格尔安全认证网关用户手册
(5.x系列)
V1.0
上海格尔软件股份有限公司
2005年10月
保密事宜: 本文档包含上海格尔软件股份有限公司的专有商业信息和保密信息。 接受方同意维护本文档所提供信息的保密性,承诺不对其进行复制,或向评估小组以外、非直接相关的人员公开此信息。对于以下三种信息,接受方不向格尔公司承担保密责任: 1 ) 接受方在接收该文档前,已经掌握的信息。 2 ) 可以通过与接受方无关的其它渠道公开获得的信息。 3 ) 可以从第三方,以无附加保密要求方式获得的信息。
上海格尔软件股份有限公司
i
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
目 录
1
手册指南 ........................................................................................................................................ 1 1.1 1.2 1.3 1.4 1.5 2
概述 ....................................................................................................................................... 1 目的 ....................................................................................................................................... 1 适用对象 ............................................................................................................................... 1 名词解释 ............................................................................................................................... 2 必读声明 ............................................................................................................................... 2
产品简介 ........................................................................................................................................ 3 2.1 2.2 2.2.1 2.2.2
格尔 SSL网关...................................................................................................................... 3 产品系列及接口说明 ........................................................................................................... 4
产品外观 .......................................................................................................................... 4 默认网络配置 .................................................................................................................. 7
3 部署格尔SSL网关 ....................................................................................................................... 9 3.1 3.2 3.3 3.4
串联部署 ............................................................................................................................... 9 并联部署 ............................................................................................................................. 10 双机热备部署 ..................................................................................................................... 12 负载均衡部署 ..................................................................................................................... 13
4 安装格尔SSL网关 ..................................................................................................................... 16 4.1 4.2 4.3 4.3.1
产品检查 ............................................................................................................................. 16 部署模式选择 ..................................................................................................................... 16 环境准备 ............................................................................................................................. 16
安装位置 ........................................................................................................................ 16
ii
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
4.3.2 4.4 4.5 4.6 5
工作环境 ........................................................................................................................ 17
连线 ..................................................................................................................................... 17 开机 ..................................................................................................................................... 17 关机 ..................................................................................................................................... 18
登录格尔SSL网关 ..................................................................................................................... 19 5.1 5.2 5.3
管理客户端准备 ................................................................................................................. 19 登录系统 ............................................................................................................................. 19 更改密码 ............................................................................................................................. 21
6 配置网络信息............................................................................................................................... 22 6.1 6.1.1 6.1.2 6.1.3 6.2 6.3 6.3.1 6.3.2 6.3.3
网络接口配置 ..................................................................................................................... 23
配置网络接口 ................................................................................................................ 25 配置虚拟接口 ................................................................................................................ 26 启动、停止网络接口 .................................................................................................... 30
路由和DNS配置 ............................................................................................................... 31 使用网络调试工具 ............................................................................................................. 34
使用Ping ........................................................................................................................ 35 使用Traceroute ............................................................................................................. 36 使用SSH ........................................................................................................................ 37
7 配置SSL认证服务 ..................................................................................................................... 38 7.1 7.1.1 7.1.2 7.1.3
证书配置管理 ..................................................................................................................... 39
站点证书 ........................................................................................................................ 39 生成证书请求 ................................................................................................................ 39 申请站点证书 ................................................................................................................ 42
iii
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
7.1.4 7.1.5
配置站点证书 ................................................................................................................ 42 证书链配置 .................................................................................................................... 44
7.2 SSL服务管理 .......................................................................................................................... 48 7.2.1 7.2.2 7.2.3 7.2.4 7.2.5
启动/停止SSL服务 ....................................................................................................... 49 添加SSL服务 ................................................................................................................ 50 删除SSL服务 ................................................................................................................ 51 配置/修改SSL服务参数 ............................................................................................... 51 查看SSL服务日志 ........................................................................................................ 64
