafe Client”即進(jìn)入 Netsafe Client 的主界面。圖 3.1如圖 3.2 所示，主界面的上方是主菜單，下方的左

7、側(cè)區(qū)域顯示的是 NC所支持的協(xié)議服務(wù)的信息，包括服務(wù)類型、端口號(hào)和狀態(tài)信息，右側(cè)區(qū)域顯示的則是左側(cè)被選中協(xié)議服務(wù)的啟動(dòng)、重啟或停止的操作內(nèi)容，包括時(shí)間信息和內(nèi)容信息。第一次啟動(dòng)時(shí)，所有的協(xié)議服務(wù)均處于停止?fàn)顟B(tài)。此版本中支持安全 Http 服務(wù)和簽名服務(wù)。圖 3.23.3 證書的請(qǐng)求和導(dǎo)入證書的請(qǐng)求和導(dǎo)入按照?qǐng)D 3.3 所示，點(diǎn)擊主菜單中的“工具”一項(xiàng)，選中“證書請(qǐng)求和導(dǎo)入”，進(jìn)入圖 3.4 所示的“證書請(qǐng)求和導(dǎo)入”窗口中。在圖 3.3“工具”的第二項(xiàng)“將證書轉(zhuǎn)換成 PFX 證書”，是企業(yè)用軟方式申請(qǐng)證書，在配置簽名服務(wù)時(shí)將證書轉(zhuǎn)換成 PFX 格式的功能處。圖 3.3圖 軟方式

8、軟方式的申請(qǐng)的申請(qǐng)所謂的軟方式就是將私鑰文件以文件的方式存儲(chǔ)在硬盤中，并將申請(qǐng)到的證書寫入磁盤中。在申請(qǐng)證書前，用戶的網(wǎng)絡(luò)配置必須完成，即可以通過(guò)公網(wǎng)或者專線方式訪問(wèn)工行網(wǎng)銀，此時(shí)方可以進(jìn)行證書的申請(qǐng)和導(dǎo)入，否則無(wú)法完成所有的步驟。選擇圖 3.4 所示的第一項(xiàng)，點(diǎn)擊“確定”按鈕，進(jìn)入軟方式的請(qǐng)求過(guò)程(共 5 步)，圖 3.5 所示為第一步，分別輸入私鑰文件名（擴(kuò)展名必須是.pem）、私鑰口令和證書注銷口令（口令長(zhǎng)度為 48 位），點(diǎn)擊“下一步”，進(jìn)入第二步。圖 3.5在第二步中(圖 3.6 所示)，輸入 DN，其中 CN 必須輸入工行密碼信封中給定的企業(yè) ID（圖中為 test.d.0200）

9、，另外 OU 可通過(guò)點(diǎn)擊“添加”按鈕輸入多個(gè)，每個(gè) OU 值均可刪除或修改，輸入完畢后點(diǎn)擊“下一步”，出現(xiàn)提示窗口(如圖 3.7 所示)，要求確認(rèn)是否產(chǎn)生 PKCS10 請(qǐng)求。點(diǎn)擊“是”按鈕，進(jìn)入第三步，點(diǎn)擊“否”按鈕，回到第二步。注意，輸入的各項(xiàng)參數(shù)為工行定義的標(biāo)準(zhǔn)參數(shù)，根據(jù)需要工行有權(quán)做出更改，即客戶輸入值工行可以根據(jù)需要進(jìn)行修改，并將相應(yīng)信息寫入證書中。點(diǎn)擊“上一步”可返回第一步進(jìn)行重新輸入。圖 3.6圖 3.7圖 3.8將如圖 3.8 所示的證書請(qǐng)求包復(fù)制好以后，就可以到工行網(wǎng)站申請(qǐng)證書了。申請(qǐng)時(shí)，首先需要完成銀企互聯(lián)服務(wù)器與工行網(wǎng)絡(luò)的連接（公網(wǎng)或者專線方式），然后在瀏覽器中輸入htt

