本帖最后由 sangfor_2188 于 2017-11-25 19:05 编辑
【标准化排查】SSL证书/KEY认证提示未提交证书
一、问题现象 未提交证书,请插入key或者导入文件证书,重新打开浏览器登录
二、场景排查思维导图
1、场景确认
① 本场景所指的认证KEY是深信服商密KEY及第三方商密KEY,不包含国密KEY SSL认证KEY为深蓝色KEY带有sangfor的字样,如下图: ②确认当前客户端是是受当前SSL VPN版本支持的 比如:M7.1及以上版本开始支持win10操作系统,M6.3R1-M7.0需要更新win10补丁才支持win10,在不支持的情况下win10使用KEY认证不保证完全正常 SSL VPN对操作系统和浏览器的支持性请参考:
三、排查步骤 现象1: sangfor-key认证提示未提交证书,请插入key或者导入文件证书,重新打开浏览器登录 【标准化排查步骤】 1.1、若是有驱KEY浏览器有识别到证书,按现象2排查步骤处理 插入KEY后在IE浏览器【Internet选项】-【内容】-【证书】查看是否识别到证书,若是KEY里面的证书,拔掉KEY,刷新浏览器,里面的证书也会消失,可通过这种方式来判断浏览器里面的证书是否是这个KEY生成的证书
1.2、若是有驱KEY浏览器没有识别到证书,确保KEY驱动安装正常 ①浏览器打开SSL VPN登录界面,点击USB-KEY驱动下载驱动,右键以管理员权限安装,然后重新插拔KEY,再看IE浏览器【Internet选项】-【内容】-【证书】查看是否识别到证书 ②使用如下驱动在电脑上安装,然后重新插拔KEY,再看IE浏览器【Internet选项】-【内容】-【证书】查看是否识别到证书
现象2:证书认证提示未提交证书,请插入key或者导入文件证书,重新打开浏览器登录 【标准化排查步骤】 2.1、检查用户证书是否在微软证书库的个人证书里,不在微软证书库的个人证书里不能用于认证重新将证书安装在个人证书里 在IE浏览器【Internet选项】-【内容】-【证书】-【个人】查看是否有用户的用户证书,比如在导入用户证书时不是导入在【个人】而是【其他】则会导致此问题
2.2、检查用户证书的生效时间,和客户端系统的时间对比,看是否生效 打开证书,查看详细信息,对比客户端系统的时间是否在有效起始日期和有效终止日期范围内,不在有效期范围内不能用于认证
2.3、证书是否有私钥,没有私钥的证书不能用于认证 打开证书,在【常规】查看是否有提示’您有一个与该证书对应的私钥’,没有私钥的证书不能用于认证,用户证书的格式是*.p12或者*.pfx,若是*.cer或*.crt这种是没有私钥的
2.4 证书如果有“密钥用法”字段,则在用法之中必须有数字签名,没有数字签名用法的证书不能用于认证 打开证书在【详细】-【密钥用法】里查看,如下图 注意:没有“密钥用法”字段的证书,认为是具有所有用法,包括数字签名
2.5证书如果有“增强型密钥用法”字段,则在用法之中必须有“客户端验证”,没有“客户端验证”功能的证书不能用于认证 打开证书在【详细】-【增强型密钥用法】里查看,如下图 注意:没有【增强型密钥用法】字段的证书,认为是具有所有用法,包括数字签名
2.6 若是第三方CA证书认证,请检查CA证书证书链是否完整
现象3:第三方KEY认证提示未提交证书,请插入key或者导入文件证书,重新打开浏览器登录 【标准化排查步骤】 3.1、若浏览器有识别到证书按现象2排查步骤处理
3.2、若浏览器没有识别到证书确保第三方KEY驱动安装正常
四、反馈400处理 按上述排查步骤若问题未解决,请在反馈400处理时,若有做过排查,为加快问题解决效率,请反馈上述排错结果及如下信息: 客户端操作系统: 是否不支持场景: 版本信息:
五、维护说明 如对本场景使用有建议或疑问可以进行回贴反馈,我们会及时进行优化或答疑 |