|
 |
|
|
 |
|
|
| Direct Client技术支持手册
|
|
|
|
|
|
证书使用中用户常见的问题及解决方法(问题1-15) |
|
|
|
|
|
·用Direct client登录时出现如下信息:错误10048.(地址已经在使用)初始化套接字。Direct
可能已经启动?
原因:本机的8080端口被占用
解决办法:在Entrust.ini文件的设置中,将TCP端口设置改为其它端口(在entrust.ini文件的[Entrust
Direct]段中增加port=7070),以避免端口冲突。
·使用Direct client时,忘记了证书口令,该怎么办?
解决办法:可以到申请证书的受理点去申请证书恢复,拿到重新产生的参考号和授权码后,再通过Direct
client的"更新用户/配置文件"菜单选项下载新证书。
·可以在一台机器上安装两个Direct
client吗?
解答:可以。它们应该装在不同的文件夹下,每个文件夹中含有自己的配置文件entrust.ini,如果要同时启动两个Direct
client,需要修改entrust.ini文件的port选项,使两个Direct
client的port不相同(请注意避免二者使用同一证书)。
·可以用一个Direct client连接多个Direct
Server吗?
解答:可以。只要它们所用的证书是同一个CA颁发的,就可以互相认证。具体实现可通过修改entrust.ini配置项InitialBrowserURL指向不同的Direct
Server所保护的站点的URL即可;也可以直接在浏览器中的地址栏中输入其他站点的URL。
·Direct client支持HTTP
1.1吗?
解答:Direct 6.0支持HTTP 1.1。以前的版本只支持HTTP
1.0。
·用Direct client登录时,报-1639错误:Operation
not allowed. Your identity has been disabled.
Contact your Administrator.
原因:可能的情况是证书已被冻结。
解决办法:请准备好自己证书的DN(通用名),使用硬、软盘存贮证书的用户可以在EPF文件的最后一行找到,如:X500name=cn=AAAA
test1,ou=BBBB,o=CFCA Operation CA,c=CN,使用智能卡或者USB
key的用户可以通过智能卡管理工具获得DN名,报请RA或者CFCA技术支持进行解冻。
·在证书登录时,出现代理证明主体的对话框,并要求填写用户名及口令.
原因:proxy服务器的设置问题。
解决办法:
a. 在proxy服务器的访问控制中,将口令验证一项选成简单验证,而不要选择NT域验证;
b. 如果将Direct client升级到Direct client 6.0 SP1以上版本的话,该问题也可以得到解决。
·登录证书时报错:"-1648,Your
Entrust 证书文件 is not current and contains old
signing information. Contact your Administrator.
原因:证书不是最新的,签名私钥过期,如果用户多台机器使用同一张证书就会出现该错误,建议用户不要同一张证书在多台机器上使用。
解决办法:请使用最新的证书,如果证书已经丢失,请用户向证书办理机构提出证书恢复申请,获得两码恢复证书。
·Direct client登录时报"Your
security software is not configured properly
to access this site."
原因:
a. 一种情况是Direct client和Direct server使用不是同一CA的证书。
b. 另外一种情况是Direct server不能正常提供服务,所有的客户都有这种情况。
解决办法:
a. 检查客户端是否连到正确的Direct server(主要是检查entrust.ini文件
中initialBrowserURL= 后面所写的网银地址是否是要访问的地址)。
b. 请和主管Direct server的人联系,确认Direct server是否正常运行。
·在使用D/C登录时报-3983
General Entrust Error错误(证书是存放在卡里的)。
原因:本地的cache文件有被破坏的情况。
解决办法:删除cache文件,重新登录。
·电脑突然断电。用户重新启动电脑,direct无法登录。
原因:由于电脑断电导致entrust.ini文件损坏。
解决办法:重新产生一个entrust.ini文件,并把它复制到etdirect.exe所在的目录中,替换原来的文件。
·DC登录时报:1648错。
问题描述:用户使用DC6sp2,如果不联网时,做DC登录,IE弹出后页面显示成功,但当连接网络后,做DC登录时就报1648错,(用户机器使用的是曾经作为备份的硬盘)。
