用友股份-LE服务支持部产品方案--《NC网银适配器银行参数配置》建立日期:2013-01-01修改日期:xxxx-xx-xx文档属性:客户文控编号:LE-DY-CP-2013-00172/80文档控制创建记录审阅人姓名所属部门职位审阅签字发布人姓名所属部门发布时间日期作者所属部门邮件地址版本2013-01-01V1.03/80目录网银适配器安全设置.............................................................................错误!未定义书签。用友网银适配器安装说明.....................................................................错误!未定义书签。网银适配器安装更新.............................................................................错误!未定义书签。网银适配器参数配置--华夏银行.........................................................................................5网银适配器参数配置--交通银行.........................................................................................9网银适配器参数配置--花旗银行.......................................................................................13网银适配器参数配置--上海银行.......................................................................................24网银适配器参数配置--招商银行.......................................................................................32网银适配器参数配置--中国银行.......................................................................................37网银适配器参数配置—工商银行......................................................................................39网银适配器参数配置--建行外联.......................................................................................49网银适配器参数配置--民生银行.......................................................................................57网银适配器参数配置--上海浦发银行................................................................................59网银适配器参数配置--兴业银行.......................................................................................724/805/80网银适配器参数配置--华夏银行华夏银行银行客户端配置:【进入客户端】【配置SOCKET服务器】6/80【备注】:企业ID:银行给企业分配的ID号。IP:是指华夏客户客户端服务器的IP地址PORT:是指华夏银行客户端监听用友接口发送指令的端口,应和用友中配置的一致。允许访问的IP:是指安装用友适配器程序的IP。【配置证书】【备注】:BankPath:https://www.hua-xiabank.com:8800/SerletURL:/ebank/HXFrtServlet设置“certfile”,点击右边的按钮,选择安装目录下新生成的*.cer文件;设置“storefile1”,点击右边的按钮,选择安装目录下新生成的clientkeys2文件;7/80设置“storefile2”,点击右边的按钮,选择安装目录下新生成的clientkeys文件;设置“truststorefile”,点击右边的按钮,选择安装目录下新生成的trustserver文件;华夏银行银行客户端启动:运行客户端程序,先输入登录密码。