NetSafe+Client用户手册Word文件下载.docx
- 文档编号:21655315
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:20
- 大小:30.09KB
NetSafe+Client用户手册Word文件下载.docx
《NetSafe+Client用户手册Word文件下载.docx》由会员分享,可在线阅读,更多相关《NetSafe+Client用户手册Word文件下载.docx(20页珍藏版)》请在冰豆网上搜索。
3.7.3访问WebServer(31)
3.8签名服务器(31)
3.8.1配置(31)
3.8.2日志管理(36)
3.8.3签名服务器标记(37)
4系统的运行(44)
4.1服务的启动与停止(44)
4.1.1启动(44)
4.1.2停止(44)
4.1.3重启(44)
4.2NetSafeClient的配置文件(44)
4.2.1配置(45)
4.3系统的退出(45)
5故障与对策(46)
6服务与支持(47)
1前言
该手册说明了NetSafeClient1.5forNT(简称NC)的安装、退出及针对所支持服务的配置和使用等提供了操作指南。
此版本支持符合PKCS11标准的硬件设备(如加密机、加密卡、IC卡等)。
1.1使用对象
NetSafeClient1.5forNT软件授权使用者。
1.2如何使用本手册
会使用WINDOWS操作系统,熟悉Web及网络安全的基础知识,熟悉常用代理服务器的使用,掌握签名及验签名的基本原理,了解PKCS的相关知识。
2NetSafeClient简介
2.1NetSafeClient的安全HTTP服务
NetSafeClient是NetTransaction1.5中的客户端安全代理软件,它所支持的安全HTTP服务和服务器端安全代理软件NetSafeServer(简称NS)一起工作,为用户的数据提供安全传输保障。
工作原理如下图1所示。
NetSafeServerWebServer
NetSafeClient
PC1PC2PCnSSL/TLSH
TTPHTTP
HTTPHTTP
111
2
3
图1
过程①:
各个客户端将请求以明文的形式直接发送给NetSafeClient的安全HTTP协议服务器,在实际运行环境中这个过程处于局域网内部。
过程②:
安全HTTP协议服务器接收到各个客户端发来的请求后,开始和NetSafeServer协商一个安全的传输通道,如果协商失败,安全HTTP协议服务器会记录失败的原因,并将常见的失败原因以网页的形式返回给客户端;
如果协商成功,安全HTTP协议服务器会将来自客户端的请求加密后传输给NetSafeServer,并从NetSafeServer处通过安全通道接收响应并返回给各个客户端。
过程③:
NetSafeServer将从安全HTTP协议服务器接收的请求解密后,转发给后台的服务器,并将服务器的响应信息加密后传给NetSafeClient的安全HTTP协议服务器。
2.2NetSafeClient签名服务
NetSafeClient的签名服务具有对原文信息的签名以及对签名包的验签名两种功能,其工作过程如下图2所示。
NetSafeClient签名服务器
PC1PC2
签名请求HTTP包其中Content-
Type:
INFOSEC_SIGN/1.0签名结果HTTP包其中Content-Type:
INFOSEC_SIGN_RESULT/1.0
验签名请求HTTP包其中Content-Type:
INFOSEC_VERIFY_SIGN/1.0
验签名结果HTTP包其中Content-Type:
INFOSEC_VERIFY_SIGN_RESULT/1.0
4
1
图2
客户端将签名请求HTTP包直接发送给NetSafeClient签名服务器,HTTP包中的Content-Type:
INFOSEC_SIGN/1.0。
NetSafeClient签名服务器接收到签名请求后,判断签名请求HTTP包是否合法,如果合法则对要签名的数据进行签名,然后把签名结果HTTP包发回给客户端,HTTP包中的Content-Type:
