第二代农信银支付清算系统成员接入前置安装维护手册

第二代农信银支付清算系统

成员接入前置系统 安装维护手册

文档编号： 版本： 项目编号： 项目经理/项目负责人： 保密级别： NXY_NCS2_D11 V1.0 NXY_2011_01 肖飞 机密

版权所有 不得复制

2012年4月

第二代农信银支付清算系统-MFE安装维护手册

批准 文档修订记录

版本 1.0 说明：

1. 版本栏中填入版本编号或者更改记录编号。

2. 状态分为三种状态：A——增加；M——修改；D——删除。 3. 在简要说明栏中填写变更的内容和变更的范围。

表中所有日期格式为：YYYYMMDD

状简要说明 态 M 创建文档形成定版。 日期 修订 人员 项目组 日期 人员 20120523 第2页，共44页

第二代农信银支付清算系统-MFE安装维护手册

目 录

第一章引言 ...............................................................................................................................................................................................6

1.1文档目的 ....................................................................................................................................................................................6 1.2范围.............................................................................................................................................................................................6 1.3读者对象 ....................................................................................................................................................................................6 1.4术语定义 ....................................................................................................................................................................................6 1.5参考资料 ....................................................................................................................................................................................6 1.6引用标准 ....................................................................................................................................................................................7 1.7从属关系 ....................................................................................................................................................................................7 第二章 MFE系统简介..........................................................................................................................................................................8

2.1功能概述 ....................................................................................................................................................................................8 2.2功能说明 ....................................................................................................................................................................................8 2.3部署方案 ....................................................................................................................................................................................9 第三章 MFE环境准备........................................................................................................................................................................12

3.1网络环境检查 .........................................................................................................................................................................12 3.2主机环境检查 .........................................................................................................................................................................12

3.2.1 AIX操作系统 ............................................................................................................................................................12 3.2.2 Linux操作系统.........................................................................................................................................................12 3.3软件环境检查 .........................................................................................................................................................................13

3.3.1 JAVA运行环境 ........................................................................................................................................................13 3.3.2消息中间件.................................................................................................................................................................14 3.3.3加密机软件环境 ........................................................................................................................................................15 3.4软件介质检查 .........................................................................................................................................................................16 第四章 MFE系统安装........................................................................................................................................................................18

4.1 MFE程序安装 .......................................................................................................................................................................18 4.2 MFE配置 ................................................................................................................................................................................18

4.2.1创建队列管理器和队列...........................................................................................................................................18 4.2.2参数配置 .....................................................................................................................................................................19 4.2.3日志配置 .....................................................................................................................................................................20

第3页，共44页

第二代农信银支付清算系统-MFE安装维护手册

第五章加密机软件配置 .......................................................................................................................................................................22

5.1采用bankAPI方式接入 .....................................................................................................................................................22

5.1.1生成密钥 .....................................................................................................................................................................22 5.1.2同步密钥 .....................................................................................................................................................................23 5.1.3核对密钥 .....................................................................................................................................................................24 5.2采用成员机构密码服务平台接入 .....................................................................................................................................24

5.2.1生成密钥 .....................................................................................................................................................................24 5.2.2同步密钥 .....................................................................................................................................................................25 5.2.3核对密钥 .....................................................................................................................................................................27

第六章 MFE日常维护........................................................................................................................................................................29

6.1 MFE常用命令 .......................................................................................................................................................................29

6.1.1 MFE启停操作...........................................................................................................................................................29 6.1.2 MFE维护操作...........................................................................................................................................................29 6.2 MFE监控平台 .......................................................................................................................................................................30

6.2.1主界面..........................................................................................................................................................................30 6.2.2 MFE报文日志管理..................................................................................................................................................30 6.2.3 MFE错误报文管理..................................................................................................................................................31 6.2.4系统状态监控 ............................................................................................................................................................31

第七章多成员机构共享MFE配置...................................................................................................................................................33

7.1配置多成员机构队列............................................................................................................................................................33 7.2客户化多成员机构配置文件 ..............................................................................................................................................33 第八章 MFE常见问题及解决方法..................................................................................................................................................35

8.1 MQ通道异常 .........................................................................................................................................................................35

8.1.1问题描述 .....................................................................................................................................................................35 8.1.2解决方法 .....................................................................................................................................................................35

第九章 MFE HA部署方案................................................................................................................................................................36 附录1：MQ安装方法 ........................................................................................................................................................................37

MQ安装 ...............................................................................................................................................................................37

附录2：TLQ安装方法 .......................................................................................................................................................................39

第4页，共44页

第二代农信银支付清算系统-MFE安装维护手册

TLQ安装 ..............................................................................................................................................................................39

第5页，共44页

第二代农信银支付清算系统-MFE安装维护手册

第一章 引言

1.1 文档目的

本文档用于指导参与者安装与初始化NCS2_MFE。

1.2 范围

本文档属于MFE产品文档。

1.3 读者对象

本系统安装部署手册的读者对象包括以下几类人员： ? 第二代农信银支付清算系统（NCS2）项目组项目管理人员； ? 第二代农信银支付清算系统（NCS2）项目组需求分析人员； ? 第二代农信银支付清算系统（NCS2）项目组系统设计人员； ? 第二代农信银支付清算系统（NCS2）项目组系统开发人员； ? 第二代农信银支付清算系统（NCS2）项目组系统测试人员； ? 第二代农信银支付清算系统（NCS2）项目组质量保证人员； ? 第二代农信银支付清算系统（NCS2）成员行项目组业务人员； ? 第二代农信银支付清算系统（NCS2）成员行项目组领导人员； ? 第二代农信银支付清算系统（NCS2）成员行项目组公司方人员；

