|
SEP模式应用需求
安装Direct/Client的客户端,除了能访问Direct/Server服务外,不需再增开端口,就可以完成登录认证
SEP模式实施方案
1、SEP模式机制
采用SEP模式中Direct client通过Direct Server与CA和目录服务器相连接。
在这种模式下,Direct client 与Direct Server 采用SEP 通讯协议;Direct
Server与CA 采用PKIX-CMP协议,与目录服务采用LDAP协议。
SEP模式系统示意图如下:
如上图所示:
Direct/Client在SEP模式下,在客户端不需直接连接到CA的829和LDAP的389端口,只需访问Direct/Server就可以完成认证的工作。
2、SEP模式的实现
使用SEP模式的时候,只需在客户端保留证书登录过程中产生的cache文件。同时在客户端的entrust.ini文件中加入相应的配置。
SEPByProxy的配置方法如下:即在entrust.ini文件中做如下修改。保存原来的entrust.ini文件备份,将entrust.ini文件做修改。
将Authority= 、Server=两项设成<none>
即: Authority=<none>
Server=<none>
然后在[Entrust Settings]中增加如下的一段
SEPByProxy=1
SEPVersion=V5.0.0.E
LDAPproxyClient=1
在[Entrust Direct]中的
initialBrowserURL= 项指到有Direct/Server保护的网上银行的地址,使Direct/Client能够连接到Direct/Serve的服务
比如建行的网银
initialBrowserURL=http://b2b.ccb.com.cn
下载entrust.ini文件
3、SEP模式的优缺点
优点:
使用SEP模式的客户端,不需要连接到CA和目录服务,因此客户端不需开对CA的829端口和LDAP的389端口。客户使用比较方便。
缺点:
由于目前的SEP模式不支持证书的下载、恢复和自动更新。
因此:
客户无法在客户端完成证书下载和证书恢复的操作,只能完成证书的登录功能。
高级证书在使用两年左右的时间,会出现证书无法完成自动更新的现象。需要重新发证书,或恢复证书。
4、SEP模式实施时需注意的问题
由于使用SEP模式时,需要客户端的cache文件,否则登陆Direct/Client时报错。因此,使用SEP模式时,需要事先下载好用户的证书,并且将与证书文件同名的所有Cache文件保留。Copy到需要安装Direct/Client的机器上,使Direct/Client在登录时能够找到所需的Cache文件。
由于目前SEP模式不支持证书的下载、恢复和自动更新。需要银行代客户下载证书到卡中。同时,卡片中的证书文件出现问题,需要做证书恢复或是证书到期,需要做自动更新的时候,就需要银行来帮助用户完成。
SEP模式与online模式可以相互转换,在SEP模式转变为online模式时,只需将entrust.ini文件恢复成原来备份的文件即可。
考虑到以上情况,建议在局域网情况比较复杂,确实无法开到CA和目录服务器的端口时,再考虑使用SEP模式。 |
|