再启动socket服务器,输入服务启动密码。华夏银行网银适配器配置:8/80银行服务器Ip:银行客户端所在机器IP地址,如上图所示。传输端口:银行提供的数据传输端口,如上图所示9/80网银适配器参数配置--交通银行交行企业端接入平台银企通系统基于C/S结构,以专线连接为主,公网连接为辅,以标准TCP/IP协议实现客户与银行间通讯。在银行接入端采用进程池技术,提高系统的响应性能和处理能力。在安全设计上,采用基于PKI体系的安全加密体系,以3DES算法实现通讯报文加密,以1024RSA算法实现签名/验签,确保通讯数据的机密性、完整性和不可抵赖性。交通银行银行客户端配置:【银行客户端通讯参数配置】10/80【银行客户端企业配置】交通银行网银适配器配置:11/80【交行适配器配置及和银行客户端参数的对应】注意:银行服务器IP:填写银行客户端所在机器的IP传输端口:填写银行提供的交易数据传输端口,与银行客户端中的【本机HTTP端口】对应一致。企业代码:填写银行提供给客户的企业编码操作员:填写银行提供的操作员数据路径:填写交行生成明细文件的路径,建议采用报文方式传送,当采用报文方式时,该处保留默认值即可。连接方式:交通银行系统目前有公网和专线之分,通过配置“连接方式“可实现不同的系统选择,交行银企直连系统,请填写“0“交行银企通系统,请填写“1“12/80中电财参数配置:银行服务器IP:中电财客户端所在计算机的IP传输端口号:中电财客户端中配置的数据传输的端口加密端口号:中电财客户端中配置的加密端口企业代码:中电财提供操作员:中电财提供操作员名称:中电财提供13/80网银适配器参数配置--花旗银行一、提供的文件:用友提供:1、网银适配器安装盘《网银适配器安装盘3.0》2、网银适配器花旗银行加密客户端《tomcat6.0.14》3、pgp加密软件《PGPfreeware_6.5.3》花旗银行提供:1、FTP相关信息,包括FTP地址,用户,用户密码2、银行提供加密公钥证书二、安装部署:㈠、安装网银适配器参考《网银适配器安装手册.doc》㈡、安装jdk支持jdk1.5及其以上版本开发测试使用的版本为jdk-6u5-windows-i586-p.exe供参考㈢、安装网银适配器花旗银行加密客户端文件Tomcat6.0.14文件为压缩包文件,直接解压到任意目录即可启动Tomcat6.0.14目录下bin文件夹中的startup.bat。14/80㈣、安装配置PGP加密软件1、安装15/80PGP的安装很简单,和平时的软件安装一样,只须按提示一步步“Next”完成即可。2、生成密钥打开“开始”中“PGP”的“PGPKEYS”,可看到以下的画面点击图标或者用菜单key>newkey开始生成密钥。出现密钥生成向导,跟着它一步一步做下去就可以生成密钥第一步,默认点“下一步”16/80第二步,PGP要求你输入全名和邮件地址,全名必须输入,邮件地址可以不输入。例如输入UFIDA第三步,请选择一种加密类型。默认下一步即可17/80第四步,指定密钥的长度。通常来说位数越大被解密的可能性越小就越安全,但是在执行解密和加密时会需要更多的时间,一般默认即可。第五步,PGP会问你密钥的过期日期,可以选择从不过期或者指定一个日期作为过期的界限。此处默认不过期即可。第六步,请重复输入你的密码。输入后,点“下一步”第七步,接下来PGP生成你需要的密钥,会询问是否想把你的公共密钥发送到服务器上去,不发送,默认“下一步”就可以完成。3、导入银行公钥第一步,在银行提供的公钥文件上点击鼠标右键,如下图所示选择18/80出现如下界面,选中列表中的公钥文件,点击Import即可。在PGPkeys界面中,可以看到,银行提供的公钥已经导入19/80第二步,对银行提供的公钥使用自有密钥进行信任签名选中银行提供的公钥,单击鼠标右键,选择Sign弹出如下界面,选中银行提供的公钥,选择OK20/80弹出如下界面,其中SigningKey是在第一到七步,自行生成的可信赖的密钥,此处以UFIDA为例。在Prassphraseofsigningkey中输入生成UFIDA时设置的私有密码,点击ok即可此时,PGPkeys界面中,银行提供的公钥项,属性Validity项变为绿色,如下图所示:21/80第三步,设置银行提供的公钥为可信任的公钥在银行提供的公钥上点击鼠标右键,选择keyProperties弹出下图,将右下角信任程度调整到信任即可。