7.3 SSL高级配置 .......................................................................................................................... 69 7.3.1 7.3.2 8
证书项绑定设置 ............................................................................................................ 70 证书项编码 .................................................................................................................... 72
配置黑名单下载 ........................................................................................................................... 74 8.1 8.1.1 8.1.2 8.1.3 8.1.4 8.1.5 8.2 8.3
黑名单服务配置 ................................................................................................................. 75
添加黑名单下载服务 .................................................................................................... 77 删除黑名单下载服务 .................................................................................................... 79 查看、修改黑名单服务 ................................................................................................ 79 立即下载黑名单 ............................................................................................................ 79 查看下载日志 ................................................................................................................ 80
定时更新时间配置 ............................................................................................................. 82 立即更新黑名单 ................................................................................................................. 83
9 系统管理 ...................................................................................................................................... 84 9.1 9.2 9.3
日志服务器配置 ................................................................................................................. 85 系统备份 ............................................................................................................................. 86 系统恢复 ............................................................................................................................. 87
iv
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
9.4 9.5 9.6 9.7 9.8 10 11
系统升级 ............................................................................................................................. 88 恢复出厂配置 ..................................................................................................................... 89 双机热备 ............................................................................................................................. 90 时间配置 ............................................................................................................................. 92 性能检测 ............................................................................................................................. 93
附录一:SSL基础知识介绍 ....................................................................................................... 95 附录二:系统默认配置 ............................................................................................................... 96
系统出厂默认设置 ............................................................................................................. 96 新增服务默认配置 ............................................................................................................. 98
11.1 11.2 12
产品支持联系方式 ..................................................................................................................... 100
上海格尔软件股份有限公司
v
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表目录
图表 1 E型产品外观 .............................................................................................................................. 4 图表 2 G型产品外观 .............................................................................................................................. 6 图表 3 格尔SSL网关默认网卡设置 .................................................................................................... 8 图表 4串联部署示意图 ........................................................................................................................ 10 图表 5 并联部署示意图 ....................................................................................................................... 11 图表 6串联模式下的双机热备部署 .................................................................................................... 12 图表 7并联模式下的双机热备部署 .................................................................................................... 13 图表 8负载均衡环境下的串联模式部署 ............................................................................................ 14 图表 9 负载均衡环境下的并联部署 ................................................................................................... 14 图表 10 登录 ......................................................................................................................................... 20 图表 11 SSL认证服务管理界面 .......................................................................................................... 21 图表 12 修改密码对话框 ..................................................................................................................... 22 图表 13 网络配置 ................................................................................................................................. 23 图表 14网络接口信息 .......................................................................................................................... 24 图表 15 接口配置 ................................................................................................................................. 25 图表 16 虚拟接口配置 ......................................................................................................................... 27 图表 17 虚拟接口信息 ......................................................................................................................... 28 图表 18 虚拟接口配置1 ...................................................................................................................... 29 图表 19删除虚拟接口 .......................................................................................................................... 30 图表 20路由和DNS配置 .................................................................................................................... 31 图表 21 添加默认网关 ......................................................................................................................... 32 图表 22添加静态路由 .......................................................................................................................... 32 图表 23路由设置错误 .......................................................................................................................... 33
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
vi
