CA问题排查方案
1 背景介绍
此文档主要介绍了如何在签名验签失败时排查问题,以及针对不同情况采取相应措施解决线上问题。
在排查问题前,请确保正确按照开发者社区CA认证专题 的步骤进行配置,确保没有遗漏配置。如果依然无法解决,请按照本文档步骤进行系统排查。最终无法解决的,则请记录系统信息、单据信息、操作步骤以及对应的monitor日志,联系客户支持人员处理。
2 必读内容
1) 如选择CFCA作为签名供应商,需关注浏览器兼容性问题。若签名验签配置不生效,请切换至谷歌浏览器后重试;
2) 确认是否需部署供应商验签服务器。
供应商 | 是否需部署验签服务器 |
天威诚信 | 无需部署 |
CFCA | 可选,签名配置信息 如果选择“HEAD”类型作为签名类型,则必须配置 |
信安世纪 | 需部署 |
3排查步骤
3.1 本地操作系统
1) 安装证书
确保操作系统已安装证书,详细安装步骤请见开发者社区
方式一:通过IE浏览器查看
方式二:通过证书管理器查看
方式三:检查ukey是否插入电脑
注意:天威诚信只有旧的一批ukey才能在这里看到。估计大多数的ukey证书是不会出key的,也就是说方法一二都看不到,这时候就应该采取方式三。
操作截图
通过IE浏览器查看 IE浏览器点击设置->Internet选项->内容->证书 |
|
通过证书管理器查看 1. 键盘WIN+R键,输入certmgr.msc,敲回车 2. 选择个人->证书,查看刚导入的证书是否存在 |
|
2) 安装证书助手
确保操作系统已安装证书助手,详情安装步骤请见如何配置苍穹CA证书篇
| 打开计算机“控制面板”->“程序和功能”,查看对应厂商的证书助手应用是否已经安装 |
 |
 |
3.2 金蝶云苍穹
1) 系统参数系统服务云->配置工具->参数配置->CA参数配置
确保CA参数配置的签名供应商为当前安装证书所属的供应商
2) 签名供应商
系统服务云->系统管理->安全认证->签名供应商
确保签名供应商中签名配置无误
如配置了ip地址和端口,重点关注验签服务器ip地址和端口是否和配置对应,且保证应用部署服务器与验签服务器网络端口互通
所选厂商是否需部署验签服务器请参考必读内容,第二条
3) 证书关联用户
系统服务云->系统管理->安全认证->证书管理
确保证书已导入,且与安装证书对应
确保导入的证书关联了用户,且与苍穹系统当前登录的用户对应
4) 签名配置方案
系统服务云->系统管理->安全认证->证书管理
确保需签名验签的单据或动态表单存在签名配置方案
确保签名、验签操作和单据中操作对应
确认不存在 “受控组织”和“适用范围”中组织隔离或过滤条件限制
4 签名配置信息
1) 天威诚信
参数 | 是否必填 | 解释 |
CAServiceName | 是 | 验签方法的具体实现类(全路径名=包+类名) |
license | 是 | 许可 |
caCert | 是 | 二级证书 |
checkRevoke | 是 | 是否检查证书的吊销关系,默认false |
baseUrl | 是 | 证书吊销列表 |
参数 | 是否必填 | 解释 |
CAServiceName | 是 | 验 |
CA问题排查方案
声明:除非特别标注,否则均为本站原创文章,转载时请以链接形式注明文章出处。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