22/80此时,PGPkeys界面中,银行提供的公钥项,属性Trust项变为完全信任,如下图所示,23/80至此,涉及PGP的配置完成㈤、网银适配器参数配置在网银适配器安装目录Ufbank中,双击打开UfbankConfig.exe,出现如下图所示界面:FTP服务器地址IP:填写花旗银行提供的银行ftp服务器地址用户名:填写花旗银行提供的ftp授权用户名用户密码:填写花旗银行提供的ftp用户登陆密码支付文件生成路径:默认即可,也可自行配置,建议路径为英文路径。是否自动上传下载:填写y即可实现花旗银行文件的自动上传下载,填写n则进行落地手工导入方式用户标示:该项用户可自定义,为生成文件名称的部分关键信息Pgp加密证书:该项填写花旗银行提供的加密证书名称24/80网银适配器参数配置--上海银行一、上海银行客户端配置:1、启动安装完毕后,在桌面或开始菜单直接运行“格尔安全客户端代理”。若是第一次运行,会出现“初始化错误”的提示,这是因为还未正确配置服务,没关系,可以进入配置页面进行配置。正确配置后,再次运行,会出现提示信息,说明服务已正常启动。2、停止有两种停止服务的方式:在配置页面中,选择“文件”菜单下的“退出”;在Windows平台下还可以右击“格尔安全客户端代理”位于屏幕右下角的托盘,并选择“退出”。3、配置SSL客户端代理服务进入配置页面,从左侧选择“SSL客户端代理”,在右侧的配置项中填入,SSL客户端代理的侦听地址以及连接的后台服务器地址,如:25/80点击“保存”按钮(注意,一定要“保存”,否则修改的配置信息无效)。所有修改的配置只有在重启服务后才生效。4、配置签名服务进入配置页面,从左侧选择“签名服务”,在右侧的配置项中填入,签名服务的侦听地址,如:26/80点击“保存”按钮(注意,一定要“保存”,否则修改的配置信息无效)。所有修改的配置只有在重启服务后才生效。5、配置证书从菜单“证书”中选择“证书配置”,如:27/80从证书列表中选择目标证书(在Windows平台下,该证书列表中的证书与IE中列出的证书是一致的),如:28/80修改的配置只有在重启服务后才生效。6、自动登录在Windows平台下使用硬件证书时,由于各硬件厂商的底层驱动程序的实现不同,输入USBKey的PIN码的时机可能不同,选择菜单“证书”中的“自动登录”后,会在启动服务时强制用户输入PIN码,同样,可以选择“取消登录”取消自动登录的功能,如:29/80修改的配置只有在重启服务后才生效。具体的银行客户端的安装、配置、调试,请协调银行人员现场进行,以保证银行客户端的可用稳定二、网银适配器参数界面如下所示:30/80银行客户端Ip:上海银行客户端所在机器的IP签名端口:该参数可自定义,必须与银行客户端配置的签名服务侦听端口一致http端口:该参数可自定义,必须与银行客户端配置的ssl客户端代理侦听端口一致用户代码:银行提供用户密码:银行提供银行服务器地址:此地址为银行后台服务器地址网银适配器使用指导QA:1、目前网银适配器是否支持64位的机器?不支持31/802、现在找一台机器安装网银适配器做测试,后续正式上线使用时不是这台机器,是否会有问题?测试与生产不是同一台机器,无必然的相互影响关系。只要保证生产所使用的机器和测试时所使用的机器,基本配置,操作系统保持一致就可以。网银适配器支持的32位操作系统有windows2000sp4/windowsXP/windows2003sp2系统,必须安装有IIS且可用。为了降低人为操作风险,在测试环境搭建时,可以将网银适配器安装在将来生产所要使用的机器上,搭建测试环境,这样在测试通过后,修改相应网银适配器及银行参数,切换到生产环境即可,不需要重新安装,避免人为误操作带来的隐患。3、安装网银适配器的机器只要有一个固定IP内网地址,不需要上外网?(U9指向这台机器)然后网银适配器指向安装银行客户端的机器(这些机器必须有固定内网ip?且必须能上网?是否需要固定外网IP?)此问题与项目实际的部署有关系,保证以下的条件即可。1、业务系统u8/NC/u9等,/必须可以访问到网银适配器,要求,u8/NC/u9等业务系统服务器与网银适配器机器必须可以相互通讯,网银适配器必须有固定的内网IP。2、网银适配器必须可以访问到安装银行客户端,这要求,网银适配器机器与银行客户端机器在同一局域网中,均需要有固定内网IP。