中國工商銀行銀企互聯(lián)企業(yè)服務器安裝手冊

1、中國工商銀行銀企互聯(lián)企業(yè)服務器安裝手冊中國工商銀行銀企互聯(lián)企業(yè)服務器安裝手冊中國工商銀行北京軟件研發(fā)部2005 年 02 月 TOC o 1-5 h z 前 言 3. HYPERLINK l bookmark5 o Current Document 使用對象 3 HYPERLINK l bookmark7 o Current Document 如何使用本手冊 3 HYPERLINK l bookmark9 o Current Document 網(wǎng)絡配置建議 3. HYPERLINK l bookmark11 o Current Document 軟件安裝與配置 5. HYPERLINK l b

2、ookmark13 o Current Document 安裝NetSafe Client 5 HYPERLINK l bookmark15 o Current Document 運行NetSafe Client 5 HYPERLINK l bookmark17 o Current Document 證書的請求和導入 7 HYPERLINK l bookmark19 o Current Document 軟方式的申請 8 HYPERLINK l bookmark21 o Current Document 軟方式證書的格式轉(zhuǎn)換 11 HYPERLINK l bookmark37 o Curren

3、t Document 軟方式證書導入 17 HYPERLINK l bookmark41 o Current Document 工行根證書的注冊 19 HYPERLINK l bookmark43 o Current Document 硬方式 19 HYPERLINK l bookmark49 o Current Document 加密服務 23 HYPERLINK l bookmark51 o Current Document 配置 23 HYPERLINK l bookmark71 o Current Document 日志管理 30簽名服務 31配置 31 HYPERLINK l boo

4、kmark90 o Current Document 日志管理 36 HYPERLINK l bookmark94 o Current Document 系統(tǒng)的運行3.7 HYPERLINK l bookmark96 o Current Document 服務的啟動與停止 37 HYPERLINK l bookmark98 o Current Document 啟動 37 HYPERLINK l bookmark100 o Current Document 停止 37 HYPERLINK l bookmark102 o Current Document 重啟 37 HYPERLINK l bo

5、okmark104 o Current Document NetSafe Client 的配置文件 38 HYPERLINK l bookmark106 o Current Document 配置 381前中國工商銀行銀企互聯(lián)企業(yè)服務器是架設在企業(yè)端的一臺Windows2000 平臺的服務器， 它將銀行服務直接延伸到企業(yè)， 為企業(yè)提供更優(yōu)質(zhì)的服務。 該服務器上安裝有工商銀行為銀企互聯(lián)應用專門委托開發(fā)的軟件NetSafeClient 1.5 for NT ,簡稱NC。通過這個服務器，企業(yè)可以方便地同工商銀行網(wǎng)上銀行對接，實現(xiàn)財務業(yè)務與銀行業(yè)務的無縫繼承。該手冊將給出基于 NetSafe Clie

6、nt 的銀企互聯(lián)系統(tǒng)網(wǎng)絡配置建議，并說明 NetSafe Client 的安裝以及相關的操作指南。此版本支持磁盤證書和符合PKCS11 標準的硬件設備（如加密機、加密卡、 IC 卡等）。使用對象NetSafe Client1.5 for NT 軟件授權使用者。如何使用本手冊會使用 WINDOWS 操作系統(tǒng)，熟悉Web 及網(wǎng)絡安全的基礎知識，熟悉常用代理服務器的使用，掌握簽名及驗簽名的基本原理，了解 PKCS 的相關知識。2 網(wǎng)絡配置建議由于進行銀企互聯(lián)業(yè)務的企業(yè)服務器中配置有企業(yè)的證書，并且交易請 求數(shù)據(jù)都將通過它發(fā)向銀行，所以它的安全性應該引起充分的重視，必須對 此服務器進行妥善的保護，建議

7、網(wǎng)絡如下圖進行配置。網(wǎng)絡建議圖一建議單獨設立銀企互聯(lián)服務器，并且與企業(yè)的財務服務器用網(wǎng)絡直連線 連接組成一個小型專網(wǎng)。在企業(yè)財務服務器上不能設置企業(yè)內(nèi)網(wǎng)到銀企互聯(lián) 服務器的路由，以防止不法數(shù)據(jù)包發(fā)給銀企互聯(lián)服務器。另外，建議對銀企 互聯(lián)服務器的操作需要專人負責，并對服務器進行物理隔離，杜絕無關人員 的非法操作。如果為了節(jié)省成本，將銀企互聯(lián)服務器和企業(yè)財務服務器安裝到一起， 則需要采用防火墻等安全設備限制財務應用以外的機器訪問該服務器，如下 圖所示。網(wǎng)絡建議圖3軟件安裝與配置安裝 NetSafe Client點擊軟件介質(zhì)中的安裝程序setup.ex0即可開始進行Netsafe Client的安

