金蝶EASCloudCA实施指南金蝶软件(中国)有限公司2019年7月金蝶EASCloudCA实施指南目录第一章智能钥匙(Usbkey)认证..11.1应用场景.11.2基本实现原理.11.3总体实施流程.21.4具体实现步骤.31.4.1智能钥匙驱动安装及初始化..31.4.2智能钥匙认证参数配置.31.4.3智能钥匙登录处理器配置..61.4.4选择用户及启用认证.71.5扩展集成第三方供应商.91.5.1二次开发接口说明.9第二章CA数字签名.102.1应用场景.102.2基本实现原理.102.3总体实施流程.112.4具体实现步骤.112.5扩展集成第三方供应商.142.5.1二次开发接口说明.142.6CA功能.172.6.1组织范围配置.172.6.2CA配置检查..172.6.3CAweb端注意事项..192.6.4浏览器兼容.202.7新增功能.202.7.1配置步骤.21第三章二次身份认证..213.1应用场景.213.2总体实施流程.213.3具体实现步骤.223.3.1服务器参数配置.223.3.2启用认证.23金蝶EASCloudCA实施指南1第一章智能钥匙(Usbkey)认证注意:目前EASCloud系统只支持通过天威诚信CA认证和智能钥匙的集成,不支持单独和飞天或者明华的智能钥匙硬件进行认证集成。1.1应用场景智能钥匙身份认证方式是EASCloud系统身份认证方式的一种,与传统的认证方式相比要更安全,更先进,应用面也更广,该身份认证方式被广泛的应用于银行、网上银行、电子政务、电子海关、公安系统和电信系统。智能钥匙认证方式能帮助我们确认身份,又能防止别人盗用和恶意攻击。智能钥匙安全主要表现为双保险,用户必须同时拥有智能钥匙的密码和智能钥匙才能用自己的身份登录系统,缺一不可。而且钥匙的密码存放在钥匙内,外部系统无法读取或者复制到钥匙内的任何信息。钥匙发放到用户手中后,连管理员都没有办法清空或者篡改用户的密码,有效的防止了管理员的作弊行为。1.2基本实现原理在EASCloud系统中,智能钥匙认证的实现原理如图1.1所示(登录界面展示后):图1.1CA认证实现原理图金蝶EASCloudCA实施指南2启用了智能钥匙认证后,用户在登录系统的时候,客户端USBKey组件验证用户输入的USBKey的PIN码,验证通过则调用USBKey组件对登录界面中的随机数R进行签名(私钥签名),用户点击“登录”按钮后提交登录,EASCloud服务端再调用USBKey服务端组件校验随机数R的签名结果(公钥验证),验证通过后,则登录到EASCloud系统中。1.3总体实施流程图1.2智能钥匙认证实施流程图在EASCloud系统中实现智能钥匙认证主要需要做以下几步工作:(1)第一步,环境准备:实现智能钥匙认证首先需要确定智能钥匙供应商(注意:目前EASCloud系统只支持通过天威诚信CA认证和智能钥匙的集成,不支持单独和飞天或者明华的智能钥匙硬件进行认证集成。如果选用其它供应商需要进行二次开发,请参考BOS实施指南3.5节内容),然后由所选的智能钥匙供应商提供支持安装或配置智能钥匙驱动程序和管理工具等工作。(2)第二步,初始化:金蝶EASCloudCA实施指南3完成相关程序的安装和配置后,检查机器是否能够正常读取智能钥匙,然后使用智能钥匙管理工具初始化智能钥匙并且导入用户信息到智能钥匙中。(3)第三步,启用认证:在完成智能钥匙的初始化工作后,接着登录到EASCloud系统中设置智能钥匙认证的相关参数,然后选择要启用智能钥匙认证的EASCloud用户(选择用户按钮),然后在EASCloud系统中初始化(初始化按钮)并且启用智能钥匙(启用钥匙按钮),最后启用智能钥匙认证(启用认证按钮)。做完以上工作后,重启EASCloud服务器后,则可以对EASCloud用户的登录进行智能钥匙认证了。1.4具体实现步骤在EASCloud系统中进行智能钥匙认证的集成具体的实现步骤详细说明如下:1.4.1智能钥匙驱动安装及初始化该步的主要工作就是BOS实施指南3.3节中所述总体实施流程中的环境准备和初始化的工作,由于该步应由智能钥匙供应商提供支持来完成,所以这里不再进行详述。1.4.2智能钥匙认证参数配置在完成智能钥匙驱动安装及初始化的工作后,接着在EASCloud系统中需要进行相关配置,不同的EASCloud版本配置方法不同,具体步骤如下:1.4.2.1配置步骤(1)使用administrator用户登录到EASCloud系统中,打开【企业建模】—>【安全管理】—>【安全认证中心】—>【智能钥匙认证设置】界面,如图1.3所示:金蝶EASCloudCA实施指南4图1.3智能钥匙认证设置界面(2)点击“服务器设置”按钮,打开智能钥匙参数设置界面,如图1.4所示:金蝶EASCloudCA实施指南5图1.4智能钥匙认证设置界面(3)在智能钥匙参数设置界面中,选择“启用智能钥匙认证”,并且选择具体的智能钥匙供应商,然后保存设置。注意:如果是扩展非EASCloud标准产品所支持的供应商,需要在“智能钥匙厂商”下拉框中选择“自定义”,然后在“自定义实现类名称”中填入自定义供应商的二次开发的实现类全名,实现类的开发请参考BOS实施指南3.5节内容。