图表 24添加DNS................................................................................................................................. 34 图表 25PING1......................................................................................................................................... 35 图表 26PING2......................................................................................................................................... 36 图表 27 TRACEROUTE ............................................................................................................................ 36 图表 28 SSH .......................................................................................................................................... 37 图表 29SSL认证服务管理 ................................................................................................................... 38 图表 30生成证书请求 .......................................................................................................................... 40 图表 31导出站点证书请求 .................................................................................................................. 41 图表 32 站点证书配置 ......................................................................................................................... 42 图表 33站点证书私钥不匹配 .............................................................................................................. 43 图表 34 证书链结构 ............................................................................................................................. 45 图表 35 证书链配置 ............................................................................................................................. 46 图表 36 上传证书链 ............................................................................................................................. 47 图表 37 SSL服务管理 .......................................................................................................................... 49 图表 38 增加SSL服务 ........................................................................................................................ 50 图表 39 SSL服务参数配置-基本参数 ................................................................................................. 52 图表 40 SSL服务参数配置-证书配置 ................................................................................................. 55 图表 41 用户策略配置 ......................................................................................................................... 56 图表 42 证书链验证错误 ..................................................................................................................... 57 图表 43 无可用黑名单 ......................................................................................................................... 59 图表 44 自定义错误页面 ..................................................................................................................... 61 图表 45 修改自定义错误页面地址 ..................................................................................................... 61 图表 46 性能选项配置 ......................................................................................................................... 63 图表 47 运行日志 ................................................................................................................................. 65 图表 48 用户访问日志 ......................................................................................................................... 66
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
vii
图表 49 日志下载 ................................................................................................................................. 68 图表 50 证书项绑定 ............................................................................................................................. 70 图表 51证书项定义.............................................................................................................................. 71 图表 52 证书项编码 ............................................................................................................................. 73 图表 53黑名单下载.............................................................................................................................. 75 图表 54黑名单服务配置 ...................................................................................................................... 76 图表 55 LDAP发布服务器信息 .......................................................................................................... 77 图表 56立即更新黑名单 ...................................................................................................................... 80 图表 57黑名单下载日志 ...................................................................................................................... 81 图表 58下载黑名单日志 ...................................................................................................................... 82 图表 59定时更新配置 .......................................................................................................................... 83 图表 60立即更新黑名单 ...................................................................................................................... 84 图表 61系统管理 ................................................................................................................................. 84 图表 62 日志服务器配置 ..................................................................................................................... 85 图表 63 系统备份 ................................................................................................................................. 86 图表 64系统备份下载 .......................................................................................................................... 87 图表 65系统恢复 ................................................................................................................................. 88 图表 66系统升级 ................................................................................................................................. 89 图表 67 恢复出厂配置 ......................................................................................................................... 90 图表 68 双机热备 ................................................................................................................................. 91 图表 69 时间配置 ................................................................................................................................. 92 图表 70 性能检测 ................................................................................................................................. 94
上海格尔软件股份有限公司
viii
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
1 手册指南 1.1 概述
本手册主要介绍上海格尔软件股份有限公司(以下简称:格尔软件)格尔SSL安全认证网关 (以下简称:格尔SSL网关)的使用及维护。其中涵盖了格尔SSL网关所涉及的使用配置方法及其相关说明。
我们将以提供具体实例的方法来引导使用者安装配置符合自己应用环境的格尔SSL网关。
1.2 目的
本手册详细描述了如何配置、管理和使用格尔SSL网关。
1.3 适用对象
本手册适用对象为网络管理员或者网络工程师,假定具备以下概念知识: 网络拓扑 网络地址和路由 证书、SSL、HTTPS Web服务器
上海格尔软件股份有限公司
1
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
1.4 名词解释
SSL:Secure Socket Layer,安全套接层协议层,它是网景(Netscape)公
司提出的基于WEB应用的安全协议。
CA:Certificate Authority,数字证书中心,作为权威的第三方负责发放数字
证书。
数字证书:Certificate,数字证书中心签发的用于代表实体身份的一段电文。
本手册中涉及代表用户身份的用户证书和代表服务端身份的站点证书(服务器证书)。
LDAP:(Light Weight Directory Access Protocol) 是一种轻量级的目录存取
协定,提供客户从各个角落连接到目录服务器中。本手册中专指用于CA发布证书及黑名单的服务。
黑名单:通常所说的CRL(Certificate Revoke List ),因时间或者安全原因
被废除的证书列表,一般发布在LDAP上。
1.5 必读声明
本文档中有以下约定,特此声明:
配置界面中信息输入框后面带“*”,表示此信息为必填项。
文档中关于配置的一些注意事项和建议都在各个配置项描述后面的“厂
家提示”中,配置前务必查看清楚。
配置系统中容易遇到的问题及解决方法请参见格尔安全认证网关常见问
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
2
题解答(FAQ)。
2 产品简介 2.1 格尔 SSL网关
格尔SSL网关应用于对网络身份需要认证、对传输信息需要安全保密的环境,如网上银行、电子政务、电子商务、网上办公等网络应用。
格尔SSL网关在逻辑上部署在用户浏览器与Web服务器之间,在服务器端和用户客户端建立128位高强度的SSL加密连接,实现客户端和服务器之间身份的有效认证和数据传输安全。
格尔SSL网关使用代理(proxy)应用模式,即格尔SSL网关对所有经过的网络流量都进行处理,然后传递给被保护的服务器。因此用户必须通过格尔SSL网关才能访问被保护的服务器。如:未部署格尔SSL网关前用户访问为http://web_server_ip:webserver服务端口/,部署格尔SSL网关之后用户访问为https://ssl网关ip:ssl网关服务端口/,主要访问流程如下:
1. 用户访问SSL网关;
2. SSL网关认证用户身份,与用户端建立加密连接; 3. 用户端将访问请求加密发送到SSL网关; 4. SSL网关解密后将请求发送的后台服务器端; 5. 服务端将服务回应发送给SSL网关; 6. SSL网关将回应消息加密后发送给用户端。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
3
2.2 产品系列及接口说明
格尔SSL网关根据硬件平台不同分为E系列和G系列。
2.2.1 产品外观
格尔SSL网关E系列产品外观:
图表 1 E型产品外观
(1) 电源指示灯。灯亮表示系统加电成功。 (2) 系统状态灯。
(3) 外网口指示灯。灯亮表示外网口网络连通,灯闪烁表示外网口处于激活
状态。
(4) 内网口指示灯。灯亮表示内网口网络连通,灯闪烁表示内网口处于激活
状态。
(5) 管理口指示灯。灯亮表示管理口网络连通,灯闪烁表示管理口处于激活
状态。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
4
(6) 热备口指示灯。灯亮表示热备口网络连通,灯闪烁表示热备口处于激活
状态。 (7) 电源线接口。 (8) 电源开关。
(9) 控制口(Console)。通过控制线可以登录内部操作系统,主要用于在特
殊情况下产品工程师登录系统维护使用。 (10)
外网口。RJ-45接口,橙灯亮表示网络连通,绿灯闪烁表示处于激活
状态,对应系统中的eth0。 (11)
内网口。RJ-45接口,橙灯亮表示网络连通,绿灯闪烁表示处于激活
状态,对应系统中的eth1。 (12)
管理口。RJ-45接口,橙灯亮表示网络连通,绿灯闪烁表示处于激活
状态,对应系统中的eth2。 (13)
热备口。RJ-45接口,橙灯亮表示网络连通,绿灯闪烁表示处于激活
状态,对应系统中的eth3。 (14) (15) (16) (17)
VGA口。可以外接显示器。
USB口。系统扩展使用(目前无作用)。 键盘口。可以外接PS2键盘。 鼠标口。可以外接PS2鼠标。
格尔SSL网关G系列产品外观:
上海格尔软件股份有限公司
5
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 2 G型产品外观
(1) 手柄。用于设备在机架上的推拉移动。 (2) 电源支持灯。灯亮表示系统加电成功。 (3) USB口。系统扩展使用(目前无作用)。
(4) 控制口(Console)。通过控制线可以登录内部操作系统,主要用于在特
殊情况下产品工程师登录系统维护使用。
(5) 扩展网口(LAN4-LAN11)。RJ-45接口,系统扩展模块,系统标准配置
下无效。
(6) 显示屏。显示系统信息。
(7) 热备口(LAN3)。RJ-45接口,橙灯亮表示网络连通,绿灯闪烁表示处于
激活状态,对应系统中的eth3。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
6
(8) 管理口(LAN2)。RJ-45接口,橙灯亮表示网络连通,绿灯闪烁表示处于
激活状态,对应系统中的eth2。
(9) 内网口(LAN1)。RJ-45接口,橙灯亮表示网络连通,绿灯闪烁表示处于
激活状态,对应系统中的eth1。 (10)
外网口(LAN0)。RJ-45接口,橙灯亮表示网络连通,绿灯闪烁表示
处于激活状态,对应系统中的eth0。 (11)
电源报警声开关。设备如果使用一个电源运行,系统会发出报警声
音,此开关可以关闭报警声音。 (12) (13)
厂家提示:
以上产品外观示意图仅供参考,各个具体型号产品的外观和接口以实物
为准。
设备中的类似控制口、USB、键盘等接口是系统为以后产品工程师维护
调试使用,用户无需关心。
电源开关。
电源线接口。系统使用双电源。
2.2.2 默认网络配置
网络接口对部署、配置、管理格尔SSL网关的非常重要,以下是产品的默认配置:
上海格尔软件股份有限公司
7
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
网络接口 外网口LAN0 (Eth0*) 内网口LAN1 (Eth1) 用途 出厂接口地址 连接外界网络,用户通过此端口IP地192.168.191.7 址获得相应服务 与被保护的机器连接的接口,一般应192.168.192.7 该与所保护的机器组成单独网段,与其他网络隔离 管理口LAN2 (Eth2) 热备口LAN3 (Eth3) 管理员必须通过此端口方可对产品进192.168.190.7 行web管理 双机热备网口 4.4.4.4 图表 3 格尔SSL网关默认网卡设置
默认路由:无 DNS:无
厂家提示:
Eth0-Eth3是系统中的网卡的接口名称,LAN0-LAN3是物理意义上的
接口,本文中二者指同一对象,在下面的配置中更常用LAN0-LAN3这样的表示方法。
上海格尔软件股份有限公司
8
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
3 部署格尔SSL网关 格尔SSL网关可以部署为串联模式(桥模式)或者并联模式(单臂模式)。
3.1 串联部署
串联模式(桥模式)指格尔SSL网关物理部署在用户和被保护的服务器之间,即格尔SSL网关的外网口与用户网络连接,内网口与被保护服务器相连。由于被保护服务器通过内部网络与格尔SSL网关连接,因此用户与服务器的连接被格尔SSL网关隔离,用户只知道网关地址,无法直接连接被保护服务器,只有通过网关才能获得服务。
串联模式(桥模式)是格尔SSL网关的标准部署模式,也是推荐部署模式,其部署示意图如下:
上海格尔软件股份有限公司
9
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
Internet外部用户用户证书服务器1格尔安全认证网关服务器2防火墙服务器3……….内网用户 图表 4串联部署示意图
串联模式的优点是:
安全性高:用户必须通过网关的认证加密后才能获取服务,同时网关将
服务器与外界网络隔离,避免了对服务器的直接攻击。
结构清晰:串联模式在物理部署和逻辑结构上都非常简单,容易理解。 性能高:相对于并联模式,串联模式的效率及带宽利用率更高。 串联模式的缺点是:
需要对原有服务器进行网络改动以及进行地址改变带来的应用变更。
3.2 并联部署
并联模式(单臂模式)指格尔SSL网关逻辑部署在用户和被保护的服务器之
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
10
间,而物理连接是在同一网络中,即格尔SSL网关的外网口接入原有用户与服务器的网络连接中。用户可以通过网关获取服务,也可以直接连接到服务器(在知道服务器地址情况下)获取服务。
格尔安全认证网关Internet外部用户用户证书服务器1服务器2防火墙服务器3……….内网用户
图表 5 并联部署示意图
并联模式的优点是:
部署方便:应用无需作改动,用户只需变更一下访问地址即可。 并联模式的缺点是:
安全性低:由于服务器和外界网络连接,存在用户绕开网关直接连接服
务器和使用其它方式攻击服务器的可能性;同时,网关到服务器的明文数据也在网络上传输,存在被窃听的安全隐患。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
11
性能较低:相对于串联模式,并联模式中用户到网关和网关到服务器的
数据流量都通过一个网口进行,效率及带宽利用率相对较低。
3.3 双机热备部署
系统支持双机热备功能,在需要高可靠性的环境下需要对SSL网关进行双机热备部署。双机热备部署需要部署两台设备,一台作为主机,一台作为备机,两台机器都与网络连接,两台设备之间使用交叉线连接热备口进行状态检测,在正常情况下由主机提供服务,当主机发生异常时系统自动切换到备机进行服务。部署方式如图:
Internet外部用户用户证书格尔安全认证网关服务器1心跳连线服务器2防火墙服务器3……….内网用户 图表 6串联模式下的双机热备部署
上海格尔软件股份有限公司
12
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
格尔安全认证网关心跳连线Internet外部用户用户证书服务器1服务器2防火墙服务器3……….内网用户
图表 7并联模式下的双机热备部署
3.4 负载均衡部署
格尔SSL网关可以和大多数负责均衡设备配合使用,格尔SSL网关采用串联模式和并联模式都可以与负载均衡设备很好的配合使用。如下图:
上海格尔软件股份有限公司
13
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
Internet外部用户用户证书格尔安全认证网关负载均衡设备防火墙…….服务器群内网用户 图表 8负载均衡环境下的串联模式部署
Internet格尔安全认证网关外部用户用户证书…….负载均衡设备防火墙服务器群内网用户 图表 9 负载均衡环境下的并联部署
厂家提示:
负载均衡器将网络的SSL流量负载到可用的格尔SSL网关上,格尔SSL网
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
14
关对后端的Web服务器并没有负载均衡的作用。
上海格尔软件股份有限公司
15
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
4 安装格尔SSL网关 本章描述了安装格尔SSL网关需要进行的工作和步骤。
4.1 产品检查
在安装格尔SSL网关之前应对照产品清单确保所有部件都已存在,并检查所有部件是否完好。如果有任何部件缺少或者损坏,请不要执行安装,应立即与销售商进行联系。
4.2 部署模式选择
在安装格尔SSL网关之前应规划部署模式,根据自身的应用情况选择串联模式或者并联模式,确定网络连接拓扑及所需要的IP地址。
4.3 环境准备 4.3.1 安装位置
格尔SSL网关可以有两种安装方式:
安装于标准的19”机架中:E系列产品高度为1U,使用螺钉固定;G系
列产品高度为2U,使用导轨支撑,具体安装方式参考导轨安装指南。 单独安放:格尔SSL网关底部需放在平坦的表面上,设备前后保持足够
空间供操作者通过以及适当的通风空间。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
16
4.3.2 工作环境
格尔SSL网关产品系统工作环境: 工作温度:0 C--40 C 存储温度:-40 C--70 C
工作湿度:5 --95 RH,不凝结 工作电源:100-250V AC,50-60Hz
4.4 连线
格尔SSL网关工作时需要以下连接线接入设备: 1或者2根电源线。
1根RJ-45网线连接外网口与外部网络。
1根RJ-45网线连接内网口与内部服务器网络。(串联模式需要) 1根RJ-45网线连接管理口与配置客户端。(配置管理系统时需要) 1根RJ-45网线连接两台设备的热备口。(双机热备时需要)
4.5 开机
确保连接线连接无误后,打开设备后面板的电源开关系统加电,系统启动约花费1分钟。
一旦设备加电,则系统前面板上的指示灯将显示系统的状态: 电源灯亮显示系统加电成功。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
17
网卡灯亮显示网络连接成功,网卡灯闪烁显示网卡处于活动状态。 厂家提示:
双电源的需要两根电源线同时接通,只有一根时机器会发生鸣叫报警。
4.6 关机
关闭设备电源。
上海格尔软件股份有限公司
18
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
5 登录格尔SSL网关 本章描述了如何使管理客户端通过管理口登录格尔SSL网关。
5.1 管理客户端准备
整个配置过程都是基于Web方式的,通过管理客户端的浏览器连接系统进行各种管理和配置。
对于需要进行远程配置的客户端需要如下条件:
Windows操作系统,建议IE6.0以上版本,显示分辨率为1024*768。 将管理客户端的机器与格尔SSL网关的管理口(LAN2)通过网络连接。
网口直接相连时需要使用交叉网线。
配置管理客户端为192.168.190.0网段,子网掩码为255.255.255.0,IP
地址配置为除192.168.190.7以外的其它地址(管理接口的出厂配置为192.168.190.7)。
5.2 登录系统
对格尔SSL网关的所有配置和管理,管理员都可以通过web配置界面方式进行。为了保证系统的安全,系统只能通过管理口进行配置。
系统登录的步骤:
准备好管理客户端机器,配置好IP地址(除192.168.190.7以外的其它
地址)。
将客户端机器通过网络与格尔SSL网关的管理口(LAN2)连接,确保网
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
19
络连通。可在客户端机器上使用“ping 192.168.190.7”验证是否连通。 在客户端机器上打开IE浏览器,在地址栏中键入http://192.168.190.7/,
出现如下所示登录页面:
图表 10 登录
输入默认口令:12345678, 单击“确定”按钮, 进入下面格尔SSL认
证服务管理主页面,表明登录系统成功,可以进行以后的各项操作了。
上海格尔软件股份有限公司
20
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 11 SSL认证服务管理界面
厂家提示:
为了保证登录顺利无误,尽可能使用交叉网线直接将客户端机器与格尔
SSL网关的管理口(LAN2)连接。
为了保证安全,管理员第一次登录系统后应立即更改默认密码。
5.3 更改密码
格尔SSL网关的配置管理员只有一个,因此为了保证安全,管理员应该定期改变密码。更改密码的前提是管理员已经成功登录系统,更改后的密码将从下次登录起生效。
更改密码步骤:
管理员点击格尔SSL认证服务管理面右上角“修改密码”按钮,出现以
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
21
下对话框:
图表 12 修改密码对话框
在修改密码对话框中输入旧密码,输入新密码以及确认新密码(必须与
新密码相同),密码最长为8位,不能为空密码,点击“确定”修改密码。 厂家提示:
请妥善保管好管理员密码,管理员密码丢失将无法登录管理系统,用户
自行无法恢复,必须请厂家技术人员现场维护恢复。
6 配置网络信息 本章介绍如何配置格尔SSL网关的网络信息,包括网络接口配置、路由和DNS的设置。
格尔SSL网关本身就是一个网络设备,只有网络信息得到了正确配置,格尔SSL网关才能接入网络,为用户提供服务。
配置网络前应选取好部署模式(串联还是并联),确定好网关所应具有的网
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
22
络地址,串联模式需要一个外网地址和一个内网地址,并联模式只需要一个外网地址。
登录系统后,点击“网络配置”的一级菜单,进入网络配置界面:
图表 13 网络配置
6.1 网络接口配置
网络接口配置即网卡地址配置,网络地址代表了网关在网络中所处的位置。配置了网络地址后,SSL服务才能够正常启动,用户才能通过地址访问网关,获取服务。
