关键词:银企直联、中国工商银行、公网、投产正式环境、加密机
参考文档:
银企互联加密机用户使用手册v3.0.1.1(厂商:CFCA)
工行银企互联加密机配置国密证书手册(工商银行提供)
更新日志:
20231231V1.0.0:初稿,投产正式环境使用说明
后续版本规划:后续再补充完善电子回单配置说明和银企云相关配置说明
1.准备银企加密机
1.1购买银企加密机
本次项目向【北京中金国信科技有限公司】采购【银企互联加密机】(产品型号:MiniSYS 2000)
相关配置信息如下:
注意:
(1)原厂提供的是国标的电源线,如机房是欧标电源线,务必提醒厂商提供或者自行准备欧标电源线
(2)因为服务器是2U,有两个电源,记得准备好2条国标/欧标电源线。
(2)价格参考12800元。
1.2实体服务器参考
1.3服务器上架机柜
接通电源、网线
1.4配置企业内网IP(如涉及专线还需要另外配置专线IP和连接专线网线)
首次配置设备,需要将PC 通过网线直连连接到设备管理网口eth0
设置好 PC IP 地址(PC 配置一个 IP:192.168.113.20 ,掩码配置为 :255.255.255.0 )IPv4
注意:PC电脑不能同时连接Wifi,否则会出现网络连接不上的情况
在浏览器中输入加密机默认登录 IP 及端口,输入 http://192.168.113.192:8080/ 打开 Web 管理界面
相关账号密码参见银行提供的文档《银企互联加密机用户使用手册v3.0.1.1》
后续访问加密机,就可以用内网IP+8080端口打开web界面
原先:http://192.168.113.192:8080/
实际内网IP是:192.168.2.2
那就是可以用http://192.168.2.2:8080/
1.5配置DNS(一定要配置,因为下载银行证书连接的银行网络是域名,不是银行端IP)
1.6网络检测
检测OK即可
1.7导入国密证书链
具体证书信息找银行获取
1.8前置机打补丁(非必须)
版权所有 中金国信 版本号 3.0.1.2
具体可以咨询您获取到的加密版版本是否存在下述问题,避免到下载证书时再操作耽误时间。
这个版本下载工商银行证书时会有异常,如下图所示:
需要准备文件:
csClient-shengchan.jks(对应参考文档:生产下载证书通讯异常问题解决应急手册)
v3.0.1.2工行证书下载失败补丁.zip(对应参考文档:工行证书下载失败补丁升级手册)
参考上述操作word中操作即可。
具体文件请找工商银行获取!
2.全流程梳理
跟银行签署相关银企签约材料、授权材料后,到柜面办理。
2.1获取到密码信封
如下图所示
记录关键信息:
| 类型 | 说明 |
|---|---|
| 算法 | SM2 |
| 客户ID | 一串数字.y.1402.0201(具体每个客户的信息不一样,不可一概而论) |
| 参考号 | |
| 授权码 |
2.2工商银行证书下载
证书主题填写示例:参考CN=ncyz.y.0200.0201【注意证书主题为0201结尾】
比如密码信封上客户ID是一串数字.y.1402.0201
则填写如下:
CN=那串数字.y.1402.0201,OU=Proxy,O=ICBC,C=CN
2.3设置前置机服务(签名加密服务)
注意:加密机的签名和加密服务使用同一个端口
下载导入证书后,需要修改原来的签名加密服务,签名证书、通信证书勾选上之前导入的国密证书、信任链要全部勾选上,通信算法为SM2ECC,其他无需修改,然后保存。
注意:我们这边使用的是工商银行推广版的银企直连,所以选择的银行服务器地址与端口是446,如果是普通版的话是443
此处显示服务已启动即可。
2.4配置银企平台
2.5配置完毕后,等银行方流程
银行方柜面需要电话核实具体信息-证书解冻等操作。
3.常见问题
3.1查询余额提示:D0802 .c与.y证书不属于同一集团
检查下配置的证书ID是否正确,证书ID是指密码信封上客户ID中不包含.0201的数字
即:一串数字.y.1402
3.2查询权属公司/下属公司工行账户:B1642 ID对账号没有查询权限
要修改.y证书的权限,把要用账户都勾选起来
具体需要银行配合操作。
3.3查询权属公司/下属公司工行账户:B0041 集团无此账号
银企办理材料不全,此下属公司工行账户尚未加挂到集团下。
推荐阅读