1.4 术语定义

? 企业服务总线系统(ESB)

ESB是NCS2系统的基础架构支撑系统，是高效的、高可用的报文传输中介系统，用于连接农信银中心

支付系统内部以及农信银成员单位、农信银银企成员单位、人民银行、其他商业银行、第三方支付组织等单位的应用系统，并可与农信银自助业务系统等渠道系统进行连接。同时，ESB系统可对农信银中心支付系统的金融服务模型进行管理，支持未来扩展的业务系统进行业务处理。 ? 成员接入前置系统（Member Front Equipment-MFE）

成员接入前置系统(MFE)是由农信银中心开发、部署到农信银成员机构和银企成员机构的前置系统，定

位为报文交换结点，实现报文传输、报文格式检查、报文安全机制等。

1.5 参考资料

本系统设计说明书在编写时，参考了以下文档：

第6页，共44页

第二代农信银支付清算系统-MFE安装维护手册

? 《NCS2_ESB_需求规格说明书》 ? 《NCS2_数据字典》

? 《NCS2_总体架构设计说明书》

? 《第二代农信银支付清算系统报文交换标准（概述）》 ? 《第二代农信银支付清算系统业务需求书》 ? 《第二代农信银支付清算系统术语表》

1.6 引用标准

参考了GB/T 8567-2006《计算机软件文档编制规范》，该标准由中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会2006年3月14日发布。

1.7 从属关系

无

第7页，共44页

第二代农信银支付清算系统-MFE安装维护手册

第二章 MFE系统简介

2.1 功能概述

参与者接入端软件采用消息中间件与中心ESB接入网关连接，是连接中心ESB和成员机构的桥梁，MFE对成员机构提交的报文和中心ESB转发的报文进行相应的报文格式检查，并根据相应的安全规范实现报文的可靠传输和交换。MFE不负责与具体业务检查相关的处理（业务合法性检查、业务核对等），以保证其稳定运行，降低运行维护难度。

农信银二代支付系统支付系统专用网参与者接入端服务器（部署MFE应用软件）参与者接入端软件路由器防火墙行内系统加密机

2.2 功能说明

功能类别 功能名称 报文接收 报文处理 报文发送 农信银中心。 功能描述 负责从队列管理器本地队列中接收农信银中心发送的报文。 接收成员机构发送的报文，并通过MQ队列管理器将报文发送至第8页，共44页

第二代农信银支付清算系统-MFE安装维护手册

文件接收 合法性检查 接收中心下发的对账文件，并存储到文件系统。 检查报文格式合法性，若报文非法，返回报文丢弃通知至成员机构。此功能支持配置。 对报文进行全报文加密/解密操作，在报文发送前对原始报文进行加密解密 全报文加密；在接收到报文后进行全报文解密，用于后续处理。此功能支持配置。 对报文的pin字段进行转加密或pin字段明文加密操作。此功能Pin字段处理 支持配置。 报文存储 报文过滤 行处理，此功能支持配置。 报文备份 数据库备份 维护功能 程序日志备份 备份文件 系统状态监控 前端功能 报文日志管理 监控全报文，出错报文。并提供查询功能。 备份所有程序运行日志。 备份所有中心下发的文件。 监控与MFE连接的系统的连通性，并对选定系统发送探测报文。 备份所有报文。 备份数据库数据。 将报文存储至本地文件系统。 配置需MFE过滤的报文编号，使MFE对指定的报文过滤，不进2.3 部署方案

建议MQ消息中间件与MFE系统主程序共同部署在同一台服务器上。部署方式如下图：

第9页，共44页

第二代农信银支付清算系统-MFE安装维护手册

_GW_OUT中心端MPS.XXXXESB_MFEMPS.XXXXESB成员机构端MPS.NCS2.XXXXNCS2行内应用get行内应用put成员机构行内应用

?

对象说明

对象名称 QM_MFE MPS.XXXX 本地队列 (XXXX为成员行行号) ESB MPS.NCS2.XXXX 本地队列 (XXXX为成员行行号) NCS TO.QM_GW_OUT TO.QM_MFE_XXXX 本地队列 发送通道 接收通道 心发送的报文。 与成员机构通信使用的队列，用于成员机构发送报文至中心。 用于与中心端队列管理器连接的发送通道 用于与中心端队列管理器连接的接收通道 远程队列 至中心。 与成员机构通信使用的队列，用于成员机构接收中文。 与中心通信使用的队列，用于发送成员机构的报文对象类型 队列管理器 说明 成员机构端队列管理器 与中心通信使用的队列，用于接收中心发送的报第10页，共44页

第二代农信银支付清算系统-MFE安装维护手册

(XXXX为成员行行号) 第11页，共44页

第二代农信银支付清算系统-MFE安装维护手册

第三章 MFE环境准备

3.1 网络环境检查

需要开放如下主机端口： 主机名称 ESB接入网关服务器 MFE服务器 MFE服务器

主机位置 中心端 成员机构端 成员机构端 主机IP <待确定> <待确定> 主机端口 33399 33333 说明 中心ESB报文接收端口 成员机构MFE报文接收端口 成员机构MFE监控页面监听端口 <待确定> 33200 3.2 主机环境检查

3.2.1 AIX操作系统

使用AIX6.1 序号 1 检查项 系统版本 检查内容 执行以下命令，查看系统版本是否符合要求： $oslevel -s 6100-02-02-0849 备注 以root用户执行 2 检查系统补丁安装情况 执行以下命令，查看系统补丁是否安装成功： $ instfix -i | grep ML All filesets for 6100-00_AIX_ML were found. All filesets for 6100-01_AIX_ML were found. All filesets for 6100-02_AIX_ML were found. 以root用户执行

