【标准化排查】SSL证书认证常见问题排查
  

sangfor_2188 104461人觉得有帮助

{{ttag.title}}
本帖最后由 sangfor_2188 于 2017-11-29 13:52 编辑

                           标准化排查】SSL证书认证常见问题排查


一、场景排查思维导图

558525a1990c1e0a88.png

1、场景确认
   确认是用文件证书、深信服有驱KEY或第三方KEY认证出现如上问题

二、排查步骤
现象1: 证书不合法
966255a198e2548fd4.png
【标准化排查步骤】
1.1、确保客户端用户证书序列号与设备上用户绑定的证书序列号一致
   在IE浏览器【Internet选项】-【内容】-【证书】-【个人】查看当前客户端的用户证书,点击查看证书【详细信息】-【序列号】,与SSL VPN控制台【用户管理】-【用户】-【数字证书/USB-KEY】看绑定的序列号是否一致
858575a1992cd3798f.png
①若证书序列号不一致,则说明当前用户安装的证书存在问题,可编辑用户重新生成一张新的证书,下载证书后,保存配置立即生效,然后再把新的证书安装在客户端进行认证测试。
若是第三方CA证书认证则重新导入当前用户证书或者联系证书颁发机构重新颁发一张新的用户证书导入设备。
②若证书序列号一致,则说明下载证书后还未保存配置立即生效就进行了认证测试,请下载证书后先保存配置立即生效,然后再进行认证测试

1.2、若外置CA证书认证确认是否选择了【仅信任该CA签发的,并且已经导入到本地的证书用户】,请将用户证书导入本地或者更改配置为【信任该CA签发的所有证书】
   若【SSLVPN设置】-【认证设置】-【证书与USB-KEY认证】-【外置CA】,选中对应的外置CA并编辑,查看【证书信任及授权】选择的是【仅信任该CA签发的,并且已经导入到本地的证书用户】
   867335a198e57ed323.png
则有两种处理方式:
  ①将用户证书导入到【用户管理】,在【用户管理】-【导入】-【从文件导入】-【从数字证书导入】进行操作
  ②将配置更改为【信任该CA签发的所有证书用户】,在【认证设置】-【证书与USB-KEY认证】-【外置CA】,选中对应的外置CA并编辑,进行设置
261195a198e6e2e5bc.png
第三方CA证书认证详细配置请参考:


1.3、若是外置CA证书认证请配置正确的证书编码格式
在【SSLVPN设置】-【认证设置】-【证书与USB-KEY认证】-【外置CA】-【证书属性】-【证书编码】配置的证书编码不正确,认证时也会提示证书不合法,请联系证书颁发机构确认证书编码格式是什么,比如UTF-8或者GBK。也可以每一个都配置一下测试一下直到测试出正确的编码格式。
336655a198eba54a97.png


现象2:前一认证与当前认证非同一用户
308885a198ed672764.png
【标准化排查步骤】
此问题是出现在本地用户启用了用户名密码或者外部认证,并且同时启用了证书认证的场景
2.1、确保客户端用户证书序列号与设备上用户绑定的证书序列号一致
在IE浏览器【Internet选项】-【内容】-【证书】-【个人】查看当前客户端的用户证书,点击查看证书【详细信息】-【序列号】,与SSL VPN控制台【用户管理】-【用户】-【数字证书/USB-KEY】看绑定的序列号是否一致。
555975a1992fd1f8ab.png
   ①若证书序列号不一致,则说明当前用户安装的证书存在问题,可编辑用户重新生成一张新的证书,下载证书后,保存配置立即生效,然后再把新的证书安装在客户端进行认证测试。若是第三方CA证书认证则重新导入当前用户证书或者联系证书颁发机构重新颁发一张新的用户证书导入设备。
   ②若证书序列号一致,则说明下载证书后还未保存配置立即生效就进行了认证测试,请下载证书后先保存配置立即生效,然后再进行认证测试

2.2、若是第三方CA证书认证用户没有导入本地,可将证书导入本地与用户绑定解决此问题
  将用户证书导入到【用户管理】,在【用户管理】编辑用户,将与之对应的用户证书导入到本地

2.3、若是第三方CA证书认证用户没有导入本地,在【用户管理】-【其他操作】-【批量指定CA】将用户指定给对应CA
不用将证书导入到本地
200005a198f00f27cb.png
711955a198f0a4fd92.png

现象3:未启用此认证,访问被拒绝
75535a19926c20c5f.png
【标准化排查步骤】
3.1有生成证书或者usbkey,但用户没勾选数字证书/Dkey认证导致
编辑用户启用数字证书/Dkey认证
883215a198f327faec.png

现象4:未提交证书,请插入key或者导入文件证书,重新打开浏览器登录
【标准化排查步骤】
传送门:

三、反馈400处理
按上述排查步骤若问题未解决,请在反馈400处理时,若有做过排查,为加快问题解决效率,请反馈上述排错结果及如下信息:
客户端操作系统:
是否不支持场景:
版本信息:
排查过程及结果:

四、维护说明
如对本场景使用有建议或疑问可以进行回贴反馈,我们会及时进行优化或答疑

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

小宫 发表于 2019-5-8 14:53
  
学习了,完美解决数字证书认证的问题
资深343525 发表于 2019-5-9 15:04
  

学习了
新手486484 发表于 2021-6-18 22:58
  
很好很强啊!                  
玉米 发表于 2021-6-18 23:05
  
很好很强啊!                  
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

26
76
83

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人