注:界面配置的配置项集群部署时会被写入到主实例中的配置文件,而后读取也是从主实例中读取;若直接手工配置文件,则参照下面1.4.2.2配置步骤。1.4.2.2手工配置步骤打开EASCloud服务端server\profiles\server1\config目录下的PermParam.properties文件,增加或者修改以下三个参数:a)USBKEY_USEABLE:是否启用智能钥匙认证金蝶EASCloudCA实施指南6该参数配置如下:设置为false表示不启用认证;设置为true表示启用认证。(需要加密文,可联系天威人员提供)b)USBKEYIMP:智能钥匙供应商实现类该参数配置如下:使用天威的智能钥匙则修改为:com.kingdee.eas.base.permission.service.helper.usbkeyimpl.MWkeyImp。c)WebOjbImp:EASCloud不需要配置,EASPortal登录支持智能钥匙认证该参数配置如下:该参数需要向智能钥匙供应商获取,参数值示例如下:
1.4.2.3签名校验部分相关配置(1)在EASCloud服务端server\profiles\server1\config目录中新增pki.config文件(EASCloud安装包默认包含),文件内容定义如下:#服务端使用的签名服务类,由第三方厂家实现provider.server=com.kingdee.eas.base.security.provider.app.imp.ITrusServerProvider#客户端使用的签名服务类,由第三方厂家实现provider.client=com.kingdee.eas.base.security.provider.client.imp.ItrusPKIClientProvider#ITrusServerProvider要实现PKIServerExtProvider#ItrusPKIClientProvider要实现IPKIClientExt2Provider1.4.3智能钥匙登录处理器配置打开EASCloud服务端server\deploy\fileserver.ear\easWebClient\deploy\client目录下的config.xml文件,检查sysloginlistener节点下面是否包含value值为com.kingdee.eas.base.permission.client.plugin.UsbKey4LoginFilter的节点,如果没有金蝶EASCloudCA实施指南7该节点则增加一个,其中key值为sysloginlistener节点下最大key值加1,value值为com.kingdee.eas.base.permission.client.plugin.UsbKey4LoginFilter。1.4.4选择用户及启用认证(1)使用administrator用户登录到EASCloud系统中,打开【企业建模】→【安全管理】→【安全认证中心】→【智能钥匙认证设置】界面,如图1.5所示:图1.5智能钥匙认证设置界面(2)点击“选择用户”按钮,选择需要启用智能钥匙认证的用户,然后选中用户,并插上该用户的智能钥匙,然后点击“初始化”按钮,然后点击“启用钥匙”按钮,如图1.6所示:金蝶EASCloudCA实施指南8图1.6智能钥匙认证设置界面(3)最后,点击“启用登录认证”按钮,如图1.7所示:图1.7智能钥匙认证设置界面完成以上几步设置后,则智能钥匙认证功能已经启用,然后重启EASCloud服务器,就可以进行智能钥匙认证了。金蝶EASCloudCA实施指南91.5扩展集成第三方供应商EASCloud标准产品已支持天威供应商,如果选用其它供应商需要进行二次开发,通过扩展标准产品中提供的智能钥匙认证接口,可以实现EASCloud与其它第三方智能钥匙供应商的集成。1.5.1二次开发接口说明如果想实现EASCloud与其它非标准产品所支持的第三方供应商的集成,需要由第三方供应商提供相关集成方案或接口,然后进行二次开发。1.5.1.1客户端(GUI)登录二次开发接口客户端登录集成需要二次开发一个集成类,该类要实现标准产品定义的com.kingdee.eas.base.permission.service.helper.AbstractUsbKeyBaseOperatorExt接口;接口定义如下:publicclassAbstractUsbKeyBaseOperatorExt{publicStringreadFile(intfileName)throwsException{}publicvoidwriteFile(Stringstr)throwsExceptionpublicStringgetNo()throwsException{}publicvoidverifyPwd(StringnewPwd)throwsException{}publicbyte[]exportCertificate()throwsException{}}接口方法及参数说明:(1)readFile方法:在该方法中需要实现获取UsbKey中用户账号的逻辑;参数说明:fileName参数可以不使用。