10、ps:/ https:/專網(wǎng)IP/icbc/corporbank/GetCertificate.jsp（生產(chǎn)系統(tǒng)專線方式）。如果是通過(guò)專線方式請(qǐng)求證書，則 IP 地址請(qǐng)與工行相關(guān)人員接洽。注意，同時(shí)請(qǐng)?jiān)谏鲜?URL 地址上下載工行根證書 ca.cer，并保存好，以備后面使用。在工行網(wǎng)頁(yè)上，需要輸入從工行獲得的證書的參考號(hào)和授權(quán)碼，并將從圖 3.8 獲得的證書請(qǐng)求包粘貼到網(wǎng)頁(yè)中，之后可以獲得所申請(qǐng)的證書。將工行網(wǎng)頁(yè)中的證書從網(wǎng)頁(yè)上粘貼到文本文件中，然后存為文件名稱為ICBC_Cert.p7b 的文件。3.3.2 軟方式證書的格式轉(zhuǎn)換軟方式證書的格式轉(zhuǎn)換證書格式的轉(zhuǎn)換是將 p7b 格式證書轉(zhuǎn)化成

11、Base64 編碼的 pem 證書。剛才申請(qǐng)得到的證書是 p7b 格式的證書，該格式的證書不能直接用于啟動(dòng)安全 HTTP 服務(wù)和簽名服務(wù)，下面將詳細(xì)說(shuō)明一下如何將其轉(zhuǎn)換成Base64 編碼的 pem 格式的證書。下面按步驟說(shuō)明轉(zhuǎn)換過(guò)程。將將 p7b 格式證書導(dǎo)入格式證書導(dǎo)入 IE 瀏覽器。瀏覽器。打開 IE 瀏覽器，選擇“工具”菜單下的“Internet 選項(xiàng)”功能，彈出“Internet 選項(xiàng)”窗口，選擇“內(nèi)容”頁(yè)面，如圖 3.9 所示，再點(diǎn)擊“證書”按鈕，彈出“內(nèi)容”窗口，如圖 3.10 所示，點(diǎn)擊左側(cè)的“導(dǎo)入”按鈕，進(jìn)入“證書導(dǎo)入向?qū)А边^(guò)程，先點(diǎn)擊“下一步”，便進(jìn)入到指定導(dǎo)

12、入文件窗口，如圖 3.11 所示，指定剛才申請(qǐng)到的工行證書文件后，點(diǎn)擊“下一步”，進(jìn)入“證書存儲(chǔ)”窗口，點(diǎn)擊“下一步”，進(jìn)入“完成證書導(dǎo)入”窗口，顯示導(dǎo)入證書的信息，如圖 3.12 所示，點(diǎn)擊“完成”按鈕，出現(xiàn)窗口提示“導(dǎo)入成功”，如圖 3.13 所示，此時(shí)該 p7b 證書已被導(dǎo)入到 IE 瀏覽器中。圖 3.9圖 3.10圖 3.11圖 3.12圖 3.13 將導(dǎo)入證書導(dǎo)出成將導(dǎo)入證書導(dǎo)出成 pem 格式的證書。格式的證書。在如圖 3.10 所示的窗口中選擇“中級(jí)證書頒發(fā)機(jī)構(gòu)”頁(yè)面，如圖3.14 所示，選中剛剛導(dǎo)入的 p7b 證書，點(diǎn)擊“導(dǎo)出”按鈕，進(jìn)入證書導(dǎo)出向?qū)н^(guò)程，點(diǎn)擊“下

13、一步”，進(jìn)入“導(dǎo)出文件格式”窗口，如圖3.15 所示，選擇第二項(xiàng)Base64 編碼 X.509(.CER)，點(diǎn)擊“下一步”，進(jìn)入指定要導(dǎo)出文件名窗口，如圖 3.16 所示，直至完成文件導(dǎo)出。圖 3.14圖 3.15圖 .3復(fù)制證書復(fù)制證書 Base64 編碼編碼用寫字板打開剛剛導(dǎo)出的 CER 證書，復(fù)制其證書的 Base64 編碼，如圖3.17 所示。圖 軟方式證書軟方式證書導(dǎo)入導(dǎo)入在完成證書格式的轉(zhuǎn)換后，選擇圖 3.4 所示的第三項(xiàng)，點(diǎn)擊“確定”按鈕，進(jìn)入導(dǎo)入磁盤證書的過(guò)程。回到圖 3.8 并點(diǎn)擊“下一步”，進(jìn)入第四步，將申請(qǐng)到的證書包從圖 3.17 所

