网络安全代理安全部署指南
1 简介
1.1 功能介绍
银企云通过网络代理与银行前置机进行安全交互,公有云环境是必备安装的,私有云环境若网络能够保障安全,可选择不用该功能。
1.2 应用场景
在银企云与企业端的银行前置机建立一条SSL双向签名认证与加密的安全信道。
1.3 系统路径
【银企云】→【查询与支付】→【银企连接配置】→【网络代理连接配置】
1.4 字段/按钮说明
网络代理程序(工具)字段说明:
字段名称 | 详细解释 |
启用SSL | 数据加密传输,默认启用 |
启用证书链 | 不影响,随意设置 |
服务端口 | 网络代理连接配置的服务端口 |
私钥文件 | 选择私钥文件,天威购买或自制 |
私钥密码 | 私钥证书密码 |
私钥别名 | 私钥证书别名 |
公钥文件 | 选择公钥文件,天威购买或自制 |
公钥密码 | 公钥证书密码 |
公钥别名 | 公钥证书别名 |
超时时间(s) | 证书超时时间,默认30s |
网络代理程序(工具)按钮说明:
按钮名称 | 按钮说明 |
保存 | 保存网络代理配置,重启服务生效 |
退出 | 退出配置界面 |
网络代理程序连接配置字段说明:
字段名称 | 详细解释 |
服务地址 | 网络代理服务器IP(公有云为公网IP,私有云为本地IP) |
服务端口 | 网络代理应用服务端口,公有云环境需要填写映射后的端口 |
签名算法 | CA证书秘钥长度为1024位则选择SHA1,其他则选SHA256,与天威方确认秘钥长度 |
私钥别名 | 私钥证书别名,不填写则默认证书链的顶层证书 |
私钥密码 | 私钥证书密码,需要录入正确密码才能获取过期时间 |
私钥证书 | 私钥证书名称 |
前置机名称 | 已配置的前置机名称 |
网络代理连接配置按钮说明:
按钮名称 | 按钮说明 |
新增 | 新增代理前置机,可选择已配置的所有银行前置机配置 |
提交 | 提交新增的前置机配置,先提交后保存生效 |
移除 | 删除前置机配置,保存后生效 |
测试连接 | 测试该网络代理能否连通所添加的前置机 |
保存 | 保存配置 |
退出 | 退出配置界面 |
2 主要操作
2.1 下载网络代理安装程序
2.2 启动网络代理程序
前提条件
已购买天威CA证书或者自制CA证书
注意:网络代理安装后,需要将开启的服务端口映射到公网访问,并且保障网络代理安装的服务器IP不变更!
解压网络代理程序安装包FrontSSLProxy.zip,进入解压目录/deploy。
点击脚本windows_sslConfig.bat 启动网络代理配置界面,录入网络代理端口和证书信息,点击“保存”按钮即可。
自制证书配置参考:私钥证书 /server/kserver.keystore(服务端私钥),公钥证书 /client/tserver.keystore(客户端公钥),点击【保存】按钮。
关闭网络代理配置界面,重新点击启动脚本windows_startup.bat启动网络代理服务。
注意:
仅在windows系统启动应用后,需要关闭“快速编辑模式”。 问题描述:在应用上服务端口可以正常连通,但无响应报文返回,会产生read timeout的网络异常报错。 问题原因:代理程序通过windows启动,会存在一个黑窗口,通常在有鼠标点击或者其他误操作后,会进入快速编辑模式,等待输入指令,造成程序卡住。 解决方案:鼠标右键窗口的属性&默认值,把“快速编辑模式”给关闭掉,重启下代理程序服务。
2.3 部署银企云网络代理连接配置
网络代理连接配置界面
登录苍穹平台,进入页面【银企云】→【查询与支付】→【银企连接配置】→【网络代理连接配置】,录入网络代理服务的服务地址和端口以及上传证书。
自制CA证书配置参考:/client/kclient.keystore(客户端私钥),公钥证书 /server/tclient.keystore(服务端公钥)
需要先录入证书密码才能正常导入证书
新增代理前置机
代理前置机列表中,点击“新增”按钮增加一行,选择需要通过网络代理程序联通的前置机,点击“提交”按钮新增到网络代理连接配置中。
测试连接
点击“测试连接”按钮测试当前行的代理前置机与网络代理服务的连通性。出现“测试通过”提示则表示连接正常。
保存配置
点击【保存】按钮,完成网络代理连接配置的配置流程。
网络安全代理安全部署指南
本文2024-09-22 23:36:32发表“云星瀚知识”栏目。
本文链接:https://wenku.my7c.com/article/kingdee-xinghan-134121.html