8、裝，按照安裝提示一步一步即可完成，非常方便。NetSafe Client支持P11接口的硬件加密設備，如加密卡、加密機等，如 果企業(yè)采用此種硬件加密設備，需要事先將其安裝好。具體的操作請參考加 密設備提供商的文檔，最好在其廠家的指導下進行。運行 NetSafe ClientNetsafe Client安裝完畢后，在 Windows系統(tǒng)中點擊開始一程序一 NetTransaction1.5 -Netsafe Client ,將出現(xiàn) Netsafe Client 的菜單條。 從而可以執(zhí)行啟動Netsafe Client軟件程序、查看用戶手冊和 Readmet件以及卸載Netsafe Client的

9、操作。如圖3.1所示，點擊“ Netsafe Client ”即進入Netsafe Client的主界 面。8幢期崎（TIHTh /tuM量1 ris6Q2異M5 普 E grd*:*gFktoliini Art JiUiWtfuW 化/化曲&工棚辦總!J*iili4i，jt le i Intis nei 玄tit *， UJdl陷女晅餐總電McrOyi EjiXdMkFKLtfl 岫皿HidM修二反hie t$ of Egbert Ebe般3、； i i二1-1-L - - I!L-回-匡序3:工行蚣町對I嘮門上修底同收4QlZ !一通恒.加InldrMt Eldora-1第,.-二L-I0

10、Uptl。打開奸5支巖卬4 軍軍：a%力” Ztarr LhEWI_ W E 對 iJ 房 不山泗 iitfi .1國Mmwft h J 回 WUH*,世 Wa .Hrach , .Ri J ILQlMfl KMH |圖3.1如圖3.2所示，主界面的上方是主菜單，下方的左側(cè)區(qū)域顯示的是 NO 支持的協(xié)議服務的信息，包括服務類型、端口號和狀態(tài)信息，右側(cè)區(qū)域顯示 的則是左側(cè)被選中協(xié)議服務的啟動、重啟或停止的操作內(nèi)容，包括時間信息 和內(nèi)容信息。第一次啟動時，所有的協(xié)議服務均處于停止狀態(tài)。此版本中支 持安全Http服務和簽名服務。朋箸類型監(jiān)聽端口-ini x|電）安全http*務!小重名服冬翳44S4

11、4g停止停止圖3.2證書的請求和導入按照圖3.3所示，點擊主菜單中的“工具” 一項，選中“證書請求和導 入”，進入圖3.4所示的“證書請求和導入”窗口中。在圖3.3 “工具”的第二項“將證書轉(zhuǎn)換成 PFX證書”，是企業(yè)用軟方 式申請證書，在配置簽名服務時將證書轉(zhuǎn)換成PFX格式的功能處。圖3.3證書請求和導入請選擇假月的方式6使用軟方式產(chǎn)生西窗i端除苞;并蔣申蒂到的證書篤K到造意中使用硬方式產(chǎn)生PKCS1 口請求包，并揩申諳到的證書導入到設備中r相申請到的證書導）到適盍中將申請到的證書導入到指定設備中圖3.4軟方式的申請所謂的軟方式就是將私鑰文件以文件的方式存儲在硬盤中，并將申請到的證書寫入磁盤

12、中。在申請證書前，用戶的網(wǎng)絡配置必須完成，即可以通過公網(wǎng)或者專線方 式訪問工行網(wǎng)銀，此時方可以進行證書的申請和導入，否則無法完成所有的 步驟選擇圖3.4所示的第一項，點擊“確定”按鈕，進入軟方式的請求過程（共 5步），圖3.5所示為第一步，分別輸入私鑰文件名（擴展名必須是.pem）、 私鑰口令和證書注銷口令（口令長度為4 8位），點擊“下一步”，進入 第二步。圖3.5在第二步中（圖3.6所示），輸入DN,其中CN必須輸入工行密碼信封中 給定的企業(yè)ID （圖中為test.d.0200）,另外OU可通過點擊“添加”按鈕輸 入多個，每個OU值均可刪除或修改，輸入完畢后點擊“下一步”，出現(xiàn)提 示窗口（

13、如圖3.7所示），要求確認是否產(chǎn)生PKCS10請求。點擊“是”按鈕, 進入第三步，點擊“否”按鈕，回到第二步。注意，輸入的各項參數(shù)為工行 定義的標準參數(shù)，根據(jù)需要工行有權做出更改，即客戶輸入值工行可以根據(jù) 需要進行修改，并將相應信息寫入證書中。點擊“上一步”可返回第一步進行重新輸入。圖3.6PK匚弓10請求第3步/共5步轉(zhuǎn)可以使用下方區(qū)磔中的F鼠前K音求去申詰證書了HBEGIN CERTIFICATE REftlJESTMIIBxj CC ASSCAlQAw c DEMM AoGkl 1JE AxEDf 2 4x MQ v-aC STD 四 Q LEwiT BAoTB21uZmQeZVMkED