3.2.2 Linux操作系统

推荐使用linux RedHat4

第12页，共44页

第二代农信银支付清算系统-MFE安装维护手册

备注 以root用户执行 序号 1 检查项 系统版本 检查内容 执行以下命令，查看系统版本是否符合要求： $ lsb_release–a LSB Version: :core-3.1-ia32:core-3.1-noarch:graphics-3.1-ia32:graphics-3.1-noarch Distributor ID: RedHatEnterpriseServer Description: Red Hat Enterprise Linux Server release 5.5 (Tikanga) Release: 5.5 Codename: Tikanga

3.3 软件环境检查

3.3.1 JAVA运行环境

Jre 1.5以上 序号 1 检查项 JDK版本 检查内容 执行以下命令，查看系统版本是否符合要求： java –version java version \Java(TM) SE Runtime Environment (build 备注 以root用户执行 pap6460sr6ifix-20091014_01(SR6+IZ62487)) IBM J9 VM (build 2.4, JRE 1.6.0 IBM J9 2.4 AIX ppc64-64 jvmap6460sr6ifx-20091008_43861 (JIT enabled, AOT enabled) 第13页，共44页

第二代农信银支付清算系统-MFE安装维护手册

J9VM - 20091008_043861 JIT - r9_20090902_1330ifx1 GC - 20090817_AA) JCL - 20090924_01

3.3.2 消息中间件

3.3.2.1 MQ中间件版本检查

IBM WebSphere MQ 7.0.1以上 序号 1 检查项 MQ版本 检查内容 执行以下命令，查看系统版本是否符合要求： $dspmqver Name: WebSphere MQ Version: 7.0.1.5 CMVC level: p600-203-080123 BuildType: IKAP - (Production) 备注 以root用户执行

3.3.2.2 文件系统规划

LV name mqlv mqloglv VG name data data Size 5G 2G Own mqm mqm Auto mount yes yes type jfs2 jfs2 Mount point /var/mqm/ /var/mqm/log 备注 MQ安装目录 MQ日志文件目录 MFE应用目录，包括程序日MFElv data 20G mfe yes jfs2 /home/mfe/ 志，报文流水，对账文件等 文件预留空间>= 成员机构日交易量 * 单笔交易的报文 * 平均每笔报文的大小 * 报文日志保存天数

第14页，共44页

第二代农信银支付清算系统-MFE安装维护手册

+ 对帐文件大小 * 对账文件保存天数 + MFE自身程序文件大小。

(以日交易量三万笔为例，每笔交易平均落地三条报文，每条报文平均大小5KB，加上对账文件、程序日志和数据库记录，每日大概需占用500MB空间。包括程序本身占用空间，磁盘空间至少需要预留15GB，推荐20GB空间。以此类推)。各成员机构根据行内的实际情况，进行修改并创建相应的文件系统

3.3.2.3 用户组规划

组名 mqm

组ID 405 Users mqm Type 新建 3.3.2.4 用户规划

用户 mqm mfe essc

用户ID 405 201 202 Primary group mqm mqm Group Set mqm,staff mqm,staff staff home directory Type /var/mqm /home/mfe /home/essc 新建 新建 新建 3.3.3 加密机软件环境

3.3.3.1 采用bankAPI方式接入

序号 1 检查项 bankAPI状态 检查内容 在bin目录，执行如下命令，可查看到加密机工作状态是否正常： $hsmSpier 备注 以essc用户执行 第15页，共44页

第二代农信银支付清算系统-MFE安装维护手册

3.3.3.2 采用成员机构密码服务平台接入

序号 1 检查项 检查内容 备注 以essc用户执行 密码转换系统状态 用essc用户登录密钥转换平台（ESSC）系统，在主菜单界面下选择监控菜单：

3.4 软件介质检查

软件名称 MFE ESSC 文件名 目录介绍 MFE程序安装包 bankAPI程序安装包 文件大小 [待定] [待定] mfe.tar.gz bankapi.XXXX.tar (XXXX为出厂日期) ESSC essc_bank_XXXX.tar 密码服务平台程序安装包 [待定] 第16页，共44页

第二代农信银支付清算系统-MFE安装维护手册

(XXXX为出厂日期)

第17页，共44页

第二代农信银支付清算系统-MFE安装维护手册

第四章 MFE系统安装

4.1 MFE程序安装

1 .使用mfe用户登录，将mfe.tar.gz包上传到/home/mfe/目录下。 2.解压tar包到当前目录。

3.MFE解压后在/home/mfe/下产生jetty目录，其文件结构如下：

目录 /home/mfe/jetty/bin /home/mfe/jetty/MFE/backup /home/mfe/jetty/MFE/error/ /home/mfe/jetty/MFE/file/ /home/mfe/jetty/MFE/xsd/ /home/mfe/jetty/MFE/logs/ /home/mfe/jetty/MFE/module/ /home/mfe/jetty/MFE/msg/ /home/mfe/jetty/MFE/res/ /home/mfe/jetty/MFE /WEB-INF/env/config

功能 备注 存放MFE初始化，启停，维护，备份等操作的各个脚本文件。 存放日志，报文，附件备份的文件夹。 存放警告报文。 存放接收到的文件。 存放用来校验报文的xsd文件 存放日志文件。 mfe程序相关目录。 存放报文文件。 mfe程序相关目录。 存放mfe配置管理文件 4.2 MFE配置

MFE使用Jetty作为j2ee容器，Jetty 是一个开源的servlet容器，它为基于Java的web内容，例如JSP和servlet提供运行环境。Jetty是使用Java语言编写的，它的API以一组JAR包的形式发布。开发人员可以将Jetty容器实例化成一个对象，可以迅速为一些独立运行（stand-alone）的Java应用提供网络和web连接。

4.2.1 创建队列管理器和队列

MQ安装成功后，需建立MFE依赖的队列管理器，使用mfe用户登录，执行如下脚本：

第18页，共44页

第二代农信银支付清算系统-MFE安装维护手册

/mfe/jetty/bin/shcrtmqm.sh 注：此脚本用来建立mfe依赖的队列管理器并初始化队列管理器相关配置。 ?