INFOSEC_SIGN_RESULT/1.0。
否则将返回一个默认的错误页面
过程③:
客户端将验签名请求HTTP包直接发送给NetSafeClient签名服务器,HTTP包中的Content-Type:
INFOSEC_VERIFY_SIGN/1.0。
过程④:
NetSafeClient签名服务器接收到验签名请求后,判断验签名请求HTTP包是否合法,如果合法则对要验签名的数据进行验签名,然后把验签名结果HTTP包发回给客户端,HTTP包中的Content-Type:
INFOSEC_VERIFY_SIGN_RESULT/1.0,否则将返回一个默认的错误页面。
2.3系统运行环境
以下是NetSafeClient1.5forNT的运行环境概述:
标准配置:
操作系统:
Win98/Winme/Win2000/WinXP
硬盘剩余空间:
100MB
剩余内存:
128MB
硬件:
支持PKCS11接口
推荐配置:
(作为服务器使用)
Win2000/WinXP
256MB
3安装与配置
3.1安装步骤综述
3.2安装NetSafeClient
点击安装程序中的setup.exe,开始进行NetsafeClient的安装,按照安装提示一步一步完成即可。
由于此版本中支持P11接口,所以事先将加密卡插好,具体的操作事宜,请在提供加密设备的厂家指导下进行。
注意事项:
如果安装了加密设备后不能立即识别加密卡,请重新启动机器再运行。
3.3运行NetSafeClient
NetsafeClient安装完毕后,点击开始→程序→NetTransaction1.5→NetsafeClient,出现了有关NetsafeClient的菜单条,由此可启动NetsafeClient软件程序,查看用户手册和Readme文件以及卸载NetsafeClient,如图3所示,点击“NetsafeClient”即进入NetsafeClient的主界面,如图4所示,主界面的上方是主菜单,下方的左侧区域显示的是NC所支持的协议服务的信息,包括服务类型、端口号和状态信息,右侧区域显示的则是左侧被选中协议服务的启动、重启或停止的操作内容,包括时间信息和内容信息。
第一次启动时,所有的协议服务均处于停止状态。
此版本中支持安全HTTP服务和签名服务。
3.4启动DownloadCRL服务
在启动NC服务之前,因为这两种服务都要检验服务器证书是否已被相应的CA所废弃,所以同时也要启动DownloadCRL服务,具体DownloadCRL工具的使用方法请
参考相关的DownloadCRL用户手册。
图3
图4
3.5证书的请求和导入
首先我们先讲解一下证书的请求和导入,因为这会影响到这两种服务的证书的配置。
证书的请求就是通过软、硬两种方式来产生PKCS请求包,用PKCS请求包到相关的CA去申请证书,然后将证书导入到磁盘或加密卡中的过程。
在操作过程当中要根据实际情况的需求不同执行不同的操作,下面我们就会详细地说明。
点击主菜单中的“工具”一项,选中“证书请求和导入”(图5所示),进入图6所示的“证书请求和导入”窗口中(图6所示)。
图5
图6
3.5.1软方式
所谓的软方式就是将私钥文件以文件的方式存储在硬盘中,并将申请到的证书写入磁盘中。
选择图6所示的第一项,点击“确定”按钮,进入软方式的请求过程(共5步),图7所示为第一步,分别输入私钥文件名、私钥口令和证书注销口令,其中私钥文件名默认为key_s.pem,您也可以将其改名,建议名称前三个字符为key,并且其扩展名必须为pem,点击“下一步”,进入第二步。
图7
在第二步中(图8所示),输入DN,其中OU可通过点击“添加”按钮输入多个,每个OU值均可删除或修改,输入完毕后点击“下一步”,出现提示窗口(如图9所示),要求确认是否产生PKCS10请求。
点击“是”按钮,进入第三步,点击“否”按钮,回到第二步。
点击“上一步”可返回第一步进行重新输入。
图8
图9
图10
将如图10所示的证书请求包复制到剪贴板中,就可以到相应的CA中心去申请证书了。
这时可能有几种情况:
1、能够立即到相关CA的网站申请到pem格式的证书(如Entrust),不需退出NetSafeClient。