14、AOB glfVBASTB2J1 aMppbmcmCzAJBgkVBWf K&ZI hvclTAqkBFhJj b j FS%h3Hlf 看bZ Z4w 磔 SwDQ Y JKaZ： gYOOIGTAoGBAHX eOSW gjn/rNZF l g uU#X 31 xvo6 zmKdO z t； n. gJjGcVdkub q83rB4 QF01 W51 3id7L A i =S9 EyL4 / cYffnjTyD KS 甌 gfa9T5 auMl cT2HM陽ELdtpUMyRN交Qvq tnT9e/tF&BZtU FjAUE 薩 q_hki 削口 BCQ cKBxMFWimhlT 麗DQ

15、Y JKoEItm:HAqE EEQAJ wWyVsRlksD dj SD e Xi ITuNTue t921j TOM tb yIMmh4Z dyr u； CGFUFKtBEOzhT dalHMBp+OSBPF aH2 電工 tCqYniULSMKcF 三的乳七/口 Cm-A2VjS sJVvrS 由1 如 uUl JZU1E訕此卮二山；仁上汕nr-T；!上一步也”下一步4）下| 取消 I圖3.8注意，同時請在上述URL地址上下載工行根證書ca.cer,并保存好，以 備后面使用。在工行網(wǎng)頁上，需要輸入從工行獲得的證書的參考號和授權碼，并將從 圖3.8獲得的證書詰求包粘貼到網(wǎng)頁中、之后可以獲得

16、所申請的證書。將工 行網(wǎng)頁中的證書從網(wǎng)頁上粘貼到文本文件中，然后存為文件名稱為 ICBC_Cert.p7b 的文件。軟方式證書的格式轉(zhuǎn)換證書格式的轉(zhuǎn)換是將 p7b格式證書轉(zhuǎn)化成Base64編碼的pem證書。剛才申請得到的證書是p7b格式的證書，該格式的證書不能直接用于啟動安全HTTP服務和簽名服務，下面將詳細說明一下如何將其轉(zhuǎn)換成 Base64 編碼的pem格式的證書。下面按步驟說明轉(zhuǎn)換過程。將p7b格式證書導入IE瀏覽器。打開IE瀏覽器，選擇“工具”菜單下的“ Internet選項”功能，彈 出“Internet選項”窗口，選擇“內(nèi)容”頁面，如 圖3.9所示，再點擊 “證書”按鈕，彈出“內(nèi)容

17、”窗口，如 圖3.10所示，點擊左側(cè)的“導 入”按鈕，進入“證書導入向?qū)А边^程，先點擊“下一步”，便進入到指定導入文件窗口，如 圖3.11所示，指定剛才申請到的工行證書文件后，點擊“下一步”，進入“證書存儲”窗口，點擊“下一步”，進入“完成證書導入”窗口，顯示導入證書的信息，如圖3.12所示，點擊“完成”按鈕，出現(xiàn)窗口提示“導入成功”，如 圖3.13所示，此時該p7b證書已被導入到IE瀏覽器中。圖3.9圖 3.10證書導入向?qū)?d正在完成證書導入向?qū)^(qū)已成功地完成證書導入向?qū)?您已指定下列設置:A步叫匚二遨二?取消 |圖 3.1224預期目的:回帝二5個人其他人1中簿證書頃發(fā)機構|受信任的赧證

18、某地發(fā)機構|I1最瘟I1發(fā)著止日期I4記的名稱-I NI.Jbi ng LiEntirusi Pr Demo. . .2O04_2_lE國le】lgLu OEOUi etc證書導入向?qū)?-13JriH yr 0200ICBC卜22國門 varT. yq, 0200ICBC4）導入成功.H22叵q互皿鄴wuEntriM7國m*工2箕1211口0Entrii-18曬“而nmni s 9一,琉震*2信0131343Entrust FICL Dwno. , .EOD4-E-18inittrator kimini slritor2l01-6-T導入4） 導冊| 刪除 t fc E rc rE rEa夕夕