启动队列管理器脚本

/mfe/ jetty /bin/sh initmqm.sh 24000000000 MPS 注：240000000000为示例成员行行号，成员机构需修改为真实行号；MPS为接入MFE的系统名。

4.2.2 参数配置

配置文件路径：/home/mfe/jetty/MFE/WEB-INF/env/config/app.config，用于配置MFE功能和参数。

4.2.2.1 成员机构队列配置

成员机构需根据行内实际情况修改队列配置，将240000000000修改为真实行号。

#----------------- Bank app ---------------------------- esb.mfe.bankApp1=MPS.240000000000 4.2.2.2 接入系统权限配置

将接入MFE的系统，按照系统名.行号配置。

#----------------- Bank auth ---------------------------- esb.mfe.app=MPS.240000000000 4.2.2.3 密码服务平台配置

成员机构需根据行内实际情况配置如下参数：

#----------------- ESSC cfg ---------------------------- esb.cfg.ip=172.31.16.172//密码服务平台ip地址 esb.cfg.port=28102//密码服务平台端口 esb.cfg.timeout=3000//超时时间(毫秒) esb.cfg.maxconn=10//最大连接数 esb.cfg.esscapiid=QS #----------------- Encrypt cfg ---------------------------- # encryption mode 0:none,1:essc,2:bankapi //报文加密方式0为不加密，1为密码服务平台加密，2为bankapi加密 第19页，共44页

第二代农信银支付清算系统-MFE安装维护手册

esb.mfe.encryption=2 # msg encrypt mode 0:not encrypt,1: encrypt //全报文加密处理0为不加密，1为加密 esb.mfe.keyEncrypt=1 # pin handle mode 0:none,1:translate encrypt,2:encryption //PIN字段处理0为不处理，1为pin转加密，2为pin明文加密 esb.mfe.pinEncrypt=1

4.2.2.4 报文校验配置

#----------------- xsd validate cfg ---------------------------- esb.mfe.isValidate=false# //是否校验报文 4.2.2.5 报文过滤配置

#----------------- msg filter cfg ---------------------------- #toESB esb.mfe.blacklist.msgCdStr=TEST.002.001.01,TEST.003.001.01 #toMPS esb.mfe.blacklist.msgCdStr.tomps=TEST.002.001.01,TEST.003.001.01 4.2.3 日志配置

文件路径：/home/mfe/jetty/MFE/WEB-INF/env/config/log4j.properties。用于配置日志级别，路径，大小，保存方式等。

## mfe log4j.logger.mfe=info,mfe //日志级别，可修改为debug调试,error错误,warn警告 log4j.additivity.mfe=false log4j.appender.mfe.encoding=UTF-8 log4j.appender.mfe=org.apache.log4j.RollingFileAppender log4j.appender.mfe.File=${webapp.MFE}/logs/mfe.txt log4j.appender.mfe.layout=org.apache.log4j.PatternLayout log4j.appender.mfe.layout.ConversionPattern=%m%n log4j.appender.mfe.MaxFileSize=10240KB 第20页，共44页

第二代农信银支付清算系统-MFE安装维护手册

TLQSNDFILESDIR=$TLQHOMEDIR/sndfiles; export TLQSNDFILESDIR TLQRCVFILESDIR=$TLQHOMEDIR/rcvfiles; export TLQRCVFILESDIR TLQMSGDIR=$TLQHOMEDIR/msg; export TLQMSGDIR PATH=$TLQHOMEDIR/bin:$TLQHOMEDIR/samples/bin:.:$PATH export PATH

CLASSPATH=$TLQHOMEDIR/java/lib/tlclient.jar:.:$CLASSPATH export CLASSPATH

LD_LIBRARY_PATH=$TLQHOMEDIR/lib #for DEC SCO SUN LINUX export LD_LIBRARY_PATH

LIBPATH=$TLQHOMEDIR/lib #for IBM export LIBPATH

SHLIB_PATH=$TLQHOMEDIR/lib #for HP export SHLIB_PATH

环境变量说明

安装完毕，运行环境变量. setp，运行节点在setp批处理文件中设置的环境变量说明如下： TLQHOMEDIR---------TLQ8的系统安装路径； TLQLICENSEDIR------license.dat文件存放目录； TLQCONFDIR-----------配置文件的存放目录； TLQLOGDIR-------------日志文件的存放目录；

TLQSNDFILESDIR------消息传输过程中，发送消息文件的缺省存放目录；

TLQRCVFILESDIR-----消息传输过程中，接收到的消息文件存放目录，TLQSNDFILESDIR和TLQRCVFILESDIR

不能相同；

TLQMSGDIR-------------系统中队列的映射文件存放目录，不同的QCU分别对应此目录下一个子目录，子

目录名字与QCU名字相同；

PATH------------------------可执行程序的存放目录。

CLASSPARH---------------tlq的java类库设置在CLASSPATH中。 LD_LIBRARY_PATH-----在DEC、SCO、SUN、LINUX平台上设置。