14、示的寫字板中粘貼到框中，如圖 3.18 所示，點(diǎn)擊“下一步”進(jìn)入第五步，將生成的證書保存在用戶指定的目錄中，文件名稱請(qǐng)取為 ICBC_Cert.pem，如圖 3.19 所示，點(diǎn)擊“完成”，出現(xiàn)提示窗口如圖 3.20 所示，此時(shí)以軟方式生成的證書就完成了。 圖 3.18圖 3.19 圖 工行根證書的注冊(cè)工行根證書的注冊(cè)企業(yè)互連軟件必須在注冊(cè)工行根證書后才能正常使用。雙擊在前面申請(qǐng)證書的時(shí)候保存的工行根證書的文件 ca.cer，然后按照 windows 系統(tǒng)的證書安裝模板進(jìn)行即可將工行根證書正確安裝成為受信根證書。3.3.5 硬方式硬方式所謂的硬方式就是由硬件設(shè)備（支持 PKC

15、S11 的 IC 卡、加密卡和加密機(jī)等）產(chǎn)生私鑰文件，并將申請(qǐng)到的證書存入相應(yīng)的硬件設(shè)備中。硬方式所需的讀卡器驅(qū)動(dòng)和捷德卡 CSP（金邦達(dá)卡 CSP 則需使用開發(fā)包中提供的 CSP 安裝程序）可從工行網(wǎng)站（http:/）中的“電子銀行”“網(wǎng)上銀行”“企業(yè)網(wǎng)上銀行”“下載軟件一覽表”中獲得。金邦達(dá)卡在申請(qǐng)證書前必須在銀行內(nèi)部管理系統(tǒng)中進(jìn)行初始化，捷德卡則需使用開發(fā)包中提供的捷德卡初始化工具進(jìn)行初始化。硬方式證書申請(qǐng)硬方式證書申請(qǐng)選擇圖 3.4 所示的第二項(xiàng)“使用硬件方式產(chǎn)生 PKCS 請(qǐng)求包，并將申請(qǐng)到的證書導(dǎo)入設(shè)備中”，點(diǎn)擊“確定”按鈕，進(jìn)入硬方式的請(qǐng)求過(guò)程(共 5步)，圖 3.

16、21 所示為第一步，分別輸入 PKCS11 庫(kù)的文件名、設(shè)備標(biāo)識(shí)、公鑰標(biāo)識(shí)、私鑰標(biāo)識(shí)和設(shè)備口令，輸入的內(nèi)容根據(jù)硬件設(shè)備的不同而不同，具體輸入項(xiàng)需要和工行相關(guān)人員接洽，不能按照?qǐng)D中輸入。輸入完成后后，點(diǎn)擊“下一步”，進(jìn)入第二步。IC 卡類型卡類型PKCS11 庫(kù)名庫(kù)名設(shè)備標(biāo)識(shí)名設(shè)備標(biāo)識(shí)名捷德（G&D）Aetpkss1.dllSafeSign金邦達(dá)（GemPlus）Nppkcs11.dllNet-Pass00aetpkss1.dll 在 C:WINDOWSsystem32 下（XP 系統(tǒng)），2000server 是在C:WINDOWS NT 下圖 3.21在第二步中(圖 3.22 所示，同