19、6e ogee曷回（A）.證書的領期目的關閉C）將導入證書導出成pem格式的證書。在如圖3.10所示的窗口中選擇“中級證書頒發(fā)機構”頁面，如 圖3.14所示，選中剛剛導入的p7b證書，點擊“導出”按鈕，進入證書導 出向?qū)н^程，點擊“下一步”，進入“導出文件格式”窗口，如 圖3.15 所示，選擇第二項一一Base64編碼X.509（.CER）,點擊“下一步”，進 入指定要導出文件名窗口，如 圖3.16所示，直至完成文件導出。證書預期目的國）:廊外個人I其他人中領證其埴發(fā)機構|爰信任的根證書頒飄機構|頒發(fā)給頒發(fā)者藤止日期好記的名稱目GTE Cj-berTriist .MicrcEcft Tindo

20、. 國胭SGC加七kwityRoot 9CC Authoritjr Hicroioft loot A .E.44t SCCi ty2O06-22002-1.2010-1-1jrq. 0200ICEC2004-3-22Root Agency2040-1-1OSftcwdfet CA Sir.Root S3C Authori ty2009-1.(Thawte ?reium .Root SCC AuthorityZO04-T-17國2rvar CAEr ntGT t-itrjny-i - y2004-7-17FTIirrw -vrzrT?八“4在1al.”r?niJJ導入一 |導出叵）.一|珊除曲

21、|高徽|證書的演期目的你有 查看也）|關閉圖 3.15圖 3.16復制證書Base64編碼用寫字板打開剛剛導出的 CER證書，復制其證書的Base64編碼，如圖3.17 所示。I匚5匚_1工打-寫宇板文怫日編糠且查看M 箍入（D格聲S 幫助 口|渤口 膏 依 上隹|醛|工|典BEGIN CERTIFICATEmCITOCCAZ?gAwIBAglEba/yEFQ+AAAGbzANB?kcH:iG9wYT)V0QK EwhpYJjLjnUvb TAeFwOwMzAyMj &M7E 2 危 hM 的卬 卯占工町 IjcWTEEMj JMID$xF 工 AVBgNVBAMHhiJpdJiVyCiC 而

22、 c5QwMAw% 加CwIDFQQL EwQwMjAwMEEwDwYDTOKEwhpYJjLmNvhTCBnzANBkQhlcLGSwOBAQEFAAOBjQA EYkCgYEA3u52/7sevWn+Ix7EvTvjFE8PabEY-+PKaZXBE8fiNJmFM6LBbfMaOYRE r85bqsiQd4B63YCq-elhrlYG5：up430i0LvphpERI)LAc/yF7-t87OKoivoCijniZF 4 cwX 7p A+K j K vBC IDNHC 5 5G11 xU2 nO bFQ Aac SRXtE 7k4TDL2Kx3 sGAvEMaNTHIFY QwTOVR

23、0BDwO3A4oDagMKQ7AsDTALBgJIVBAMTBGNybrYxDDAKBgNVBAsTA2Ny bDERM3GAlUEChMIaWi?y5jb20DwYPVRl jBAgDE?D/AMAADANBgkqhhiG9wOE kjQUFWBSQBx3pnDKhlHKG9yiiijQYKDfBJlrtqu4TpJBx/lWiqILKaLG2sB8bxyv QDBCIKZyOeOjycdaSEglamiJlTXeWETSemArS/EMgCUOAraxrnizyoZ/ A?WW oZ31nkj歹融WFdR acF NP無二注處在比7國6q1市!1丫田BQMQ 平 UzEQMA4GAlUE

24、CMflTOSOcnVaBEvfflCOGAlUECxMniRtfSOcnVzdCBi dHRidGNb/比 Xm%Y2F0M 2刪MMjExMDgyOD工洲he】 OCIjtWjCByjELMAkfJMVEBhHCWMKEDADBgllVEAorEQVudJtril c3Q: JkVudJUl u3Q到UIEKLbW9uc3取 1424寸27應門帆網(wǎng): EjcVFbnKyfiMDLl dlY i EBbSSuZlffHObSIxRTBDB eJJVEAsTFESvIE 與 cyB*ZIIgaHEJOcEovL2ZyZ1ffYjZXJUcy51bnIlydJtHQLjhH7b29saO： MA

25、SGA1 UEAxNIMj 以州 ikyfflTEw 密 DQ YJXoZIhvcNAfiEBBOAD g OSfl gm/rN3F ftk2S uUgwXn2Gl xv6 zmhdO z t/iSTTTRw 4 如 Fm 妙（ 40F01eW513ft71AzcS9EyL4/cYlffRjiyDKSftSJUa5cL3SBUaefa KNS z qpELdtp UA4yKNgQ vfi tnT9 e：/ tf qRZ tDlkLBp AHB AAjGj ggE ： 用 8EB AJHCB aA-ttKwYBVEWBCQvrl。虹町稱 M 工稱ffllEwWlHMF 名南砂 NTgyMVowE

