NetSafe+Client用户手册.docx
《NetSafe+Client用户手册.docx》由会员分享,可在线阅读,更多相关《NetSafe+Client用户手册.docx(20页珍藏版)》请在冰豆网上搜索。
NetSafe+Client用户手册
NetSafeClientforNT
用户手册
(Version1.5.030)
信安世纪信息安全技术有限公司
目录
1前言(4)
1.1使用对象(4)
1.2如何使用本手册(4)
2NetSafeClient简介(4)
2.1NetSafeClient的安全HTTP服务(4)
2.2NetSafeClient签名服务(5)
2.3系统运行环境(6)
3安装与配置(7)
3.1安装步骤综述(7)
3.2安装NetSafeClient(7)
3.3运行NetSafeClient(7)
3.4启动DownloadCRL服务(7)
3.5证书的请求和导入(9)
3.5.1软方式(9)
3.5.2硬方式(13)
3.5.3导入申请软证书(16)
3.5.4导入申请硬证书(16)
3.5.5将P7格式证书转化成Base64编码的pem证书(17)
3.6将证书转化成PFX证书(22)
3.7安全HTTP协议服务(23)
3.7.1配置(23)
3.7.2日志管理(30)
3.7.3访问WebServer(31)
3.8签名服务器(31)
3.8.1配置(31)
3.8.2日志管理(36)
3.8.3签名服务器标记(37)
4系统的运行(44)
4.1服务的启动与停止(44)
4.1.1启动(44)
4.1.2停止(44)
4.1.3重启(44)
4.2NetSafeClient的配置文件(44)
4.2.1配置(45)
4.3系统的退出(45)
5故障与对策(46)
6服务与支持(47)
1前言
该手册说明了NetSafeClient1.5forNT(简称NC)的安装、退出及针对所支持服务的配置和使用等提供了操作指南。
此版本支持符合PKCS11标准的硬件设备(如加密机、加密卡、IC卡等)。
1.1使用对象
NetSafeClient1.5forNT软件授权使用者。
1.2如何使用本手册
会使用WINDOWS操作系统,熟悉Web及网络安全的基础知识,熟悉常用代理服务器的使用,掌握签名及验签名的基本原理,了解PKCS的相关知识。
2NetSafeClient简介
2.1NetSafeClient的安全HTTP服务
NetSafeClient是NetTransaction1.5中的客户端安全代理软件,它所支持的安全HTTP服务和服务器端安全代理软件NetSafeServer(简称NS)一起工作,为用户的数据提供安全传输保障。
工作原理如下图1所示。
NetSafeServerWebServer
NetSafeClient
PC1PC2PCnSSL/TLSH
TTPHTTP
HTTPHTTP
111
2
3
图1
过程①:
各个客户端将请求以明文的形式直接发送给NetSafeClient的安全HTTP协议服务器,在实际运行环境中这个过程处于局域网内部。
过程②:
安全HTTP协议服务器接收到各个客户端发来的请求后,开始和NetSafeServer协商一个安全的传输通道,如果协商失败,安全HTTP协议服务器会记录失败的原因,并将常见的失败原因以网页的形式返回给客户端;如果协商成功,安全HTTP协议服务器会将来自客户端的请求加密后传输给NetSafeServer,并从NetSafeServer处通过安全通道接收响应并返回给各个客户端。
过程③:
NetSafeServer将从安全HTTP协议服务器接收的请求解密后,转发给后台的服务器,并将服务器的响应信息加密后传给NetSafeClient的安全HTTP协议服务器。
2.2NetSafeClient签名服务
NetSafeClient的签名服务具有对原文信息的签名以及对签名包的验签名两种功能,其工作过程如下图2所示。
NetSafeClient签名服务器
PC1PC2
签名请求HTTP包其中Content-
Type:
INFOSEC_SIGN/1.0签名结果HTTP包其中Content-Type:
INFOSEC_SIGN_RESULT/1.0
验签名请求HTTP包其中Content-Type:
INFOSEC_VERIFY_SIGN/1.0
验签名结果HTTP包其中Content-Type:
INFOSEC_VERIFY_SIGN_RESULT/1.0
3
4
1
2
图2
过程①:
客户端将签名请求HTTP包直接发送给NetSafeClient签名服务器,HTTP包中的Content-Type:
INFOSEC_SIGN/1.0。
过程②:
NetSafeClient签名服务器接收到签名请求后,判断签名请求HTTP包是否合法,如果合法则对要签名的数据进行签名,然后把签名结果HTTP包发回给客户端,HTTP包中的Content-Type:
INFOSEC_SIGN_RESULT/1.0。
否则将返回一个默认的错误页面
过程③:
客户端将验签名请求HTTP包直接发送给NetSafeClient签名服务器,HTTP包中的Content-Type:
INFOSEC_VERIFY_SIGN/1.0。
过程④:
NetSafeClient签名服务器接收到验签名请求后,判断验签名请求HTTP包是否合法,如果合法则对要验签名的数据进行验签名,然后把验签名结果HTTP包发回给客户端,HTTP包中的Content-Type:
INFOSEC_VERIFY_SIGN_RESULT/1.0,否则将返回一个默认的错误页面。
2.3系统运行环境
以下是NetSafeClient1.5forNT的运行环境概述:
标准配置:
操作系统:
Win98/Winme/Win2000/WinXP
硬盘剩余空间:
100MB
剩余内存:
128MB
硬件:
支持PKCS11接口
推荐配置:
(作为服务器使用)
操作系统:
Win2000/WinXP
硬盘剩余空间:
100MB
剩余内存:
256MB
硬件:
支持PKCS11接口
3安装与配置
3.1安装步骤综述
3.2安装NetSafeClient
点击安装程序中的setup.exe,开始进行NetsafeClient的安装,按照安装提示一步一步完成即可。
由于此版本中支持P11接口,所以事先将加密卡插好,具体的操作事宜,请在提供加密设备的厂家指导下进行。
注意事项:
如果安装了加密设备后不能立即识别加密卡,请重新启动机器再运行。
3.3运行NetSafeClient
NetsafeClient安装完毕后,点击开始→程序→NetTransaction1.5→NetsafeClient,出现了有关NetsafeClient的菜单条,由此可启动NetsafeClient软件程序,查看用户手册和Readme文件以及卸载NetsafeClient,如图3所示,点击“NetsafeClient”即进入NetsafeClient的主界面,如图4所示,主界面的上方是主菜单,下方的左侧区域显示的是NC所支持的协议服务的信息,包括服务类型、端口号和状态信息,右侧区域显示的则是左侧被选中协议服务的启动、重启或停止的操作内容,包括时间信息和内容信息。
第一次启动时,所有的协议服务均处于停止状态。
此版本中支持安全HTTP服务和签名服务。
3.4启动DownloadCRL服务
在启动NC服务之前,因为这两种服务都要检验服务器证书是否已被相应的CA所废弃,所以同时也要启动DownloadCRL服务,具体DownloadCRL工具的使用方法请
参考相关的DownloadCRL用户手册。
图3
图4
3.5证书的请求和导入
首先我们先讲解一下证书的请求和导入,因为这会影响到这两种服务的证书的配置。
证书的请求就是通过软、硬两种方式来产生PKCS请求包,用PKCS请求包到相关的CA去申请证书,然后将证书导入到磁盘或加密卡中的过程。
在操作过程当中要根据实际情况的需求不同执行不同的操作,下面我们就会详细地说明。
点击主菜单中的“工具”一项,选中“证书请求和导入”(图5所示),进入图6所示的“证书请求和导入”窗口中(图6所示)。
图5
图6
3.5.1软方式
所谓的软方式就是将私钥文件以文件的方式存储在硬盘中,并将申请到的证书写入磁盘中。
