南瑞加密文档配置

一：安装软件NetKeeper.exe。安装程序已共享工程部群。（注：配置计算机必须要有java运行环境支持）安装完成后即可开始配置。二：加密网关配置2.1：电脑端设置将本地配置计算机地址设置为11.22.33.43，掩码为255.255.255.0，网线连接到加密认证网关的配置接口，并且将设备配件盒里的IC卡插入加密装置（金属片朝下）。连接好之后可以通过CMD命令ping11.22.33.44（加密装置IP）查看是否连接上了加密装置。2.2：登录装置打开下载好的南瑞配置软件单击用户登录下的最左侧图标登录。弹出一个智能卡登录的对话框，这里需要输入一个操作员PIN码。这里注意的是老设备免除了USB-Key登录的方式（14年9月份以前的设备，简单就是说不用查Key）。有两个PIN码，分别为006702（老款设备）和1234abcd（新款设备）2.3：导出设备证书请求单击“初始化管理”下的“初始化网关”，弹出加密网关初始化，老版本有三个选项，分别是加密卡，主操作员卡，备操作员卡，单击“加密卡”，再点“密钥生成”，最后单击“生成证书请求”，弹出生成证书请求对话框,主机名称写加密网关的标识，填写方法和卫士通加密类似，点击“提交”按钮。2.4：导出操作员证书请求导出操作员证书请求就是我们俗称的导出卡证书，依次单击“初始化管理”下的“初始化网关”—“主操作员卡”—“密钥生成”—“生成证书请求”，在弹出的生成证书框中，填写加密卡的信息，这里在弹出的保存对话框中文件名的格式后缀要加上.pem这里主操作员卡和备操作员卡的请求都导出一下，格式后缀无要求。设备证书请求导出之后，将证书请求发给主调，主操作员卡和备操作员卡自己用软件签发一下，设备证书发给主调之后不需要签发，卡证书需要自己签发。*配置的时候需要插USB-Key，运行的时候不需要插。2.5：导入证书本步骤是后续对其它实体证书进行验证的基础，点击“初始化管理”“证书管理”，将由主界面转到证书管理界面，如图所示。选择上传证书（由上往下第二个图标）系统会弹出上传证书界面如图所示，选择证书路径，并选择证书类型为“一级CA证书”并导入，系统会提示验证成功与否，一般情况下一级CA证书为国网根证书。导入主备操作员证书。操作方法同上（执行此步系统即初始化完成）。导入装置管理系统证书，简单来说就是说SMC证书。操作方法同上。导入加密网关证书就是主站那边的证书。操作方法同上。初始化完成后的证书界面2.6设备登录导入操作员证书后，设备即被初始化，保持IC卡插入状态，重启配置软件登录设备登录初始化完成的设备插入usbkey，点“确定”，输入操作员pin码：1234abcd（新版）006702（老版），即可正常登陆成功登录系统点击确定，开始配置纵向加密网关。三：规则配置3．1规则配置主界面熟悉规则配置目录下包括初次配置向导，远程配置，网络配置，路由配置，隧道配置，策略配置，桥接配置等操作，这里介绍需要使用的远程配置界面。主配置界面左侧的编辑功能按钮功能描述如下：(在其他的信息配置界面中编辑功能按钮的作用类似，下文中只以相应的图标加以表示，具体功能不再赘述。)：打开配置或新建配置文件：保存并上传配置信息至装置：下载装置配置信息至本地：另存配置(将配置信息保存至本地)：建立新的配置信息：删除选择的配置信息：将当前行的资源复制：增加新的一行，内容为之前复制的资源：对当前选择的资源进行编辑3.2加密网关远程管理配置单击“规则配置”下的“远程配置”——单击“新建新的配置信息图标”，建立一个新的加密网关，这里昵称就写加密主站的标识如：ZD1PM1Q,加密网关地址为该加密设备的IP，远程地址为该加密主站的SMCIP，系统类型选为装置管理，证书选择该平面该区的SMC管理证书，最后“保存”——“上传”。3.3添加日志审计单击“规则配置”下的“远程配置”——单击“新建新的配置信息图标”，建立一个新的加密网关，这里昵称就写日志服务器标识如：1PM1Q,加密网关地址为该加密设备的IP，远程地址日志服务器IP，系统类型选为“日志审计”，证书选择为根证书，“保存”——“上传”。3.4网络配置这里我们以设置双网关为例进行配置。单击“规则配置”下的“网络配置”。进入网络配置界面，新建四个网络接口，eth1定义为内网一，接口类型为PRIVATE，IP设置为一区加密IP，接口描述/桥名称为prv，eth2定义为外网一，接口类型为PUBLIC，IP设置为一区加密IP，接口描述/桥名称为pub。Eth3定义为内网二，接口类型为PRIVATE，IP设置为二区加密IP，接口描述/桥名称为prv，eth4定义为外网二，接口类型为PUBLIC，IP设置为二区加密IP，接口描述/桥名称为pub。最后都要上传证书这一步，单击左边最上一个图标。3.5路由配置单击“规则配置”下的“路由配置”——单击“新建新的配置信息图标”，建立两个新的配置信息。这路的网络接口分别定义为eth2（外网一）和eth4（外网二），目的网络设置为0.0.0.0，目的掩码为0.0.0.0。网关地址分别设置为一区加密的网关和二区加密的网关。最后单击“上传”按钮——“上传成功”——“确定”。3.6隧道配置单击“规则配置”下的“隧道配置”，——单击“新建新的配置信息图标”，有几个隧道添加几个隧道，隧道名称输入该隧道的标识,,隧道模式选择加密，隧道本端地址选择该加密IP，隧道对端IP为该主站的加密IP，主装置证书为“该隧道主站的证书”，“备装置..”这里一栏选择“选择证书”,最后单击上传按钮，确认。3.7策略配置单击“规则配置”下的“策略配置”，——单击“新建新的配置信息图标”，有几个策略添加几个策略进去，隧道ID就是选择刚刚添加进去的隧道，策略是添加在隧道内的104业务，策略模式选择为“加密”，内网起始地址和内网终止地址为该加密装置的IP+1和+2外网起始地址和终止地址为该隧道下的104业务IP，协议选择全部，内网端口号默认为2404，外网端口号为0—65535。最后单击保存按钮，上传。3.8查看协商状态，是否和主站连接单击“系统工具”——下的“隧道管理”命令查看协商包的发送和接收。四：规则包4.1规则包导出单击“系统工具”下的“规则包导出”，可把该设备的配置导出来，一个地区局的配置都是一样的，到时候只要把加密IP更改一下，设备证书请求重新导一下就可以通用了。4.2规则包导入单击“系统工具”下的“规则包导入”，可快速将配置导入加密装置中。