8.1 UKEY证书认证配置

前言

遇到与UKEY和证书相关的问题时,确实需要先明确几个关键信息,以便采取正确的解决措施。

  • 客户侧到底是什么类型的UKEY和UKEY中导入的是什么类型的证书
  • 需要通过什么类型的接口去认证

吉大正元商密key实施指导可参考:
https://support.sangfor.com.cn/productDocument/read?product_id=19&version_id=1030&category_id=290270

8.1.1 UKEY证书认证相关配置

服务端配置

1.新增证书认证服务器 8.1.4.png

2.CA证书配置,导入CA证书 8.1.3.png

注意事项:

  • 中国商用密码证书认证时,如果存在多级CA的场景,不要将CA合并成一个证书配置导入进来

3.U-KEY配置

客户端UKEY认证有三种类型的接口认证方式,分别是SKF、PKCS11、CSP

8.1.5.png

8.1.2.png

SKF:支持中国商用密码证书认证和国际商用密码证书认证(标准场景仅支持)

PKCS11:仅支持国际商用密码证书认证

CSP:支持国际商用密码证书及文件证书认证,无需配置接口动态库

注意事项

  • SKF和PKCS11需要配置ukey驱动相关的32位依赖库,当前控制台上内置了吉大证书SJK1424-G和飞天诚信epass3000GM的SKF接口库。
  • 依赖库的路径参考默认配置,尽量配置成环境变量,避免个别PC存在路径异常导致DLL加载失败
  • UKEY认证是aTrust加载了UKEY厂商提供的SKF/PKCS11标准的接口动态库完成证书枚举和认证 – 如果是调用相关接口错误,需找UKEY厂商处理

客户端配置

1.客户端一定要安装UKEY厂商提供的驱动,通过UKEY厂商的客户端工具能识别到UKEY里面的用户证书,如: 8.1.6.png

8.1.2 常见问题排查

8.1.2.1 未枚举到证书

问题现象

配置了USBKEY证书认证,并且检查过相关配置,但是无法检测到USBKEY证书 8.1.3.3.png

问题可能原因一:USBKEY认证接口库在本地不存在

  1. 检查控制台上配置的usbkey认证接口库路径在PC上是否存在 8.1.3.4.png

  2. 进一步分析可以确认aTrustAgent_plugins_aTrustCore_h_e.log日志,搜索对应动态库路径的日志,确认是否提示:“Don't find thie file’报错 8.1.3.5.png

问题解决方案:
  1. 检查是否安装了usbkey驱动,重新安装对应key的驱动

  2. 重新安装usbkey驱动还是对应驱动文件,可尝试从其他的正常的电脑把驱动库复制过来

问题可能原因二:证书CA和USKEY中的证书不匹配

  1. 查看usbkey中的证书CA颁发者信息 8.1.3.2.png

  2. 对比服务端配置的CA证书信息,如果两者信息不匹配,说明证书CA不匹配

问题解决方案
  1. 联系管理员确认USBKEY中的证书是否是配置的CA所颁发,重新配置正确的CA证书。

  2. 特别注意,如果是中国商用密码证书认证,并且是从SSLVPN设备上导出的证书,需要确认证书CA是不是由两张证书合并而成的,如果是多级CA合并的,需要将CA证书拆分成两张证书后分别导入。

问题可能原因三:配置的USBKEY认证接口库方式不匹配

  1. 明确当前USBKEY中证书文件类型,如:
  2. 中国商用密证书需要配置接口库为SKF接口标准
  3. 国际商密密码证书认证一般需要配置PKCS11接口或CSP接口标准 8.1.3.6.png
问题解决方案:
  1. 尝试修改接口库类型进行尝试,低版本服务器升级上来接口库可能是自动识别方式,可修改为指定接口库标准。

  2. 如当前证书为国际商用密码证书,可配置CSP证书认证方式后尝试。 8.1.3.7.png

8.1.2.2 配置CSP接口认证,枚举证书之后,点击登录未弹出pin码输入框

问题现象

  1. 证书能够正常枚举出来,但是点击登录后并未弹出pin码输入框,最终提示认证失败 8.1.3.9.png

问题可能原因:

  1. 使用CSP接口方式进行证书认证,枚举到证书之后,不会在aTrust认证界面直接显示pin码输入框,需要点击登录后,才会单独弹出USBKEY的pin码输入框。 8.1.3.10.png
问题解决方案:
  1. CSP接口方式进行证书认证,依赖的是usbkey驱动的pin码输入框,需要进一步联系usbkey厂商确认驱动是否安装正常

8.1.2.3 证书认证失败

问题现象

枚举到证书之后,点击登录提示证书认证失败

问题可能原因:

  1. 使用中国商用密码证书key进行认证,但是服务端并未开启中国商用密码算法

问题解决方案:

  1. 在aTrust设备控制台上开启中国商用密码算法 8.1.3.8.png
深信服科技 all right reserved,powered by Gitbook本文档更新于: 2024-10-31 22:37

results matching ""

    No results matching ""