3、安装银行客户端的机器必须可以访问到银行后台主机,这就要求安装机器可以访问外网,至于此处是否需要固定的外网IP,需要与银行确认。32/80网银适配器参数配置--招商银行一、招行银行客户端配置:【招行银行企业银行直连】的安装(安装招行Fbsdk软件)可由银行人员协助进行安装,安装软件可在招行网站进行下载(目前适配器支持招行的1.8版本)。安装完成后,在程序中可以找到银行客户端的启动图标:点击【企业银行直连服务】,33/80配置银行客户端中的【监听端口】,并且启动http服务。点击【登录】按钮,输入银行提供的用户信息进行登录,例如使用用户USRA01登录34/80注意:Fbsdk软件的安装都应该由招商银行的技术人员进行协助解决。二、招行网银适配器配置:(以5.0界面为例)35/80参数说明如下:银行服务器IP:指安装银行客户端的计算机IP;传输端口:该值与在银行客户端中设置的【监听端口】相同,例如上图中的“8789”登陆用户名:指在银行客户端中登录时所使用的用户名称;例如上图中的“USRA01”业务模式编号:此参数针对对私支付业务,需要与银行确认该值。默认为“00001”。若无对私业务使用默认值即可。交易代码名称:此参数针对对私支付业务,需要与银行确认该值。默认为“代发其他”。若无对私业务则使用默认值即可。是否总分账号:根据在银行开户的实际情况填写“y”或者“n”委贷确认银行服务器IP:进行委贷确认操作需要另行安装银行客户端软件,用于进行委贷业务的确认操作,IP地址即指该机器的地址,若无委贷业务则使用默认值即可。委贷确认传输端口:与委贷确认服务器IP参数相对应,与银行客户端中配置的端口一致即可。若无委贷业务则使用默认值即可。36/80委贷确认登陆用户:指在银行客户端中登录时所使用的用户名称;例如上图中的USRA02,若无委贷业务则使用默认值即可。注意:招行目前的对私业务仅支持同行的对私支付业务模式编号通过招行FbSdkTest.exe工具可查询如下图点击左上角的【登录】选项,使用该工具登录招行银企系统,进行相关信息查询点击【查询模式】选择“代发”,在下方窗体处,显示招行对客户开通的相关对私支付权限其中网银适配器中的“业务模式编号”对应上图中业务模式项目中BUSMOD字段对应的“00001”网银适配器中的“交易代码名称”对应上图中的交易代码项目中,展现的中文信息,比如“代发其他”请视具体情况进行配置。37/80网银适配器参数配置--中国银行一、中国银行客户端配置:具体的银行客户端的安装、配置、调试,请协调银行人员现场进行,以保证银行客户端的可用稳定二、网银适配器参数界面如下所示:银行服务器Ip:中国银行客户端所在机器的IP38/80传输端口:该参数可自定义,必须与银行客户端配置的数据监听端口一致企业代码:银行提供操作员:银行提供登陆时签到密码:银行提供Usbkey密码:银行提供,中国银行旧版系统需要配置,新版系统(BOCNET)原默认值即可。中行银行服务器名:此地址为银行后台服务器地址,使用默认值即可是否返回对方账户:y返回,n不返回,广东地区外,均采用默认值n39/80网银适配器参数配置—工商银行配置工行客户端1设置测试服务器地址,以及监听端口安装银行提供的证书文件,双击以”.car”结尾的根目录证书,如下图,点击“安装证书”打开工行客户端,如下图,40/80选中“安全HTTP服务“右键,——>“配置”弹出如下界面41/80注意:“端口号”可以任意设置,但必须保证没被占用,且与网银适配器配置的传输端口一致。如下图网银适配器工行推广版配置界面。42/80“服务器IP地址”由银行提供地址,注意是银行的版本(推广版、普通版),按照客户实际使用环境向银行索取测试环境的地址。“服务器端口号”与“服务器IP地址”搭配,由银行提供该端口号,工行普通版该端口一般为443,工行推广版为446。2配置银行测试证书如图所示,测试证书一般分为“公钥文件”和“私钥文件”,通常以“.pem”结尾。可以向银行人员咨询如何区分。注意此处配置时不要错位。下方的“证书文件名称”需要配置证书根目录文件,此文件以“.cer”结尾。基本配置,输出信息,代理服务器一般默认即可,不需要修改,如果客户使用的代理上网,请咨询银行人员如何配置“代理服务器”。43/80注意:此处【连接超时时间】设置,请咨询银行人员,设置合理的时间,建议为900秒若设置过短,会出现“服务器返回的信息无效或不可识别(12152)”错误。44/80配置签名服务器选中“签名服务器”右键——>“配置”,45/80弹出如下配置界面:46/80注意:“根证书”与前文“安全HTTP服务”中关于根证书的设置相同,文件以“.cer”结尾。