第41页，共44页

第二代农信银支付清算系统-MFE安装维护手册

LIBPATH--------------------在IBM平台上设置。 SHLIB_PATH---------------在HP平台上设置。

环境变量举例

可在用户的.profile中进行设置，也可用一个单独的批处理文件(如setp文件)进行设置，用户可

据实际环境修改。

例如：

#TLQ8.0安装目录 TLQHOMEDIR=/usr/TLQ8 export TLQHOMEDIR #TLQ使用的环境变量

TLQCONFDIR=$TLQHOMEDIR/etc TLQLICENSEDIR=$TLQHOMEDIR TLQLOGDIR=$TLQHOMEDIR/log

TLQSNDFILESDIR=$TLQHOMEDIR/sndfiles TLQRCVFILESDIR=$TLQHOMEDIR/rcvfiles TLQMSGDIR=$TLQHOMEDIR/msg

PATH=$PATH:$TLQHOMEDIR/bin:$TLQHOMEDIR/samples/bin

export TLQCONFDIR TLQLICENSEDIR TLQLOGDIRTLQSNDFILESDIRTLQRCVFILESDIR TLQMSGDIRPATH

系统启动

TLQ系统安装完毕，先把license.dat文件拷贝到etc目录下面，在安装目录TLQ8下执行. setp环境变量。TLQ在特定的用户环境下运行如下：

$ . setp $ tlq [License Information]: License Version =[8.0] License Type =[发布版] 第42页，共44页

第二代农信银支付清算系统-MFE安装维护手册

Active Date =[2008-02-02 00:00:00] Expire Date =[UNLIMITED] Customer =[测试用户] Project Name =[测试项目] Contract Number =[] Product Name =[TongLINK/Q] Max QCUs =[100] Max Applications=[100] Max Thin Clients=[100] Max Connections To Send =[100] Max Connections To Recv =[100] IsConfEncrypt =[0] [Version Information]: Product Version =[8.0.0.0] Product Name =[TongLINK/Q] TLQ Create IPC resource OK! Starting now, maybe take a few minutes.... TLQ Start process tl_moni OK! QCU[sendqcu] start OK! TLQ start OK! $

若TLQLICENSEDIR环境变量对应的目录下面没有license.dat文件，执行TLQ，则TLQ系统启动时会提示失败信息如下：

第43页，共44页

$ tlq TLQ get License error! TLQ start failed,please check [TongLink.sys]!!! 把license.dat文件拷贝TLQLICENSEDIR环境变量对应的目录下，再启动就不会出现这个问题了。

启动成功的说明：

出现“TLQ Start OK”，表示启动成功。 出现“TLQ Start

第44页，共44页

第二代农信银支付清算系统-MFE安装维护手册

log4j.appender.mfe.MaxBackupIndex=10

第21页，共44页

第二代农信银支付清算系统-MFE安装维护手册

第五章 加密机软件配置

5.1 采用bankAPI方式接入

5.1.1 生成密钥

?

生成与中心约定的工作密钥

与中心约定2个明文成分（长度为32位的16进制数字，例如成分一：32个1；成分二：32个0），通过密钥管理软件输入产生ZMK密文。请参考《MK,ZMK,ZPK合成方式》，获取与中心约定的ZMK密钥的初始值（LMK加密）。

在bin目录执行unionKeyFile–store QS.center.zmk密钥值校验值 以下是一个例子：

unionKeyFile–store QS.center.zmk48864EA979EE933748864EA979EE933782E136 （备注：用密钥管理程序产生的密钥校验值是16位，在插入密钥库时填写前六位即可。）

?

生成与MFE约定的agent密钥

成员机构约定2个明文成分，长度为16位的16进制数字，通过密钥管理软件输入产生ZPK密文。如果agent.zpk密钥与行内网点约定是单倍长，则在密钥库中插入时，需将ZPK密文再复制一遍让其变成32位再录入。校验值取前6位插入。请参考《MK,ZMK,ZPK合成方式》。获取与网点约定的ZPK密钥的初始值（LMK加密）。

在bin目录执行unionKeyFile–store QS.XXXX-agent.zpk密钥值校验值(XXXX为成员行行号) 以下是一个例子：

unionKeyFile–store QS.000100000000-anget.zpk 29B7BB06D381E34D29B7BB06D381E34D00926B 第22页，共44页

第二代农信银支付清算系统-MFE安装维护手册

5.1.2 同步密钥

5.1.2.1 自动同步密钥

密令格式：autoapplyNccKey auto

该功能上线初始化时需要手动执行。（建议添加到自动启动脚本中）

如果该进程已经存在，则会提示

5.1.2.2 手工同步密钥

Zmk密钥输入后，第一次需手工向清算中心密码服务系统申请工作密钥。 进入bin 目录，运行autoapplyNccKey命令。 命令格式：autoapplyNccKey密钥名称 例如：autoapplyNccKeyzpk

autoapplyNccKeyzak

第23页，共44页

第二代农信银支付清算系统-MFE安装维护手册

5.1.3 核对密钥

核对清算中心与成员机构密钥的checkvalue值，示例如下：

mngDesKeyDB edit Command>QS.1200.zmk [fullName] [QS.1200.zmk] [cryptogram] [6D89CD6345BF079736C4EA24AB7F7B17] [checkValue] [82E13665B4624DF5] [activeDate] [20120208] [maxUseTimes] [-1] [useTimes] [0] [maxEffectiveDays] [36500] [lastUpdateTime] [1328672122] [oldVerEffective] [1] [oldValue] [6D89CD6345BF079736C4EA24AB7F7B17] [oldCheckValue] [82E13665B4624DF5] [windowBetweenKeyVer] [600] [container] [null] [isWritingLocked] [0] this is a 128 bits des key. this is a ZMK! 5.2 采用成员机构密码服务平台接入

5.2.1 生成密钥

?

