|
一前期沟通准备 ① 客户需提供相应的证书。(一般客户会提供2中类型的证书,即对应我们AD上面的2种证书导入方式,当客户给我们的为pem形式的证书时,通过我们AD的公钥私钥方式进行导入, 当客户给我们的为pfx形式的证书时,就通过我们AD的pkcs12方式进行导入) ② 客户端的用户登陆时必须选择加密登陆选项。(什么原因,不详)
二 客户需求
①� 只对客户端登陆时证书验证进行ssl 卸载,不能对全服务进行ssl卸载。
③ 确保用户访问正常,登陆账号密码不会出现问题,主要就是要求会话保持能正常。
④ AD旁路模式部署ip地址为10.200.32.11,内网有服务器提供相同的服务,服务器ip地址为10.200.33.10。对外发布的端口为10010与64188 端口。
三 实施和中间出现的问题 ① AD接口配置和代理上网,端口映射等就不说了。
② 户给了pem类型的证书,所以选择导入方式时选择为公钥私钥方式 ① 首先做了一个虚拟服务对应内网的服务器。且服务类型选择为 ssl 节点池即为内网服务器10.200.33.10的10010与64088端口会话保持选择了cookie。
这个时候出现了第一个问题,当客户端访问服务时,提示客户端证书错误。 通过检查,发现CA服务器下证书的顺序主证书在次证书的下边。所以出现上述问题是可以解决的。 解决方法:删除CA下所有证书,先导入次证书在导入主证书后,问题解决。
然后出现了第二个问题,当客户端访问服务时,提示客户端端口连接失败。
通过测试,发现该域名下的2个端口在公网下访问正常。后经过与软件供应商的沟通,确认服务器配置方面正常、AD设备配置正常。 解决方法:新建一套测试用服务器证书和CA证书,让用户通过测试U key登陆,登陆正常(说明网络和配置方面正常)。后将证书切为生产证书,登陆后发现10010端口正常(原因不详),64088提示如下错误: 此时,客户端登陆时勾选加密登陆选项即可正常访问服务。
解决了上面两个问题,ssl 卸载的功能就基本在客户那里得到了完美的实现。
总结:就问题一:用户必须删除当前证书,在从新导入设备就可以实现需求。 以下是某公司给出的问题分析报告:
一、 问题简要描述: 某银行使用AD负载均衡设备对对客户端登陆时证书验证进行ssl 卸载,不能对全服务进行ssl卸载。用户登录现金管理平台,然后通过AD进行调度,对服务器进行访问。经过分析后提供本文档用于说明并解决问题。
二、 问题现象 1. SSL模块连接错误的问题 当客户端通过公网访问服务时,提示与服务器11010和64088端口连接失败。 通过测试,发现该域名下的2个端口在公网下访问正常。后经过与软件供应商的沟通,确认服务器配置方面正常、AD设备配置正常。
2. 端口连接失败的问题 当客户端通过公网访问服务时,提示与服务器64088端口连接失败。
三、问题解决方案 针对以上问题,分别需要进行如下操作: 问题一:因后台服务器证书缓存未清空,客户端使用新证书访问时服务器端仍然调用测试证书,导致证书不匹配(即端口连接失败)。 解决方法:方法①新建一套测试用服务器证书和CA证书,让用户通过测试U key登陆,登陆正常(说明网络和配置方面正常);方法②或重启后台服务器,清空缓存。通过上述方法在切换到正式证书,登陆后发现10010端口正常,64088连接错误。
问题二:所使用软件系统配置不当 解决方法:客户端登陆时勾选加密登陆选项即可正常访问服务。 | 
发表于 2015-3-20 10:26
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2015-3-24 15:49
技术员1级 