(2)writeFile方法:在该方法中需要实现写入EASCloud用户账号的逻辑;参数说明:str参数为EASCloud用户账号;EASCloud初始化UsbKey时用。金蝶EASCloudCA实施指南10(3)getNo方法:在该方法中需要实现获取UsbKey编号的逻辑;(4)verifyPwd方法:在该方法中需要实现校验UsbKey密码的逻辑;参数说明:newPwd参数代表用户输入的密码。(5)exportCertificate方法:在该方法中需要实现导出UsbKey公钥证书的逻辑;EASCloud初始化UsbKey时用。第二章CA数字签名2.1应用场景目前,以数字证书为核心的PKI(PublicKeyInfrastructure,即:公钥基础设施)安全技术已经非常成熟,数字证书认证之间的信任模型、使用的加解密算法、密钥管理的方案等在不断地发展之中,已形成我国具有自主产权的认证产品和技术标准。其应用已覆盖了资金管理系统、虚拟专用网络(VPN)、Web交互安全、电子数据交换、Internet上的信用卡交易等,涉及电子商务、电子政务、电子事务安全等诸多领域,有效的解决了上述领域应用中的身份认证、数据私密性、数据防篡改、交易不可否认性等应用层面的安全问题。CA(CertificateAuthority,即:数字证书认证中心)是PKI系统中通信双方都信任的实体,被称为可信第三方,CA是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。金蝶EASCloud采用目前国内比较成熟的PKI技术,建立以PKI为核心的应用安全架构方案,解决EASCloud资金管理系统的一系列安全需求。2.2基本实现原理应用了智能钥匙认证(第三章)后,用户在对单据进行签名时,系统会通过CA证书相关组件读取Usbkey中的证书信息然后根据系统对签名单据的配置,对相应的字段进行签名并保存签名信息,签名结果用以保证单据数据的安全性。金蝶EASCloudCA实施指南112.3总体实施流程在EASCloud系统中实现CA签名主要需要做以下几步工作:(1)第一步,启用智能钥匙认证:参见3.3章节智能钥匙认证流程。(3)第二步,启用CA签名:在EASCloud系统中配置需要签名的单据和字段信息,详见2.4.1。启用二次身份认证并设置单据功能的认证方案为“CA-签名并验签”,参见第八章。做完以上工作后,重启EASCloud服务器后,则可以对EASCloud用户的登录进行CA认证,并且对配置的单据和字段进行CA签名了。2.4具体实现步骤2.4.1签名单据及字段配置在EASCloud服务端eas\server\properties\目录中新增或者修改SignatureConfiguration.xml文件,文件节点定义示例如下:金蝶EASCloudCA实施指南12节点及属性说明如下:(1)config节点的isSignatureNeeded:系统是否应用数字签名,应用设置为true,否则设置为false(2)configitem节点:新增一个单据及指定字段应用数字签名则需要新增一个configitem节点。(3)configitem节点中的bosType:签名单据的bosType(4)configitem节点中的isSignatureNeeded:单据是否应用数字签名,应用设置为true,否则设置为false(5)attribute节点中的fieldName:签名单据中需要进行签名的字段的字段名称(6)attribute节点中的fieldAlias:签名单据中需要进行签名的字段的字段别名(注:该属性可以不用配置)(7)attribute节点中的decimal:签名单据中需要保留浮点数的字段,后面的数字是几就保留几位浮点数,默认为2其中,签名单据的bosType和签名字段名称需要联系具体单据的EASCloud开发人员获取。2.4.2CA数字签名及验证签名的应用在配置应用了CA数字签名后,在单据的序时簿或者编辑界面上进行功能操作时系统会自动调用签名。金蝶EASCloudCA实施指南13在对单据及字段进行了CA数字签名后,可以对该单据进行验证签名,具体应用步骤如图2.4所示:图2.4CA数字签名应用示例界面点击“查看签名”按钮,弹出签名列表界面,如图2.5所示:图2.5CA数字签名列表界面在该界面上,点击“验证签名”按钮,即可验证签名。金蝶EASCloudCA实施指南14注意:当操作单据时报“数据检查未通过时”,到这里验证签名,然后把客户端日志log4j.log发给金蝶CA开发人员2.4.3系统平台-参数设置UKCA_CHECKPASSWORDUsbKey签名时是否校验UsbKey密码,只要UsbKey是认证通过状态,签名时可以不需要校验UsbKey密码;IS_AUDIT_SIGN是否审批完即签名(选择是时,序时薄和单据编辑界面"签名"按钮不显示)2.5扩展集成第三方供应商EASCloud标准产品只支持天威诚信供应商,如果选用其它供应商需要进行二次开发,通过扩展标准产品中提供的CA认证接口,可以实现EASCloud与其它第三方CA供应商的集成。