生成与中心约定的工作密钥

修改rec/bin.x/目录下的文件insertBankKey.x，将红色部分替换成合成的zmk和密文值和校验值，并用真实成员行行号替换000000000001。insertBankKey.x文件内容如下：

clear # 插入DES密钥 第24页，共44页

第二代农信银支付清算系统-MFE安装维护手册

echo \开始插入DES密钥...\

mngDesKeyDBinsertanywayQS.000000000001.zmk zmk 128 center8E5FE09B1DFC466E3912697154FAF515 8AA40694BB7426F8 mngDesKeyDBinsertanywayQS.000000000001.zpk zpk 128 center mngDesKeyDBinsertanywayQS.000000000001.zak zak 128 center mngDesKeyDBinsertanywayQS.000000000001.zek zek 128 center echo \密钥配置结束,按回车键继续...\在成员机构端运行脚本insertbankKey.sh插入密钥。 ?

生成与MFE约定的agent密钥

修改rec/bin.x/目录下的文件insertBankKey.x，将红色部分替换成合成的zmk和密文值和校验值，并用真实成员行行号替换000000000001。insertBankKey.x文件内容如下：

? ? ? ? ? clear # 插入DES密钥 echo \开始插入DES密钥...\mngDesKeyDBinsertanywayAG.000000000001.zpk center8E5FE09B1DFC466E3912697154FAF515 8AA40694BB7426F8 ? echo \密钥配置结束,按回车键继续...\zpk 128 在成员机构端运行脚本insertbankKey.sh插入密钥。

5.2.2 同步密钥

5.2.2.1 自动同步密钥

?

密钥同步程序autoKeyManager

执行后能够根据keyMngStrategy.conf中配置的策略，自动执行密钥的同步策略。

$ autoKeyManager help Usage::autoKeyManager command this application manage the remote keys according the file 第25页，共44页

第二代农信银支付清算系统-MFE安装维护手册

$UNIONETC/kmConf/keyMngStrategy.conf where command as follows:: -auto start an automatical manager which manage the remote keys at the specified time every day which define in unionREC.CFG -atonce manage the remote keys at once specify a management strategy. $

? 每日自动执行同步策略命令-auto

此命令会在每天指定的时间，执行keyMngStrategy.conf中的同步策略。指定的时间在unionREC.CFG中

通过变量timeAutoManageRemoteKeys定义。

这个变量的定义格式为：

# 定义密钥自动同步的时间 [timeAutoManageRemoteKeys] [string] [00:03:00] ? 手动执行同步策略命令-atonce

运行这个命令，可以立即执行一次keyMngStrategy.conf中定义的同步策略。

5.2.2.2 手工同步密钥

使用essc用户登录密码服务平台（ESSC）系统，或在主菜单界面下依次选择：

006

密钥管理

远程密钥管理

向远程申请新的密钥

003

001

然后根据提示输入密钥名称，成员机构需向清算中心申请的三把密钥为：

QS.000000000001.zpk QS.000000000001.zak QS.000000000001.zek

申请成功后，系统提示：UnionApplyDesKeyFromRemoteKMSvr OK!注：(用真实成员行行号替换

第26页，共44页

第二代农信银支付清算系统-MFE安装维护手册

000000000001)。示例如下：

从远程下载新的密钥 请输入密钥名称::QS.000000000001.zpk 确认远程下载密钥[QS.000000000001.zpk]吗(Y/N)y UnionApplyDesKeyFromRemoteKMSvr OK! 从远程下载新的密钥 请输入密钥名称::QS.000000000001.zak 确认远程下载密钥[QS.000000000001.zak]吗(Y/N)y UnionApplyDesKeyFromRemoteKMSvr OK! 从远程下载新的密钥 请输入密钥名称::exit 5.2.3 核对密钥

核对清算中心与成员机构密钥的checkvalue值，示例如下：

mngDesKeyDB edit Command>QS.1200.zmk [fullName] [QS.1200.zmk] [cryptogram] [6D89CD6345BF079736C4EA24AB7F7B17] [checkValue] [82E13665B4624DF5] [activeDate] [20120208] [maxUseTimes] [-1] [useTimes] [0] [maxEffectiveDays] [36500] [lastUpdateTime] [1328672122] [oldVerEffective] [1] [oldValue] [6D89CD6345BF079736C4EA24AB7F7B17] [oldCheckValue] [82E13665B4624DF5] [windowBetweenKeyVer] [600] 第27页，共44页

第二代农信银支付清算系统-MFE安装维护手册

[container] [null] [isWritingLocked] [0] this is a 128 bits des key. this is a ZMK!

第28页，共44页

第二代农信银支付清算系统-MFE安装维护手册

第六章 MFE日常维护

6.1 MFE常用命令

6.1.1 MFE启停操作

6.1.1.1 启动mfe

$cd home/mfe/MFE/bin/sh start.sh 6.1.1.2 停止mfe

$cd home/mfe/MFE/bin/sh stop.sh 6.1.1.3 检查mfe状态

$cd home/mfe/MFE/bin/sh check.sh 6.1.1.4 强制停止mfe

$cd home/mfe/MFE/bin/sh kill.sh 6.1.2 MFE维护操作

以下操作请在交易空闲时间执行，并建议一个月执行一次系统备份。

6.1.2.1 备份日志

$cd home/mfe/MFE/bin/sh logbak.sh 此命令备份mfe/log下所有非当日的日志文件，打包成logs.20120202.tar.gz (日期为当前日期)，归档到backup/logbak目录。

6.1.2.2 备份报文

$cd home/mfe/MFE/bin/sh msgbak.sh 此命令备份mfe/msg以及mfe/error 下所有报文，打包成msg.20120202.ta.gz和error.20120202.tar.gz(日期为当前日期)，归档到backup/msgbak目录。

