证书机构常见错误

证书机构常见错误 ?用Direct client登录时出现如下信息:错误10048.(地址已经在使用)初始化套接字。Direct 可能已经启动, 原因:本机的8080端口被占用 解决办法:在Entrust.ini文件的设置中，将TCP端口设置改为其它端口(在entrust.ini文件的[Entrust Direct]段中增加port=7070)，以避免端口冲突。 ?使用Direct client时，忘记了证书口令，该怎么办, 解决办法:可以到申请证书的受理点去申请证书恢复，拿到重新产生的参考号和授权码后，再通过Direct client的"更新用户/配置文件"菜单选项下载新证书。 ?可以在一台机器上安装两个Direct client吗, 解答:可以。它们应该装在不同的文件夹下，每个文件夹中含有自己的配置文件entrust.ini，如果要同时启动两个Direct client，需要修改entrust.ini文件的port选项，使两个Direct client的port不相同(请注意避免二者使用同一证书)。 ?可以用一个Direct client连接多个Direct Server吗, 解答:可以。只要它们所用的证书是同一个CA颁发的，就可以互相认证。具体实现可通过修改entrust.ini配置项InitialBrowserURL指向不同的Direct Server所保护的站点的URL即可;也可以直接在浏览器中的地址栏中输入其他站点的URL。 ?Direct client支持HTTP 1.1吗, 解答:Direct 6.0支持HTTP 1.1。以前的版本只支持HTTP 1.0。 ?用Direct client登录时，报-1639错误:Operation not allowed. Your identity has been disabled. Contact your Administrator. 原因:可能的情况是证书已被冻结。 解决办法:请准备好自己证书的DN(通用名)，使用硬、软盘存贮证书的用户可以在EPF文件的最后一行找到，如:X500name=cn=AAAA test1,ou=BBBB,o=CFCA Operation CA,c=CN，使用智能卡或者USB key的用户可以通过智能卡管理工具获得DN名，报请RA或者CFCA技术支持进行解冻。 ?在证书登录时，出现代理主体的对话框，并要求填写用户名及口令. 原因:proxy服务器的设置问题。 解决办法: a. 在proxy服务器的访问控制中，将口令验证一项选成简单验证，而不要选择NT域验证; b. 如果将Direct client升级到Direct client 6.0 SP1以上版本的话，该问题也可以得到解决。 ?登录证书时报错:"-1648，Your Entrust 证书文件 is not current and contains old signing information. Contact your Administrator. 原因:证书不是最新的，签名私钥过期，如果用户多台机器使用同一张证书就会出现该错误，建议用户不要同一张证书在多台机器上使用。 解决办法:请使用最新的证书，如果证书已经丢失，请用户向证书办理机构提出证书恢复申请，获得两码恢复证书。 ?Direct client登录时报"Your security software is not configured properly to access this site." 原因: a. 一种情况是Direct client和Direct server使用不是同一CA的证书。 b. 另外一种情况是Direct server不能正常提供服务，所有的客户都有这种情况。 解决办法: a. 检查客户端是否连到正确的Direct server(主要是检查entrust.ini文件 中initialBrowserURL= 后面所写的网银地址是否是要访问的地址)。 b. 请和主管Direct server的人联系，确认Direct server是否正常运行。 ?在使用D/C登录时报-3983 General Entrust Error错误(证书是存放在卡里的)。 原因:本地的cache文件有被破坏的情况。 解决办法:删除cache文件，重新登录。 ?电脑突然断电。用户重新启动电脑，direct无法登录。 原因:由于电脑断电导致entrust.ini文件损坏。 解决办法:重新产生一个entrust.ini文件，并把它复制到etdirect.exe所在的目录中，替换原来的文件。 ?DC登录时报:1648错。 问题描述:用户使用DC6sp2，如果不联网时，做DC登录，IE弹出后页面显示成功，但当连接网络后，做DC登录时就报1648错，(用户机器使用的是曾经作为备份的硬盘)。 