2.5.1二次开发接口说明如果想实现EASCloud与其它非标准产品所支持的第三方供应商的集成,需要由第三方供应商提供相关集成方案或接口,然后二次开发一个服务端使用的签名服务类和一个客户端使用的签名服务类,这两个类需要分别实现以下接口:2.5.1.1服务端签名服务类服务端签名服务类需要实现标准产品中定义的:com.kingdee.eas.base.security.provider.app.imp.PKIServerExtProvider接口;接口定义如下:publicinterfacePKIServerExtProvider{publicbyte[]exportCertificate(byte[]userID)throwsException;publicintverify(byte[]plaintext,byte[]signature,java.security.cert.Certificatecert)throwsException;publicintverifyCert(java.security.cert.CertificateuserCert);金蝶EASCloudCA实施指南15publicCertificatetransCert(byte[]cert);}接口方法及参数说明:1)exportCertificate方法:在该方法中需要实现根据用户账号获取存放在CA服务器中的指定用户证书的逻辑(注:如果默认下EASCloud服务器保存了证书,则不用调用此接口);参数说明:userID参数代表用户账号。2)verify方法:在该方法中需要实现使用用户证书对签名进行验证的逻辑;参数说明:plaintext参数代表需要校验的数据;signature参数代表签名数据;cert参数代表用户证书。3)verifyCert方法:在该方法中需要实现检验用户证书是否有效的逻辑;参数说明:userCert参数代表用户证书。4)transCert方法:在该方法中需要实现将byte数组形式的用户证书转化为Certificate对象形式的用户证书的逻辑;参数说明:cert参数代表用户证书。2.5.1.2客户端签名服务类客户端签名服务类需要实现标准产品中定义的:com.kingdee.eas.base.security.provider.client.IPKIClientExt2Provider接口,以及其父接口com.kingdee.eas.base.security.provider.PKIException.IPKIClientExtProvider,接口分别定义如下:publicinterfaceIPKIClientExt2ProviderextendsIPKIClientExtProvider{publicbooleancheckPasswd(byte[]passwd);publicbooleancheckUsbKeyInited(WindowparentUI);publicStringGetKeyID();publicbyte[]getUserID();金蝶EASCloudCA实施指南16publicbooleanisUsbKeyExistent();}接口方法及参数说明:(1)checkPasswd方法:在该方法中需要实现检查用户输入的密码是否与Usbkey中的密码一致的逻辑;参数说明:passwd参数代表用户密码。(2)checkUsbKeyInited方法:在该方法中需要实现检查Usbkey是否有效的逻辑;(3)GetKeyID方法:在该方法中需要实现获取Usbkey中序列号的逻辑;(4)getUserID方法:在该方法中需要实现获取Usbkey中用户标识的逻辑;(5)isUsbKeyExistent方法:在该方法中需要实现检查Usbkey是否已插到USB接口上的逻辑;publicinterfaceIPKIClientExtProvider{publicbyte[]sign(byte[]plaintext,StringuserNumber,byte[]pwd)throwsException;publicbyte[]exportCertificate()throwsException;}接口方法及参数说明:(1)sign方法:在该方法中需要实现与服务端对应的客户端签名的逻辑;参数说明:plaintext参数代表需要签名的数据;userNumber代表用户账号;pwd代表用户密码。(2)exportCertificate方法:在该方法中需要实现获取存放在Usbkey中用户证书的逻辑;在开发完该服务端和客户端的签名类后,可按照2.4节步骤进行相关配置,然后即可实现扩展第三方供应商的CA认证。