17、軟方式)，輸入 DN，其中 OU 可通過(guò)點(diǎn)擊“添加”按鈕輸入多個(gè)，每個(gè) OU 值均可刪除或修改，輸入完畢后點(diǎn)擊“下一步”，出現(xiàn)提示窗口，要求確認(rèn)是否產(chǎn)生 PKCS10 請(qǐng)求。點(diǎn)擊“是”按鈕，進(jìn)入第三步，點(diǎn)擊“否”按鈕，回到第二步。圖 3.22第三步和第四步的操作與軟方式完全相同（圖 3.8、圖 3.18），進(jìn)入到第五步時(shí)(如圖 3.23 所示)，輸入證書的存儲(chǔ)標(biāo)識(shí)“ICBC_Cert”，點(diǎn)擊“完成”按鈕，出現(xiàn)提示窗口，提示“請(qǐng)確認(rèn)您的設(shè)備已經(jīng)準(zhǔn)備好！”，如圖3.24 所示。如果加密卡已連接好，點(diǎn)擊“是”按鈕，否則點(diǎn)擊“否”按鈕回到圖 3.23 狀態(tài)，點(diǎn)擊“是”按鈕后，加密卡的紅燈亮，表示正在將

18、證書存入加密卡中，等紅燈滅，綠燈亮?xí)r，表示已存儲(chǔ)完畢，又出現(xiàn)提示窗口(如圖 3.25 所示)，表示證書已成功存儲(chǔ)進(jìn)加密卡中。圖 3.23圖 3.24圖 3.25 硬方式證書導(dǎo)入硬方式證書導(dǎo)入此項(xiàng)功能主要用于在用戶得到了證書請(qǐng)求包后，不能立即去相關(guān)的網(wǎng)站去申請(qǐng)證書，可能要退出 NetSafe Client，在申請(qǐng)完證書包以后再啟動(dòng)NetSafe Client 的情況。選擇圖 3.4 所示的第四項(xiàng)“將申請(qǐng)到的證書導(dǎo)入到設(shè)備中”，點(diǎn)擊“確定”按鈕，進(jìn)入已申請(qǐng)證書的存儲(chǔ)過(guò)程(如圖 3.26 所示)，輸入正確的設(shè)備口令，點(diǎn)擊“下一步”，直接進(jìn)入硬方式的第四步中，操作過(guò)程與硬方式完成相同，這

19、里不再詳細(xì)說(shuō)明。圖 3.263.4 加密服務(wù)加密服務(wù)加密服務(wù)是指銀企互聯(lián)服務(wù)器將客戶的 http 請(qǐng)求轉(zhuǎn)換為安全Http（https）請(qǐng)求的功能。3.4.1 配置配置在啟動(dòng)所選中的協(xié)議服務(wù)之前，必須要對(duì)該項(xiàng)服務(wù)的某些參數(shù)進(jìn)行配置，選中安全 Http 服務(wù)后點(diǎn)擊右鍵，出現(xiàn)右鍵菜單如圖 3.27 所示，選中“配置”，就出現(xiàn)“配置”窗口，如圖 3.28 所示。 圖 3.27 “配置”窗口中用了 5 個(gè)頁(yè)面框來(lái)顯示配置信息的內(nèi)容，分別是“服務(wù)器信息”、“證書”、“基本配置”、“輸出信息”、“代理服務(wù)器”，下面我們就針對(duì)每個(gè)配置參數(shù)一一來(lái)進(jìn)行說(shuō)明。配置服務(wù)器信息配置服務(wù)器信息在圖 3.28

20、 中顯示的即是“服務(wù)器信息”頁(yè)面框，上方的文本框顯示的用戶要輸入的 Netsafe Client 監(jiān)聽(tīng)的端口號(hào)，即是 NetSafe Client 中安全HTTP 服務(wù)所監(jiān)聽(tīng)的端口號(hào)。該項(xiàng)一般配置為 448 端口，用于監(jiān)聽(tīng)來(lái)自SSL/TLS 的請(qǐng)求，也可以根據(jù)需要進(jìn)行配置。如果在同一臺(tái)機(jī)器上有 Web Server 或其它服務(wù)監(jiān)聽(tīng) 448 端口，則此項(xiàng)應(yīng)配為非 448 的其它適合數(shù)。對(duì)于普通用戶，應(yīng)選用較高值的端口號(hào)，如大于 4500 的某個(gè)端口號(hào)。但是必須注意此端口不得被其他服務(wù)所占用，必須為此服務(wù)所獨(dú)用。下方則是用戶要輸入的是安全 Http 服務(wù)通過(guò)安全通道（SSL）所訪問(wèn)的工行服務(wù)器的

