本帖最后由 楠鹿 于 2023-12-28 09:43 编辑
背景:某客户测试阶段,原本为aTrust2.2.16版本主要测试uem功能与使用pki认证(外观类似ukey),由于客户大多为win7系统,安装客户端出现了较多问题,大多可以使用2.3.10安装包解决,故将aTrust版本升级为了2.3.10版本减少客户端安装问题
升级后问题需要注意: 1.升级后证书认证方式由原本的单个认证选项升级为将ukey认证与文件证书认证分离的方式选项(下方有升级前后对比图) 1.1 由于客户使用的pki外观类似ukey故客户都会将选择方式一 ukey认证,但由于该客户的证书文件是通过客户端提交给浏览器再提交给零信任的这样一个流程,故理论上属于文件证书的方式 1.2 ukey方式是aTrust通过证书厂商提供的接口获取证书的(普密证书必须ukey提供pkcs#11接口;国密证书必须ukey提供skf接口) 2.aTrust升级2.3.10后使用文件证书认证需要使用高版本浏览器,不然atrust会强制跳转下载高版本浏览器界面
证书认证失败问题: 1.检查报错日志,确认是未匹配到CA证书 通过对比证书信息,发现aTrust导入的根证书缺少二级证书
2.通过用户证书将二级证书导出,并与之前客户提供的根证书合并为证书链(若存在证书链,请确保每个证书是按被签发者在前,签发者在后的顺序排列。比如:证书a签发了b,b签发了c,则证书顺序由上往下为cba。)
解决方案: 缺少二级证书,获取二级证书后生成证书链,导入aTrust后认证成功 |