6.1.2.3 备份传输文件

$cd home/mfe/MFE/bin/sh filebak.sh 此命令备份mfe/file下所有附件，打包成file.20120202.ta.gz(日期为当前日期)，归档到backup/msgbak目录。

第29页，共44页

第二代农信银支付清算系统-MFE安装维护手册

6.1.2.4 备份数据库日志

$cd home/mfe/MFE/bin/sh dbbak.sh 此命令备份mfe数据库文件，归档到backup/dbbak目录。

6.2 MFE监控平台

6.2.1 主界面

在浏览器地址栏键入http://地址:33200/MFE/进入监控平台，默认账户admin，密码admin，进入主界面。点击左上方MFE监控按钮，在弹出的下拉菜单中选择打开相应模块

6.2.2 MFE报文日志管理

该页面可查看所有经过mfe的报文，界面左侧为所有报文列表，并可查看报文的详细信息。日志点0为上送中心报文，1为中心下发报文。

第30页，共44页

第二代农信银支付清算系统-MFE安装维护手册

6.2.3 MFE错误报文管理

该页面可查看所有经过mfe的异常报文，界面左侧显示所有错误报文列表，并可查看错误报文的详细信息。

6.2.4 系统状态监控

可监控所有接入MFE的系统连通性，保持成员机构和MFE，MFE和中心ESB的通讯畅通。确保交易能够正常进行。

第31页，共44页

第二代农信银支付清算系统-MFE安装维护手册

第32页，共44页

第二代农信银支付清算系统-MFE安装维护手册

第七章 多成员机构共享MFE配置

7.1 配置多成员机构队列

使用mfe用户登录，确保MQ和mfe程序处在运行状态，执行如下脚本：

/mfe/MFE/bin/sh addbank.sh 000100000000 MPS 注：000100000000为成员行号，MPS为接入mfe的系统名。多成员行接入，新接入的成员行行号必须不同于已经接入的成员机构。

7.2 客户化多成员机构配置文件

1. 打开MFE配置文件，增加bankApp2的配置。并在Bank auth中配置新接入的系统权限。

/mfe/MFE/WEB-INF/env/config/app.config

#----------------- Bank app ---------------------------- esb.mfe.bankApp1= MPS.240000000000 esb.mfe.bankApp2=MPS.000100000000 #----------------- Bank auth ---------------------------- esb.mfe.app=MPS.240000000000,MPS.000100000000//多系统使用逗号隔开

2. 打开MFE应用加载文件，加载新接入成员机构的配置文件。

文件/mfe/MFE/WEB-INF/env/config/web.xml

第33页，共44页

第二代农信银支付清算系统-MFE安装维护手册

3. 重启mfe，使配置生效。

第34页，共44页

第二代农信银支付清算系统-MFE安装维护手册

第八章 MFE常见问题及解决方法

8.1 MQ通道异常

8.1.1 问题描述

执行安装脚本后，查看通道状态，都是BINDING或者RETRYING状态。

8.1.2 解决方法

1、 使用telnet命令查看到中心的网络是否处于联通状态。 2、 确认中心是否已经建立了到自己成员机构的通道信息。 3、 联系中心相关人员，两边同时reset通道信息。注意：reset通道一定要两边都操作。 [待补充]

第35页，共44页

第二代农信银支付清算系统-MFE安装维护手册

第九章 MFE HA部署方案

成员机构使用主用直联前置机与中心接入网关服务器连接，负责完成报文收发。当主用直联前置机发生故障时，可即时将IP切换至备用直联前置机，并将其切换为主用直联前置机，同时将原主用直联前置机置为备用模式。部署示意图如下：

中心端_GW_OUT_GW_OUT成员机构端MQ主机宕机MFEMFEMFEMFEMQMQMQ直连前置机主机直连前置机备机直连前置机备机直连前置机主机成员机构行内应用成员机构行内应用

第36页，共44页

第二代农信银支付清算系统-MFE安装维护手册

附录1：MQ安装方法

MQ安装

基于AIX操作系统

?

MQ安装（安装介质为CD-ROM。安装使用用户root。）

(1) 插入MQ安装介质光盘，在/dev下建立/mnt/cdrom文件件，并将cd-rom mount.在mqm根目录下建

立mqinstall目录（mqm用户），将MQ软件从/dev/mnt/cdrom复制到mqm用户的/home/mqm/mqinstall目录下。

mkdir /dev/mnt/cdrom mount -rvcdrfs/dev/cd0 /dev/mnt/cdrom cp /dev/mnt/cdrom /home/mqm/mqinstall unmount /dev/mnt/cdrom

(2) 使用smitty标准安装“smitty install”。 (3) Install and Update Software (4) Install Software

(5) INPUT device / directory for software [/home/mqm/mqinstall] (6) 使用F4打开软件列表，使用 esc+7 选中所有列表中的软件 enter 退出

(7) 确保 Include corresponding LANGUAGE filesets栏选择Yes。 (8) 确保ACCEPT new license aggrements栏，选择Yes。 (9) enter 安装。安装过程大概需要1-2分钟 (10) 安装完毕。使用dspmqver检查版本。

第37页，共44页

第二代农信银支付清算系统-MFE安装维护手册

基于LINUX(REDHAT)操作系统

?

