本帖最后由 4AM 于 2020-11-7 20:43 编辑
一、项目背景 XX银行 业务流程: 1. XX银行应用系统发起请求,请求包先到安全网关SSL,由安全网关负载2台验签服务器,验签服务器进行签名验证之后,在转发给业务系统,到这一块验签完成了(验签的数据是HTTP)。 对应的虚拟服务配置:既可以配置四层TCP虚拟服务 或者7层虚拟服务,对应的节点池地址为验签服务器的地址和端口,轮询算法以及源ip会话保持。 XX银行访问社保过程: 2.业务系统将数据包转发给前置服务器,前置机在将数据包(数据包是TCP/IP协议,socket进行通信)交给安全网关,由安全网关进行加密(双向认证)发送给xx局那边进行卸载验签在返回来; 对应的虚拟服务配置:配置七层TCP协议进行加密,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX局给的专线地址和端口,轮询算法以及源ip会话保持。 2. sftp数据加密。XX银行前置机需要去访问XX局的sftp服务器,会先访问安全网关,由安全网关进行加密(双向认证) 对应的虚拟服务配置:配置七层TCP协议进行加密,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX局给的专线地址和端口。轮询算法以及源ip会话保持。
3. XX局去访问XX银行数据,由安全网关SSL做卸载,将数据包由SSL卸载变成TCP数据流在转发给前置机。 对应的虚拟服务配置:配置七层SSL协议进行卸载,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX银行前置机,轮询算法以及源ip会话保持。 1、确认设备型号 国密设备与普通设备在软硬件及功能上均存在较大差别,普通AD设备无法通过升级或定制支持国密。我司支持做SSL加解密的SSL安全网关型的SJJ设备有以下几种型号:
① SJJ-1823(4电8光2万兆) ② SJJ-1824(6电4光)
除了以上几款型号之外其他的设备都不属于支持国家商用密码标准的SSL安全网关,不能用于国密应用的加解密。所以在确认要使用国密的项目中首先要确认设备型号是否是这两款设备,若不是则要尽早确认是否使用国家商用密码标准算法或更换设备。
2、确认随机附件 国密设备因为管理的特殊性,除了常见的耳片、网线、电源线外还有其他几样重要的配件下面将一一予以说明:
1) 加密卡IC卡或UKEY
一种国密型号的设备,会对应几个管理国密加密卡的UKEY或IC卡(初始密码均为:12345678),根据产品平台不同,设备会配置IC卡或UKEY,两种形式的设备仅外部形式不同,但使用方式与功能基本相同。主要功能是验证管理员或操作员身份以使用国密相关功能。 如果是KEY那么会是至少2个蓝色的UKEY,一个管理UKEY,一个备份UKEY; 如果是IC卡,一般是4张IC卡,3张管理员IC卡,1张操作员IC卡; 管理员与操作员的权限划分如下: 管理员IC卡基本等价于管理UKEY,操作员IC卡基本等价于备份UKEY,因为IC卡步骤稍多且最常见,在后文的叙述中以IC卡的操作为例。 因为备份恢复操作对管理员顺序有要求,建议准备带编号的标签纸将管理员IC卡或KEY进行标记以区分3个管理员。 在有多个管理员的环境下,登录一半以上的管理员即可获得管理员权限 国密设备激活后将一直保持激活状态直到设备关机,重启后设备处于非激活状态,在该状态下,国密功能不能使用其他功能不受影响,此时需要插上UKEY或IC卡登录用户,直至设备具有管理员权限或操作员权限后才能。 综上所述需要把操作员KEY或IC卡保持插入到设备上,在设备重启后才能直接登录相关用户权限,否则将要去机房插IC卡才能正常使用国密相关功能;严重影响故障恢复时间。 2) 用户登录KEY 另外还会随设备带有3枚红色KEY,它的功能是在登录设备控制台时将用户名密码与KEY结合一起使用登录,以实现用户登录的双因子,需要注意的是。 用户启用了KEY认证之后,一定记得要让客户保留好KEY,如果相对应的红色的KEY丢失,就会导致登不上设备控制台;
是否启用请与客户沟通清楚。不启用KEY认证直接使用超级admin的账号,是可以对设备设备进行操作以及功能使用。对设备的使用不受影响。在设备初始化及使用前期建议尽量不要先使用红色KEY便于管理及调整设备,后续满足国密检查要求或进行三权分立时再分配系统管理员、安全管理员、审计管理员三权并关联登录UKEY,本文中不讨论该UKEY的使用。 SSL密钥管理:插入key之后,先验证主控芯片,密码为12345678;在用户管理使用管理员登录,密码为12345678 四、配置指导 生成证书请求 因为XX局有一套自身的证书签发系统,导入我们设备生成的.csr请求后,生成相关证书文件。所以是首先要生成证书请求。在设备上生成证书请求的方式如下 在《SSL》设置内选择《SSL证书》点击添加 选择添加证书请求,填写上用户的相关信息,注意的是证书的颁发给要写该业务的系统的域名,也就是我们在前文环境准备中准备好的给该业务系统使用的域名或者IP。