如果您申请到的证书包不是pem格式的证书(如P7格式),必须要转换成pem格式的证书包,如果是P7格式的证书,请参照下面3.5.5所讲过程进行转换,如果是其他格式可向信安世纪的技术工程师咨询。
在得到pem格式的证书后,可继续向下执行,点击“下一步”,进入第四步,将pem格式的证书包直接粘贴到框中,如图11所示,点击“下一步”进入第五步,将生成的证书及其私钥文件保存在指定的目录中,此时以软方式生成的证书就产生了。
安全HTTP服务和签名服务如果要使用该证书来启动,将相应参数配置成该证书即可,配置的方法将在后面进行说明。
要记住与此证书相对应的私钥文件名称及位置,进行配置时不可与其他私钥文件相混淆,否则该证书将不可用。
图11
图12
图13
2、需要暂时退出NetSafeClient去相关的CA中心申请pem格式的证书。
这时可点击“取消”退出PKCS10请求过程,甚至您也可关闭NetSafeClient。
在相关的CA中心申请到证书包以后,就可再启动NetSafeClient,然后直接执行导入申请软证书的操作过程(3.5.3所讲)。
如果您申请到的证书包不是pem格式的证书(如P7格式),必须要转换成pem格式的证书包,如果是P7格式的证书,请参照下面3.5.5所讲进行转换,如果是其他格式可向信安世纪的技术工程师咨询。
3、在某些CA上申请到的是P7格式的证书(如Infosec的CA1.05)。
由于安全HTTP服务和签名服务均不支持P7格式的证书,因此需要将P7格式的证书转换成pem格式的证书后,再导入磁盘中,因此需先执行证书格式转换操作(3.5.5所讲),再执行上述的第二项操作。
3.5.2硬方式
所谓的硬方式就是将私钥文件存储到加密卡中,并将申请到的证书也存入加密卡中,以下是以G&
D卡为例进行说明。
如果此时已启动了安全HTTP服务及签名服务,请事先停止。
选择图6所示的第二项,点击“确定”按钮,进入硬方式的请求过程(共5步),图13所示为第一步,分别输入PKCS11库的文件名、设备标识、公钥标识、私钥标识和设备口令,点击“下一步”,进入第二步。
图14
在第二步中(图8所示,同软方式),输入DN,其中OU可通过点击“添加”按钮输入多个,每个OU值均可删除或修改,输入完毕后点击“下一步”,出现提示窗口(如图15所示),要求确认是否产生PKCS10请求。
公钥标识、私钥标识必须是唯一的,且是一一对应的,否则将请求失败。
图15
第三步和第四步的操作与软方式(3.5.1所讲)完全相同,在得到PKCS10请求包后可能遇到的各种情况也与软方式的操作相类似,可参考软方式的操作说明进行。
与软方式所不同的是,在进入到第五步时(如图16所示),输入证书的存储标识,注意证书的标识必须是唯一的,点击“完成”按钮,出现提示窗口,提示“请确认您的设
备已经准备好!
”,如果加密卡已连接好,点击“是”按钮,否则点击“否”按钮回到图16状态,点击“是”按钮后,加密卡的红灯亮,表示正在将证书存入加密卡中,等红灯灭,绿灯亮时,表示已存储完毕,又出现提示窗口(如图18所示),表示证书已成功存储进加密卡中。
图16
图17
图18
3.5.3导入申请软证书
此项功能主要用于在用户得到了证书请求包后,不能立即去相关的网站去申请证书或者其他一些情况,导致可能要退出NetSafeClient,在得到pem格式的证书后启动NetSafeClient然后将证书导入磁盘中的情况。
选择图6所示的第三项,点击“确定”按钮,进入导入申请软证书的过程,即从3.5.1中所讲述的软方式的第四步开始,后面操作及注意事项与3.5.1讲述的完全相同,这里不再详细说明。
3.5.4导入申请硬证书
此项功能主要用于在用户得到了证书请求包后,不能立即去相关的网站去申请证书,可能要退出NetSafeClient,在申请完证书后启动NetSafeClient然后将证书导入硬件设备中的情况。
选择图6所示的第四项,点击“确定”按钮,进入导入申请硬证书的存储过程(如图19以G&
D卡为例进行说明),输入正确的设备口令,点击“下一步”,直接进入硬方式的第四步中,操作过程、注意事项与硬方式完成相同,这里不再详细说明。
要记住与此证书相对应的私钥标记名称,不可与其他私钥标识混淆。