此处【连接超时时间】设置,请咨询银行人员,设置合理的时间,建议为900秒若设置过短,会出现“服务器返回的信息无效或不可识别(12152)”错误。“监听的端口号“可以任意指定,但必须保证未被其他程序占用,且保持与网银适配器中所配置的“加密端口号”数值一致。如下图所示。配置签名服务器证书“PFX证书”文件以“.pfx”结尾。47/80“验签名返回信息”与“输出信息”页签可以使用默认值即可。注意:配置完成银行客户端,需要重新启动,才可生效。关闭银行客户端,再次打开启动。或者重启计算机。常见错误问答:1、银行客户端配置完成但不能正常启动有可能是证书配置的有问题,请检查重新配置,或者联系银行人员解决。48/802、返回“无法与服务器建立连接(12029)”网银适配器与银行客户端未连接上,可能是网银适配器配置的参数与银行客户端不一致造成,请检查配置。属于我方问题,可以联系用友技术支持人员解决。3、返回“Forbidden(403)”银行服务器不可用,或者用户证书存在问题,属于银行问题,请联系银行人员解决。4、返回“企业ID不符”银行提供的证书或者企业ID有问题,属于银行问题,请联系银行人员解决。5、返回“企业签名时间晚于工行服务器时间!”该信息属于银行测试系统返回信息,表示已经与银行建立连接,环境搭建成功。请向银行人员咨询其测试系统的数据有效时间。修改网银适配器所在计算机以及银行客户端所在计算机系统时间即可。6、返回“服务器返回的信息无效或不可识别(12152)”网银适配器与银行客户端已经建立连接,但银行客户端与银行服务器间未建立连接或者连接异常,检查银行客户端测试地址以及服务器端口的配置,如果正确,请尝试重新启动银行客户端,如果问题依然不能解决,属于银行问题,请联系银行人员解决。若项目可正常使用,但是时好时坏,偶尔出现上述错误,则可能是银行客户端配置的超时时间太短,在指定的超时时间内,银行服务器无法返回有效数据给银行客户端(Netsafe),则会出现上述错误,请联系银行人员将银行客户端的超时时间设置较大一些,建议为900秒。49/80网银适配器参数配置--建行外联1、建行外联的配置测试账号需要银行向总行申请,而且测试账号的密码会以密码函的形式直接寄给客户,这个工作大概需要5个工作日。1.1JAVA运行环境的安装双击运行j2re-1_4_2_14-windows-i586-p.exe安装程序50/801.2USBKEY的安装建行提供捷德等加密key,安装相应驱动程序即可,只是要注意驱动安装好以后再将key插入前置机的USB口中。1.3系统初始化运行文件夹bin下配置文件initial.bat进行系统初始化,注意界面红色部分为信息提示。51/80客户号:银行密函封面的客户识别号操作员号:WLPT01密码:默认111111端口号:自行设置,如8888,该端口号对应银行参数设置中的传输端口号1.4设置信任站点52/8053/801.5启动监听程序运行前,要确认已经插入了USBKey,双击文件夹bin下的start.bat。54/80录入密函中的PIN密码。55/80监听程序启动后,该界面不能关闭。1.6银行参数设置运行ufbank/ufbankconfig56/80银行服务器IP:即安装建行外联银行客户端的机器IP,该例为本机。传输端口号、客户号、密码、操作员代码:对应5.3中的设置。1.7银行连接测试运行ufbank/测试.exe,选中要测试的银行,在账号栏随便输入一个账号,点击查询余额按钮。如果出现如上面,则表示该银行的参数配置完全正确,表明与银行已经连通了。57/80网银适配器参数配置--民生银行民生银行参数配置界面如下:DC监听IP:银行客户端安装的机器地址,如果装在同一台机器,可以填写127.0.0.1DC监听端口:与银行客户端配置的DC监听端口一致,银行默认为8080企业代码:银行提供操作员:银行提供,报文中需要传输的操作员密码:银行提供,报文中需要传输的密码是否启用DC:y服务器IP:银行提供的银行服务器地址如ds.cmbc.com.cn,测试环境填写填写银行提供的IP58/80服务器端口:银行提供的银行服务器端口,如9090服务器URL:银行提供的银行服务器地址,可以为空注意:在配置中,注意区分DC监听IP与服务器IP的区别,注意区分DC监听端口与服务器端口的区别。网银适配器【DC监听端口】是客户可配置的,是由客户配置的银行DC监听端口所决定的,两者一致。网银适配器中的【服务器IP】及【服务器端口】是由银行提供,是不可变的。