26、QYJYIZIAYlEEBBAGDAgZANIHMGAlUdHwRsMGowdCBr上一步)|下一步國)取消圖 3.18圖 3.20工行根證書的注冊企業(yè)互連軟件必須在注冊工行根證書后才能正常使用。雙擊在前面申請證書的時候保存的工行根證書的文件ca.cer,然后按照windows系統(tǒng)的證書安裝模板進行即可將工行根證書正確安裝成為受信根證書。硬方式所謂的硬方式就是由硬件設備（支持PKCS11的IC卡、加密卡和加密機 等）產(chǎn)生私鑰文件，并將申請到的證書存入相應的硬件設備中。金邦達卡在申請證書前必須在銀行內(nèi)部管理系統(tǒng)中進行初始化，捷德卡則需使用開發(fā)包中提供的捷德卡初始化工具進行初始化。硬方式證書申請選

27、擇圖3.4所示的第二項“使用硬件方式產(chǎn)生 PKCS請求包，并將申請到的證書導入設備中”，點擊“確定”按鈕，進入硬方式的請求過程 （共5 步），圖3.21所示為第一步，分別輸入PKCS11庫的文件名、設備標識、公鑰標識、私鑰標識和設備口令，輸入的內(nèi)容根據(jù)硬件設備的不同而不同，具體輸入項需要和工行相關人員接洽，不能按照圖中輸入 。輸入完成后后，點 擊“下一步”，進入第二步。IC卡類型PKCS11庫名設備標識名捷德（G&D ）Aetpkss1.dllSafeSign金邦達（GemPlus）Nppkcs11.dllNet-Pass00aetpkss1.dll在 C:WINDOWSsystem32 下（

28、XP 系統(tǒng)）,2000server是在C:WINDOWS NT 下圖 3.21在第二步中（圖3.22所示，同軟方式），輸入DN ,其中OU可通過點擊“添 加”按鈕輸入多個，每個OU值均可刪除或修改，輸入完畢后點擊“下一步”， 出現(xiàn)提示窗口，要求確認是否產(chǎn)生 PKCS10請求。點擊“是”按鈕，進入第 三步，點擊“否”按鈕，回到第二步。圖 3.22第三步和第四步的操作與軟方式完全相同（圖3.8、圖3.18）,進入到第 五步時（如圖3.23所示），輸入證書的存儲標識“ ICBC_Cert，點擊“完成” 按鈕，出現(xiàn)提示窗口，提示“請確認您的設備已經(jīng)準備好！”，如 圖3.24所 示。如果加密卡已連接好，

29、點擊“是”按鈕，否則點擊“否”按鈕回至U圖3.23 狀態(tài)，點擊“是”按鈕后，加密卡的紅燈亮，表示正在將證書存入加密卡中， 等紅燈滅，綠燈亮時，表示已存儲完畢，又出現(xiàn)提示窗口（如圖3.25所示），表示證書已成功存儲進加密卡中。圖 3.23圖 3.24圖 3.25硬方式證書導入此項功能主要用于在用戶得到了證書請求包后，不能立即去相關的網(wǎng)站 去申請證書，可能要退出NetSafe Client,在申請完證書包以后再啟動 NetSafe Client的情況。選擇圖3.4所示的第四項“將申請到的證書導入到設備中”，點擊“確定”按鈕，進入已申請證書的存儲過程(如圖3.26所示)，輸入正確的設備口令，點擊“下

30、一步”，直接進入硬方式的第四步中，操作過程與硬方式完成 相同，這里不再詳細說明。圖 3.26加密服務加密服務是指銀企互聯(lián)服務器將客戶的 http請求轉(zhuǎn)換為安全Http (https) 請求的功能。配置在啟動所選中的協(xié)議服務之前，必須要對該項服務的某些參數(shù)進行配置， 選中安全Http服務后點擊右鍵，出現(xiàn)右鍵菜單如圖3.27所示，選中“配置”， 就出現(xiàn)“配置”窗口，如 圖3.28所示。Jcl/ NetSaFeClient文件(以工具(!)幫助(田就緒圖 3.27“配置”窗口中用了 5個頁面框來顯示配置信息的內(nèi)容，分別是“服務 器信息”、“證書”、“基本配置”、“輸出信息”、“代理服務器”，下 面我

31、們就針對每個配置參數(shù)一一來進行說明。配置服務器信息在圖3.28中顯示的即是“服務器信息”頁面框，上方的文本框顯示的用 戶要輸入的Netsafe Client監(jiān)聽的端口號，即是 NetSafe Client中安全HTTP 服務所監(jiān)聽的端口號。該項一般配置為 448端口，用于監(jiān)聽來自SSL/TLS的 請求，也可以根據(jù)需要進行配置。如果在同一臺機器上有Web Server或其它服務監(jiān)聽448端口，則此項應配為非448的其它適合數(shù)。對于普通用戶, 應選用較高值的端口號，如大于 4500的某個端口號。但是必須注意此端口 不得被其他服務所占用，必須為此服務所獨用。圖 3.28配置證書信息點擊“證書”頁面框