MQ安装

(1) 在下一页面上，将“WebSphere MQ for Linux on Intel V7.0.0 Open Beta: MQ7.0.0.1 for linux.tar.gz”文件

下载至临时目录。这一 tar.gz 文件包含 MQ 服务器、客户机、运行时、SDK 和样本程序的软件包。 (2) 从下载的 tar.gz 文件所在临时目录抽取并解压缩WebSphere MQ for Linux 软件包：

[root@echidna root]# tar -xvf MQ7.0.0.1forlinux.tar.gz

(3) 这将创建一个名为MQ7.0.0.1 for linux的目录。使用 cd 命令转至该目录： [root@echidna root]# cd MQ7.0.0.1*

(4) 要安装WebSphere MQ 软件包，首先要运行 MQ 许可证程序： [root@echidna MQ7.0.0.1 for linux]# ./mqlicense.sh

一个 Java 许可证程序将启动并在图形窗口中显示许可证协议。阅读了许可证之后，请单击 Accept 按钮以接受软件许可证协议（Software License Agreement）。

(5) 安装WebSphere MQ for Linux 服务器（Runtime、SDK 和 Server 软件包）： [root@echidna MQ7.0.0.1 for linux]# rpm -U MQSeriesRuntime-7.0.0-1.i386.rpm [root@echidna MQ7.0.0.1 for linux]#rpm -U MQSeriesSDK-7.0.0-1.i386.rpm [root@echidna MQ7.0.0.1 for linux]#rpm -U MQSeriesServer-7.0.0-1.i386.rpm

(6) 安装WebSphere MQ for Linux 客户机（注：安装服务器时我们已经安装了 Runtime 软件包）： [root@echidna MQ7.0.0.1 for linux]#rpm -U MQSeriesClient-7.0.0-1.i386.rpm

(7) 安装WebSphere MQ 样本程序(其中包括amqsput、amqsget、amqsgbr和amqsbcg等)： [root@echidna MQ7.0.0.1 for linux]# rpm -U MQSeriesSamples-7.0.0-1.i386.rpm

这个命令把WebSphere MQ 样本程序安装在 /opt/mqm/samp/bin 中。它还将在 /opt/mqm/samp中安装这些样本程序的C和CPP源文件。您可以打开这些样本程序的一些源文件（如amqsput.c），以了解如何使用 MQ API（MQI）。

(8) 安装过程创建了一个名为mqm的用户和一个同样名为mqm的组。此时，新用户是被锁定的，您必

须设置一个密码来解锁，这样才能继续本文的第二部分。可用passwd命令做到这一点： [root@echidna MQ7.0.0.1 for linux]#passwdmqm (9) 将提示您输入用于mqm的新密码并随后确认它。

第38页，共44页

第二代农信银支付清算系统-MFE安装维护手册

附录2：TLQ安装方法

TLQ安装

基于AIX操作系统

TLQ for UNIX的安装包是一个自动解压包，安装步骤如下：

1.

安装前新建一个用户或用已存在的用户。

2. 把“TLQ消息中间件”压缩包拷贝到新建用户或已存在的用户下。 3. 对“TLQ消息中间件”压缩包进行解压，即安装完毕。

以HP操作平台为例，把压缩包拷贝到已存在的用户下，进行解压：uncompress R_TLQ8.0.0.0_HP11.tar.Z，解压成R_TLQ8.0.0.0_HP11.tar文件，再进行解压：tar xvf R_TLQ8.0.0.0_HP11.tar，如下：

$ uncompress R_TLQ8.0.0.0_HP11.tar.Z $ ls R_TLQ8.0.0.0_HP11.tar $ tar xvf R_TLQ8.0.0.0_HP11.tar x ./TLQ8/bin x ./TLQ8/bin/tl_clibroker, 3002368 bytes, 5864 media blocks. x ./TLQ8/bin/tl_moni, 2916352 bytes, 5696 media blocks. ------------------------------------------ x ./TLQ8/bin x ./TLQ8/bin/tl_clibroker, 3002368 bytes, 5864 media blocks. x ./TLQ8/bin/tl_moni, 2916352 bytes, 5696 media blocks. $ls TLQ8 $ cd TLQ8 $ ls binerrormsgxml etcincl java lib log msgrcvfiles samples setpsndfiles tools tlq_ver.dat

解压安装完成后，生成一个TLQ8目录，进入TLQ8目录，TLQ8目录下有如下目录和文件： 文件目录名 bin 描述信息 可执行程序的存放目录 对应的环境变量 PATH 第39页，共44页

第二代农信银支付清算系统-MFE安装维护手册

lib incl samples java 开发接口库函数的存放目录 开发接口头文件的存放目录 示例程序的存放目录 类库和JMS相关的存放目录 license.dat必须放在TLQLICENSEDIR环境变量TLQLICENSEDIR 指定的目录下（缺省目录为TLQ8的系统安装路径） etc msg sndfiles rcvfiles log tools 配置文件的存放目录 系统启动后存放QCU的消息文件目录 消息传输过程中，发送消息文件的存放目录 消息传输过程中，接收消息文件的存放目录 日志文件的存放目录 TLQCONFDIR TLQMSGDIR TLQSNDFILESDIR TLQRCVFILESDIR TLQLOGDIR 存入配置文件转换工具tlqconvert及在 tools\\ConfigConvert\\lib目录下存放.jar文件。 主要为TLQ63版的老用户升级TLQ80版用户而提供的。 TLQ63的配置文件必须在环境变量TLQCONFDIR指定的目录下。 errormsg.xml setp TLQ系统错误信息文件 批处理文件，此文件已设置好环境变量（用户 可根据实际环境修改） tlq_ver.dat 版本信息文件 TLQHOMEDIR 环境变量配置

TLQHOMEDIR=$PWD; export TLQHOMEDIR

TLQLICENSEDIR=$TLQHOMEDIR; export TLQLICENSEDIR TLQCONFDIR=$TLQHOMEDIR/etc; export TLQCONFDIR TLQLOGDIR=$TLQHOMEDIR/log; export TLQLOGDIR

第40页，共44页

本文来源：https://www.bwwdw.com/article/2z72.html