“当前已有100+用户参与投稿,共计发放奖励100000+“
某用户国密改造测试,涉及B/S架构和C/S架构,本贴为B/S架构业务改造。
一、B/S架构国密改造:
改造场景及原理概述:
客户原先使用http协议和业务服务器进行通信,为满足国密改造要求,在SSL安全网关上发布虚拟服务并配置SSL卸载策略,客户后续通过https协议(国密SSL)与SSL安全网关进行通信,SSL安全网关代理访问业务服务器,实现B/S架构的国密改造。 B/S架构图示
配置步骤和测试效果:
① 国密设备均需激活密码卡: 登录**账号,创建安全管理员;注销**账号,登录安全管理员激活密码卡;
国密设备需要插入管理员IC卡或管理员Ukey才能去激活密码卡; 此案例为IC卡,通常有3张管理员卡和1张操作员卡 (测试只需插入一张管理员卡即可激活设备密码卡,如果是实施需满足规定,要按顺序插入三张管理员卡去激活,建议在卡上标记顺序,以后登录管理员需要按此顺序插入IC卡。)
增加第一个管理员,并登录激活密码卡。保护密码默认123456。 (可能已创建了第一个管理员,需要进后台清除管理员信息重新激活。密码卡管理程序需要用GBK编码,默认UTF-8会显示乱码。) 在密码检测进行验证,如果密码卡激活成功则显示如下:
② 自建CA证书(国密算法)、配置SSL卸载、配置虚拟服务: 案例采用自建CA方式,详细配置有参考文档。
首先自建SSL证书: 公钥类型选SM2,SM2、SM3均为国密算法。
新建SSL卸载策略: 证书选择我们上一步自建的国密算法证书,启用协议选择国密,加密算法也选择国密。
虚拟服务配置: 启用SSL卸载策略。
③ 搭建Winodws、Centos、ubunt系统环境进行效果测试: 安装360浏览器、IE浏览器插件、密信浏览器在Windows环境测试; 安装360浏览器在Centos环境测试; 安装红莲花浏览器在ubunt环境测试。 以上测试均正常。
关于浏览器的国密测试,需要浏览器本身支持国密协议(目前火狐谷歌不支持),IE需安装插件,联系研发获取。
如客户需要验证国密协议,需使用国密版本的wirshark抓包验证。 C/S架构国密改造另开分享贴哈。 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=140555 |