银企云安全代理程序原创
金蝶云社区-云社区用户j4930373
云社区用户j4930373
6人赞赏了该文章 2,206次浏览 未经作者许可,禁止转载编辑于2021年01月13日 18:15:38

部署要求:

银企公有云,必须在有公网ip的服务器上部署网络安全代理程序,公网ip需要咨询客户方IT运维工程师获取,并确保默认8443端口可以访问,可在任意一台连接互联网的电脑上使用telnet [ip] [port]命令测试,测试连通即可配置在银企云管理端的前置机代理上。


银企云安全代理程序原理示意:

银企云网络代理原理图.png


银企云安全网络代理程序是银企云在公有云环境上需安装的程序,其作用是:

1)在银企云与企业端的银行前置机建立一条SSL双向签名认证与加密的安全信道;

2)安全网络代理程序的接入口加入了ip访问白名单与黑名单,可通过证书验签自动完成白名单配置,具备一定防范DDOS攻击的能力;

3)安全网络代理程序集成制作CA证书的小工具,但目前仅限于在windows系统上使用,具体详见《银企云客户制作自定义ca证书操作手册》


说明:

    安全网络代理程序需要部署在具备开通公网IP的服务器上,并将安全网络代理的服务端口(默认8443,请按实际配置端口配置)端口映射到公网访问端口,银企云上配置该服务器的公网地址与公网访问端口

解压下载的压缩包,直接就可以执行脚本运行程序:

1)安全网络代理程序的启动脚本为windows_startup.bat/linux_startup.sh;

2)证书配置的启动脚本为windows_sslConfig.bat/linux_sslConfig.sh;

3)CA证书制作的启动脚本为windows_ca.bat(请先看“注意事项”)

linux环境下查杀进程请按照“ps -ef | grep frontProxy”命令查询进程号,然后使用 “kill -9  进程号”命令关闭程序;

4)linux环境下如果无法使用图形界面,将不能进行证书配置,解决方案:

可以在windows机器进行配置,然后将根目录下/config/proxy.properties文件拷贝至linux环境根目录相应位置;


5)银企云与安全网络代理的配置,详见文章《银企云配置流程》。


自制CA证书使用说明:

1、在安全网络代理程序根目录,执行windows_ca.bat,打开如下界面:

2、填写申请人、企业名称、证书密码信息,其中证书密码现苍穹银企配置已经限制密码长度至少8位,这里填写的证书密码建议在8位以上。

3、点击“生成证书”,通常等待在1分钟之内会弹出证书制作完成路径的提示框。

4、在根目录下/CACert/new中可以看到已经制作完成的证书:

5、请仔细阅读“网络代理部署与证书导入说明”,理解CA证书作用和导入操作步骤。

6、CA证书导入示例截图:

1)调取cloud目录下的ebgCert.p12证书,导入到苍穹银企互联的“客户CA证书”:


登录银企云管理端,打开"证书管理"页面,将ebg.cer证书上传:

2) 打开“网络代理配置”,先将安全网络代理服务地址、端口填好,代理类型选取SSL软代理,RSA签名算法选取SHA256,点击下面的保存按钮:

如果保存配置时报错出现"Connection refused: connect",需要检查:

a. 安全网络代理服务是否正常运行;

b. 安全网络代理的服务地址、端口是否填写正确;

c. 如果安全代理服务经过花生壳域名映射,就请填写映射后的地址和端口;

保存配置成功后,上传私钥证书文件,选取client目录下的kclient.keystore,上传公钥证书,选取server目录下的tclient.keystore,记得点击“上传”:


3) 在安全代理程序根目录下,执行windows_sslConfig.bat脚本,上传私钥证书文件,选取server目录下的kserver.keystore,上传公钥证书,选取client目录下的tserver.keystore

配置完成后,需要重启安全代理程序才能够生效。




注意事项:

当前发现部分环境下,制作证书长时间卡死在gui界面,解决方案为,请进入根目录下的CACert目录执行gen.bat,如果出现报错信息:缺少jli.dll文件,可以从根目录下的/jre/bin中将jli.dll文件拷贝到CACert,确认脚本运行没报错后,再执行windows_ca.bat


银企云安全网络代理下载地址:

https://pan.yunzhijia.com/s/MTE5OTYzNSw2MDY0#/

访问密码:n5k2

来自:云之家企业云盘


配置指导视频:

https://pan.yunzhijia.com/s/MTE5NTQ3NSwyZTU4#/
访问密码:3cj6
来自:云之家企业云盘

图标赞 6
6人点赞
还没有人点赞,快来当第一个点赞的人吧!
图标打赏
0人打赏
还没有人打赏,快来当第一个打赏的人吧!