点击网络配置界面左侧的“网络接口”菜单,显示当前网络接口信息。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
23
图表 14网络接口信息
由于系统中管理口和热备口的作用和地址都已固定,因此系统中可以给用户
配置的网络接口只有外网口(LAN0)和内网口(LAN1),即系统中表示的eth0和eth1。
网络接口信息界面中显示了eth0和eth1接口的状态信息,包括:
网络接口:系统中网络接口的名称或标识。
类型:网络接口类型,目前都为以太网类型(Ethernet)。 IP地址:当前网卡的IP地址。 子网掩码:当前网络的掩码。 广播:当前网络的广播地址。
虚拟接口:点击对应的按钮可以在对应网卡上增加或删除虚拟接口。 改变状态:点击对应的按钮可以使对应的网卡状态发生改变,启动
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
24
或者停止。
厂家提示:
串联模式需要依次对外网口和内网口进行地址配置。 并联模式仅需对外网口进行配置。
6.1.1 配置网络接口
在网络接口信息页面中点击需要配置的网络接口名称,如eth0,就可以配置此网络接口的信息:
图表 15 接口配置
对网络接口可以配置的信息包括: IP地址:此网卡的IP地址。
网络:属于的网络,IP与子网掩码相与的结构。
上海格尔软件股份有限公司
25
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
子网掩码:决定所属网络,与所连接网络掩码相同。 广播:网络的广播地址。
最大传输单元:网卡属性,确定每次传输数据单元的大小。
点击“保存”按钮,则对网络接口所做的改动被保存到系统中,只有重新启动网络接口或者系统时所做配置才会生效。
厂家提示:
网络接口信息配置非常重要,每项信息都要确保正确,否则可能造成网
络不通或异常,SSL服务无法正常启动。
eth0-eth3的4个网络接口中任何两个不能配置在同一网段,即所属网
络不能相同。
配置网络接口信息中最大传输单元默认为1500,在没有确定把握的情
况下不要改动此值,否则会造成网络的不稳定。
配置完网络接口后应立即重新启动网络接口使配置生效,确认配置成功。 192.168.190.0和4.4.4.0是系统使用的保留网段,您不能将eth0或
者eth1的地址(包括上面的虚拟地址)设置到这两个网段中。
6.1.2 配置虚拟接口
虚拟接口是系统在一个物理接口上虚拟出来的逻辑接口,在虚拟接口上可以配置不同的地址,通过虚拟接口可以实现在同一个物理接口上配置多个IP地址。例如系统只有一个外网口,希望启动2个SSL服务,分别以不同的地址对外服
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
26
务,则可以配置外网口地址为172.16.23.45/24,然后增加一个虚拟接口,配置地址为172.16.23.46/24。
在网络接口信息页面中点击网络接口的虚拟接口“配置”按钮,进入虚拟接口配置页面,如图所示:
图表 16 虚拟接口配置
页面中显示已有虚拟接口的列表和信息。 添加虚拟接口
在虚拟接口配置页面中点击“添加”按钮,显示添加虚拟接口信息页面:
上海格尔软件股份有限公司
27
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 17 虚拟接口信息
虚拟接口的表示方式“物理接口:序号”,如eth0:0,表示eth0接口的第一
个虚拟接口。虚拟接口的信息配置同网络接口信息配置。
点击“保存”按钮,则对网络接口所做的改动被保存到系统中,只有重新启动网络接口或者系统时所做配置才会生效。
上海格尔软件股份有限公司
28
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 18 虚拟接口配置1
修改虚拟接口
通过修改虚拟接口功能可以对已有的虚拟接口信息进行修改,在虚拟接口配置页面中点击虚拟接口名称,显示修改虚拟接口信息页面,页面内容同添加虚拟接口信息页面。对信息进行修改后,点击“保存”按钮,则对网络接口所做的改动被保存到系统中,只有重新启动网络接口或者系统时所做配置才会生效。
启动与停止虚拟接口
虚拟接口的状态可以通过界面进行改变,在虚拟接口配置页面中点击对应虚拟接口的操作按钮,可以启动或停止当前的虚拟接口。
删除虚拟接口
通过删除虚拟接口功能可以将不再需要的虚拟接口删除,在虚拟接口配置页面中点击对应虚拟接口的“删除”按钮,可以将此虚拟接口删除。删除虚拟接口
上海格尔软件股份有限公司
29
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
只能按照顺序从最后一个删除,如图:
图表 19删除虚拟接口
厂家提示:
虚拟接口仅是特殊环境的一种变通方式,尽可能不要使用虚拟接口。 一个网络接口上的虚拟接口不要超过2个。
同一物理网络接口上的虚拟接口之间以及虚拟接口与网络接口之间的地
址尽可能在同一网段中,否则可能引起未知问题。 停止或删除虚拟接口将会影响到使用此接口的SSL服务。 停止某一物理网络接口时,该接口上的所有虚拟接口都会被停止。 一个物理网络接口中包含的虚拟接口不能与其他物理接口(包括上面的
虚拟接口)在同一个网段中。
6.1.3 启动、停止网络接口
启动、停止网络接口作用是改变网络接口的状态,同时停止后启动可以使新
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
30
的网络配置生效而无需重新启动机器。
在网络接口信息页面中点击网络接口的改变状态按钮,改变网络接口状态。若当前网络接口为停止状态,则按钮显示“启动”,点击后网络接口启动成功,按钮显示“停止”。
厂家提示:
停止网络接口将会影响到使用此接口的SSL服务。
启动或停止某一物理网络接口时,该操作将影响接口上的所有虚拟接口。
6.2 路由和DNS配置
网络接口信息配置好后,仅仅本网段的设备能够互通信息,其他网段的机器无法与之通讯,必须配置好路由信息才能跨网段通讯,才能使网关真正接入网络。
在网络配置信息网页中点击“路由和DNS”菜单,进入路由和DNS配置界面,如图:
图表 20路由和DNS配置
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
31
添加路由
在路由和DNS配置界面中点击路由“添加”按钮,显示路由的添加页面:
图表 21 添加默认网关
页面缺省显示添加默认网关,只需要填写网关地址,点击“保存”按钮,默认网关添加成功并立即生效。
除了添加默认网关外,系统还可以添加静态路由,点击“添加”按钮,在显示出的条目的下拉菜单中选择静态路由,如图:
图表 22添加静态路由
上海格尔软件股份有限公司
32
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
填写要达到网络、子网掩码、网关地址后,点击“保存”按钮,静态路由添
加成功并立即生效。
厂家提示:
设置的网关地址必须是通过目前的网络接口可以连通的一个地址,并且
网络接口已经启动,否则无法设置成功,出现以下提示:
图表 23路由设置错误
默认网关只有一个。
外网口是连接外部网络比较复杂,因此默认网关通常设置为外网口可达,
若内网也需要路由可采用添加静态路由方式。 设置好路由可通过后面的网络工具测试正确性。
删除路由
在路由和DNS配置中,点击路由记录最右面的“删除”按钮,删除本条路由记录。 添加DNS
在路由和DNS配置界面中点击DNS“添加”按钮,显示DNS的添加页面:
上海格尔软件股份有限公司
33
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 24添加DNS
填写好DNS服务器地址后点击保存。
厂家提示:
可以添加多个DNS服务器
只有需要本服务器通过域名访问其他服务器时(如WEB服务器)才需
要配置DNS服务器。 删除DNS
在路由和DNS配置中,点击DNS记录最右面的“删除”按钮,删除本条DNS记录。
6.3 使用网络调试工具
为了便于进行简单的网络调试,在网络配置菜单中,系统提供了几种简单的工具,包括Ping,Traceroute,SSH,可以判断SSL服务器与其他网络的连通状态以及经过的路由。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
34
6.3.1 使用Ping
Ping是一个非常有用的命令,可以测试系统与远端设备的连通性,当配置完网络接口信息或者路由信息后可以通过Ping命令来验证配置的正确性,能够Ping通本网段设备说明系统自身网络接口信息配置正确,能够Ping通其他网段的设备说明路由配置正确。
在网络配置页面中点击Ping菜单,显示Ping的运行页面,输入测试连通的IP地址,点击“运行”按钮,若成功连通则显示如下页面:
图表 25Ping1
若无法连通显示如下页面:
上海格尔软件股份有限公司
35
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 26Ping2
6.3.2 使用Traceroute
Traceroute也是一个非常有用的网络调试工具,用于获取服务器到达其他网段的机器需要经过的路由信息,来判断网络中的路由情况。
在网络配置页面中点击Traceroute菜单,显示Traceroute的运行页面,输入目标IP地址,点击“运行”按钮,显示达到目标地址经过的路由信息:
图表 27 Traceroute
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
36
厂家提示:
如果路由路径较为复杂将耗时较长,甚至造成超时。
6.3.3 使用SSH
SSH是远程登录服务,主要用于产品工程师维护系统。系统缺省情况下此服务是处于关闭状态,需要进行远程登录系统时,开启此服务。网络配置页面中点击SSH菜单,点击动作按钮来改变服务的状态,如图:
图表 28 SSH
厂家提示:
SSH服务主要用于产品工程师维护系统和调试,普通用户无需此功能。 启动SSH服务会开启系统的tcp22端口,可能会受到外界的攻击,因
此用户不要自行开启此服务,以免造成安全隐患。
上海格尔软件股份有限公司
37
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
7 配置SSL认证服务 本章主要描述如何配置SSL服务保护应用系统,实现身份认证和传输加密。 配置SSL服务并能正确运行的前提是网络配置成功。
登录系统后,点击“SSL认证服务器管理”,进入服务配置界面:
图表 29SSL认证服务管理
整个SSL认证服务配置分为证书配置管理、服务管理、SSL高级管理三部分。 厂家提示:
系统出厂默认配置中有一个已经配置好的SSL服务,此服务代理了自身
的管理界面,使用单向认证机制,用户可以通过外网口访问https://192.168.191.7/进入。此服务仅作为一个配置示例使用,外网口地址变化后,服务的地址也应相应变化。
上海格尔软件股份有限公司
38
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
7.1 证书配置管理
证书配置管理中包含了对所有网关涉及到的证书进行管理,包括站点证书和证书链管理。
7.1.1 站点证书
站点证书是CA签发给网关的,代表网关的数字身份,在与客户端建立安全连接时需要使用站点证书表明自已的身份,提供给客户端进行验证,只有确立了身份,服务才能正常启动,因此站点证书是建立安全连接的基础。
为了保障站点证书的唯一性,站点证书生成的流程是:
格尔SSL网关生成站点证书请求。私钥本地产生和保存,将公钥及站点
描述信息作为证书请求。
将站点证书请求发送到CA中心签发证书。
将签发的站点证书导入格尔SSL网关与私钥匹配成功后完成站点证书生
成。 厂家提示
只有正确的完成站点证书配置后,配置SSL服务时才会有可用的站点证
书。
7.1.2 生成证书请求
站点证书中需要包含一些对站点的描述信息,此信息需要填写在生成的证书
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
39
请求中。
在认证服务管理页面中,点击“生成证书请求”按钮,进入证书请求页面:
图表 30生成证书请求
需要填写的站点证书信息:
站点名称:站点的身份名称,站点证书CN项的值,通常设置为站点域
名或者站点的IP地址,此项为必填项。
国家代码:站点所在的国家代码,站点证书C项的值,目前只有中国。 省份:站点所在省代码,站点证书ST项的值,目前只有中国省份。 城市:站点所在城市,站点证书L项值,目前只有中国的主要城市。 公司名称:站点证书O项值,此项信息限制在20字以内。 部门:站点证书OU项值,此项信息限制在20字以内。 E-mail:站点证书Email项值,此项信息限制在20字以内。
上海格尔软件股份有限公司
40
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
私钥密码:8位数字或字母,用于保护私钥文件的密码,不属于站点证
书信息。
填写好信息后,点击“生成站点证书请求”按钮,系统将根据所填写的信息生成站点请求:
图表 31导出站点证书请求
页面文本框中的信息就是站点证书请求信息,格式为PKCS10标准格式。证书请求的保存方式有两种:一是可以使用拷贝、粘贴方式将信息保存到另外的文件中;二是可以直接在页面上点击“保存”,将信息作为文件保存在本地,文件名默认为“站点名称”.p10。
站点证书请求生成后就可以到CA中心申请签发站点证书了。 厂家提示:
站点名称使用域名还是IP地址取决于用户通过什么方式来访问(即用
户在浏览器地址栏中键入什么来访问应用),如用户通过域名来获取服务,则站点名称需要填写域名,反之亦然。否则客户端验证服务端站点
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
41
证书时会提示站点证书与所访问站点不匹配。
系统不提供下载已经生成站点证书请求的功能,因此生成站点请求后务
必保存站点证书请求。
7.1.3 申请站点证书
申请站点证书的过程是将生成的站点证书请求发送到CA中心,CA中心根据请求签发站点证书,然后将证书文件返回给用户,用户得到证书文件后就可以进行最后一步操作:导入站点证书了。
7.1.4 配置站点证书
在认证服务管理页面中,点击“站点证书配置”按钮,进入配置页面:
图表 32 站点证书配置
站点配置页面中显示已经存在的站点证书(系统最初默认存在一个站点证
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
42
书www.mysite.com,为系统缺省服务所用),显示名称为生成请求时填写的站点名称。
7.1.4.1 导入站点证书
导入站点证书就是将CA中心签发的证书导入网关中与相应的私钥匹配,形成完整的站点证书。导入正确站点证书后,在配置SSL服务时才有可选择的站点证书进行配置。
在站点证书配置页面中点击“浏览”,选择需要导入的站点证书文件,点击“上传”按钮,系统将上传的证书文件与系统内的私钥进行匹配,如果匹配成功将在站点证书列表中显示此站点证书,若无匹配的私钥,则显示如下信息:
图表 33站点证书私钥不匹配
厂家提示:
上传的站点证书文件必须为Base64编码格式。 上传证书的大小不能超过5k,不能小于512字节。
上海格尔软件股份有限公司
43
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
7.1.4.2 查看站点证书
在认证服务管理页面中,点击“站点证书配置”按钮,页面显示目前系统具有的站点证书。 厂家提示:
站点证书显示的名称是证书内容的CN项值。
7.1.4.3 删除站点证书
在站点证书配置页面中选中需要删除的站点证书,点击“删除”按钮,所选中的站点证书将被删除。 厂家提示:
删除站点证书会导致使用此站点证书的SSL服务无法启动。 删除站点证书时,该站点证书对应的私钥一同被删除。
7.1.5 证书链配置
这里提到的证书链就是所谓的信任证书链,网关在对用户进行验证的时候重要的一条就是验证证书链,即用户证书是否是网关信任的CA中心签发,因此,网关为了验证用户,必须首先将信任CA中心的证书配置到信任列表中。
之所以称之为证书链是因为CA证书是分层次的,通常由根证书、一级CA证书、二级CA证书等组成一条信任链,如图:
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
44
根证书CA证书用户证书用户证书用户证书
图表 34 证书链结构
