连接设置

1. 连接设置

在连接设置中，您可以配置连接类型和会话属性。

1.1.连接类型

默认情况下，DataSecurity Plus 使用端口 8800 进行 HTTP，端口 9163 进行 HTTPS。要更改这些端口，请在相应字段中输入所需端口号，点击 保存，然后重启 DataSecurity Plus 服务器。

在试用版和免费版中，您可以选择 HTTP 或 HTTPS。但在专业版中，必须选择 HTTPS 作为连接类型，以保障用户浏览器与 DataSecurity Plus 服务器间的数据传输安全。

配置 SSL

要启用 HTTPS 连接，必须启用并应用安全套接字层（SSL）证书。DataSecurity Plus 提供默认 SSL 证书，但我们强烈建议上传您自己的 SSL 证书以获得最大安全性。

应用 SSL 证书的步骤取决于您是否已拥有签名的 SSL 证书。

• 如果您已有 SSL 证书，则跳至 步骤 C.
• 如果您尚无 SSL 证书，请按照步骤 A、B 和 C 操作。

A. 从 DataSecurity Plus 生成证书签名请求（CSR）

• 使用具有管理员权限的账户登录 DataSecurity Plus Web 控制台。
• 导航至 Admin Console > General Settings > Connection， 并点击 Connection Settings 选项卡。
• 选择 DataSecurity Plus Portal (https) 作为 连接类型 ，并输入您计划为 DataSecurity Plus 使用的端口号。
• 点击 应用 SSL 证书 ，位于 上传或生成 SSL 证书.
• 旁边。 在下一页，选择
• 生成证书。

  提供以下所需详情：	参数
  说明	公共名称
  输入 DataSecurity Plus 运行所在服务器名称。	SANs
  输入要由 SSL 证书保护的其他主机名称（网站、IP 地址等）。	组织单位
  输入证书上将显示的部门名称。	组织
  输入贵组织的法定名称。	城市
  输入贵组织注册地址中的城市名称。	州/省
  输入贵组织注册地址中的州/省名称。	国家代码
  输入贵组织所在国家的两字母代码。	密码
  输入至少六个字符的密码。	有效期（以天为单位）
  输入证书的有效天数。如未填写，默认为 90 天。	公钥长度（以位为单位）

• 点击 输入公钥长度。长度越大，密钥越强。默认大小为 1024 位，且只能以 64 的倍数增加。.
  生成 CSR:

  • 注意 如果您计划使用自签名证书，点击生成并应用自签名证书
  • 。这将创建 SSL 证书并绑定至 DataSecurity Plus，完成 HTTPS 启用。否则，继续下一步。 有关手动创建 CSR 文件的步骤，请参阅.
• 手动 SSL 配置指南 生成的 CSR 可通过点击 下载 CSR 弹出窗口进行下载。或者，创建的 CSR 文件可在以下文件夹中找到：.

<安装目录>\ManageEngine\DataSecurity Plus\jre\bin

B. 提交给证书颁发机构（CA）进行签名

• 如果您使用外部 CA，请联系他们获得签发证书所需的命令。如果使用 Microsoft Certificate Services，请按照以下步骤操作： 连接到 Microsoft Certificate Services ，访问.
• 点击 https://<服务器名>/certsrv 请求证书 > 请求证书 高级证书请求
• 使用 Base-64 编码的 CMC 或 PKCS #10 文件提交证书请求，或使用 Base-64 编码的 PKCS #7 文件提交续期请求。 使用文本编辑器打开生成的 CSR 文件，复制内容，并粘贴到.
• 选择 已保存请求 作为 网络服务器 证书模板 下，点击.
• 提交 点击 下载证书链 链接，下载签发的 PKCS #7 证书 文件至 <安装目录>\ManageEngine\DataSecurity Plus\jre\bin
• 点击 文件夹。下载证书将为 P7B 格式。 在右上角点击 首页
• 点击 ，并点击 下载 CA 证书、证书链或 CRL。

下载 CA 证书

• 使用具有管理员权限的账户登录 DataSecurity Plus Web 控制台。
• 导航至 Admin Console > General Settings > Connection， 并点击 Connection Settings 选项卡。
• 选择 DataSecurity Plus Portal (https) 作为 连接类型 ，并输入您计划为 DataSecurity Plus 使用的端口号。
• 点击 应用 SSL 证书 ，位于 上传或生成 SSL 证书.
• 旁边。 以 CER 格式下载根证书。.
• 有两个上传选项可供选择：
  • 选项 1—ZIP 上传： 如果您的 CA 发送了 ZIP 文件，请点击 ZIP 上传 > 浏览 并选择目标文件。如果您的私钥有密码保护，请在 私钥密码短语 字段中输入密码。
  • 选项 2—单个证书： 如果您的 CA 只发送了一个证书文件（PFX 或 PEM 格式），请点击 单个证书。在 上传证书旁边，点击 浏览 并选择您的证书。然后，在 上传 CA 捆绑包旁边，点击 浏览 并选择您的 CA 捆绑包文件。最后，提供您的 证书密码.

