本帖最后由 sangfor_2188 于 2017-11-29 13:52 编辑
【标准化排查】SSL证书认证常见问题排查
一、场景排查思维导图
1、场景确认
确认是用文件证书、深信服有驱KEY或第三方KEY认证出现如上问题
二、排查步骤 现象1: 证书不合法 【标准化排查步骤】 1.1、确保客户端用户证书序列号与设备上用户绑定的证书序列号一致 在IE浏览器【Internet选项】-【内容】-【证书】-【个人】查看当前客户端的用户证书,点击查看证书【详细信息】-【序列号】,与SSL VPN控制台【用户管理】-【用户】-【数字证书/USB-KEY】看绑定的序列号是否一致
①若证书序列号不一致,则说明当前用户安装的证书存在问题,可编辑用户重新生成一张新的证书,下载证书后,保存配置立即生效,然后再把新的证书安装在客户端进行认证测试。 若是第三方CA证书认证则重新导入当前用户证书或者联系证书颁发机构重新颁发一张新的用户证书导入设备。 ②若证书序列号一致,则说明下载证书后还未保存配置立即生效就进行了认证测试,请下载证书后先保存配置立即生效,然后再进行认证测试
1.2、若外置CA证书认证确认是否选择了【仅信任该CA签发的,并且已经导入到本地的证书用户】,请将用户证书导入本地或者更改配置为【信任该CA签发的所有证书】 若【SSLVPN设置】-【认证设置】-【证书与USB-KEY认证】-【外置CA】,选中对应的外置CA并编辑,查看【证书信任及授权】选择的是【仅信任该CA签发的,并且已经导入到本地的证书用户】 则有两种处理方式: ①将用户证书导入到【用户管理】,在【用户管理】-【导入】-【从文件导入】-【从数字证书导入】进行操作 ②将配置更改为【信任该CA签发的所有证书用户】,在【认证设置】-【证书与USB-KEY认证】-【外置CA】,选中对应的外置CA并编辑,进行设置 第三方CA证书认证详细配置请参考:
1.3、若是外置CA证书认证请配置正确的证书编码格式 在【SSLVPN设置】-【认证设置】-【证书与USB-KEY认证】-【外置CA】-【证书属性】-【证书编码】配置的证书编码不正确,认证时也会提示证书不合法,请联系证书颁发机构确认证书编码格式是什么,比如UTF-8或者GBK。也可以每一个都配置一下测试一下直到测试出正确的编码格式。
现象2:前一认证与当前认证非同一用户 【标准化排查步骤】 此问题是出现在本地用户启用了用户名密码或者外部认证,并且同时启用了证书认证的场景 2.1、确保客户端用户证书序列号与设备上用户绑定的证书序列号一致 在IE浏览器【Internet选项】-【内容】-【证书】-【个人】查看当前客户端的用户证书,点击查看证书【详细信息】-【序列号】,与SSL VPN控制台【用户管理】-【用户】-【数字证书/USB-KEY】看绑定的序列号是否一致。 ①若证书序列号不一致,则说明当前用户安装的证书存在问题,可编辑用户重新生成一张新的证书,下载证书后,保存配置立即生效,然后再把新的证书安装在客户端进行认证测试。若是第三方CA证书认证则重新导入当前用户证书或者联系证书颁发机构重新颁发一张新的用户证书导入设备。 ②若证书序列号一致,则说明下载证书后还未保存配置立即生效就进行了认证测试,请下载证书后先保存配置立即生效,然后再进行认证测试
2.2、若是第三方CA证书认证用户没有导入本地,可将证书导入本地与用户绑定解决此问题 将用户证书导入到【用户管理】,在【用户管理】编辑用户,将与之对应的用户证书导入到本地
2.3、若是第三方CA证书认证用户没有导入本地,在【用户管理】-【其他操作】-【批量指定CA】将用户指定给对应CA 不用将证书导入到本地
现象3:未启用此认证,访问被拒绝 【标准化排查步骤】 3.1有生成证书或者usbkey,但用户没勾选数字证书/Dkey认证导致 编辑用户启用数字证书/Dkey认证
现象4:未提交证书,请插入key或者导入文件证书,重新打开浏览器登录 【标准化排查步骤】 传送门:
三、反馈400处理 按上述排查步骤若问题未解决,请在反馈400处理时,若有做过排查,为加快问题解决效率,请反馈上述排错结果及如下信息: 客户端操作系统: 是否不支持场景: 版本信息: 排查过程及结果:
四、维护说明 如对本场景使用有建议或疑问可以进行回贴反馈,我们会及时进行优化或答疑 | 
发表于 2017-11-25 23:58
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