32、，可以配置“證書”的相關信息，證書的配置根據(jù) 其存儲介質(zhì)的不同分為兩種情況：磁盤證書和硬件證書（IC卡、加密卡、加 密機）。存儲介質(zhì)為磁盤如圖3.29所示，上方區(qū)域需要用戶輸入安全 Http服務的證書文件及私鑰 文件的全路徑文件名稱，點擊“瀏覽”按鈕，根據(jù)用戶存儲證書文件的位置 選擇證書文件和私鑰文件，選中后按“保存”按鈕。下方區(qū)域則需要用戶添加工行的根證書（即上級證書鏈）。根證書在下載證書文件時可同時得到。在對上級證書鏈的配置中，點擊“添加”按鈕則顯示指示根證書文件的 窗口，選中根證書文件后按“保存”，最新的根證書將被添加到最后一行。要執(zhí)行“修改”或“刪除”功能必須先選中某一根證書，否則不予

33、執(zhí)行。 點擊“修改”按鈕，會顯示指示根證書文件的窗口，選中根證書后按“保存” 后最新的根證書將替換被選中的根證書。點擊“刪除”按鈕則刪除被選中的 根證書。配置服務器信息 證書基本配置I輸出信息I代理服務器I證方和和鑰正書件:Cli entMCBC Cei-t.pem鹵私鑰文件(#)ptSafe ClitlCBCju-ivate. pem 瀏照皿511庫的：|瀏覽|設魯粽謁陽:|存儲介質(zhì)-命磕盤r加密卡所支持的服務器端證節(jié)的上級證蝌|呼件一一 二MC Xct. c&r崎Ik II-1_卜I-跺|確定 | 取消 |圖 3.29存儲介質(zhì)為硬件如圖3.30所示，輸入工行給定的相對應的證書和其私鑰標識、

34、 PKCS11 庫及設備標識(不能按照圖中輸入)，其中PKCS11庫最好寫入全路徑名稱， 庫文件需要根據(jù)硬件廠商驅(qū)動程序的安裝路徑確定。圖 3.30基本配置信息點擊“基本配置”頁面框，是對安全Http服務的一些基本配置，如圖3.31 所示。用戶需要輸入最低加密強度，是指安全 Http服務所支持與其相連接的 Server（如NS）的最低密鑰強度，NC最低支持40Bit的密鑰強度，建議設置為 128 位。連接超時時間是指客戶端與 NC連接超時時間，單位是秒，建議配置為 900 秒。本地域名輸入本機的IP地址。最下方指的是NC所支持的協(xié)、議,有SSL2、SSL3、TSL1三種協(xié)議，必須至少選擇一種協(xié)

35、議，否則不予通過圖 3.31配置輸出信息點擊“輸出信息”頁面框，是對安全 Http服務的輸出信息的配置，如 圖 3.32所示。上方區(qū)域顯示的是對安全Http服務日志文件的設置，點擊“瀏覽”則會 顯示窗口來選擇要輸入的日志文件，選中后點擊“保存”按鈕，有以下幾點 需要注意：用戶可以自定義文件名，但必須指明其文件名和路徑。當指定目錄下無該文件時，程序?qū)⑿陆ㄒ粋€，如果無指定目錄，則程序 將不記錄日志。日志保存自服務啟動后所做的每一項操作的記錄，包括時間、服務的啟動、退出、監(jiān)聽狀態(tài)、出錯原因、用戶的 IP、訪問的URL等。在“日志內(nèi)容”區(qū)域中用戶可以根據(jù)需要來選擇輸入日志的內(nèi)容，包括 登錄信息、用戶訪

36、問的URL信息、服務器運行狀況的信息、錯誤信息等。下方區(qū)域顯示的是對NC維護信息文件的配置，維護信息文件是用來記錄NC接收與發(fā)送信息的內(nèi)容，主要用于出現(xiàn)BUG時查看NC的接收與發(fā)送信息的情況，在NC正常運行情況下，建議不使用該項。點擊“瀏覽”會顯示窗口來選擇要輸入的維護信息文件，在“維護信息 文件”區(qū)域中用戶可以根據(jù)需要來選擇輸入維護信息的內(nèi)容，主要包括接收到的信息和發(fā)送的信息，默認情況下不選中該兩項內(nèi)容。就毫圖 3.32配置代理服務器信息點擊“代理服務器”頁面框，是對安全 Http服務的代理服務器的配置， 如圖3.33所示。選中“代理服務器”，NC就會允許輸入有關代理服務器的 一些參數(shù)。在“