点击下一步会生成相应的证书请求,导出CSR文件交给客户,客户能使用该证书请求生成证书。 4、拿到相应证书
将上文生成的csr请求交到客户,客户将在其证书系统上申请证书,申请后将获取到以下信息: 但仅有以上信息还不行,还需要证书链,客户端会给你以下的证书链 5、合成完整证书链 因为设备导入处仅能导入单个文件,为了保证将完整的证书链都导入设备需要将3张证书合成一个完整的证书链文件,合成完整证书链文件的操作方式如下。国密与RSA的合成方式相同。合成完成后将得到国密完整的证书链文件 1) 将证书安装在PC上 双击打开证书并点击安装证书
、在证书向导中选择手动将证书存放在《受信任的根证书颁发机构》中,完成证书导入工作。 按上述方式完成三张证书的导入工作。
2) 导出.cer格式证书文件
在运行中运行certmgr.msc打开证书管理器,并找到这3张证书,并确认证书的相关信息正确即:总根为自签名证书,颁发者与颁发给相同;子根的颁发者为总根;签名证书的颁发者为子根 选择证书并右键选择《所有任务》——《导出》按照下文所述方式将3张证书导出为.cer格式证书文件。 、导出成功后,原有的两个个证书文件将变为两个.cer的证书文件 3) 合成完整证书链
将签名证书,子根,总根三张证书以及加密证书以及子根总根用NotePad++或记事本等编辑软件分别打开合成。 建一个记事本文件并按照总根-子根-签名证书(如果出现公钥私钥不一致,合成顺序调整为 签名证书-子根-总根)的顺序粘贴在新建的记事本中。 将上证书导入设备。 证书合成完毕后就能导入设备上可以使用了。
首先在设备上找到之前的生成的证书请求可以看到是处于【缺少证书】的状态,打开该请求并进入下一步,将合成好的证书粘贴到【接收到的签名证书】栏中。点击完成。 完成后设备上看,之前显示处于【缺少证书】的状态变成了【完整】双机点开该证书可以看大是一个完整的证书了。
加密证书:采用导入的方式,采用notepad++将加密证书,子根 总根合成,导入公钥和私钥 基础网络配置:配置接口ip地址以及开启wan口入站路由转发等功能(省略) 7、配置SSL卸载策略与加密策略并关联虚服务 证书完成后即需要使用策略关联证书已实现应用的加解密。 创建SSL策略,RSA服务器证书选择前面配置的RSA签名证书,国密服务器证书选择前面配置的国密签名与加密证书。因为要验证客户端的合法性需要启用客户端验证,并选择前面配置的CA证书。其余参数保持默认即可。 SSL卸载策略配置如下: SSL加密策略配置如下: 配置SLL虚拟服务
1.XX银行应用系统发起请求,请求包先到安全网关SSL,由安全网关负载2台验签服务器,验签服务器进行签名验证之后,在转发给业务系统,到这一块验签完成了(验签的数据是HTTP)。
对应的虚拟服务配置:既可以配置四层TCP虚拟服务 或者7层虚拟服务,对应的节点池地址为验签服务器的地址和端口,轮询算法以及源ip会话保持。 2.XX银行业务系统将数据包转发给前置服务器,前置机在将数据包(数据包是TCP/IP协议,socket进行通信)交给安全网关,由安全网关进行加密(双向认证)发送给XX局那边进行卸载验签在返回来; 对应的虚拟服务配置:配置七层TCP协议进行加密,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX局给的专线地址和端口,轮询算法以及源ip会话保持。 3.sftp数据加密。XX银行前置机需要去访问XX局的sftp服务器,会先访问安全网关,由安全网关进行加密(双向认证) 对应的虚拟服务配置:配置七层 TCP服务进行加密,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX局给的专线地址和端口。轮询算法以及源ip会话保持。 4. XX局去访问银行数据,由安全网关SSL做卸载,将数据包由SSL卸载变成TCP数据流在转发给前置机。 对应的虚拟服务配置:配置七层SSL协议进行卸载,千万不能配置成HTTP格式,不然数据包发送到安全网关SSL,会直接将数据给丢弃,对应的节点池地址为XX银行前置机,轮询算法以及源ip会话保持。
|