1引言

1.1目的

该文档旨在为实施运维工程师提供上海CA自研软网关产品的安装及简易配置方法说明,用于快速满足客户对SSL域名证书的使用需求。

1.2项目背景

随着计算机与网络技术的发展,越来越多的应用通过网络提供高效、便捷的服务,例如网上证券、网上银行、电子政务、电子商务、企业远程办公等,随之而来的网络攻击、数据窃取、数据伪造等数据传输安全性问题也越来越严重,导致采用安全的数据传输保护手段势在必行。
SSL(Secure Sockets Layer安全套接层)协议是在互联网上广泛应用于数据传输安全性保障的一种主导技术,当前大部分业务服务都采用了基于SSL和HTTP技术结合的HTTPS方式访问:

2产品概述

以安全性和合规性作为设计原则,参考遵循国家密码管理及信创产品等多项规范标准。在部署时支持零客户端方式,对于国际算法SSL接入可无缝接入,对于国密算法SSL接入可支持国产国密浏览器无缝接入,无需安装任何客户端软件。国密算法和国际算法兼容共存,采用国密优先选择策略,推广国产算法在各应用下的推广使用

3运行环境

3.1服务器配置及软件环境

应用服务器
硬件环境
CPU Intel x86
CPU位数 2核芯以上
内存 4GB及以上
硬盘 20GB及以上
软件环境
操作系统及版本 CentOS7.5及以上
防病毒软件 不限


3.2客户端配置及软件环境

硬件环境
CPU 不限
内存 不限
硬盘 不限
软件环境
操作系统及版本 不限
浏览器 需要,兼容全部主流浏览器
防病毒软件 不限

4安装步骤

  1. 使用root登录目标服务器

  2. 解压sslvpn.zip得到install.sh和ssl-vpn.tar.gz后将这2个文件上传至目标服务器。image.png

  3. 通过cd命令,切换到指定目录后,键入chmod +x ./install.sh为安装程序赋予执行权限
    4. 键入./install.h,执行安装与运行命令
    image.png
    5. 完成后可通过查看18600端口监听情况确认网关是否正确安装并运行
    image.png
    6. 在客户端上打开浏览器,键入目标服务服务器的IP地址加18600端口访问后台管理界面。例如:http://192.168.15.48:18600其中192.168.15.48是目标服务器的ip地址,18600是固定端口
    image.png

5系统使用说明

5.1界面操作

  1. 使用用户名admin@sheca.com,密码:sheca123登录后台管理系统
    2. 进入证书配置菜单,进行配置
    image.png
    3. 在【管理配置】菜单点击【新增SSL配置】按钮
    image.png
    4. 在【管理配置】菜单点击【新增资源配置】按钮
    image.png
    5. 在【管理配置】菜单点击【应用配置】按钮,生效配置
    image.png
    6. 在【启动/停止服务】菜单点击【启动服务】按钮
    image.png
    7. 结果验证,浏览器里键入https服务地址进行核验
    image.png

5.2NGINX配置操作

不通过后台管理系统,使用SSH登录目标服务器,对NGINX进行配置。
image.png
image.png
server {
listen 443 ssl;
server_name 123.com;
ssl_protocols GMTLSv1.1 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECDHE-SM2-WITH-SMS4-GCM-SM3:ECDHE-SM2-WITH-SMS4-CCM-SM3:ECDHE-SM2-WITH-SMS4-SM3:SM2-WITH-SMS4-SM3:SM2DHE-WITH-SMS4-SM3:EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_certificate /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/rsa.cer.pem;
ssl_certificate_key /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/rsa.key.pem;
ssl_certificate /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/sm2sign.cer.pem;
ssl_certificate_key /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/sm2sign.key.pem;
ssl_certificate /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/sm2enc.cer.pem;
ssl_certificate_key /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/sm2enc.key.pem;
location / {
proxy_pass http://127.0.0.1/;
}
}

5.2.1NGINX常用配置方法

Beginner’s Guide (nginx.org)

6注意事项

6.1NGINX服务停止命令

进入nginx_sheca/bin目录,键入nginx -s stop

6.2NGINX服务启动命令

进入nginx_sheca/bin目录,键入nginx

7常见故障及处理

  1. 安装失败。要使用root账户名和密码进行安装
    2. 服务启动或停止失败。如果后台管理界面上出现操作失败的情况,使用root账户登录,进入nginx_sheca/bin目录启动nginx进行启动或停止操作,查看失败原因进行故障排查。
    3. 强制关闭NGINX服务,使用killall nginx_sheca强制卸载nginx服务
    4. 强制关闭后台管理服务,使用killall ssl-vpn-back-end强制卸载卸载后台管理服务
    5. 国密证书和RSA证书,必须由上海CA提供,其他CA签发的证书格式或私钥格式,无法识别进行添加配置
    6. 代理转发资源URL必须和VPN相连通,否则NGINX启动失败。