金蝶EASCloudCA实施指南172.6CA功能2.6.1组织范围配置由于一些集团用户下属公司或者部门比较多,而又只想特点的的公司或部门设置CA,可以进行该功能的配置。如下图。注意:分配的组织为空的情况下是默认所有的组织都需要进行CA签名,当配置了一个组织后就只对该组织进行校验。配置前请确认选择的组织是正确的。2.6.2CA配置检查该功能主要是方便实施和客户检查CA的配置是否正确,EASCloud的检测项相见智能钥匙总体实施流程和智能钥匙配置和CA配置。如下图,1,检测配置文件信息金蝶EASCloudCA实施指南182,检测证书信息是否正常金蝶EASCloudCA实施指南193,验证加签功能是否正常2.6.3CAweb端注意事项金蝶EASCloudCA实施指南20使用前请先安装天威助手,若天威未提供请到登录界面->帮助->浏览器插件->CATools下载。2.6.4浏览器兼容Chrome59及以上版本和InternetExplorer9及以上版本。2.7新增功能跨单据CA签名在单据转换生成时,在服务端对转换生成的单据进行签名。从而在下一步操作如提交时时进行验证签名,如果数据被修改则验签失败,提升安全。金蝶EASCloudCA实施指南212.7.1配置步骤修改配置文件\eas\server\properties\BOTPSignConfig.properties,然后重启EASCloud服务器。botp.sign.on,是否在单据转换生成时在服务端对转换生成的单据进行签名,默认false,如果需要针对转换生成的单据进行签名请改成true;botp.sign.secret是加密密钥,可手动改更;botp.sign.bostypes是需要启用跨单据验证的目标单据,可配置多项,以逗号分隔(配置项的代码从同目录下的SignatureConfiguration.xml文件中可查看);botp.sign.verifier是加密算法,默认为通用加密算法;以上参数除更改后需要重启服务器才能生效。第三章二次身份认证3.1应用场景目前,在企业的业务操作过程中,有一些关键的业务及功能需要进行严格或者安全的控制,所以在执行这些业务或者功能之前需要对操作的用户再进行一次身份认证,即:二次身份认证。EASCloud支持功能级别的二次身份认证配置,首次身份认证在用户登录时进行验证,首次身份认证通过之后,当用户进行某个功能时,系统会再次验证用户是否能操作该功能,这样的认证叫做二次身份认证。如在银企互联、资金计划、资金监管等客户认为比较关键的功能操作进行第二次身份验证,只有具备某种身份的用户才可以操作。这种身份是通过用户的认证方式来区分的,例如只有领导才会配置usbkey,高层领导配置动态密码卡,普通业务员直接以域用户登录,这样系统就能够识别出每个用户账号的身份。3.2总体实施流程金蝶EASCloudCA实施指南22二次身份认证实施流程启用认证启用功能服务器参数配置启用二次身份认证功能导入功能树设置认证方案图7.1数字签章实施流程图在EASCloud系统中应用二次身份认证主要需要做以下几步工作:(1)第一步,启用二次身份认证功能:应用二次身份认证首先进行服务器参数配置,然后重启EASCloud服务器启用二次身份认证功能(2)第二步,启用认证:在启用二次身份认证功能后,通过导入功能树选择要进行二次身份认证的功能,然后设置具体的认证方案,然后重启客户端即可对该功能进行二次身份认证了。3.3具体实现步骤在EASCloud系统中应用二次身份认证功能具体的实现步骤详细说明如下:3.3.1服务器参数配置打开EASCloud服务端server\profiles\server1\config目录下的PermParam.properties文件,增加或者修改以下参数:EnableIDAuthorize:是否启用二次身份认证功能金蝶EASCloudCA实施指南23该参数配置如下:设置为false表示不启用;设置为true表示启用。设置完后重启EASCloud服务器。3.3.2启用认证(1)使用administrator用户登录到EASCloud系统中,打开【企业建模】—>【安全管理】—>【权限管理】—>【功能二次身份认证设置】界面,如图3.2所示:图3.2功能二次身份认证设置界面(2)点击“导入功能树”按钮,选择需要应用二次身份认证的功能或者权限到右侧的面板中,然后点击“保存”按钮保存设置,如图3.3所示:金蝶EASCloudCA实施指南24图3.3导入功能树界面(3)退出“导入功能树”界面,返回功能二次身份认证设置界面,如图3.4所示:金蝶EASCloudCA实施指南25图3.4功能二次身份认证设置界面(4)在功能二次身份认证设置界面选中功能或者权限,然后点击“认证方案设置”按钮开发认证方案设置界面,选择具体的认证方案之后点击“确定”按钮,如图3.5所示:金蝶EASCloudCA实施指南26图3.5认证方案设置界面完成以上设置后,重启EASCloud客户端即可对该功能进行二次身份认证了,在用户使用该功能时会先弹出认证界面对用户进行认证,认证通过后才能执行或者操作该功能,否则不能进行操作。
