|
 |
|
|
 |
|
|
| Direct Server技术支持手册
|
|
|
|
|
|
常见"安全服务器"错误 |
|
|
|
|
|
DC登录成功IE打开后,有时候在页面切换过程中会弹出"安全服务器错误信息"对话框,其中包含某些错误信息。该错误的出现有时候还能继续切换网页做操作,有时候无法继续操作。由于导致这一情况的原因各异,错误信息不同,解决方法也不同。在此我们收集了常见的错误以及相应的解决方法。
请注意:错误信息的开头部分基本相同,特有的提示信息是在"The Direct
server detected a security problem while processing
a request"下面的内容。解决问题将需要知道这些错误本身特有的提示信息。下文将用加粗的字体突出这些特有的提示信息。
10)、签名时候报出"安全服务器错误":
Security Error
-------
The Direct server detected a security problem
while processing a request:
The HTML appears to have been modified
between the Direct Server and the Direct Client.
-------
原因:在Direct server6.1中加强了对第三次签名页面的校验,在第三次签名也与第二次签名的内容有变化的时候,Direct
server会在确认提交表单的时候报如上错误。
解决办法:在Direct server6.1的配置文件entrust.ini或etdirect.ini文件中
在[Entrust Direct Server]下加入该项配置。
secureFormData=0
11)、The Entrust/Direct Server detected a security
problem while processing a request:
Client Proxy signature generated for cn=…..
failed to verify
原因:目前发现有两个原因可能导致该错误:
a、DS与Ldap的连接忽然中断,使得虽然DC完成签名,但是DS无法验证,导致了该错误;
b、使用的direct/client版本中的entapi32.dll和entfile32.dll版本不匹配,如果使用如下组合就出错:
Entfile32.dll版本为6.0.410.714+entapi32.dll版本6.0.0.300
和
entfile32.dll版本为6.0.250.552+entapi32.dll版本6.0.0.300
在使用这两个版本的情况下,direct/client没有做签名,因此会报验证错误。
解决办法:
a、恢复DS与Ldap的网络连接,并重启DS服务;
b、更换动态库的版本。推荐使用CFCA网站上提供给用户下载的DC6sp2中文版( http://www.cfca.com.cn/help/help.htm )。
12)、The Entrust/Direct server detected a security
problem while processing a request: 后面没有特有的提示信息。图片附后。
原因:
本地时间和系统时间相差1小时
在XP平台上,使用复杂的entrust.ini文件可能导致该问题,是由于复杂的entrust.ini文件中包含的如下多余选项导致的:
DefaultCredentials_time_req=43200
DefaultContext_time_req=3600
解决办法:
调整本地时间至正确时间;
使用简化的entrust.ini文件
13)、Security Error The Entrust/Direct server
at {IP & Port} detected a security problem
while processing a request:
Error accepting Entrust/Session context.
The referenced credentials have expired.
原因:服务器端的entrust.ini文件(NT系统)或etdirect.ini文件(UNIX系统)中包含了:DefaultCredentials_time_req=43200
解决办法:删除该行
14)、The Entrust/Direct server detected a security
problem while processing a request:
A token was invalid
ASN.1 decode failure
原因:
在Entrust.ini文件中将Manager=IP address + 709写成了+829
Netscape Proxy server添加了一些字符在D/C和D/S之间的数据流中,导致服务器认为数据被改变
解决办法:
将entrust.ini文件中改为:Manager=IP address + 709
在D/S的etdirect.ini配置文件中添加如下内容:[Entrust Direct
Server]
StripExtraBytes=1
15)、The Entrust/Direct server detected a security
problem while processing a request:
Error accepting Entrust/Session context
The site's directory may be temporatily unavailable,
please try again after some times
If you still cannot access the site, contact
your support administrator
原因:Direct/Server与目录服务连接有问题,可能是由于目录服务不能正常提供服务(如,没有及时刷新,导致Direct
server到该目录上查找不到该新用户的证书。),也可能是由于D/S与目录服务之间的网络连接不正常。
解决办法:
检查目录服务,如果为镜像目录服务器,检查镜像目录服务刷新是否正常。
检查网络,保证网络连接正常。
通知CFCA技术支持热线,CFCA可以推荐DS指向某些适当的镜像目录。
16)、The Entrust/Direct server detected a security
problem while processing a request:
Received security token contains corrupted
data
原因:由于客户端使用ISA做代理,可能出现该情况。
解决办法:在服务器端的etdirect.ini文件中
[Entrust Direct Server]下面添加:IgnoreFirstRequestFlag=1
17)、The Entrust/Direct server detected a security
problem while processing a request:
无法重新得到有效的CRL
原因:目录服务未及时刷新
解决办法:检查镜像目录服务的刷新情况。
通知CFCA技术支持热线,CFCA可以推荐DS指向某些适当的镜像目录。
18)、The Entrust/Direct server detected a security
problem while processing a request:
Your security software is not configured
properly to access this site. Please close
it, and try again using the appropriate software.
原因:
在Direct/Server6.1+70566patch时,系统内存耗尽时,由Direct/Server报的错。
客户端和服务器端的证书不是同一个CA签发的
DS与Ldap的连接忽然中断
解决办法:
重启Direct/Server机器,并重启Direct/Server服务。
解决办法:保证客户端和服务器端的证书是同一个CA签发的。注意区分E-01系统和对外ET-01系统,可以通过DN判断:E-01系统o=CFCA
Operation CA,ET-01系统o=OCA。
恢复DS与Ldap的网络连接,并重启DS服务
19)、用CFCA企业高级数字证书对form表单中的数据进行签名.如果form表单中的其他数据域包括"&"字符,签名时,DirectClient就会得到此报错,导致交易失败:
The Entrust/Direct server detected a security
problem while processing a request:
The Server Proxy signature generated for
cn=……was not found in the data returned in
the POST request.
Signature Data: amount = 2000.0
原因:应用需要对签名进行URL编码的转换。
解决办法:更改应用,在对数据进行签名之前,先对签名进行URL编码的转换。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