21、IP 地址及端口號(hào)。如果通過(guò)公網(wǎng)訪問(wèn)，可以配置為（生產(chǎn)地址），如果是專線方式，IP 地址請(qǐng)與工行相關(guān)人員接洽。 圖 3.2配置證書信息配置證書信息點(diǎn)擊“證書”頁(yè)面框，可以配置“證書”的相關(guān)信息，證書的配置根據(jù)其存儲(chǔ)介質(zhì)的不同分為兩種情況：磁盤證書和硬件證書（IC 卡、加密卡、加密機(jī)）。.1存儲(chǔ)介質(zhì)為磁盤存儲(chǔ)介質(zhì)為磁盤如圖 3.29 所示，上方區(qū)域需要用戶輸入安全 Http 服務(wù)的證書文件及私鑰文件的全路徑文件名稱，點(diǎn)擊“瀏覽”按鈕，根據(jù)用戶存儲(chǔ)證書文件的位置選擇證書文件和私鑰文件，選中后按“保存”按鈕。下方區(qū)域則需要用戶添加工行的根證書（即上級(jí)證書鏈）。根證書在下

22、載證書文件時(shí)可同時(shí)得到。在對(duì)上級(jí)證書鏈的配置中，點(diǎn)擊“添加”按鈕則顯示指示根證書文件的窗口，選中根證書文件后按“保存”，最新的根證書將被添加到最后一行。要執(zhí)行“修改”或“刪除”功能必須先選中某一根證書，否則不予執(zhí)行。點(diǎn)擊“修改”按鈕，會(huì)顯示指示根證書文件的窗口，選中根證書后按“保存”后最新的根證書將替換被選中的根證書。點(diǎn)擊“刪除”按鈕則刪除被選中的根證書。圖 3.29 .2存儲(chǔ)介質(zhì)為存儲(chǔ)介質(zhì)為硬件硬件如圖 3.30 所示，輸入工行給定的相對(duì)應(yīng)的證書和其私鑰標(biāo)識(shí)、PKCS11庫(kù)及設(shè)備標(biāo)識(shí)（不能按照?qǐng)D中輸入），其中 PKCS11 庫(kù)最好寫入全路徑名稱，庫(kù)文件需要根據(jù)硬件廠商驅(qū)動(dòng)程序的

23、安裝路徑確定。圖 3.30基本配置信息基本配置信息點(diǎn)擊“基本配置”頁(yè)面框，是對(duì)安全 Http 服務(wù)的一些基本配置，如圖3.31 所示。用戶需要輸入最低加密強(qiáng)度，是指安全 Http 服務(wù)所支持與其相連接的Server(如 NS)的最低密鑰強(qiáng)度，NC 最低支持 40Bit 的密鑰強(qiáng)度，建議設(shè)置為 128 位。連接超時(shí)時(shí)間是指客戶端與 NC 連接超時(shí)時(shí)間，單位是秒，建議配置為900 秒。本地域名輸入本機(jī)的 IP 地址。最下方指的是 NC 所支持的協(xié)議，有 SSL2、SSL3、TSL1 三種協(xié)議，必須至少選擇一種協(xié)議，否則不予通過(guò)。 圖 3.3配置輸出信息配置輸出信息點(diǎn)擊

24、“輸出信息”頁(yè)面框，是對(duì)安全 Http 服務(wù)的輸出信息的配置，如圖 3.32 所示。上方區(qū)域顯示的是對(duì)安全 Http 服務(wù)日志文件的設(shè)置，點(diǎn)擊“瀏覽”則會(huì)顯示窗口來(lái)選擇要輸入的日志文件，選中后點(diǎn)擊“保存”按鈕，有以下幾點(diǎn)需要注意：用戶可以自定義文件名，但必須指明其文件名和路徑。當(dāng)指定目錄下無(wú)該文件時(shí)，程序?qū)⑿陆ㄒ粋€(gè)，如果無(wú)指定目錄，則程序?qū)⒉挥涗浫罩尽Ｈ罩颈４孀苑?wù)啟動(dòng)后所做的每一項(xiàng)操作的記錄，包括時(shí)間、服務(wù)的啟動(dòng)、退出、監(jiān)聽(tīng)狀態(tài)、出錯(cuò)原因、用戶的 IP、訪問(wèn)的 URL 等。在“日志內(nèi)容”區(qū)域中用戶可以根據(jù)需要來(lái)選擇輸入日志的內(nèi)容，包括登錄信息、用戶訪問(wèn)的 URL 信息、服務(wù)器運(yùn)行狀況的信息、