选择图6所示的第一项,点击“确定”按钮,进入软方式的请求过程(共5步),图7所示为第一步,分别输入私钥文件名、私钥口令和证书注销口令,其中私钥文件名默认为key_s.pem,您也可以将其改名,建议名称前三个字符为key,并且其扩展名必须为pem,点击“下一步”,进入第二步。
图7
在第二步中(图8所示),输入DN,其中OU可通过点击“添加”按钮输入多个,每个OU值均可删除或修改,输入完毕后点击“下一步”,出现提示窗口(如图9所示),要求确认是否产生PKCS10请求。
点击“是”按钮,进入第三步,点击“否”按钮,回到第二步。
点击“上一步”可返回第一步进行重新输入。
图8
图9
图10
将如图10所示的证书请求包复制到剪贴板中,就可以到相应的CA中心去申请证书了。
这时可能有几种情况:
1、能够立即到相关CA的网站申请到pem格式的证书(如Entrust),不需退出NetSafeClient。
注意事项:
如果您申请到的证书包不是pem格式的证书(如P7格式),必须要转换成pem格式的证书包,如果是P7格式的证书,请参照下面3.5.5所讲过程进行转换,如果是其他格式可向信安世纪的技术工程师咨询。
在得到pem格式的证书后,可继续向下执行,点击“下一步”,进入第四步,将pem格式的证书包直接粘贴到框中,如图11所示,点击“下一步”进入第五步,将生成的证书及其私钥文件保存在指定的目录中,此时以软方式生成的证书就产生了。
安全HTTP服务和签名服务如果要使用该证书来启动,将相应参数配置成该证书即可,配置的方法将在后面进行说明。
注意事项:
要记住与此证书相对应的私钥文件名称及位置,进行配置时不可与其他私钥文件相混淆,否则该证书将不可用。
图11
图12
图13
2、需要暂时退出NetSafeClient去相关的CA中心申请pem格式的证书。
这时可点击“取消”退出PKCS10请求过程,甚至您也可关闭NetSafeClient。
在相关的CA中心申请到证书包以后,就可再启动NetSafeClient,然后直接执行导入申请软证书的操作过程(3.5.3所讲)。
注意事项:
如果您申请到的证书包不是pem格式的证书(如P7格式),必须要转换成pem格式的证书包,如果是P7格式的证书,请参照下面3.5.5所讲进行转换,如果是其他格式可向信安世纪的技术工程师咨询。
3、在某些CA上申请到的是P7格式的证书(如Infosec的CA1.05)。
由于安全HTTP服务和签名服务均不支持P7格式的证书,因此需要将P7格式的证书转换成pem格式的证书后,再导入磁盘中,因此需先执行证书格式转换操作(3.5.5所讲),再执行上述的第二项操作。
3.5.2硬方式
所谓的硬方式就是将私钥文件存储到加密卡中,并将申请到的证书也存入加密卡中,以下是以G&D卡为例进行说明。
注意事项:
如果此时已启动了安全HTTP服务及签名服务,请事先停止。
选择图6所示的第二项,点击“确定”按钮,进入硬方式的请求过程(共5步),图13所示为第一步,分别输入PKCS11库的文件名、设备标识、公钥标识、私钥标识和设备口令,点击“下一步”,进入第二步。
图14
在第二步中(图8所示,同软方式),输入DN,其中OU可通过点击“添加”按钮输入多个,每个OU值均可删除或修改,输入完毕后点击“下一步”,出现提示窗口(如图15所示),要求确认是否产生PKCS10请求。
点击“是”按钮,进入第三步,点击“否”按钮,回到第二步。
注意事项:
公钥标识、私钥标识必须是唯一的,且是一一对应的,否则将请求失败。
图15
第三步和第四步的操作与软方式(3.5.1所讲)完全相同,在得到PKCS10请求包后可能遇到的各种情况也与软方式的操作相类似,可参考软方式的操作说明进行。
注意事项:
如果您申请到的证书包不是pem格式的证书(如P7格式),必须要转换成pem格式的证书包,如果是P7格式的证书,请参照下面3.5.5所讲进行转换,如果是其他格式可向信安世纪的技术工程师咨询。
与软方式所不同的是,在进入到第五步时(如图16所示),输入证书的存储标识,注意证书的标识必须是唯一的,点击“完成”按钮,出现提示窗口,提示“请确认您的设
备已经准备好!