37、代理類型和服務器”區(qū)域中，用戶輸入代理服務器的 IP地址及代理 端口，NetSafe Client只支持Socks4和Socks5協(xié)議，其中Socks5支持帶用 戶名口令方式的身份認證。當選中Sock5協(xié)議而又需身份認證時，用戶就必須配置驗證用戶身份的用戶名和口令參數(shù)項。配置朋費那信息怔書I .基柳西輸山信息代蹺服第據(jù)7期二級您期星跳 后近遇疝百帛百 廣 Sflcks4# SocksS苴雀版餐出由批|IQ? IAA 0 KKi TOC o 1-5 h z 代期（口 -110807需要互的認證j用戶驗證月尸幸i：|一口令：卜小竹一才丁- I 取泄|觥雄I圖 3.33以上所有參數(shù)配置完畢，欲使參數(shù)

38、生效點擊“確定”，否則點擊“取消”日志管理在以上圖3.27所示的界面中，選中“日志”，就出現(xiàn)“日志”窗口，如 圖3.34所示。點擊“查看”按鈕則打開日志文件，右方顯示出日志文件的全部內(nèi)容信 息。點擊“刷新”按鈕則刷新當前日志文件內(nèi)容。點擊“清空”按鈕則清空當前日志文件的所有內(nèi)容，所以在執(zhí)行該功能 之前應小心謹慎。點擊“備份”按鈕則會提示用戶將日志文件備份為其他的路徑及文件名。點擊“關閉”按鈕則關閉“日志”窗口。二叮右4MG rrnr/criMfi 2D0E/09/16 ELU 4 UVb 士山系/口 9門后 EM 即 口9，15 士327口助“6 沙口”情 交00卻口升16 roor/09/i

39、a ： 虹口9X& EDO型網(wǎng)】6 工皿叩門6 2DQZ/09/16 EUU 即山 Uflb ?3藝/09門5 2M32 叩 9U6 imrtigMd DfltWl 2ME/Q9/161A 21 16 1乳 M k i r；-l M:2L： 10 16 23 03 口匕: 1&：5：25 Q45 國幅溫口必 15相宜叫I 口仁 BK5K* 045 i 配 4&m au 1 葬 4巳口口 04?- llfli4A：ir(U in 夠 it a l&G* DU 】k%:3 MBAc畫端口出錯tJPSSLifi 三方E.=W 去取浦 EtntTll.171圖 3.34幅:8a6 1&5：39 Q45

40、 lBi：9E au i&;ir ；a air i6.ar.as at? 1& k 2L 047 1a 5B 59 Q5B 16 56 59 056簽名服務配置在啟動所選中的協(xié)議服務之前，必須要對該項服務的某些參數(shù)進行配置, 在圖3.27中選中簽名服務器后點擊右鍵、出現(xiàn)右鍵菜單，選中“配置”，就 出現(xiàn)“配置”窗口，如圖3.35所示?；九渲眯畔⒃趫D3.35中顯示的即是“基本配置”頁面框，上方的文本框顯示的用戶 要輸入的簽名服務器監(jiān)聽的端口號。該項一般配置為449端口，用于監(jiān)聽簽名和驗簽名的請求，也可以根據(jù)需要進行配置。如果在同一臺機器上有 Webserver或其它服務監(jiān)聽449端口，則此項應配

41、為非449的其它適合數(shù)。 對于普通用戶，應選用較高值的端口號，如大于4500的某個端口號。但是必須注意此端口不得被其他服務所占用，必須為此服務所獨用?；綢證書璇筏名返回信息I輸出信息I添加I修改I刪除I酶 I .洎 I圖 3.35下方則是用戶要輸入的驗簽名時受信任的根證書，請下載并配置為工行 的根證書。在對上級證書鏈的配置中，點擊“添加”按鈕則顯示指示根證書文件的 窗口，選中根證書文件后按“保存”，最新的根證書將被添加到最后一行。要執(zhí)行“修改”或“刪除”功能必須先選中某一根證書，否則不予執(zhí)行。 點擊“修改”按鈕，會顯示指示根證書文件的窗口，選中根證書后按“保存” 后最新的根證書將替換被選中的