25、錯(cuò)誤信息等。下方區(qū)域顯示的是對(duì) NC 維護(hù)信息文件的配置，維護(hù)信息文件是用來(lái)記錄 NC 接收與發(fā)送信息的內(nèi)容，主要用于出現(xiàn) BUG 時(shí)查看 NC 的接收與發(fā)送信息的情況，在 NC 正常運(yùn)行情況下，建議不使用該項(xiàng)。點(diǎn)擊“瀏覽”會(huì)顯示窗口來(lái)選擇要輸入的維護(hù)信息文件，在“維護(hù)信息文件”區(qū)域中用戶可以根據(jù)需要來(lái)選擇輸入維護(hù)信息的內(nèi)容，主要包括接收到的信息和發(fā)送的信息，默認(rèn)情況下不選中該兩項(xiàng)內(nèi)容。圖 3.3配置代理服務(wù)器信息配置代理服務(wù)器信息點(diǎn)擊“代理服務(wù)器”頁(yè)面框，是對(duì)安全 Http 服務(wù)的代理服務(wù)器的配置，如圖 3.33 所示。選中“代理服務(wù)器”，NC 就會(huì)允許輸入有關(guān)代理服務(wù)器的一

26、些參數(shù)。在“代理類型和服務(wù)器”區(qū)域中，用戶輸入代理服務(wù)器的 IP 地址及代理端口，NetSafe Client 只支持 Socks4 和 Socks5 協(xié)議，其中 Socks5 支持帶用戶名口令方式的身份認(rèn)證。當(dāng)選中 Sock5 協(xié)議而又需身份認(rèn)證時(shí)，用戶就必須配置驗(yàn)證用戶身份的用戶名和口令參數(shù)項(xiàng)。圖 3.33以上所有參數(shù)配置完畢，欲使參數(shù)生效點(diǎn)擊“確定”，否則點(diǎn)擊“取消”。3.4.2 日志管理日志管理在以上圖 3.27 所示的界面中，選中“日志”，就出現(xiàn)“日志”窗口，如圖 3.34 所示。點(diǎn)擊“查看”按鈕則打開日志文件，右方顯示出日志文件的全部?jī)?nèi)容信息。點(diǎn)擊“刷新”按鈕則刷新當(dāng)前日志文件內(nèi)容

27、。點(diǎn)擊“清空”按鈕則清空當(dāng)前日志文件的所有內(nèi)容，所以在執(zhí)行該功能之前應(yīng)小心謹(jǐn)慎。點(diǎn)擊“備份”按鈕則會(huì)提示用戶將日志文件備份為其他的路徑及文件名。點(diǎn)擊“關(guān)閉”按鈕則關(guān)閉“日志”窗口。圖 3.343.5 簽名服務(wù)簽名服務(wù)3.5.1 配置配置在啟動(dòng)所選中的協(xié)議服務(wù)之前，必須要對(duì)該項(xiàng)服務(wù)的某些參數(shù)進(jìn)行配置，在圖 3.27 中選中簽名服務(wù)器后點(diǎn)擊右鍵，出現(xiàn)右鍵菜單，選中“配置”，就出現(xiàn)“配置”窗口，如圖 3.35 所示?；九渲眯畔⒒九渲眯畔⒃趫D 3.35 中顯示的即是“基本配置”頁(yè)面框，上方的文本框顯示的用戶要輸入的簽名服務(wù)器監(jiān)聽(tīng)的端口號(hào)。該項(xiàng)一般配置為 449 端口，用于監(jiān)聽(tīng)簽名和驗(yàn)