此问题与上面的 8)错误提示一样但现象由于使用DC6sp2而不完全相同,在此进行详细说明。
原因:经分析,用户目前使用的机器是曾经作为备份的硬盘,故证书是没有更新的。但目前该证书的状态是已经做过签名证书的更新,所以在网络通畅的情况下,DC使用此epf文件会连接目录确认是否需要更新,并尝试在CA进行更新。此时由于CA记录此证书已经更新,就会报错"(-1648)您的证书文件不是最新的,包括一个旧的签名信息。请您与您的管理员联系"。而在网络无法使用的情况下,DC没有办法连接到目录确认此epf是否需要更新,而且此epf的证书确实有效。因此证书仍然可以正常使用网银。
解决办法:为了解决此用户的1648问题,向用户建议了两种方法:
①、找到旧硬盘上一直使用正常的同名epf,将此文件复制到新硬盘上使用。
②、恢复这张证书。
·离线对文件签名进行验证时,报-296错。
原因:用于验签的证书其相应的xcc文件过期了,需要进行更新。
解决办法:将用于验签的证书进行重新登录,重新获取了相应的cache文件。
·用户通过SMP的方式使用DC,以前使用一直正常,某日DC登录时报"无法验证一个外部CA发放的证书"。SMP
Client 端安装在本地,用户通过网关上网。
原因:检查SMP Server服务正常,但这台主机的IP地址已修改,telnet本地的SMP
Client 端的389和829不通,导致DC无法登录。
解决办法:修改INI文件中的Authority= 和 Server=的IP地址,使其能连接到客户端的SMP
client 端的服务。
·用户通过wingate4.3代理服务器、客户端使用gatekeeper软件根据用户的帐号上网,无法用Direct
client登录。
问题描述:wingate4.3代理服务器已开放389和829端口,用ldapsearch.exe测试程序能连接到目录服务器。
原因:不详。
解决办法:将客户端配置成SEPbyProxy方式。
·关于启动DirectClient报错10049问题的说明
问题现象:启动DirectClient程序的时候,直接报错10049,如图:
原因分析:这是由于本机安装的防火墙软件阻止DirectClent占用端口运行导致的。常见的瑞星防火墙,就容易造成此问题。
解决办法:停止防火墙服务和在防火墙软件中增加允许DirectClent占用端口运行的规则或者策略,可以解决问题。如下以瑞星防火墙为例,说明如何增加规则:
1、出现错误后, "确定"退出
2、在任务栏中,左键双击瑞星防火墙的标志,启动瑞星防火墙设置页面
3、在瑞星防火墙设置页面中,选择"访问规则";
4、在"访问规则"页面,选择"增加规则"
5、在新弹出的窗口中,选择DirectClient的可执行程序etdirect.exe后打开
6、增加规则完成后,在"程序名"列表中,看到了"Entrust/Direct"的记录
7、双击此记录,可以看到该规则的具体情况,请务必保证是"全部放行"的并保存
8、至此,完成了瑞星防火墙增加允许DirectClent占用端口运行的规则。此时再启动DirectClient将不会再出现10049错误。
·Direct/Client 10013错误解决办法
问题现象:启动DirectClient程序的时候,直接报错:"错误10013(没有权限)初始化套接字,Direct/Client可能已经启动",如图:
原因分析:这是由于本机安装的防火墙软件阻止DirectClient占用端口运行导致的。常见的天网防火墙,就容易造成此问题。
解决办法:删除防火墙软件中禁止DirectClient占用端口运行的规则或者策略,可以解决问题;重新启动Direct/Client,在天网防火墙提示是否允许Direct/Client访问时,选择允许。如下以天网防火墙为例,对具体操作进行说明:
1. Direct/Client出现错误后, "确定"退出。
2. 在任务栏中,左键双击天网防火墙的标志,启动天网防火墙设置页面。
3. 点击如下图红框部分的按钮,对"应用程序规则"进行设置。
4. 进行了上面的操作后,天网防火墙的程序窗口会扩展出"应用程序访问网络权限设置"窗口。在窗口内找到"Entrust/Direct"选项,发现该选项是被禁止的,选择"删除"(如下图),删除该防火墙策略。
5. 天网防火墙会弹出确认对话框进行确认,请选择"确定"。
6. 重新启动Direct/Client软件。此时天网防火墙会弹出一个警告信息对话框(如下图),将"该程序以后都按照这次的操作运行"选项选中,然后选择"允许"。
7. 至此,完成了天网防火墙的设置。Direct/Client就能够正常地使用了。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
