8.1 UKEY证书认证配置
前言
遇到与UKEY和证书相关的问题时,确实需要先明确几个关键信息,以便采取正确的解决措施。
- 客户侧到底是什么类型的UKEY和UKEY中导入的是什么类型的证书
- 需要通过什么类型的接口去认证
吉大正元商密key实施指导可参考:
https://support.sangfor.com.cn/productDocument/read?product_id=19&version_id=1030&category_id=290270
8.1.1 UKEY证书认证相关配置
服务端配置
1.新增证书认证服务器
2.CA证书配置,导入CA证书
注意事项:
- 中国商用密码证书认证时,如果存在多级CA的场景,不要将CA合并成一个证书配置导入进来
3.U-KEY配置
客户端UKEY认证有三种类型的接口认证方式,分别是SKF、PKCS11、CSP
SKF:支持中国商用密码证书认证和国际商用密码证书认证(标准场景仅支持)
PKCS11:仅支持国际商用密码证书认证
CSP:支持国际商用密码证书及文件证书认证,无需配置接口动态库
注意事项
- SKF和PKCS11需要配置ukey驱动相关的32位依赖库,当前控制台上内置了吉大证书SJK1424-G和飞天诚信epass3000GM的SKF接口库。
- 依赖库的路径参考默认配置,尽量配置成环境变量,避免个别PC存在路径异常导致DLL加载失败
- UKEY认证是aTrust加载了UKEY厂商提供的SKF/PKCS11标准的接口动态库完成证书枚举和认证 – 如果是调用相关接口错误,需找UKEY厂商处理
客户端配置
1.客户端一定要安装UKEY厂商提供的驱动,通过UKEY厂商的客户端工具能识别到UKEY里面的用户证书,如:
8.1.2 常见问题排查
8.1.2.1 未枚举到证书
问题现象
配置了USBKEY证书认证,并且检查过相关配置,但是无法检测到USBKEY证书
问题可能原因一:USBKEY认证接口库在本地不存在
检查控制台上配置的usbkey认证接口库路径在PC上是否存在
进一步分析可以确认aTrustAgent_plugins_aTrustCore_h_e.log日志,搜索对应动态库路径的日志,确认是否提示:“Don't find thie file’报错
问题解决方案:
检查是否安装了usbkey驱动,重新安装对应key的驱动
重新安装usbkey驱动还是对应驱动文件,可尝试从其他的正常的电脑把驱动库复制过来
问题可能原因二:证书CA和USKEY中的证书不匹配
查看usbkey中的证书CA颁发者信息
对比服务端配置的CA证书信息,如果两者信息不匹配,说明证书CA不匹配
问题解决方案
联系管理员确认USBKEY中的证书是否是配置的CA所颁发,重新配置正确的CA证书。
特别注意,如果是中国商用密码证书认证,并且是从SSLVPN设备上导出的证书,需要确认证书CA是不是由两张证书合并而成的,如果是多级CA合并的,需要将CA证书拆分成两张证书后分别导入。
问题可能原因三:配置的USBKEY认证接口库方式不匹配
- 明确当前USBKEY中证书文件类型,如:
- 中国商用密证书需要配置接口库为SKF接口标准
- 国际商密密码证书认证一般需要配置PKCS11接口或CSP接口标准
问题解决方案:
尝试修改接口库类型进行尝试,低版本服务器升级上来接口库可能是自动识别方式,可修改为指定接口库标准。
如当前证书为国际商用密码证书,可配置CSP证书认证方式后尝试。
8.1.2.2 配置CSP接口认证,枚举证书之后,点击登录未弹出pin码输入框
问题现象
- 证书能够正常枚举出来,但是点击登录后并未弹出pin码输入框,最终提示认证失败
问题可能原因:
- 使用CSP接口方式进行证书认证,枚举到证书之后,不会在aTrust认证界面直接显示pin码输入框,需要点击登录后,才会单独弹出USBKEY的pin码输入框。
问题解决方案:
- CSP接口方式进行证书认证,依赖的是usbkey驱动的pin码输入框,需要进一步联系usbkey厂商确认驱动是否安装正常
8.1.2.3 证书认证失败
问题现象
枚举到证书之后,点击登录提示证书认证失败
问题可能原因:
- 使用中国商用密码证书key进行认证,但是服务端并未开启中国商用密码算法
问题解决方案:
- 在aTrust设备控制台上开启中国商用密码算法