28、簽名的請(qǐng)求，也可以根據(jù)需要進(jìn)行配置。如果在同一臺(tái)機(jī)器上有 WebServer 或其它服務(wù)監(jiān)聽(tīng) 449 端口，則此項(xiàng)應(yīng)配為非 449 的其它適合數(shù)。對(duì)于普通用戶，應(yīng)選用較高值的端口號(hào)，如大于 4500 的某個(gè)端口號(hào)。但是必須注意此端口不得被其他服務(wù)所占用，必須為此服務(wù)所獨(dú)用。圖 3.35下方則是用戶要輸入的驗(yàn)簽名時(shí)受信任的根證書，請(qǐng)下載并配置為工行的根證書。在對(duì)上級(jí)證書鏈的配置中，點(diǎn)擊“添加”按鈕則顯示指示根證書文件的窗口，選中根證書文件后按“保存”，最新的根證書將被添加到最后一行。要執(zhí)行“修改”或“刪除”功能必須先選中某一根證書，否則不予執(zhí)行。點(diǎn)擊“修改”按鈕，會(huì)顯示指示根證書文件的窗口，選中

29、根證書后按“保存”后最新的根證書將替換被選中的根證書。點(diǎn)擊“刪除”按鈕則刪除被選中的根證書。配置證書信息配置證書信息.1存儲(chǔ)介質(zhì)為磁盤存儲(chǔ)介質(zhì)為磁盤點(diǎn)擊“證書”頁(yè)面框，可以配置“證書”的相關(guān)信息，如圖 3.36 所示，上方區(qū)域需要用戶輸入簽名服務(wù)器的簽名證書文件的全路徑文件名稱，必須為 PFX 格式，點(diǎn)擊“瀏覽”按鈕即可選擇，選中后按“保存”按鈕。圖 3.3.2存儲(chǔ)介質(zhì)為加密卡存儲(chǔ)介質(zhì)為加密卡根據(jù)工行給出的名稱輸入 PKCS11 庫(kù)、設(shè)備標(biāo)識(shí)、證書標(biāo)識(shí)和相對(duì)應(yīng)的私鑰標(biāo)識(shí)，其中 PKCS11 庫(kù)最好寫入全路徑文件名稱，庫(kù)文件的具體路徑則需要根據(jù)廠商加密

30、硬件驅(qū)動(dòng)安轉(zhuǎn)的位置確定。如圖 3.37 所示。圖 3.3配置驗(yàn)簽名返回信息配置驗(yàn)簽名返回信息點(diǎn)擊“驗(yàn)簽名返回信息”頁(yè)面框，是對(duì)驗(yàn)簽名返回信息的配置，如圖3.38 所示。想返回的信息內(nèi)容，選中即可。選中“原文”是指返回請(qǐng)求簽名的原文信息，否則不返回。選中“證書(Base64 編碼)”是指返回進(jìn)行簽名的證書的 64 位編碼信息，否則不返回。選中“證書主題”是指返回簽名證書的主題信息，否則不返回。選中“證書發(fā)布者”是指返回簽名證書的發(fā)布者信息，否則不返回。選中“證書有效期”是指返回簽名證書的起始時(shí)間和終止時(shí)間，否則不返回。選中“證書序列號(hào)(字符串)”是指返回簽名證書的序列號(hào)字符串，否則不返回。圖 3.38 配置輸出信息配置輸出信息點(diǎn)擊“輸出信息”頁(yè)面框，是對(duì) Netsafe Client 的輸出信息的配置，如圖 3.39 所示。上方區(qū)域顯示的是對(duì)簽名服務(wù)器日志文件的設(shè)置，點(diǎn)擊“瀏覽”則會(huì)顯示窗口來(lái)選擇要輸入的日志文件，選中后點(diǎn)擊“保存”按鈕，有以下幾點(diǎn)需要注意：用戶可以自定義文件名，但必須指明其文件名和路徑。當(dāng)指定目錄下無(wú)該文件時(shí)