”,如果加密卡已连接好,点击“是”按钮,否则点击“否”按钮回到图16状态,点击“是”按钮后,加密卡的红灯亮,表示正在将证书存入加密卡中,等红灯灭,绿灯亮时,表示已存储完毕,又出现提示窗口(如图18所示),表示证书已成功存储进加密卡中。
图16
图17
图18
3.5.3导入申请软证书
此项功能主要用于在用户得到了证书请求包后,不能立即去相关的网站去申请证书或者其他一些情况,导致可能要退出NetSafeClient,在得到pem格式的证书后启动NetSafeClient然后将证书导入磁盘中的情况。
选择图6所示的第三项,点击“确定”按钮,进入导入申请软证书的过程,即从3.5.1中所讲述的软方式的第四步开始,后面操作及注意事项与3.5.1讲述的完全相同,这里不再详细说明。
3.5.4导入申请硬证书
此项功能主要用于在用户得到了证书请求包后,不能立即去相关的网站去申请证书,可能要退出NetSafeClient,在申请完证书后启动NetSafeClient然后将证书导入硬件设备中的情况。
选择图6所示的第四项,点击“确定”按钮,进入导入申请硬证书的存储过程(如图19以G&D卡为例进行说明),输入正确的设备口令,点击“下一步”,直接进入硬方式的第四步中,操作过程、注意事项与硬方式完成相同,这里不再详细说明。
注意事项:
要记住与此证书相对应的私钥标记名称,不可与其他私钥标识混淆。
图19
3.5.5将P7格式证书转化成Base64编码的pem证书
如果得到的P10请求包在某CA上申请证书后,得到的是P7格式的证书,该格式的证书不能直接用于启动安全HTTP服务和签名服务,下面将详细说明一下如何将其转换成Base64编码的pem格式的证书,共分4步:
1、保存成p7b格式证书文件。
将从CA上申请到的证书包保存成p7b文件(如ICBC_1.p7b)。
2、将p7b格式证书导入IE浏览器。
打开IE浏览器,选择“工具”菜单下的“Internet选项”功能,弹出“Internet选项”窗口,选择“内容”页面,如图20所示,再点击“证书”按钮,弹出
“内容”窗口,如图22所示,点击左侧的“导入”按钮,进入“证书导入向
导”过程,先点击“下一步”,便进入到指定导入文件窗口,如图23所示,指
定了导入文件后,点击“下一步”,进入“证书存储”窗口,点击“下一步”,
进入“完成证书导入”窗口,显示导入证书的信息,如图24所示,点击“完
成”按钮,出现窗口提示“导入成功”,如图25所示,此时该p7证书已被导
入到IE浏览器中。
3、将导入证书导出成pem格式的证书。
在如图22所示的窗口中选择“中级证书颁发机构”页面,如图26所示,选中刚刚导入的p7证书,点击“导出”按钮,进入证书导出向导过程,点击
“下一步”,进入“导出文件格式”窗口,如图27所示,选择第二项——Base64
编码X.509(.CER),点击“下一步”,进入指定要导出文件名窗口,如图28所
示,直至完成文件导出。
4、复制证书Base64编码。
用写字板打开刚刚导出的CER证书,复制其证书的Base64编码,如图29所示,这时就可以继续证书的软方式或硬方式的导入(3.5.3和3.5.4所讲)。
图20
图21
图22
图23
图24
图25
图26
图27
图28
3.6将证书转化成PFX证书
此功能主要是将pem格式的证书转化成个人证书即PFX格式的证书。
点击图5所示的主菜单中的“工具”一项,选中“将证书转化成PFX证书”,进入图6所示的“将证书转化成PFX证书”窗口中(图20所示)。
输入pem格式的证书及相应的私钥文件、私钥保护口令、输出的PFX文件及PFX证书的保护口令,点击“确定”,将有提示窗口提示转换成功,这是就可以使用该PFX证书了。
注意事项:
必须配置与证书文件相对应的私钥文件,否则会导致证书转化失败。
图29
3.7安全HTTP协议服务
3.7.1配置
在启动所选中的协议服务之前,必须要对该项服务的某些参数进行配置,选中主菜单中“服务”功能,再选择“安全HTTP服务”,选择“配置”功能(如图30所示),或者选中安全HTTP服务后点击右键,出现右键菜单如图31所示,选中“配置”,就出现“配置”窗口,如图32所示。
图30
图31
说明:
调用主菜单的“服务”功能和调用相应服务的右键菜单所能执行的功能是完全相同的,对于两种服务均是如此,本手册中仅以右键菜单为例进行图示说明。
“配置”窗口中用了5个页面框来显示配置信息的内容,分别是“服务器信息”、“证书”、“基本配置”、“输出信息”、“代理服务器”,下面我们就针对每个配置参数一一来进行说明。
3.7.1.1配置服务器信息
在图31中显示的即是“服务器信息”页面框,上方的文本框显示的用户要输入的NetsafeClient监听的端口号,即是NetSafeClient中安全HTTP服务所监听的端口号。
该项一般配置为443端口,用于监听来自SSL/TLS的请求,也可以根据需要进行配置。
如果在同一台机器上有WebServer或其它服务监听443端口,则此项应配为非443的其它适合数。