SSL服务必须配置了根证书、CA证书作为信任链才能验证此链下面的用户证
书。
在认证服务管理界面中点击“证书链配置”,出现证书链配置页面:
上海格尔软件股份有限公司
45
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 35 证书链配置
页面中显示已经存在的受信任的证书链文件(系统初始默认设置中有一个信任证书文件,为系统缺省服务所用),显示名称是证书的CN项内容或者DN项内容(CN项不存在时)。
7.1.5.1 导入证书链
导入证书链文件后,在配置SSL服务时才有可以信任的证书链进行选择。 在证书链配置页面中点击“浏览”,选择需要导入的证书链文件,点击“上传”按钮,系统将显示上传的证书,并对证书链进行上级匹配,若已经存在上级证书则显示证书名,若没有相应的上级证书,则系统将进行提示,显示如下信息:
上海格尔软件股份有限公司
46
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 36 上传证书链
厂家提示:
上传的证书文件必须为Base64编码格式。 上传证书的大小不能超过5k,不能小于512字节。 请勿将多个证书合并到一个文件中上传。
系统仅检测证书的上级证书是否存在,因此根CA始终显示正常,如果
下级CA证书没有上传也无法形成完整的证书链。
7.1.5.2 查看证书链
在认证服务管理界面中点击“证书链配置”,页面显示目前系统具有的证书链文件。
厂家提示:
站点证书显示的名称是证书内容的CN项值或者证书内容的DN项值(若
CN项不存在)。
上海格尔软件股份有限公司
47
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
7.1.5.3 删除证书链
在证书链配置页面中选中需要删除的证书链,点击“删除”按钮,所选中的证书链将被删除。
厂家提示:
删除证书链会导致使用此证书链的SSL服务无法验证此证书链中的用户
证书。
7.2 SSL服务管理
SSL服务是此系统的核心功能,先前的所有工作都是为配置SSL服务所作的准备。
本章详细描述如何正确的配置SSL服务,包括配置SSL服务参数,增加、删除SSL服务等功能。
在SSL认证服务管理页面中点击“SSL服务”菜单,进入SSL服务管理页:
上海格尔软件股份有限公司
48
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 37 SSL服务管理
页面显示的为当前存在的服务列表(系统存在一个默认服务),在此页面中可以添加、删除、启动、停止SSL服务,还可以查看服务的日志信息。服务显示列表中信息含义如下:
服务名:SSL服务的描述名称。点击可进行此SSL服务的具体参数设置。 状态:显示目前此服务的运行状态,“已启动”或“已停止”。 动作:显示改变服务运行状态的操作,“停止”或“启动”。 日志:点击日志栏中的查看链接,可以查看对应服务的日志信息。
7.2.1 启动/停止SSL服务
系统中已经配置的SSL服务在系统启动时会自动启动,用户也可以手工停止、启动服务。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
49
在SSL服务管理页面中,点击相应服务对应的动作,可以停止当前服务或者启动当前服务。
厂家提示:
启动、停止服务操作后,服务对应的状态栏应发生相应变化,若无变化
可点击页面中的“刷新”按钮,刷新页面状态后查看。
启动、停止服务操作后,如果未能成功,可以点击日志查看链接查看服
务日志,查看原因。
7.2.2 添加SSL服务
系统支持多个SSL服务同时存在,每个服务都可以独立保护应用服务器。 在SSL服务管理页面中点击“添加”按钮,系统将自动产生一个SSL服务,并显示到列表中,如图:
图表 38 增加SSL服务
新增加的服务仅是一个服务示例框架,并不能完成用户期望的功能,必须对
上海格尔软件股份有限公司
50
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
服务进行相应的配置后,SSL服务才能正常启动,提供用户期望的服务。
厂家提示:
增加SSL服务的个数应该根据产品配置、产品型号进行选择,太多服务
会造成系统性能下降,引起异常,建议如下:
产品型号 E-2010 E-2020 E-2040 G-4020 G-4040 建议最大服务个数 2 4 6 8 10 7.2.3 删除SSL服务
对于不需要的SSL服务可以删除,避免造成系统资源的浪费。
在SSL服务管理页面中选中需要删除服务,点击“删除”按钮,系统将删除
此SSL服务。
厂家提示:
删除服务前请确认服务不再需要并已经停止,如果要删除的服务正在运
行,则系统会自动停止服务并删除。
7.2.4 配置/修改SSL服务参数
本章描述如何正确配置SSL服务的参数,完成用户期望的功能。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
51
在SSL服务管理页面中点击服务名称,进入服务的参数配置页面,SSL服务的参数配置包括基本参数、证书配置、用户策略、性能选项。
7.2.4.1 基本参数配置
基本参数配置决定了SSL服务的代理模式、数据流向等。基本参数配置是进入SSL服务配置的缺省显示页面,也是最容易改动的配置。
在SSL服务管理页面中点击服务名称,进入服务的基本参数配置页面:
图表 39 SSL服务参数配置-基本参数
配置参数的含义如下:
配置名称:服务的描述信息,也是服务列表中的显示名称。
代理模式:SSL服务器与客户端的工作模式,目前仅为HTTPS模式,即
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
52
客户端必须通过HTTPS方式连接网关服务器。
本地服务IP地址:对用户提供服务的地址,地址必须为网络配置中网络
接口或者虚拟接口具有的地址,通常为与用户网络连接的网络接口的地址,即用户可以通过此地址访问网关服务。
本地服务端口号:对用户提供服务的端口号,范围从1-65535,避免使
用其它协议约定的端口,如80,21,22等,建议使用443端口,443端口是https的默认端口号,即https://192.168.191.7:443 等同于https://192.168.191.7 。
后台服务IP地址:被SSL服务保护的服务器地址,目前特指真正的web
服务器地址,此地址必须是网关服务器能够访问的地址。
后台服务端口号:被SSL服务保护的服务器服务的端口号,目前特指web
服务端口号。
运行日志等级:定义记录系统运行日志的等级,不同的等级代表不同的
信息详细程度。日志级别分别为:不记录、错误、警告、通知、信息、调试,信息详细程度依次升高,信息依次包含。只有错误(error)级别日志信息才可能是引起系统不正常工作的原因或者可能引起系统的异常,其他日志信息记录系统的正常流程和处理,不影响系统的正常运行,因此用户可仅关注错误日志。
用户访问日志:定义用户访问日志的记录方式,用户日志记录的用户的
对资源的访问情况,包含时间、用户、客户IP、访问资源、访问结果等信息。用户访问日志分为:不记录——表示不记录用户访问日志;只记
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
53
录到文件——表示用户访问日志仅仅写入系统的本地日志文件;只发送到SYSLOG——表示用户访问日志被发送到外部SYSLOG服务器(若系统中已经配置并启用),不会写入本地日志文件;记录到文件,同时发送到SYSLOG服务器——表示用户访问日志既写入本地日志文件中,也被发送到指定的SYSLOG服务器。
填写好配置参数信息后,点击“保存”按钮,将服务信息保存到系统中。 厂家提示:
任何两个SSL服务的本地服务IP地址和本地服务端口不能完全相同,
否则会造成其中一个无法正常启动,多个服务之间可采用端口区分或者通过虚拟不同地址区分,如一个服务地址为192.168.191.7,端口为443,另一个服务地址为192.168.191.7,端口为444;或者一个服务为192.168.191.7,端口为443,另一个服务为192.168.191.8,端口为443。
用户根据自己需要定义日志级别。记住:日志越详细,性能越低。 运行日志自动写入本地日志文件中,如系统配置了SYSLOG服务器并启
用,运行日志同时会被发送到SYSLOG服务器。
每个SSL服务的日志文件最大为256K,大于256K后将重写文件,进
行回滚。
只有定义了正确的日志级别和记录方式,才能在查看日志功能中查看相
应的日志。
上海格尔软件股份有限公司
54
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
7.2.4.2 证书配置
SSL服务中的证书配置主要包括服务的站点证书配置和信任证书链配置。站点证书是SSL服务的必须选择,即每个SSL服务必须具备一个站点证书;当SSL服务配置为双向认证,即需要验证用户端证书时需要配置证书链,若SSL服务为单向认证,即不需要用户提交证书,则无需配置证书链。
在服务参数配置页面中点击 “证书配置”TAB页,出现证书配置页面:
图表 40 SSL服务参数配置-证书配置
站点证书选择:在下拉框中选择服务所用站点的站点证书。下拉框中所列举的证书是系统所导入的所有有效站点证书。
证书链选择:页面中列出当前系统所有有效的证书链,选中服务所要信任的证书文件。
点击“保存”按钮保存所做的设置。
厂家提示:
站点证书的选择应该根据服务基本参数中的本地服务IP地址相匹配,
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
55
即站点正式CN项值为本地服务IP地址或者与之对应的域名。 证书链选择应该完整,即将整条证书链的文件都进行选择,否则依然无
法达到验证用户的目的。
7.2.4.3 用户策略配置
系统可以对SSL服务的认证方式、使用的协议、加密强度、以及是否向应用传递证书信息等进行控制来满足用户的不同实际需要。在服务参数配置页面中点击 “用户策略”TAB页,出现用户策略配置页面:
图表 41 用户策略配置
配置参数含义如下:
是否提交用户证书:选择SSL服务的认证模式,有以下几种模式:
✓ 不验证。表示使用单向认证模式,用户不需要提交证书就可以与服
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
56
务端建立连接。
✓ 可选验证。单双向的可选模式,用户既可以提交证书也可以不提交
证书都可以与服务端建立连接。用户提交的证书也必须是在SSL服务配置的信任证书链中。
✓ 强制验证。表示双向认证,用户必须提交有效证书才能与服务端建
立连接,选择此项时SSL服务在证书配置中必须选择相应证书链即用户证书对应的CA证书才能完成双向认证功能,否则会显示如下错误:
图表 42 证书链验证错误
协议选择:配置SSL服务与服务端建立连接时使用的协议,有以下选择:
✓ SSL3.0协议:表示SSL服务端支持SSL3.0协议,若客户端使用
SSL2.0协议将无法与服务端建立连接。
✓ SSL2.0协议:表示SSL服务端支持SSL2.0协议,配置此项时下面
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
57
的加密强度也必须选择所有算法,否则无法建立连接。 ✓ TLS1.0协议:表示SSL服务端支持TLS1.0协议。
✓ 所有协议:表示SSL服务端支持所有协议,客户端与服务端建立连
接使用的协议取决于客户端。选择所有协议时必须同时在“是否提交用户证书”选项中选择不验证才能支持SSL2.0协议。
为了使SSL服务更具兼容性,则协议可以选择所有协议;为了使SSL服务更加安全,则协议选择SSL3.0或者TLS1.0协议。
SSL缓存大小:配置SSL服务使用的缓存区大小,用于存储SSL Session,
空间从服务端内存中开辟。客户端与服务端每次新建立连接都形成一个独有的SSL Session,若双方都保存此SSL Session,则下一次连接时可以使用此SSL Session,减少建立连接用的消耗,大大提高效率。此选项有以下选择:
✓ 无缓存:表示SSL服务没有SSL缓存,客户端的每个连接都是新连
接。这种方式最安全,但效率低。
✓ 1M缓存:表示SSL服务有1M空间存储SSL Session。 ✓ 2M缓存:表示SSL服务有2M空间存储SSL Session。 ✓ 4M缓存:表示SSL服务有4M空间存储SSL Session。 ✓ 8M缓存:表示SSL服务有8M空间存储SSL Session。 ✓ 16M缓存:表示SSL服务有16M空间存储SSL Session。 ✓ 32M缓存:表示SSL服务有32M空间存储SSL Session。
每个SSL Session在1k左右,用户根据客户端数量进行配置缓存大小,
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
58
虽然缓存可以提高连接效率,但缓存过大相反也会影响效率。 黑名单设置:配置是否验证黑名单,若可用则配置黑名单缓存区大小,
用于存储黑名单,此空间从服务端内存中开辟,此项只有在用户选择了验证用户证书才有效。若选择验证黑名单,则必须正确配置黑名单服务并且正确下载黑名单,否则会出现如下错误显示:
图表 43 无可用黑名单
此项有以下选择:
✓ 不验证黑名单:表示SSL服务不验证用户证书是否在黑名单内。 ✓ 10000条黑名单:表示SSL开辟10000条黑名单的存储空间。 ✓ 50000条黑名单:表示SSL开辟50000条黑名单的存储空间。 ✓ 100000条黑名单:表示SSL开辟100000条黑名单的存储空间。 ✓ 500000条黑名单:表示SSL开辟500000条黑名单的存储空间。 ✓ 1000000条黑名单:表示SSL开辟1000000条黑名单的存储空间。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
59
用户可以根据黑名单的数量选择以节省服务端存储空间资源,如果用户选择空间小于实际黑名单数量,则SSL服务日志中会有如下显示:“共享内存太小,无法容纳所有的黑名单”。
加密强度:配置建立SSL连接时使用的算法及算法强度,决定了安全连
接的安全程度,此项有以下选择:
✓ 128位 3DES算法:表示SSL服务强制使用高强度的3DES算法。 ✓ 128位 RC4算法:表示SSL服务强制使用128位的RC4算法。 ✓ 空算法:表示建立SSL可以使用空算法,即不进行加密。 ✓ 所有算法:表示SSL服务可以支持多种算法,连接时的算法根据客
户端支持的列表决定。
是否绑定cookie:与应用接口的开关,配置SSL服务是否将用户证书
信息以cookie方式传递给后台应用,绑定的具体信息由高级配置中的证书项绑定配置决定。此项只有在选择了提交用户证书即时用双向认证后才生效。
是否使用自定义错误页面:使用自定义错误页面的开关,SSL服务提供
了用户自定义错误页面功能,当客户端访问SSL服务发生某些错误时可以返回用户已经定义好的页面给客户端,具体的错误和返回的页面在详细配置中进行定义,如图:
上海格尔软件股份有限公司
60
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 44 自定义错误页面
页面中显示了当前已有错误描述和对应的错误页面地址,每条记录前面的check框表示此条记录是否启用。错误页面的地址是指此SSL服务保护的WEB服务器中页面的路径地址,如第二条记录表示当用户证书尚未生效时向用户返回WEB服务中/err/cert_not_yet_valid.html的页面。点击记录中的错误页面地址,可以对此错误对应的页面地址进行更改,如下图:
图表 45 修改自定义错误页面地址
厂家提示:
SSL session和黑名单的缓存都是每个SSL服务都有的,并不是整个系
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
61
统共有的。
为了包含所有黑名单,在资源足够大的情况下可以选择最大空间。 使用自定义错误页面时一定要确认配置的页面地址在WEB服务器中存
在,否则用户将无法得到任何提示页面。
系统WEB管理服务中有一个获取COOKIE的页面,路径为
/test/httpvars.php,因此可以系统自身WEB,无须外部服务器就可以验证SSL服务向应用传递的信息。具体操作可参见《格尔安全认证网关常见问题解答(FAQ)》。
7.2.4.4 性能选项配置
