#原创分享#SJJ设备国密改造之B/S架构
  

刺猬要穿新裤子。 13552人觉得有帮助

{{ttag.title}}

某用户国密改造测试,涉及B/S架构和C/S架构,本贴为B/S架构业务改造。


一、B/S架构国密改造:

改造场景及原理概述:

客户原先使用http协议和业务服务器进行通信,为满足国密改造要求,在SSL安全网关上发布虚拟服务并配置SSL卸载策略,客户后续通过https协议(国密SSL)与SSL安全网关进行通信,SSL安全网关代理访问业务服务器,实现B/S架构的国密改造。

B/S架构国密改造原理图

B/S架构国密改造原理图
B/S架构图示


配置步骤和测试效果:

①   国密设备均需激活密码卡:
登录**账号,创建安全管理员;注销**账号,登录安全管理员激活密码卡;


国密设备需要插入管理员IC卡或管理员Ukey才能去激活密码卡;
此案例为IC卡,通常有3张管理员卡和1张操作员卡

IC卡

IC卡
测试只需插入一张管理员卡即可激活设备密码卡,如果是实施需满足规定,要按顺序插入三张管理员卡去激活,建议在卡上标记顺序,以后登录管理员需要按此顺序插入IC卡。

增加第一个管理员,并登录激活密码卡。保护密码默认123456。
可能已创建了第一个管理员,需要进后台清除管理员信息重新激活。密码卡管理程序需要用GBK编码,默认UTF-8会显示乱码。

管理员

管理员
在密码检测进行验证,如果密码卡激活成功则显示如下:

密码检测

密码检测

②  自建CA证书(国密算法)、配置SSL卸载、配置虚拟服务:
案例采用自建CA方式,详细配置有参考文档。

首先自建SSL证书:

SSL证书

SSL证书
公钥类型选SM2,SM2、SM3均为国密算法。

新建SSL卸载策略:

SSL卸载策略

SSL卸载策略
证书选择我们上一步自建的国密算法证书,启用协议选择国密,加密算法也选择国密。

虚拟服务配置:

虚拟服务

虚拟服务
启用SSL卸载策略。

③  搭建Winodws、Centos、ubunt系统环境进行效果测试:
安装360浏览器、IE浏览器插件、密信浏览器在Windows环境测试;
安装360浏览器在Centos环境测试;
安装红莲花浏览器在ubunt环境测试。
以上测试均正常。

关于浏览器的国密测试,需要浏览器本身支持国密协议(目前火狐谷歌不支持),IE需安装插件,联系研发获取。

如客户需要验证国密协议,需使用国密版本的wirshark抓包验证。
C/S架构国密改造另开分享贴哈。
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=140555

打赏鼓励作者,期待更多好文!

打赏
21人已打赏

小猪要上树 发表于 2021-2-2 14:26
  
感谢楼主的分享,国密的改造对于大部分人还是比较陌生的,大家可以借鉴文章去自己完成一个测试,学习一下,另外建议楼主可以把部分详细的配置可以写出来供大家参考一下哈
Sangfor_闪电回_朱丽 发表于 2021-1-13 11:19
  
您好,您的文章已被收录到原创分享计划并放到技术博客中,以便让更多的小伙伴们关注和学习,文章将交由专家评审小组评审,S奖励预计在一周后到账,其他奖励在活动结束后统一安排发放!
发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
点击查看本季原创内容要求及奖励规则:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=134423
新手569226 发表于 2021-1-13 13:09
  
感谢楼主分享,这个很实用。
雨后の彩虹更美 发表于 2021-1-13 13:14
  
感谢作者分享,步骤写的很详细
我比时光更加凉薄丶 发表于 2021-1-13 13:30
  
感谢楼主的精彩分享,学习了!
火星人的异地恋g 发表于 2021-1-13 13:44
  
感谢楼主图文并茂的分享
许久昌 发表于 2021-1-13 13:53
  
图文并茂,非常详细,适合学习参考
新手262988 发表于 2021-1-13 14:13
  
感谢楼主分享,这个很实用。
暖暖的毛毛 发表于 2021-1-13 14:28
  
文章优秀,感谢楼主分享,楼主分享的SJJ系列的SSL设备如何使用IC卡激活设备的步骤,这个非常实用,步骤也非常清晰明了,建议楼主将IC卡的作用也稍微讲解一下哦,方便新手们加深印象,期待下一次的作品~
烤肉 发表于 2021-1-13 16:37
  
感谢楼主分享,步骤很详细,很受用
发表新帖
热门标签
全部标签>
GIF动图学习
每日一问
信服课堂视频
技术笔记
项目案例
在线直播
技术咨询
产品连连看
技术圆桌
新版本体验
功能体验
专家分享
安装部署配置
原创分享
SDP百科
每日一记
SANGFOR资讯
标准化排查
畅聊IT
答题自测
授权
安全攻防
专家问答
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
技术顾问
信服故事
功能咨询
终端接入
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人