1 引言

1.1 目的

该文档旨在为实施运维工程师提供上海CA自研软网关产品的安装及简易配置方法说明，用于快速满足客户对SSL域名证书的使用需求。

1.2 项目背景

随着计算机与网络技术的发展，越来越多的应用通过网络提供高效、便捷的服务，例如网上证券、网上银行、电子政务、电子商务、企业远程办公等，随之而来的网络攻击、数据窃取、数据伪造等数据传输安全性问题也越来越严重，导致采用安全的数据传输保护手段势在必行。

SSL(Secure Sockets Layer安全套接层)协议是在互联网上广泛应用于数据传输安全性保障的一种主导技术，当前大部分业务服务都采用了基于SSL和HTTP技术结合的HTTPS方式访问：

2 产品概述

以安全性和合规性作为设计原则，参考遵循国家密码管理及信创产品等多项规范标准。在部署时支持零客户端方式，对于国际算法SSL接入可无缝接入，对于国密算法SSL接入可支持国产国密浏览器无缝接入，无需安装任何客户端软件。国密算法和国际算法兼容共存，采用国密优先选择策略，推广国产算法在各应用下的推广使用

3 运行环境

3.1 服务器配置及软件环境

3.2 客户端配置及软件环境

4 安装步骤

1. 使用root登录目标服务器

2. 解压sslvpn.zip得到install.sh和ssl-vpn.tar.gz后将这2个文件上传至目标服务器。

3. 通过cd命令，切换到指定目录后，键入chmod +x ./install.sh为安装程序赋予执行权限

4. 键入./install.h，执行安装与运行命令

5. 完成后可通过查看18600端口监听情况确认网关是否正确安装并运行

6. 在客户端上打开浏览器，键入目标服务服务器的IP地址加18600端口访问后台管理界面。例如：http://192.168.15.48:18600其中192.168.15.48是目标服务器的ip地址，18600是固定端口

5 系统使用说明

5.1 界面操作

1. 使用用户名admin@sheca.com，密码：sheca123登录后台管理系统

2. 进入证书配置菜单，进行配置

3. 在【管理配置】菜单点击【新增SSL配置】按钮

4. 在【管理配置】菜单点击【新增资源配置】按钮

5. 在【管理配置】菜单点击【应用配置】按钮，生效配置

6. 在【启动/停止服务】菜单点击【启动服务】按钮

7. 结果验证，浏览器里键入https服务地址进行核验

5.2 NGINX配置操作

不通过后台管理系统，使用SSH登录目标服务器，对NGINX进行配置。

server {

listen 443 ssl;

server_name 123.com;

ssl_protocols GMTLSv1.1 TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECDHE-SM2-WITH-SMS4-GCM-SM3:ECDHE-SM2-WITH-SMS4-CCM-SM3:ECDHE-SM2-WITH-SMS4-SM3:SM2-WITH-SMS4-SM3:SM2DHE-WITH-SMS4-SM3:EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

ssl_prefer_server_ciphers on;

ssl_certificate /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/rsa.cer.pem;

ssl_certificate_key /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/rsa.key.pem;

ssl_certificate /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/sm2sign.cer.pem;

ssl_certificate_key /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/sm2sign.key.pem;

ssl_certificate /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/sm2enc.cer.pem;

ssl_certificate_key /usr/local/sgw/sslvpn/ssl-vpn/web/certs/123/sm2enc.key.pem;

location / {

proxy_pass http://127.0.0.1/;

}

}

5.2.1 NGINX常用配置方法

Beginner’s Guide (nginx.org)

6 注意事项

6.1 NGINX服务停止命令

进入nginx_sheca/bin目录，键入nginx -s stop

6.2 NGINX服务启动命令

进入nginx_sheca/bin目录，键入nginx

7 常见故障及处理

1. 安装失败。要使用root账户名和密码进行安装

2. 服务启动或停止失败。如果后台管理界面上出现操作失败的情况，使用root账户登录，进入nginx_sheca/bin目录启动nginx进行启动或停止操作，查看失败原因进行故障排查。

3. 强制关闭NGINX服务，使用killall nginx_sheca强制卸载nginx服务

4. 强制关闭后台管理服务，使用killall ssl-vpn-back-end强制卸载卸载后台管理服务

5. 国密证书和RSA证书，必须由上海CA提供，其他CA签发的证书格式或私钥格式，无法识别进行添加配置

6. 代理转发资源URL必须和VPN相连通，否则NGINX启动失败。