系统提供了对SSL服务的性能参数调整,包括加密引擎数目和加密引擎类型。加密引擎阀值是于SSL内部的软硬件算法引擎对并发请求做负载均衡处理的核心参数,它的大小和系统的并发情况以及CPU(软件)/加密卡(硬件)性能相关。
在服务参数配置页面中点击 “性能选项”TAB页,出现性能选项配置页面:
上海格尔软件股份有限公司
62
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 46 性能选项配置
配置参数含义如下:
加密引擎极限阀值:SSL服务最大使用的引擎数目。 加密引擎初始阀值:SSL服务启动时默认的引擎数目。
加密引擎类型:SSL服务加密引擎的类型,分为软件和硬件。此选项只
有在同时具有软件和硬件引擎的G型产品上才会出现,对于E型产品没有硬件引擎,只能使用软件,因此没有此选项。
加密引擎阀值,它的大小和系统的并发情况以及CPU(软件)/加密卡(硬件)性能相关,数目越多处理的用户数目也越多,但也并不是越多越好,一般情况下请使用厂商提供的推荐值。对于整个系统能够支持引擎数目是一定限制的,不同型号产品的引擎数目极限值如下:
产品型号 上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
63
引擎极限值 E-2010 E-2020 E-2040 G-4020 G-4020 厂家提示:
350 1200 1200 2500 5500 所有服务的加密引擎极限阀值之和不能超过系统的极限值。
7.2.5 查看SSL服务日志
SSL服务都提供强大的日志功能,包括系统日志及用户访问日志,方便问题的分析和信息统计。由于自身存储介质容量限制,格尔SSL网关自身不保存全部的日志信息,仅以回滚日志的方式保存当前的若干条日志信息。此处查看的是系统保存的最新日志信息,并不是所有日志信息。
SSL网关还提供了日志外发功能,以SYSLOG将日志信息发送到指定日志服务器,配置参见系统管理中的日志服务器配置。
7.2.5.1 日志查看
在SSL服务管理页面中点击SSL服务对应的“查看”连接,进入此服务日志的查看页面:
上海格尔软件股份有限公司
64
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 47 运行日志
服务日志查看页面缺省是查看运行日志,运行日志显示了此服务启动、停止、运行时产生的信息,信息的详细程度由服务的运行日志级别参数决定。
在日志界面中选中访问日志,则显示用户的访问日志:
上海格尔软件股份有限公司
65
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 48 用户访问日志
用户访问日志记录了用户访问资源的记录。用户提交证书时日志格式如下: TIME=\"2005-11-24
11:11:11\"
格
尔
测
IP=\"192.168.192.1\" 试
@00000001\"
UserID=\"041@0123456789012345@SSLProxy=\"www.mysite.com:443\" HTTP/1.1\" Result=\"200\";
用户不提交证书时的日志格式如下: TIME=\"2005-11-24
SSLProxy=\"www.mysite.com:443\" Result=\"200\"
Action=\"GET /ssl/service_conf.php
11:37:42\" Action=\"GET
IP=\"192.168.192.1\" /index.php
HTTP/1.1\"
TIME字段表示用户访问的时间。 IP字段表示用户使用机器的IP地址。 UserID字段是用户证书的CN项值。 SSLProxy字段是服务的站点名称和端口
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
66
Action字段是用户的动作和资源名称,格式与HTTP协议中的动作一致,
如以上日志信息含义为“用户通过HTTP1.1协议获取服务的/ssl/service_conf.php资源”。
Result字段表示动作的结果,格式与HTTP协议中的动作一致。
日志缺省显示日志文件最后的10条记录,点击“刷新”按钮可以显示最新的记录。
厂家提示:
每个服务的日志都是独立查看的。
建议在用户提交证书情况下选择记录用户访问日志。
系统保存的运行日志和用户访问日志非常有限,仅作为管理员调试、查
看状态使用,若要进行日志审计及跟踪长期状态请采用外接SYSLOG服务器方式。
7.2.5.2 日志查询
系统日志默认只显示最新的10条记录,如果想要查看更多,可以在日志行数框中填写需要查看的行数,然后点击“刷新”按钮,系统将显示填入的行数。
系统还提供了简单的日志过滤功能,可以查找信息中匹配用户输入字符串的记录,比如需要在日志最后1000行中查找192.168.23.1地址的访问记录,则可以在日志行数中输入1000,在过滤字符串中输入192.168.23.1,然后点击“刷新”按钮,系统将显示符合条件的日志记录。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
67
厂家提示:
填入查看日志的行数如果大于日志文件中所有记录的行数,则系统显示
所有日志记录。
日志过滤功能需要和日志行数配合使用,否则缺省在最后10条记录中
匹配。
7.2.5.3 日志下载
系统提供了日志下载功能,可将日志文件下载到本地进行查看分析。 在日志显示页面中点击“下载”按钮,显示下载页面:
图表 49 日志下载
点击“打开”可以在线打开文件查看,点击“保存”可以保存到本地硬盘,
点击“取消”则取消此次操作。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
68
厂家提示:
日志下载是整个文件下载,并不仅是显示的信息。
7.3 SSL高级配置
系统提供了SSL服务的高级配置,目前包括 “证书项绑定”和“证书项编码”。这两项设置都是全局设置,一旦修改,会对所有使用Cookie绑定的服务都产生影响。
在实际的应用中,WEB服务器需要得到访问用户的证书中的信息,而WEB却无法直接获取,为了可以让WEB应用得到相应的用户信息,安全网关提供信息捆绑功能,也就是把证书信息作为一个Cookie项加入到HTTP头中,如果原有的HTTP请求中包含了应用自己使用的Cookie,系统会将自己绑定的Cookie添加到其后,应用可以与获取其他cookie一样方便的获取。采用这种方式有以下优点:
用户证书信息的Cookie项是网关加入的,并不在客户端存储和网络传
输,安全性高,用户无法伪造。
应用开发简单,无需单独的接口开发包,采用原有平台或脚本语言的获
取Cookie接口即可。
每个用户请求中都会根据连接的证书添加,并不缓存,实时性和安全性
高。
上海格尔软件股份有限公司
69
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
7.3.1 证书项绑定设置
证书项绑定设置是配置SSL服务需要向后台应用传递的信息。
在SSL认证服务管理页面中点击“证书项绑定”菜单,显示证书绑定项配置页面。
图表 50 证书项绑定
页面中显示所有可以向应用传递的信息及名称。Cookie名称一栏中显示的是添加到HTTP头信息中的Cookie名称;对应证书项说明中显示的是对应Cookie值的具体含义,例如,系统将把客户端的IP地址作为Cookie添加到HTTP头信
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
70
息中,Cookie的名称为KOAL_CLIETN_IP,即应用服务只要获取名称为KOAL_CLIETN_IP的Cookie值就可以得到客户端的IP地址。
页面中check框选中的表示此信息需要被传送的应用服务器,check框未被选中的信息不会被传送到应用服务器。
用户可以根据应用需要更改Cookie名称,在证书项绑定页面中点击相应的Cookie名称或证书项说明,进入证书项定义页面可以修改对应证书项的Cookie名称:
图表 51证书项定义
在证书项定义页面中可以更改Cookie名称,点击“保存”按钮保存更改后
的设置。
厂家提示:
证书项设定是全局的设定,所有选择绑定Cookie服务都遵照此设置进
行。
证书项设定更改后,需要重新启动SSL服务才能生效。
Cookie将包含在传递给WEB服务器的HTTP头中,所以名称和值都
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
71
不能采用特殊字符。 Cookie名称不能重复。
Cookie的设定不能与应用中的cookie重名。SSL会检查原有的HTTP
请求中是否存在和自己绑定的Cookie名称相同的项,如果有,则SSL将其视为Cookie伪装攻击,会对其进行内容破坏。
用户根据自己的需要绑定信息,原则是需要什么绑定什么。信息绑定时
系统需要进行额外的操作,因此信息绑定越多,性能相对越低;另外,RFC规范中规定Cookie的总长度不能超过4k,某些WEB服务器能接受的Cookie长度可能更小,如某些版本的IIS则可能拒绝超过2k的Cookie,所以不是特殊情况请勿将整张证书内容(大约1k左右,视证书的具体结构而定)绑定到Cookie,否则可能导致WEB服务器不能正常处理。
系统列出的证书项是证书中常见的项,用户需要根据自己证书内容进行
选择(有些项用户证书中可能没有),对于用户证书中特殊项绑定,需要进行定制。
7.3.2 证书项编码
证书项编码是指对向应用传送的证书项进行的编码,即Cookie值的编码。由于后台应用系统默认的编码不同,因此为了正确显示中文,必须将证书项的编码与应用系统的编码进行统一。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
72
只有证书中包含中文并且需要将具有中文的证书项进行绑定时才需要考虑此功能,若证书中不包含中文,则无需考虑此功能。
点击“证书项编码”,进入证书编码配置页面:
图表 52 证书项编码
原始编码:用户证书的编码方式,取决于颁发证书的CA的策略。 COOKIE编码:绑定到HTTP头中的编码方式,与后台应用服务编码一致。 选择相应的编码后,点击“保存”按钮保存更改后的设置。 厂家提示:
证书项编码是全局的设定,所有选择绑定Cookie服务都遵照此设置进
行。
证书项编码更改后,需要重新启动SSL服务才能生效。
在证书中没有中文、无需绑定中文信息以及绑定中文证书项能够正常显
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
73
示时,无需改变此设置。
大多数WEB应用如php,jsp,asp等编码方式都是ISO8859-3或
GB2312,Cookie编码设置可以配置为GB2312;而.NET应用如ASP.net、C#等的编码方式一般为UTF-8,Cookie编码设置应该为UTF-8。
8 配置黑名单下载 本章描述了如何配置黑名单服务。
黑名单即证书吊销列表,英文简称CRL,由 CA中心定期发布到公开的发布点(通常为LDAP服务器),列在黑名单内的证书都是有潜在安全隐患的证书,是系统不再信任的证书。因此对用户证书进行验证时必须对黑名单进行检查,不能使不再受信任的证书通过,以免造成安全隐患。
黑名单对于基于证书的应用来说至关重要,黑名单是不断更新的,体现了一个动态的信任关系, 应用也必须及时动态的检查黑名单,保持信任关系的正确性,格尔SSL网关专门提供一个黑名单下载服务,定期下载黑名单,然后通知相关服务进行动态更新,不需要用户手动更新服务。
登录系统后,点击“黑名单下载”菜单,进入黑名单下载界面:
上海格尔软件股份有限公司
74
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 53黑名单下载
厂家提示:
在SSL服务的用户策略中选择了强制验证黑名单,则黑名单服务必须进
行配置并且正确下载,否则SSL服务会提示无可用黑名单,无法通过验证。
8.1 黑名单服务配置
黑名单服务配置主要是对黑名单发布服务器地址、如何连接、下载什么内容进行详细配置。
在黑名单下载页面中单击“下载配置”,显示以下配置页面:
上海格尔软件股份有限公司
75
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 54黑名单服务配置
页面显示的为当前配置的LDAP服务器配置列表,本产品中默认配置了CFCA的黑名单发布服务(共9个)。在此页面中可以添加、删除黑名单下载服务,查看、修改黑名单下载服务,查看下载日志,立即下载黑名单等操作。
厂家提示:
黑名单服务是系统定期调用运行的,因此“未运行”的状态并不代表服
务配置错误或者不起作用。
目前黑名单下载服务仅支持从LDAP服务器上下载。
目前黑名单下载服务仅支持LDAP使用用户名+口令的认证方式。
上海格尔软件股份有限公司
76
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
8.1.1 添加黑名单下载服务
添加黑名单下载服务是为了能够使格尔SSL网关下载所需要的黑名单,在添加黑名单下载服务之前应从CA提供商获取的LDAP参数,包括LDAP地址、端口、用户名、密码、搜索路径、过滤字符串和节点属性名。
在黑名单服务配置页面中点击“添加”按钮,显示需要填写的服务信息:
图表 55 LDAP发布服务器信息
信息参数含义如下:
➢ LDAP配置名称:名称描述,不对服务有任何实质影响,建议用户使用
容易理解的名字,如CA名称、地址等。
➢ LDAP服务器地址:填写黑名单发布服务器的LDAP地址。
上海格尔软件股份有限公司
77
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
➢ LDAP服务器端口号:发布服务器对外服务的端口号。
➢ LDAP服务器用户名:填写连接LDAP服务器需要认证的用户名(若服
务器需要认证)。
➢ LDAP服务器密码:填写用户名对应的密码。
➢ LDAP连接超时限制:填写一个整数值,代表与LDAP初始连接时需要
等待的时间,若连接时超过此值还未得到服务器响应,则放弃连接。 ➢ 搜索路径:下载服务开始从LDAP上搜索的根节点,此路径填写的越详
细,搜索效率越高。
➢ 过滤字符串:所需查找对象应该具备的特征或者条件,条件可组合使用,
详细语法可参考http://www.ietf.org/rfc/rfc2254.txt。 ➢ LDAP节点属性名:查找对象中需要获取内容的属性名称。
以图中配置为例,此服务匿名连接210.74.41.41服务器的389端口,在节点O=CFCA Operation CA,C=CN下搜索所有cn符合CRL1*的对象,然后获取此对象certificateRevocationList;binary属性的值,然后保存。
厂家提示:
LDAP配置服务的信息较为专业,是CA中心发布对外公开的部分,可
以请CA中心人员协助完成。
配置完黑名单后可以使用立即下载黑名单功能验证配置是否正确。 某些CA的LDAP服务对外限制了下载的数量,如CFCA的LDAP单一
搜索条件不能下载超过300条的CRL记录,此时如果采用(CRL*)作为搜索条件,则无法下载所有黑名单。对于这样的LDAP,请细化搜索条
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
78
件(将(CRL*)细化为(CRL1*),(CRL2*)等),并分配到不同的下载配置中。
8.1.2 删除黑名单下载服务
对于不再需要的黑名单服务应该删除,避免影响性能,如用户不需要系统内置的CFCA黑名单服务,可以进行删除。
在黑名单服务配置页面中选中需要删除服务前面的选择框,然后点击“删除”按钮,则所选服务将会被删除。
厂家提示:
删除黑名单服务后,SSL服务将无法更新此发布点的黑名单。
8.1.3 查看、修改黑名单服务
在黑名单服务配置页面中点击服务名称,则可以显示此服务的配置信息,用户也可以修改其中的信息,点击“保存”按钮,修改成功。
8.1.4 立即下载黑名单
配置或者修改完下载服务后可以使用立即下载黑名单功能验证配置的正确性。
在黑名单服务配置页面中点击对应服务的“立即下载”链接,可以立即启动
上海格尔软件股份有限公司
79
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
此服务进行下载,服务“状态”变为下载中,“操作”链接变为停止下载,如图:
图表 56立即更新黑名单
8.1.5 查看下载日志
通过查看下载服务的日志可以获知下载服务的最后一次下载状况和结果,也可以帮助定位服务问题原因,有助于解决问题。