图19
3.5.5将P7格式证书转化成Base64编码的pem证书
如果得到的P10请求包在某CA上申请证书后,得到的是P7格式的证书,该格式的证书不能直接用于启动安全HTTP服务和签名服务,下面将详细说明一下如何将其转换成Base64编码的pem格式的证书,共分4步:
1、保存成p7b格式证书文件。
将从CA上申请到的证书包保存成p7b文件(如ICBC_1.p7b)。
2、将p7b格式证书导入IE浏览器。
打开IE浏览器,选择“工具”菜单下的“Internet选项”功能,弹出“Internet选项”窗口,选择“内容”页面,如图20所示,再点击“证书”按钮,弹出
“内容”窗口,如图22所示,点击左侧的“导入”按钮,进入“证书导入向
导”过程,先点击“下一步”,便进入到指定导入文件窗口,如图23所示,指
定了导入文件后,点击“下一步”,进入“证书存储”窗口,点击“下一步”,
进入“完成证书导入”窗口,显示导入证书的信息,如图24所示,点击“完
成”按钮,出现窗口提示“导入成功”,如图25所示,此时该p7证书已被导
入到IE浏览器中。
3、将导入证书导出成pem格式的证书。
在如图22所示的窗口中选择“中级证书颁发机构”页面,如图26所示,选中刚刚导入的p7证书,点击“导出”按钮,进入证书导出向导过程,点击
“下一步”,进入“导出文件格式”窗口,如图27所示,选择第二项——Base64
编码X.509(.CER),点击“下一步”,进入指定要导出文件名窗口,如图28所
示,直至完成文件导出。
4、复制证书Base64编码。
用写字板打开刚刚导出的CER证书,复制其证书的Base64编码,如图29所示,这时就可以继续证书的软方式或硬方式的导入(3.5.3和3.5.4所讲)。
图20
图21
图22
图23
图24
图25
图26
图27
图28
3.6将证书转化成PFX证书
此功能主要是将pem格式的证书转化成个人证书即PFX格式的证书。
点击图5所示的主菜单中的“工具”一项,选中“将证书转化成PFX证书”,进入图6所示的“将证书转化成PFX证书”窗口中(图20所示)。
输入pem格式的证书及相应的私钥文件、私钥保护口令、输出的PFX文件及PFX证书的保护口令,点击“确定”,将有提示窗口提示转换成功,这是就可以使用该PFX证书了。
必须配置与证书文件相对应的私钥文件,否则会导致证书转化失败。
图29
3.7安全HTTP协议服务
3.7.1配置
在启动所选中的协议服务之前,必须要对该项服务的某些参数进行配置,选中主菜单中“服务”功能,再选择“安全HTTP服务”,选择“配置”功能(如图30所示),或者选中安全HTTP服务后点击右键,出现右键菜单如图31所示,选中“配置”,就出现“配置”窗口,如图32所示。
图30
图31
说明:
调用主菜单的“服务”功能和调用相应服务的右键菜单所能执行的功能是完全相同的,对于两种服务均是如此,本手册中仅以右键菜单为例进行图示说明。
“配置”窗口中用了5个页面框来显示配置信息的内容,分别是“服务器信息”、“证书”、“基本配置”、“输出信息”、“代理服务器”,下面我们就针对每个配置参数一一来进行说明。
3.7.1.1配置服务器信息
在图31中显示的即是“服务器信息”页面框,上方的文本框显示的用户要输入的NetsafeClient监听的端口号,即是NetSafeClient中安全HTTP服务所监听的端口号。
该项一般配置为443端口,用于监听来自SSL/TLS的请求,也可以根据需要进行配置。
如果在同一台机器上有WebServer或其它服务监听443端口,则此项应配为非443的其它适合数。
对于普通用户,应选用较高值的端口号,如大于4500的某个端口号。
但是必须注意此端口不得被其他服务所占用,必须为此服务所独用。
图32
上方的文本框显示的用户要输入的NetsafeClient监听的端口号,即是NetSafeClient中安全HTTP服务所监听的端口号。
下方则是用户要输入的是安全HTTP服务通过安全通道(SSL)所访问的服务器的IP地址及端口号。
如果与NetsafeServer连接,那么指的是NetsafeServer的IP地址和监听端口号,如果与WebServer连接,那么指的是WebServer的IP地址和监听端口号。