42、根證書。點擊“刪除”按鈕則刪除被選中的 根證書。配置證書信息存儲介質(zhì)為磁盤點擊“證書”頁面框，可以配置“證書”的相關信息，如 圖3.36所示,上方區(qū)域需要用戶輸入簽名服務器的簽名證書文件的全路徑文件名稱，必須 為PFX格式，點擊“瀏覽”按鈕即可選擇，選中后按“保存”按鈕。圖 3.36存儲介質(zhì)為加密卡根據(jù)工行給出的名稱輸入PKCS11庫、設備標識、證書標識和相對應的 私鑰標識，其中PKCS11庫最好寫入全路徑文件名稱，庫文件的具體路徑則 需要根據(jù)廠商加密硬件驅(qū)動安轉(zhuǎn)的位置確定。 如圖3.37所示。圖 3.37配置驗簽名返回信息點擊“驗簽名返回信息”頁面框，是對驗簽名返回信息的配置，如圖3.38

43、所示。想返回的信息內(nèi)容，選中即可。選中“原文”是指返回請求簽名的原文信息，否則不返回。選中“證書（Base64編碼）”是指返回進行簽名的證書的 64位編碼信息， 否則不返回。選中“證書主題”是指返回簽名證書的主題信息，否則不返回。選中“證書發(fā)布者”是指返回簽名證書的發(fā)布者信息，否則不返回。選中“證書有效期”是指返回簽名證書的起始時間和終止時間，否則不返回。選中“證書序列號（字符串）”是指返回簽名證書的序列號字符用， 否則不返回配置基本I證書價）驗簽名返回信息I輸出信息I-幼簽名通過后需要逅回的信息I?煦西17證書Cb*z64編嗎）P證書主盟17證書發(fā)布著17證書育優(yōu)期I?證書序列號序符申）確定

44、 | 取消 |圖 3.38配置輸出信息點擊“輸出信息”頁面框，是對 Netsafe Client的輸出信息的配置，如 圖 339所示。上方區(qū)域顯示的是對簽名服務器日志文件的設置，點擊“瀏覽”則會顯 示窗口來選擇要輸入的日志文件，選中后點擊“保存”按鈕，有以下幾點需 要汪忠：用戶可以自定義文件名，但必須指明其文件名和路徑。當指定目錄下無該文件時，程序?qū)⑿陆ㄒ粋€，如果無指定目錄，則程序?qū)⒉挥涗浫罩?。日志保存自服務啟動后所做的每一項操作的記錄，包括時間、服務的啟動、退出、監(jiān)聽狀態(tài)、 出錯原因、用戶的IP、訪問的URL等。在“日志內(nèi)容”區(qū)域中用戶可以根據(jù)需要來選擇輸入日志的內(nèi)容，包括 登錄信息、服務器

45、運行狀況的信息、錯誤信息等。下方區(qū)域顯示的是對簽名服務器維護信息文件的配置，維護信息文件是 用來記錄NC接收與發(fā)送信息的內(nèi)容，主要用于出現(xiàn)BUG時查看NC的接收 與發(fā)送信息的情況，簽名服務器正常運行情況下，建議不使用該項。點擊“瀏覽”會顯示窗口來選擇要輸入的維護信息文件，在“維護信息 文件”區(qū)域中用戶可以根據(jù)需要來選擇輸入維護信息的內(nèi)容，主要包括接收 到的信息和發(fā)送的信息，默認情況下不選中該兩項內(nèi)容。圖 3.39日志管理在圖3.27中選中簽名服務器后點擊右鍵，出現(xiàn)右鍵菜單，選中“日志”， 就出現(xiàn)“日志”窗口，如圖3.40所示。點擊息?！安榭础卑粹o則打開日志文件，右方顯示出日志文件的全部內(nèi)容信點

46、擊“刷新”按鈕則刷新當前日志文件內(nèi)容?！扒蹇铡卑粹o則清空當前日志文件的所有內(nèi)容，所以在執(zhí)行該功能之前應小心謹慎。點擊“備份”按鈕則會提示用戶將日志文件備份為其他的路徑及文件名。點擊“關閉”按鈕則關閉“日志”窗口。二日恚2002/10/21 10:12:22 012 朋3已經(jīng)啟動!2002/10/21 10:13:02 01S WIIF aAnKcZIhvcNAficCoIIHTCCEVlE麗TE 工HDTM缶出或啊 AwNm嚏辱g4需 JIEEGCIMSAGG+EIBAjKE2004/10/21 saoVio/si 20DV10/21 20D2/10/21 2002/10/21 2002/10/21 200Z/LO/21 2002/10/21 2002/10/21 ZOOZ/lO/Zl10:19:22,019 m；19moi 910:19:37, 019 10：19:50, 019IC:20:49,020 10:20:53, 020 10:2D：5S. OSO10:00:50. 0Z0 10:1:10 02L1O：Z1：5B. OZL無過獲取根證書%驗證證書失??！ 服霧端口已筱關窈 服若已喀重啟了！砥多端口已覆美閑！程序退