生成 CSR：如果您的 CA 发送了证书内容，请将内容粘贴到文本编辑器中并保存为 CER、CRT 或 PEM 格式。然后，按照选项 2 的步骤上传文件。

• 点击 应用.
• 重启 DataSecurity Plus 服务器使更改生效。

生成 CSR：您可以启用 加密密钥库密码 选项，并输入您用来安装 SSL 证书的密码，以防止密码以明文形式存储在 server.xml 文件中。

配置 TLS 版本和密码套件

SSL 证书应用后，您可以通过以下步骤修改 TLS 版本和密码套件：

• 点击 高级设置.
• 从 TLS 版本 下拉菜单中选择所需的 TLS 版本。DataSecurity Plus 支持 TLSv1、TLSv1.1 和 TLSv1.2。
• 从 密码套件 下拉菜单中选择所需的密码套件。DataSecurity Plus 支持以下密码套件：
  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_DSS_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA

1.2. 会话属性

此设置允许管理员定义用户在浏览器中无操作多久后，自动注销 DataSecurity Plus web 控制台。默认情况下，无操作 30 分钟后会话将超时。此持续时间的任何更改只有在重启 DataSecurity Plus 服务器后才会生效。

2. 代理设置

若要配置 DataSecurity Plus 通过代理服务器连接互联网，请按照以下步骤操作：

• 登录 DataSecurity Plus web 控制台。
• 转到 Admin Console > Admin > General Settings > Connection，点击 代理设置 选项卡。
• 选中 代理服务器设置 复选框。
• 指定代理服务器的 服务器名 或 IP 地址。 如果您的环境使用了身份验证代理，请勾选
• 认证 并输入 用户名 和 按钮。 输入贵组织所在国家的两字母代码。.
• 提交 保存 3. NAT 设置

当终端设备需要通过互联网访问 DataSecurity Plus 中央服务器时，您可以配置网络地址转换 (NAT) 设备。它会将您的内部 IP 地址映射到公共 IP 地址或完全限定域名 (FQDN)，终端设备可通过该地址访问中央服务器。

按以下步骤配置 NAT 设备：

登录 DataSecurity Plus web 控制台。

• Admin Console > General Settings > Connection
• 导航至 根据当前配置，DataSecurity Plus 的，点击 NAT 选项卡。
• 中央服务器（私有 IP 地址和端口） 详情已预填。 在
• NAT 设备（公共 FQDN 和端口） 字段下输入 NAT 设备的公共 FQDN 和端口号。.
• 点击 保存.

4. 安全网关服务器设置

安全网关服务器在中央服务器与终端设备的通信中提供额外的安全层。它通过作为中央服务器和终端设备之间的中介，防止中央服务器直接暴露于互联网。当代理尝试联系中央服务器时，安全网关服务器接收所有通信并将其重定向到中央服务器。

生成 CSR：需先配置 NAT 设置，才能启用安全网关服务器。

安装代理服务器应用程序

• 下载 并安装 DataSecurity Plus 代理服务器应用程序。
• 在安装完成后弹出的页面中输入中央服务器名和端口号。
• 提供本地或 AD 认证所需的详细信息。
• 点击 验证.
• 等待服务器证书安装完成。
• 点击 完成 以关闭窗口。

安全网关服务器将启动运行。按照以下步骤检查连接状态：

• Admin Console > General Settings > Connection
• 导航至 根据当前配置，DataSecurity Plus 的，点击 Secure Gateway 服务器 选项卡。

更改安全网关服务器端口号

按照以下步骤更改安全网关服务器的端口号：

• Admin Console > General Settings > Connection
• 导航至 根据当前配置，DataSecurity Plus 的，点击 NAT 选项卡。
• 将 NAT 设备的端口号更改为所需值。
• 转到 DataSecurity Plus 代理服务器 应用程序的安装文件夹，并进入 conf 文件夹。
• 用记事本打开 websettings.conf 文件。
• 找到文件中的 fs.https.port 并更改此处的端口号。请仔细确认端口号是否一致。
• 保存并关闭文件。
• 重新启动 DataSecurity Plus 代理服务器以应用更改。
• 转到 Secure Gateway 服务器 选项卡并点击 测试连接 以检查连接是否成功。