对于普通用户,应选用较高值的端口号,如大于4500的某个端口号。
但是必须注意此端口不得被其他服务所占用,必须为此服务所独用。
图32
上方的文本框显示的用户要输入的NetsafeClient监听的端口号,即是NetSafeClient中安全HTTP服务所监听的端口号。
该项一般配置为443端口,用于监听来自SSL/TLS的请求,也可以根据需要进行配置。
如果在同一台机器上有WebServer或其它服务监听443端口,则此项应配为非443的其它适合数。
对于普通用户,应选用较高值的端口号,如大于4500的某个端口号。
但是必须注意此端口不得被其他服务所占用,必须为此服务所独用。
下方则是用户要输入的是安全HTTP服务通过安全通道(SSL)所访问的服务器的IP地址及端口号。
如果与NetsafeServer连接,那么指的是NetsafeServer的IP地址和监听端口号,如果与WebServer连接,那么指的是WebServer的IP地址和监听端口号。
3.7.1.2配置证书信息
点击“证书”页面框,可以配置“证书”的相关信息,证书的配置根据其存储介质的不同分为两种情况:
磁盘和加密卡。
3.7.1.2.1存储介质为磁盘
如图33所示,上方区域需要用户输入安全HTTP服务的证书文件及私钥文件的全路径文件名称,点击“浏览”按钮即可选择,选中后按“保存”按钮。
下方区域则需要用户输入所支持的服务器端证书的上级证书链(即所谓的根证书)的全路径文件名称,例如:
如果需要验所连接的NetsafeServer的证书的根证书,则此处必须配置支持NS证书的根证书的全路径文件名称。
在对上级证书链的配置中,点击“添加”按钮则显示指示根证书文件的窗口,选中根证书文件后按“保存”,最新的根证书将被添加到最后一行。
要执行“修改”或“删除”功能必须先选中某一根证书,否则不予执行。
点击“修改”按钮,会显示指示根证书文件的窗口,选中根证书后按“保存”后最新的根证书将替换被选中的根证书。
点击“删除”按钮则删除被选中的根证书。
注意事项:
必须将服务器端的根证书导入到IE浏览器中,同时服务器的根证书也必须添加格式正确的根证书,否则拒绝添加。
图33
3.7.1.2.2存储介质为加密卡
如图34所示,相对应的证书和其私钥标识、PKCS11库及设备标识,其中PKCS11库参数最好写入全路径名称,您可以点击“浏览”按钮来指定该文件,如果没有路径名称其缺省路径为当前操作系统的system32目录下(如c:
\winnt\system32),图中所示为使用Gemplus公司的智能卡时的各项配置参数项。
注意事项:
必须将服务器端的根证书导入到IE浏览器中,同时服务器的根证书必须添加格式正确的根证书,否则拒绝添加。
图34
说明:
此版本经过测试通过的智能卡类型如下表所示,如果您若使用其他类型的智能卡,请您与信安的技术工程师联系解决。
厂商读卡器智能卡P11库设备标识
G&DCardman1010(串口)
Cardman2020(USB口)SPKAETPSS1.DLL
SafeSign
GemplusGPC410GPK8KGPK16KNPPKCS11.DLLNet-Pass00
表一
3.7.1.3基本配置信息
点击“基本配置”页面框,是对安全HTTP服务的一些基本配置,如图35所示。
用户需要输入最低加密强度,是指安全HTTP服务所支持与其相连接的Server(如NS)的最低密钥强度,NC最低支持40Bit的密钥强度。
连接超时时间是指客户端与NC连接超时时间,单位是秒,客户端指的是与访问NC
的浏览器等等。
本地域名是为了保护NetSafeServer及WebServer的IP不会外泄而设置的一项
参数,需要输入安全HTTP服务的IP地址或者域名,通常情况下输入IP地址。
而相应
地通过安全HTTP服务访问的NetSafeServer中本地域名配置项同时也要输入NetSafeServer的IP地址或域名,这样才能达到保护WebServer和NetSafeSever的IP地址
的目的。
注意事项:
NetSafe的本地域名配置项修改后,必须重启该修改才生效。
最下方指的是NC所支持的协议,有SSL2、SSL3、TSL1三种协议,必须至少选择
一种协议,否则不予通过。
图35
3.7.1.4配置输出信息
点击“输出信息”页面框,是对安全HTTP服务的输出信息的配置,如图36所示。
上方区域显示的是对安全HTTP服务日志文件的设置,点击“浏览”则会显示窗口
来选择要输入的日志文件,选中后点击“保存”按钮,有以下几点需要注意:
1.用户可以自定义文件名,但必须指明其文件名和路径。
2.当指定目录下无该文件时,程序将新建一个,如果无指定目录,则程序将不记录
日志。
3.日志保存自服务启动后所做的每一项操作的记录,包括时间、服务的启动、退出、
监听状态、出错原因、用户的IP、访问的URL等。
在“日志内容”区域中用户可以根据需要来选择输入日志的内容,包括登录信息、
用户访问的URL信息、服务
升级会员 