EAS系统CA配置手册Q/iTrusChina-QR-18-22B/0天威诚信数字认证中心北京天威诚信电子商务服务有限公司2013年10月www.itrus.com.cn让沟通从诚信开始安全源于专业服务目录目录..21.前言..12.补丁说明..13.数据库视图创建..14.JAR包及配置文件说明.24.1客户端配置..3JAR包说明.3配置文件说明..34.2服务端配置..4JAR包说明.4配置文件说明..45.后台配置说明..65.1证书登陆配置..65.2数字签名配置..76.EAS应用系统配置.96.1使用数字证书登陆配置方法..96.2选用需要进行二次认证模块.116.3参数配置.13文件修订记录修订号修订内容作者审核人批准人生效日期0B版本发布郭少威金露2011-04-011创建贺威2012-9-182修订朱纯志2013-10-24前言本手册主要说明厦门轨道交通集团EAS系统CA接口部署说明以及配置方法。介绍EAS和CA集成的功能作用该文档适用于EAS7.5的版本集成的基础环境以及提供的功能模块介绍1.补丁说明在EAS系统中部署CA前,请确认EAS中已经打上了安全认证补丁7.5.0CA升级补丁PT073105、PT073106、PT073437;上述补丁是强化CA安全性的,可以认为是对应版本上CA时必须安装的补丁(确实不安装也不影响系统的使用,但安全性会降低)。其它补丁说明:补丁号适用版本必选/可选补丁功能备注PT083963750可选1、支持连接自建RA服务器2、解决正在使用CA的用户,安装上述CA升级补丁后产生的重新初始化USBKEY的问题3、一些小bug的修复PT088808750可选1、USBKEY需要操作两次初始化按钮才能完成初始化工作,改为一次初始化2、验证签名失败时将用户名、明文、密文、以及错误号直接展示在客户端界面,方便反馈问题时提供准确信息2.数据库视图创建如果采用的是自建CA或本地RA数据库模式,请执行如下脚本创建视图以供EAS查询证书信息:CREATEVIEWITRUS_CERTINFOASSELECTICA_CERT.CERT_SERIALNUMBER,ICA_CERT.CERT_SIGN_BUF,ICA_USER.USER_ADDTIONAL_FIELD1EAS系统CA配置手册11天威诚信数字认证中心总部:北京市海淀区知春路6号锦秋国际大厦14层Tel:010-82800896Fax:010-82800636FROMICA_CERT,ICA_USERWHEREICA_CERT.USER_ID=ICA_USER.USER_ID;注意:若使用的是Sqlserver、ORACLE数据库,此视图脚本请注意大小写,且kingdee后台默认都是取大写视图名称。3.JAR包及配置文件说明关于包变更的说明:1、新增包相对没有什么限制2、不要手工重命名运行环境中的jar包(重命名后安装EAS补丁有可能存在同一个jar包的两个版本,从而引发类加载问题)3、替换运行环境的jar包目前建议采用同名替换,确实需要修改jar包名称的一般在EAS大版本发版时处理,EAS补丁中jar为同名替换方式PS:尽量通过安装EAS补丁替换EAS服务器端的包,不要手工替换,否则EAS管理控制台不允许启动EAS服务。紧急情况下确实需要手工替换的需要调整EAS管理控制台的参数启动前检查非法组件isDetectIllegalComponents=false不检测加到eas/admin/config/admin.vmoption。然后重启管理控制台。关于第三方包的说明:EAS客户端第三方jar包(包括了天威相关API的jar包)路径eas\server\deploy\fileserver.ear\easWebClient\lib\client\trdeas\server\deploy\fileserver.ear\easWebClient\lib\common\trd同时也可以关注下目录eas\server\deploy\fileserver.ear\easWebClient\lib\sp中,现场EAS的二次开发有可能将引入的jar包放置到这里。EAS服务器端第三方jar包(包括了天威相关API的jar包)路径eas\server\lib\server\trdeas\server\lib\common\trdeas\server\lib\web\trd同时也可以关注下目录eas\server\lib\sp中,现场EAS的二次开发有可能将引入的jar包放置到这里2让沟通从诚信开始安全源于专业服务www.itrus.com.cn4.1客户端配置JAR包说明客户端JAR包在{EAS_SERVER}\eas\server\deploy\fileserver.ear\easWebClient\lib\client\trd目录下,在EAS发版中已经包含了相关的接口包,需要说明的有以下几个接口包。注意:itrus.jar这个就是基本的接口包,目前金蝶发布的补丁中已经包含了此jar包,其jar包名称已经修改为itrus.jar,对应于咱们天威发布的版本为iTrusEAS2.1.jar。iTrusCertAPI-2.9.1_jdk15.jar这个是CertAPI接口包,目前补丁包中未包含iTrusCertAPI-2.9.1_jdk15.jar,请实施人员手动替换此jar包.bcmail-jdk15-1.45.jar、bcprov-jdk15-1.45.jar两个BC包,如果有低版本BC请删除。配置文件说明{EAS_SERVER}\eas\server\deploy\fileserver.ear\easWebClient\deploy\client\config\itrusclientcfg文件夹中是客户端依赖的配置文件。此文件是配置EAS做支持的USBKEY的信息,主要功能为,EAS若检查到USBKEY的PIN码与此处配置一致时,则视为用户启用了默认PIN,需提示用户修改。itrusca.xml该文件中配置了签名所依赖的Key的驱动(P11库文件)目前此文件已经包含在补丁包中,请实施人员确认配置文件中的信息是否正确即可。配置文件内容如下:
1234//默认的Pin码,默认的PIN码是被禁止登陆的true//记住Pin码。暂时没有用到//Provider设置签名所依赖的P11库文件。如下是epass3000和epassFt12所依赖的P11库。EAS系统CA配置手册11天威诚信数字认证中心总部:北京市海淀区知春路6号锦秋国际大厦14层Tel:010-82800896Fax:010-828006364.2服务端配置JAR包说明服务端JAR包在Kingdee\eas\server\lib\common\trd目录下,在EAS发版中已经包含了相关的接口包,需要说明的有以下几个接口包注意:itrus.jar这个就是基本的接口包,目前金蝶发布的补丁中已经包含了此jar包,其jar包名称已经被金蝶修改为itrus.jar,对应于咱们天威发布的版本为iTrusEAS2.1.jar。iTrusCertAPI-2.9.1_jdk15.jar这个是CertAPI接口包,目前补丁包中未包含iTrusCertAPI-2.9.1_jdk15.jar,请实施人员手动替换此jar包.bcmail-jdk15-1.45.jar、bcprov-jdk15-1.45.jar两个BC包,如果有低版本BC请删除。配置文件说明itrusservercfg文件夹中是服务端依赖的配置文件。此文件夹中主要包含。CVM验签模块配置、SVS验签服务配置、DataBase数据源配置、log4j日志文件配置。默认情况下,金蝶补丁包不包含此配置信息,请实施人员手动拷贝配置文件目录到Kingdee\eas\server\properties目录,各配置文件详细说明如下:CVM验签模块配置:
0//是否验证证书颁发者信息true//配置EAS个人用户证书颁发者的中级CA证书cafiles/testca.cer//配置EAS个人用户证书的CRL分发站点信息,可在个人用户证书详细信息查看4让沟通从诚信开始安全源于专业服务www.itrus.com.cnhttp://ica-public.itrus.com.cn/cgi-bin/itruscrl.pl?CA=9BEC2AAA71983367EE12F97ADB38F867BC91F258DataBaseRA数据源模块配置【针对于本地RA和自建CA有效】:(PermParam.properties配置中新增一行参数getCertFromRAServe=true,表示连接CA本地数据源)//数据库连接URL地址dburl=jdbc:mysql://127.0.0.1:3306/itruscadb?useUnicode=true&characterEncoding=utf-8//RA数据库登陆用户名user=root//RA数据库登陆密码password=123456//RA数据库连接JDBC驱动程序driverclass=com.mysql.jdbc.Driver//数据库密码是否为加密状态,若是加密状态,请配置数据库登陆密码为密文Encryption=trueSVS验签模块配置【针对于使用SVS签名服务情况下有效】://是否启用SVS服务USED=true//SVS签名验签服务地址HOST=192.168.30.143//SVS签名验签服务端口号PORT=91884.后台配置说明5.1证书登陆配置1.修改配置文件:config.xml文件文件路径:EAS系统CA配置手册11天威诚信数字认证中心总部:北京市海淀区知春路6号锦秋国际大厦14层Tel:010-82800896Fax:010-82800636{EAS_SERVER}eas\Server\server\deploy\fileserver.ear\easWebClient\deploy\client\config.xml在
节点中增加:如果有value值相同时,不用再增加节点2.修改配置文件:PermParam.properties文件文件路径:{EAS_SERVER}\eas\server\profiles\server1\config\PermParam.properties文件修改前:#paraminformation:#TueJul3116:12:50CST2007EnableIDAuthorize=falseEnableAuthenticateAdmin=falseUSBKEYIMP=TESTUSBKEY_USEABLE=false文件修改后:#paraminformation:#TueJul3116:12:50CST2007EnableIDAuthorize=true(是否启用二次身份认证)EnableAuthenticateAdmin=falseUSBKEYIMP=com.kingdee.eas.base.permission.service.helper.usbkeyimpl.MWkeyImpUSBKEY_USEABLE=true(此处是修改是否启用USBKey,默认为false,如需启用请改成true)3.把clientAPI.dll文件放在{EAS_SERVER}\eas\Server\server\deploy\fileserver.ear\easWebClient\deploy\client\javalib路径下(主要是将clientAPI同步到EAS客户端)6让沟通从诚信开始安全源于专业服务www.itrus.com.cn4.