在黑名单服务配置页面中点击对应服务日志的“查看”链接,可以查看此服务记录的日志信息,如图:
上海格尔软件股份有限公司
80
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 57黑名单下载日志
查看日志时系统缺省显示日志文件的最后10行,若要显示更多可以在第一
个编辑框填入需要查看的行数,然后点击“刷新”按钮,如果日志文件中日志条数大于所填写条数则页面显示所填行数的日志,如果日志文件中日志条数小于或等于所填写条数则页面显示所有日志。
用户可以通过输入字符串来搜索感兴趣的日志信息,输入显示的条数和过滤
字符串后点击“刷新”按钮,则系统显示输入条数中包含有所输入字符串的日志记录。
用户可以将此服务的整个日志文件保存到本地进行查看,点击“下载”按钮,
系统提示下载日志文件:
上海格尔软件股份有限公司
81
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 58下载黑名单日志
点击“打开”可以在线打开文件查看,点击“保存”可以保存到本地硬盘,
点击“取消”则取消此次操作。
厂家提示:
日志文件只保存服务最后一次下载状况的信息。 日志文件最多保存10000条记录。 日志显示不分页。
字符串过滤显示需要和日志条数配合使用,否则只查询最后10条中符
合的记录。
8.2 定时更新时间配置
黑名单下载服务设置完整后,可以设置黑名单下载时间间隔,系统会根据此时间定时运行黑名单下载服务,完成自动更新。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
82
在黑名单下载页面中点击“定时更新配置”菜单,显示定时更新配置页面:
图表 59定时更新配置
自动更新时间分为1小时、2小时、4小时、12小时和1天共5种时间段,用户根据CA中心黑名单发布的间隔时间进行响应设置,然后点击保存,系统将会根据设置的时间间隔自动运行黑名单下载服务。
8.3 立即更新黑名单
用户还可以手工启动黑名单服务实现立即更新黑名单,在定时更新配置页面中点击“立即更新”按钮,则系统会立即启动所有已经配置的黑名单下载服务进行黑名单更新,如下图:
上海格尔软件股份有限公司
83
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 60立即更新黑名单
9 系统管理 为了方便用户使用和更好的管理系统,系统提供了许多扩展模块以及自身的管理功能,本章主要描述如何使用这些功能。
登录系统后,点击“系统管理”,进入系统管理页面:
图表 61系统管理
上海格尔软件股份有限公司
84
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
9.1 日志服务器配置
由于自身存储介质容量限制,格尔SSL网关自身不保存全部的日志信息,仅以回滚日志的方式保存当前的若干条日志信息。为了用户对日志保存及审计需求,格尔SSL网关提供了对外的日志发送功能,以标准的syslog方式将日志发出,发送的日志包括系统内核日志、SSL服务的运行日志以及用户访问日志。标准的syslog服务器都可以对日志进行接收,然后进行详细的分析和审计。
在系统管理页面中,单击“日志服务器配置”菜单,显示日志服务器配置页面:
图表 62 日志服务器配置
在配置服务器信息中有如下配置信息:
➢ 是否开启日志服务器功能:功能是否可用的开关。 ➢ 日志服务器IP地址 ➢ 日志服务器端口号
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
85
➢ 告警服务器IP地址:当SSL服务出现比较严重的错误时,可以将相关
信息以trap方式发送到告警服务器,便于管理人员及时处理。系统将把级别高于错误的日志信息发送到告警服务器。 厂家提示:
日志服务器配置完成后并启用后,系统的运行日志将会自动发送到日志
服务器,而用户访问日志必须在SSL服务中的日志选择中指定发送到syslog服务器才能真正将日志发出。
9.2 系统备份
为了防止错误操作和系统损坏引起的数据丢失,系统提供了系统备份功能,可以将系统中所有管理员所作过的配置和相应数据进行备份,以便在必要时做系统恢复时使用。
系统备份的内容主要包括服务配置,黑名单配置,网络配置。 在系统管理页面中单击“系统备份”菜单,进入备份页面:
图表 63 系统备份
为了保证备份包的安全,系统根据用户输入的8位口令对备份包进行加密,
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
86
输入口令,然后单击“备份”,开始进行备份:
图表 64系统备份下载
点击“保存”可以保存到本地硬盘,点击“取消”则取消此次操作。 厂家提示:
备份时必须要输入8位口令,并且恢复时也必须使用此口令恢复。 备份文件可以对同型号产品所有机器进行恢复。
为避免恢复时覆盖最新的黑名单,备份操作不备份已经下载的黑名单。
9.3 系统恢复
使用已经备份的文件可以恢复系统为备份前的配置。由于备份文件可以用于同型号的所有机器,因此备份文件除了在系统损坏时快速恢复之用,还可以使用备份文件快速配置其它同型号机器。
在系统管理页面中单击“系统恢复”菜单,进入恢复页面:
上海格尔软件股份有限公司
87
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 65系统恢复
输入备份包的口令,单击“浏览”,找到备份包,单击“上传”,这样系统就恢复到备份包中的配置状态。
厂家提示:
备份时必须要输入8位口令,并且恢复时也必须使用此口令恢复。 系统恢复的目的是将整个系统恢复到备份文件产生时的配置(包括服务
配置,黑名单配置,网络配置),因此系统恢复会删除备份时不存在,而当前存在的服务。
9.4 系统升级
系统提供了界面升级功能,可以通过web界面使用升级包升级系统。升级之前应该首先从产品销售商处获取本系统对应的升级包版本。
在系统管理页面中单击“系统升级”菜单,进入系统升级页面:
上海格尔软件股份有限公司
88
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 66系统升级
点击“浏览”,找到升级包,点击“上传”,系统将检测升级包格式,如果该升级包正确,系统将被升级,显示升级成功,否则显示升级失败。
厂家提示:
系统升级不会破坏当前已有的所有配置,但是会重新启动当前运行的
SSL服务
9.5 恢复出厂配置
系统提供了恢复出厂配置功能,可以使所有配置恢复默认值,通常在进行完试用或测试后使用,这样就不需要一步一步的删除或修改配置了。
在系统管理页面中单击“恢复出厂配置”菜单,点击“恢复出厂配置”按钮:
上海格尔软件股份有限公司
89
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 67 恢复出厂配置
点击“确定”完成恢复操作,点击“取消”放弃操作。 厂家提示:
恢复出厂配置操作会将当前的服务配置及各项配置恢复到出厂默认值,
管理员所作的配置将都不再可用,确认不再需要当前配置后使用。
9.6 双机热备
格尔SSL网关支持双机热备。双机热备功能实现当一台主控SSL网关出现故障时,备份SSL网关可以自动接替主控SSL网关的业务,完成系统切换,使用户业务不会因为设备故障而受到影响。
在系统管理页面中,点击“双机热备”菜单,进入双机热备配置页面:
上海格尔软件股份有限公司
90
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 68 双机热备
配置选项含义:
➢ 是否使用双机热备:决定系统是否启用此功能。 ➢ 是否主控设备:决定本设备是主控设备还是备份设备。
➢ 双机热备的关键资源:系统进行热备切换的条件,包括网卡eth0,网卡
eth1,SSL代理服务,SSL管理界面。条件被选中表明一旦这个条件发生故障,系统将进行切换,条件与条件之间是或的关系,即在多个条件被选中的情况下,任一条件发生故障,系统都将进行切换。
进行双机热备的可按如下步骤进行:
1) 配置主SSL设备,包括网络配置,服务配置等(先不要打开热备选项)。 2) 将主SSL设备的配置进行备份,然后将备份文件恢复到备机设备中。 3) 将主机设备的热备选项打开,并选中主机设备,将备机设备的热备选项
打开,并选中备机设备。
4) 进行双机热备的网络部署及连线,网络拓扑参考3.3章节双机热备部署。 5) 启动主机设备,然后启动备机设备。
上海格尔软件股份有限公司
91
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
厂家提示:
启用双机热备时若没有选关键资源,则只有主机系统关闭或者崩溃情况
下才会进行热备切换。
关键资源选择请慎重,因为这将直接导致SSL主备机的切换,如果您仅
仅使用一个网卡(假设为eth0),请不要选择没有使用的资源(eth1),否则系统就会监控eth1的情况,并在就监测失败多次后进行切换。 双机热备部署时应首先启动主机设备。
9.7 时间配置
服务器的时间对于格尔SSL网关非常重要,直接影响验证证书的时间特性,如有效期等,但系统时间往往会发生漂移。
时间配置功能是可以让管理员手动更新系统时间,或者指定时间服务器的地址来自动同步系统时间。
在系统管理页面中,点击“时间配置”,时间配置页面:
图表 69 时间配置
上海格尔软件股份有限公司
92
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
手工更新时间
管理员可以手工设置系统时间,设置好年、月、日、时、分、秒等后,点击“应用”完成时间更新。 使用时间服务器自动同步时间
系统可以连接时间服务器通过NTP协议同步时间,填写时间服务器地址后点击“同步系统时间”按钮,系统连接时间服务器进行同步,并且系统会自动每1小时与时间服务器同步一次。 厂家提示:
系统时间默认为CST时间,即北京时间。
使用时间服务器时需要确保系统可以使用UDP 123端口连接时间服务
器。
9.8 性能检测
为了方便管理员对系统目前的状况有更多的了解,系统提供了性能检测功能,可以查看系统资源的使用情况,包括处理器、内存、磁盘、网络等情况。
上海格尔软件股份有限公司
93
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
图表 70 性能检测
厂家提示:
性能检测数据并不能反映系统状态的真实变化,数据仅供参考。
上海格尔软件股份有限公司
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
94
10 附录一:SSL基础知识介绍 SSL(Secure Socket Layer)最早是Netscape公司设计的用于HTTP协议加密的安全传输协议,SSL工作于一个可靠连接的通讯协议之上(一般来说都是TCP协议),提供类似Berkeley Socket的API接口给应用程序,在传输过程中将实现数据机密性和完整性的保证。SSL协议的当前版本为3.0,当SSL取得大规模成功后,IETF(www.ietf.org)将SSL作了标准化,规范为RFC2246,并将其称为TLS(Transport Layer Security)。SSL广泛应用于电子政务、银行、证券、电子商务系统,已经成为保护链路数据安全和用户的身份认证安全标准协议。
SSL协议使用公私钥机制实现对客户端、服务端的身份认证,对客户端和服务端之间通讯的数据进行加密。
SSL能够提供一条点到点的安全连接。利用SSL技术,在互联网上传输的数据都是被经过加密的密文。其他人即使获取了该数据,由于没有解密密钥,也无法识别其中传输的信息。而且,每次进行SSL连接所产生的会话密钥都是临时的,也使得破解经过SSL加密的数据难上加难。
SSL的功能加以扩展使其不仅仅能保护HTTP的通讯,还能保护所有的TCP通讯成为一种较为廉价的选择。这种方式同时解决了SSL连接加密强度不够的问题能够提供端到端128位的连接,这将给网络应用到来很大好处。所以,SSL成为保障网上信息安全的首选。
上海格尔软件股份有限公司
95
上海市余姚路288号A座4楼 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
11 附录二:系统默认配置 11.1 系统出厂默认设置
配置项 管理员web登录 内容 用户名:admin 密码:12345678 SSL服务管理 站点证书 备注 一张,站点名称为 www.mysite.com 证书链 一条,证书CN名称为 SSL-DemoCA SSL服务 一个 配置名称 配置示例 代理模式 HTTPS模式 本地服务IP地址 192.168.191.7 本地服务端口号 443 后台服务IP地址 192.168.190.7 后台服务端口号 80 运行日志等级 错误 用户访问日志 不记录
上海格尔软件股份有限公司
96
上海市余姚路288号A楼4层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
站点证书 www.mysite.com 证书链 SSL-DemoCA 是否提交用户证书 不验证 协议选择 所有协议 SSL缓存大小 无缓存 最大黑名单数量 不可用 对称加密算法 加载所有算法,强度由客户端 自行选择 是否绑定cookie 不可用 加密引擎极限阀值 50/50/50/50/50 加密引擎初始阀值 10/10/10/10/10 加密引擎类型 软件/软件/硬件/硬件/硬件 证书项绑定 KOAL_CLIENT_IP KOAL_NOT_AFTER KOAL_CERT_SERIAL_NUMBER KOAL_CERT_CN E-2010/E-2020/E-2040/G-4020/G-4040 E-2010/E-2020/E-2040/G-4020/G-4040 E-2010/E-2020/E-2040/G-4020/G-4040 客户端IP 证书终止日期 证书序列号 证书主题CN项值 证书项编码 原始编码:UNICODEBIG COOKIE编码:GB2312 黑名单下载
上海格尔软件股份有限公司
97
上海市余姚路288号A楼4层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
下载配置 9个下载配置 CFCA的黑名单下载配置 定时更新配置 网络配置 网卡配置 无定时更新 Eth0:192.168.191.7 Eth1:192.168.192.7 Eth2:192.168.190.7 Eth3:4.4.4.4 虚拟接口 路由 DNS 系统管理 日志服务器 双机热备 时间服务器 无 无 无 不启用 不启用 空 11.2 新增服务默认配置
配置项 新增SSL服务 配置名称 新服务配置n
上海格尔软件股份有限公司
上海市余姚路288号A楼4层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
98
内容 备注 代理模式 HTTPS模式 本地服务IP地址 当前eth0的地址 本地服务端口号 当前已有服务的最大端口号 +1 后台服务IP地址 当前eth0的地址 后台服务端口号 80 运行日志等级 错误 用户访问日志 不记录 站点证书 无 证书链 无 是否提交用户证书 不验证 协议选择 所有协议 SSL缓存大小 8M缓存 最大黑名单数量 不可用 对称加密算法 加载所有算法,强度由客户端 自行选择 是否绑定cookie 不可用 加密引擎极限阀值 100/250/250/300/400 加密引擎初始阀值 10/10/10/10/10 E-2010/E-2020/E-2040/G-4020/G-4040 E-2010/E-2020/E-2040/G-4020/G-4040
上海格尔软件股份有限公司
99
上海市余姚路288号A楼4层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
加密引擎类型 软件/软件/硬件/硬件/硬件 E-2010/E-2020/E-2040/G-4020/G-4040 12 产品支持联系方式 上海格尔软件股份有限公司
地址:上海市余姚路288号A座4楼 电话:(86-21)62327010转SSL产品管理组 传真:(86-21)62327015 Email:************邮编: 200042
上海格尔软件股份有限公司
100
上海市余姚路288号A楼4层 Tel: (86-021) 62327010 Fax: (86-021) 62327015 URL: http://www.koal.com
因篇幅问题不能全部显示,请点此查看更多更全内容