此问题与上面的 8)错误提示一样但现象由于使用DC6sp2而不完全相同，在此进行详细说明。 原因:经分析，用户目前使用的机器是曾经作为备份的硬盘，故证书是没有更新的。但目前该证书的状态是已经做过签名证书的更新，所以在网络通畅的情况下，DC使用此epf文件会连接目录确认是否需要更新，并尝试在CA进行更新。此时由于CA此证书已经更新，就会报错"(-1648)您的证书文件不是最新的，包括一个旧的签名信息。请您与您的管理员联系"。而在网络无法使用的情况下，DC没有办法连接到目录确认此epf是否需要更新，而且此epf的证书确实有效。因此证书仍然可以正常使用网银。 解决办法:为了解决此用户的1648问题，向用户建议了两种方法: ?、找到旧硬盘上一直使用正常的同名epf，将此文件复制到新硬盘上使用。 ?、恢复这张证书。 ?离线对文件签名进行验证时，报,296错。 原因:用于验签的证书其相应的xcc文件过期了，需要进行更新。 解决办法:将用于验签的证书进行重新登录，重新获取了相应的cache文件。 ?用户通过SMP的方式使用DC，以前使用一直正常，某日DC登录时报"无法验证一个外部CA发放的证书"。SMP Client 端安装在本地，用户通过网关上网。 原因:检查SMP Server服务正常，但这台主机的IP地址已修改，telnet本地的SMP Client 端的389和829不通，导致DC无法登录。 解决办法:修改INI文件中的Authority= 和 Server=的IP地址，使其能连接到客户端的SMP client 端的服务。 ?用户通过wingate4.3代理服务器、客户端使用gatekeeper软件根据用户的帐号上网，无法用Direct client登录。 问题描述:wingate4.3代理服务器已开放389和829端口，用ldapsearch.exe测试程序能连接到目录服务器。 原因:不详。 解决办法:将客户端配置成SEPbyProxy方式。 ?关于启动DirectClient报错10049问题的说明 问题现象:启动DirectClient程序的时候，直接报错10049，如图: 原因分析:这是由于本机安装的防火墙软件阻止DirectClent占用端口运行导致的。常见的瑞星防火墙，就容易造成此问题。 解决办法:停止防火墙服务和在防火墙软件中增加允许DirectClent占用端口运行的规则或者策略，可以解决问题。如下以瑞星防火墙为例，说明如何增加规则: 1、出现错误后， "确定"退出 2、在任务栏中，左键双击瑞星防火墙的标志，启动瑞星防火墙设置页面 3、在瑞星防火墙设置页面中，选择"访问规则"; 4、在"访问规则"页面，选择"增加规则" 5、在新弹出的窗口中，选择DirectClient的可执行程序etdirect.exe后打开 6、增加规则完成后，在"程序名"列表中，看到了"Entrust/Direct"的记录 7、双击此记录，可以看到该规则的具体情况，请务必保证是"全部放行"的并保存 8、至此，完成了瑞星防火墙增加允许DirectClent占用端口运行的规则。此时再启动DirectClient将不会再出现10049错误。 ?Direct/Client 10013错误解决办法 问题现象:启动DirectClient程序的时候，直接报错:"错误10013(没有权限)初始化套接字，Direct/Client可能已经启动"，如图: 原因分析:这是由于本机安装的防火墙软件阻止DirectClient占用端口运行导致的。常见的天网防火墙，就容易造成此问题。 解决办法:删除防火墙软件中禁止DirectClient占用端口运行的规则或者策略，可以解决问题;重新启动Direct/Client，在天网防火墙提示是否允许Direct/Client访问时，选择允许。如下以天网防火墙为例，对具体操作进行说明: 1. Direct/Client出现错误后， "确定"退出。 2. 在任务栏中，左键双击天网防火墙的标志，启动天网防火墙设置页面。 3. 点击如下图红框部分的按钮，对"应用程序规则"进行设置。 4. 进行了上面的操作后，天网防火墙的程序窗口会扩展出"应用程序访问网络权限设置"窗口。在窗口内找到"Entrust/Direct"选项，发现该选项是被禁止的，选择"删除"(如下图)，删除该防火墙策略。 5. 天网防火墙会弹出确认对话框进行确认，请选择"确定"。 6. 重新启动Direct/Client软件。此时天网防火墙会弹出一个警告信息对话框(如下图)，将"该程序以 后都按照这次的操作运行"选项选中，然后选择"允许"。 能够正常地使用了。 7. 至此，完成了天网防火墙的设置。Direct/Client就