广州市电子政务外网系统安全加固

1.5. 默认错误网页设置

1、将附件的index.htm文件拷贝至\\webapps\\ROOT目录内，删除或改名原来的index.jsp文件。

2、用记事本打开\\conf\\web.xml文件，在文件的倒数第二行（一行之前）加入以下内容：

404 /error_404.htm

1.6. 配置支持SSL

配置支持SSL的方法(分别以TEST,TestAdmin两实际访问对象举例) 一、配置tomcat支持SSL方法 1. 生成SSL需要用到的keypair。

一般在%java_home%/bin下有一个keytool，在命令行窗口，转移到该目录下，运行：

keytool -genkey -keyalg RSA

13

在keytool运行时，会询问两次密码，密码是自己设的（例：123456），要记住，随后会用到。最后的那个密码输回车(代表与第一次输的密码相同),中间会问一些国家啊什么的，随便乱填好了。生成的文件叫“.keystore”，可以在-genkey时指定存放该文件路径、或名称等(见该命令帮助)。为了使用方便，本文将其放在C盘根目录下。 2. 修改tomcat的conf目录下的server.xml文件

去掉有关ssl的那个connector的注释符号。注意，它里面默认没有指定keystorefile等，为了避免路径错误，建议在server.xml中显式地指定keystorePass与keystoreFile，设好后如下：

maxSpareThreads=\

enableLookups=\acceptCount=\clientAuth=\C:\\.keystore\

keystorePass=\123456\

注意：即使是在WINDOWS系统上，server.xml中的大小写也是敏感的。红色斜体部分请根据实际情况填写。 3. 重启tomcat

二、配置JAVA环境支持SSL 1. 拷贝文件

将Program Files\\Java\\jdk1.5.0_09\\jre\\lib 下的 jsse.jar 拷贝到 jdk1.5.0_09\\jre\\lib\\ext 下。 2. 生成证书文件

访问站点IE，如果用户管理模块要配置为https登录，即访问用户管理网页的地址（比如https://192.168.114.73:8443/TestAdmin），获取证书，单击\查看证书\，

在弹出的对话框中选择\详细信息\，然后再单击\拷贝文件\，根据提供的向导生成待访问网页的证书文件:

14

将生成的文件直接保存在java\\jdk1.5.0_09\\jre\\lib\\security目录下，文件名可任意，以容易识别为准：

15

3. 用keytool工具把刚才导出的证书倒入本地keystore： 命令行到jdk1.5.0_09\\jre\\lib\\security下，执行以下命令：

keytool -import -noprompt -keystore cacerts -storepass changeit -alias TestAdminHttps -file TestAdminHttps.cer

其中TestAdminHttps为当前证书在keystore中的唯一标识符，又称别名 ，可随意取名，只要不与已经存在的重复，以容易识别为准。TestAdminHttps.cer为刚才保存的证书文件名。

如果刚才的证书需要重新导入，可通过以下命令先删除导入的证书：

keytool -delete -keystore cacerts -storepass changeit -alias 别名 -file

证书文件（***.cer）

4. 重启tomcat 注意：

1．一共需要导入两个证书，分别对应TestAdmin和TEST，步骤完全相同，只是在做操作（2）时访问的页面不同： TestAdmin

访

问

用

户

管

理

网

页

的

地

址

（

例

如

：

https://192.168.114.73:8443/TestAdmin）

TEST访问TEST网页的地址（例如： https://192.168.114.73:8443/TEST） 2．配置前请先确保环境变量设置正确了，需要在环境变量中设置JAVA_HOME，并加入PATH。

MS SQL系统安全加固

1. 安装最新安全补丁

1.1. 安装操作系统提供商发布的最新的安全补丁

1) 最新补丁下载地址是：

http://www.microsoft.com/sql/downloads/default.asp

2) 安装补丁详细操作请参照其中的readme文件。

16