3.7.1.2配置证书信息
点击“证书”页面框,可以配置“证书”的相关信息,证书的配置根据其存储介质的不同分为两种情况:
磁盘和加密卡。
3.7.1.2.1存储介质为磁盘
如图33所示,上方区域需要用户输入安全HTTP服务的证书文件及私钥文件的全路径文件名称,点击“浏览”按钮即可选择,选中后按“保存”按钮。
下方区域则需要用户输入所支持的服务器端证书的上级证书链(即所谓的根证书)的全路径文件名称,例如:
如果需要验所连接的NetsafeServer的证书的根证书,则此处必须配置支持NS证书的根证书的全路径文件名称。
在对上级证书链的配置中,点击“添加”按钮则显示指示根证书文件的窗口,选中根证书文件后按“保存”,最新的根证书将被添加到最后一行。
要执行“修改”或“删除”功能必须先选中某一根证书,否则不予执行。
点击“修改”按钮,会显示指示根证书文件的窗口,选中根证书后按“保存”后最新的根证书将替换被选中的根证书。
点击“删除”按钮则删除被选中的根证书。
必须将服务器端的根证书导入到IE浏览器中,同时服务器的根证书也必须添加格式正确的根证书,否则拒绝添加。
图33
3.7.1.2.2存储介质为加密卡
如图34所示,相对应的证书和其私钥标识、PKCS11库及设备标识,其中PKCS11库参数最好写入全路径名称,您可以点击“浏览”按钮来指定该文件,如果没有路径名称其缺省路径为当前操作系统的system32目录下(如c:
\winnt\system32),图中所示为使用Gemplus公司的智能卡时的各项配置参数项。
必须将服务器端的根证书导入到IE浏览器中,同时服务器的根证书必须添加格式正确的根证书,否则拒绝添加。
图34
此版本经过测试通过的智能卡类型如下表所示,如果您若使用其他类型的智能卡,请您与信安的技术工程师联系解决。
厂商读卡器智能卡P11库设备标识
G&
DCardman1010(串口)
Cardman2020(USB口)SPKAETPSS1.DLL
SafeSign
GemplusGPC410GPK8KGPK16KNPPKCS11.DLLNet-Pass00
表一
3.7.1.3基本配置信息
点击“基本配置”页面框,是对安全HTTP服务的一些基本配置,如图35所示。
用户需要输入最低加密强度,是指安全HTTP服务所支持与其相连接的Server(如NS)的最低密钥强度,NC最低支持40Bit的密钥强度。
连接超时时间是指客户端与NC连接超时时间,单位是秒,客户端指的是与访问NC
的浏览器等等。
本地域名是为了保护NetSafeServer及WebServer的IP不会外泄而设置的一项
参数,需要输入安全HTTP服务的IP地址或者域名,通常情况下输入IP地址。
而相应
地通过安全HTTP服务访问的NetSafeServer中本地域名配置项同时也要输入NetSafeServer的IP地址或域名,这样才能达到保护WebServer和NetSafeSever的IP地址
的目的。
NetSafe的本地域名配置项修改后,必须重启该修改才生效。
最下方指的是NC所支持的协议,有SSL2、SSL3、TSL1三种协议,必须至少选择
一种协议,否则不予通过。
图35
3.7.1.4配置输出信息
点击“输出信息”页面框,是对安全HTTP服务的输出信息的配置,如图36所示。
上方区域显示的是对安全HTTP服务日志文件的设置,点击“浏览”则会显示窗口
来选择要输入的日志文件,选中后点击“保存”按钮,有以下几点需要注意:
1.用户可以自定义文件名,但必须指明其文件名和路径。
2.当指定目录下无该文件时,程序将新建一个,如果无指定目录,则程序将不记录
日志。
3.日志保存自服务启动后所做的每一项操作的记录,包括时间、服务的启动、退出、
监听状态、出错原因、用户的IP、访问的URL等。
在“日志内容”区域中用户可以根据需要来选择输入日志的内容,包括登录信息、
用户访问的URL信息、服务
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NetSafe Client 用户手册