在EAS服务器端eas\Server\server\deploy\fileserver.ear\easWebClient\deploy\client\vmoptions.properties文件中添加:pki_service_url=tcp://127.0.0.1:11034其中:127.0.0.1替换成你服务器的IP地址;11034替换成你服务器的PRC号5.在{EAS_SERVER}\eas\server\profiles\server1\config目录中增加pki.config文件文件内容为:#服务端使用的签名服务类,由第三方厂家实现provider.server=com.kingdee.eas.base.security.provider.app.imp.ITrusServerProvide#客户端使用的签名服务类,由第三方厂家实现provider.client=com.kingdee.eas.base.security.provider.client.imp.ItrusPKIClientProvider#ITrusServerProvider要实现PKIServerExtProvider#ItrusPKIClientProvider要实现IPKIClientExt2Provider---------------------------------------------------------------------------------5.2数字签名配置1.修改配置文件SignatureConfiguration.xml在EAS服务端server\profiles\server1\config目录中新增或者修改SignatureConfiguration.xml文件修改前:修改后:以付款单为例EAS系统CA配置手册11天威诚信数字认证中心总部:北京市海淀区知春路6号锦秋国际大厦14层Tel:010-82800896Fax:010-82800636节点及属性说明如下:(1)config节点的isSignatureNeeded:系统是否应用数字签名,应用设置为true,否则设置为false(2)config节点的isSignWhenApprove:在工作流中是否启用强制数字签名,启用设置为true(3)configitem节点:新增一个单据及指定字段应用数字签名则需要新增一个configitem节点。(4)configitem节点中的bosType:签名单据的bosType(5)configitem节点中的isSignatureNeeded:单据是否应用数字签名,应用设置为true,否则设置为false(6)attribute节点中的fieldName:签名单据中需要进行签名的字段的字段名称(7)attribute节点中的fieldAlias:签名单据中需要进行签名的字段的字段别名(注:该属性可以不用配置)其中,签名单据的bosType和签名字段名称需要联系具体单据的EAS开发人员获取。另外在EAS系统当中,启用CA签名配置后,需要在前台对应单据启用二次身份认证,保证用户在二次认证同时也进行数字签名。5.EAS应用系统配置6.1使用数字证书登陆配置方法1、管理员用administrator用户登录金蝶EAS,进入【企业建模-安全管理-权限管理-安全认证中心-智能钥匙认证设置】8让沟通从诚信开始安全源于专业服务www.itrus.com.cn2、插入需要绑定的USBkey;EAS系统CA配置手册11天威诚信数字认证中心总部:北京市海淀区知春路6号锦秋国际大厦14层Tel:010-82800896Fax:010-828006363、点击【选择用户】,选中需要绑定的用户账户,点击确定按钮;10让沟通从诚信开始安全源于专业服务www.itrus.com.cn4、然后对用户账号进行初始化,点击【初始化】按钮,用户账户信息中会读取USBKey的信息;EAS系统CA配置手册11天威诚信数字认证中心总部:北京市海淀区知春路6号锦秋国际大厦14层Tel:010-82800896Fax:010-828006365、初始化成功后,依次点击【启用密钥】和【启用认证】;(注:启用密钥作用为将USBkey在系统当中进行启用,一旦用户的USBKey挂失了,管理员可以在此处将密钥进行禁用,防止非法用户进行系统;启用认证作用为使用证书认证登录系统)6.2选用需要进行二次认证模块1、管理员用administrator用户登录金蝶EAS,进入【企业建模-安全管理-权限管理-智能钥匙认证设置】12让沟通从诚信开始安全源于专业服务www.itrus.com.cn2、在二次身份认证模块,点击【导入功能树】中选用需要进行CA认证的模块,确定后点击保存;EAS系统CA配置手册11天威诚信数字认证中心总部:北京市海淀区知春路6号锦秋国际大厦14层Tel:010-82800896Fax:010-82800636点击选中的模块,点击【认证方案设置】,选中CA验证并验签,点击确定按钮,CA验证设置成功。14让沟通从诚信开始安全源于专业服务www.itrus.com.cn6.3参数配置在EAS系统中系统平台-系统设置-参数设置中-启用CA相关功能。1.启动二次密码验证EAS系统CA配置手册11天威诚信数字认证中心总部:北京市海淀区知春路6号锦秋国际大厦14层Tel:010-82800896Fax:010-828006362.启用审批时完成签名16让沟通从诚信开始安全源于专业服务www.itrus.com.cn3.签名时对进行需要输入PIN码等设置参数编码参数值UKCA_CHECKPASSWORD是UKCA_CHECKUSER是EAS系统CA配置手册11天威诚信数字认证中心总部:北京市海淀区知春路6号锦秋国际大厦14层Tel:010-82800896Fax:010-82800636