银行客户端如下:59/80网银适配器参数配置--上海浦发银行一、网银适配器参数配置:参数配置界面如下:银行服务器IP:银行客户端安装的机器地址,如果装在同一台机器,可以填写127.0.0.1NC安全无协议服务端口:此处配置与银行客户端的配置有关,若银行采用【NC安全HTTP服务】,则该处值与银行客户端Bisafe中配置的【NC安全HTTP服务】端口相同,如下图,则网银适配器中应该配置为:577560/80若银行采用【NC安全无协议服务】,则该处值与银行客户端Bisafe中配置的【NC安全无协议服务】端口相同,如下图,则网银适配器中应该配置为:5776NC签名服务端口:此处配置与银行客户端Bisafe中【NC签名服务】所配置的端口号一致。如下图,则网银适配器中应该配置为:4437企业代码:由银行提供61/80注意:在配置中,注意区分银行客户端采用的是【NC安全无协议服务】,还是【NC安全HTTP服务】,据此来配置网银适配器的【NC安全无协议服务端口】。在配置完成后,测试若出现“要求操作句柄的状态错误(12019)”,该错误是由于银行客户端配置有问题,请检查银行客户端的配置,或者将银行客户端重新部署至其他机器。二、上海浦发银行客户端配置仅供参考,建议由银行人员配置其银行客户端。1、上海浦发银行Bisafe客户端2、配置【NC安全HTTP服务】62/80选中【NC安全HTTP服务】,点击右键,出现如下界面,①选择【配置】,弹出如下配置界面,配置server选择【添加】或者【编辑】按钮,63/80配置【监听的IP端口】,该端口可以自定义,保证所配置的端口未被其他程序占用即可。注意浦发银行配置端口时,需要在端口前增加IP,一般是监听本地机器端口,可以配置为本机的真实IP地址,或者配置为127.0.0.1。完整的配置如上图所示。后台服务器,指银行服务器,由银行提供相关数据,包括后台IP和端口。②配置ssl设置证书,64/80点击【浏览】选择相关证书即可,【证书文件】和【私钥文件】均以”.pfx”结尾。③配置证书链及根证书65/80选择【添加】按钮点击【浏览】增加根证书即可,此处证书以“.cer”结尾。66/803、配置【NC安全无协议服务】参考【NC安全HTTP服务】设置说明。4、配置【NC签名服务】选中【NC签名服务】,点击右键,如下图所示67/80①选择【配置】,配置sercer选择【添加】或【编辑】按钮,弹出如下配置窗口68/80此处的监听端口,可以自定义,保证设置的端口不被其他程序占用即可。包含IP和自定义的端口,IP为本机真实IP或者127.0.0.1②配置证书69/80点击【浏览】选择相关证书即可,【证书文件】和【私钥文件】均以”.pfx”结尾。70/80③配置根证书点击【浏览】增加根证书即可,此处证书以“.cer”结尾。71/805、启动服务输入登陆密码,点击【确定】,当右侧信息显示“服务已经启动”表示配置成功。72/80注意:能成功启动,并不表示银行客户端配置无误,并不表示该客户端一定可以与银行主服务器连接成功。网银适配器参数配置--兴业银行1、兴业银行公网的配置1.1兴业银行银企直联客户端的安装73/8074/801.2文件证书的拷贝75/80该证书由银行提供,有两种形式,文件证书和USBKEY证书。如果银行提供的是USBKEY证书,那么需要将其导出成扩展名为*.pfx的文件证书,导出时设置的密码将在4.6章节中用到。将该文件证书拷贝到前置机的任意路径,但注意路径不能带中文,建议拷贝到银行客户端的安装路径中。1.3配置文件首先将cib文件夹下的两个文件拷贝到dcclient目录中去覆盖掉同名的两个文件,然后配置castle.ini文件。点击全部。76/80用记事本打开该文件。1.4参数设置运行dcclient.exe文件对应安装银行客户端的机器的IP地址对应银行提供的服务器的IP地址或URL对应安装用友网银适配器的机器的IP地址77/80找到4.2章节中文件证书的保存路径,并录入导出证书时设置的密码,保存即可。1.5开始监听点击开始监听。78/80出现如上提示,表示所有的配置正确,并且已经开始监听,该界面不能关闭。1.6银行参数设置运行ufbank/ufbankconfig79/80银行服务器IP:即安装兴业银行客户端的机器IP地址。端口号:对应4.3中的castle.ini文件中的绑定地址和端口。客户代码、操作员、密码:由客户方提供。1.7银行连接测试运行ufbank/测试.exe,选中要测试的银行,在账号栏随便输入一个账号,点击查询余额按钮。80/80如果出现如上画面,则表示该银行的参数配置完全正确,表明与银行已经连通了。
