银企云安全代理程序

部署要求：

银企公有云，必须在有公网ip的服务器上部署网络安全代理程序，公网ip需要咨询客户方IT运维工程师获取，并确保默认8443端口可以访问，可在任意一台连接互联网的电脑上使用telnet [ip] [port]命令测试，测试连通即可配置在银企云管理端的前置机代理上。

银企云安全代理程序原理示意：

银企云安全网络代理程序是银企云在公有云环境上需安装的程序，其作用是：

1）在银企云与企业端的银行前置机建立一条SSL双向签名认证与加密的安全信道；

2）安全网络代理程序的接入口加入了ip访问白名单与黑名单，可通过证书验签自动完成白名单配置，具备一定防范DDOS攻击的能力；

3）安全网络代理程序集成制作CA证书的小工具，但目前仅限于在windows系统上使用，具体详见《银企云客户制作自定义ca证书操作手册》

说明：

    安全网络代理程序需要部署在具备开通公网IP的服务器上，并将安全网络代理的服务端口（默认8443，请按实际配置端口配置）端口映射到公网访问端口，银企云上配置该服务器的公网地址与公网访问端口

解压下载的压缩包，直接就可以执行脚本运行程序:

1）安全网络代理程序的启动脚本为windows_startup.bat/linux_startup.sh；

2）证书配置的启动脚本为windows_sslConfig.bat/linux_sslConfig.sh；

3）CA证书制作的启动脚本为windows_ca.bat（请先看“注意事项”）

linux环境下查杀进程请按照“ps -ef | grep frontProxy”命令查询进程号，然后使用 “kill -9  进程号”命令关闭程序；

4）linux环境下如果无法使用图形界面，将不能进行证书配置，解决方案：

可以在windows机器进行配置，然后将根目录下/config/proxy.properties文件拷贝至linux环境根目录相应位置；

5）银企云与安全网络代理的配置，详见文章《银企云配置流程》。

自制CA证书使用说明：

1、在安全网络代理程序根目录，执行windows_ca.bat，打开如下界面：

2、填写申请人、企业名称、证书密码信息，其中证书密码现苍穹银企配置已经限制密码长度至少8位，这里填写的证书密码建议在8位以上。

3、点击“生成证书”，通常等待在1分钟之内会弹出证书制作完成路径的提示框。

4、在根目录下/CACert/new中可以看到已经制作完成的证书：

5、请仔细阅读“网络代理部署与证书导入说明”，理解CA证书作用和导入操作步骤。

6、CA证书导入示例截图：

1）调取cloud目录下的ebgCert.p12证书，导入到苍穹银企互联的“客户CA证书”：

登录银企云管理端，打开"证书管理"页面，将ebg.cer证书上传:

2) 打开“网络代理配置”，先将安全网络代理服务地址、端口填好，代理类型选取SSL软代理，RSA签名算法选取SHA256，点击下面的保存按钮：

如果保存配置时报错出现"Connection refused: connect",需要检查：

a. 安全网络代理服务是否正常运行;

b. 安全网络代理的服务地址、端口是否填写正确；

c. 如果安全代理服务经过花生壳域名映射，就请填写映射后的地址和端口；

保存配置成功后，上传私钥证书文件，选取client目录下的kclient.keystore，上传公钥证书，选取server目录下的tclient.keystore，记得点击“上传”:

3） 在安全代理程序根目录下，执行windows_sslConfig.bat脚本，上传私钥证书文件，选取server目录下的kserver.keystore，上传公钥证书，选取client目录下的tserver.keystore

配置完成后，需要重启安全代理程序才能够生效。

注意事项：

当前发现部分环境下，制作证书长时间卡死在gui界面，解决方案为，请进入根目录下的CACert目录执行gen.bat，如果出现报错信息：缺少jli.dll文件，可以从根目录下的/jre/bin中将jli.dll文件拷贝到CACert，确认脚本运行没报错后，再执行windows_ca.bat

银企云安全网络代理下载地址：

https://pan.yunzhijia.com/s/MTE5OTYzNSw2MDY0#/

访问密码：n5k2

来自：云之家企业云盘

配置指导视频：

https://pan.yunzhijia.com/s/MTE5NTQ3NSwyZTU4#/
访问密码：3cj6
来自：云之家企业云盘