1.1 安装
1.1.1 CCNET 国密网关的安装
1.1.1.1 Q: CCNET 网关安装需要注意哪些地方?
A: 安装国密网关的时候,建议卸载掉原旧版本网关,移除安装目录后,再安装国密版本网关。若是覆盖安装,有时会出现如下情况:驱动中看到证书,但是 CCNET网关没有读取到国密的证书,CCNET 网关会提示“没有找到证书,请插入Ekey”,原因是没有真正读取到证书。
解决方法:建议卸载掉原旧版本网关,移除安装目录后,再安装新版国密网关。
1.2 登录
1.2.1 CCNET 国密网关的默认端口
1.2.1.1 Q:国密网关的默认端口是?
A:国密网关的默认端口是 7015,区别于之前的默认端口 7013。
1.2.2 CCNET 网关和终端的默认端口
1.2.2.1 Q:请问国密版本的 CCNET 网关对终端的服务端口还是 9933 吗?
A:对,国密版本的 CCNET 网关对终端的服务端口还是 9933。
1.2.3 CCNET 国密网关登录时提示“622”
1.2.3.1 Q:CCNET 国密网关登录时提示“未知错误码 622”,请问是为什么?
A:“未知错误码 622”,表示证书验证有错误。通常由于:
①CCNET 服务器配置了用户应使用 EKEY 登录,但用户没有使用 EKEY(使用了软加密方式)登录服务器。
②CCNET 服务器配置了用户应使用 EKEY 登录,但用户使用了错误的 EKEY证书登录。
参考以下的 D-COM 截图:
以上截图中,截图 1 中使用国密 EKEY 登录 7013 端口,目前服务器端配置默认的国密端口是 7015,7013 使用的是原来 RSA 的国际算法,所以当使用国密的 EKEY 登录 7013 端口时,会提示“未知错误码 622”,因为证书验证有错误。
此时解决方法是,使用国密 EKEY,国密 CCNET 网关登录服务器 7015端口。建议卸载掉 CCNET 网关后,移除安装目录,重新安装下 CCNET国密版本,此版本端口号默认是 7015。
1.3 Ekey 相关
1.3.1 EKey 支持的操作系统版本
1.3.1.1 Q:飞天 ePass 3000GM 国密 Ekey 支持哪些操作系统?
A:飞天 ePass 3000GM 国密 Ekey 支持以下操作系统:Windows2000/XP/2003/Vista/2008/7/2012/10/2016/2019
1.3.2 证书存储区
1.3.2.1 Q:证书插入时,提示要访问“ChinaClear”网站,我的电脑无法访问“ChinaClear”网站,请问会影响 CCNET 网关读取 Ekey 并登录服务器吗?
A:不会。插 Ekey 时弹出要访问 ChinaClear 的 网站。原因是:此为飞天国密 Ekey驱动里自带的功能,因为是结算定制的驱动,故有此登录的动作。此访问结算网址的动作和 CCNET 读取 Ekey 的过程没有关系。读取飞天国密 EKey 访问的是本地的 Chinaclear 的证书存储区,区别于以前颁发的 EKEY 证书注册的存储区是“个人”存储区,现在国密的 EKey 注册的存储区是“ChinaClear”存储区,IE 中也不像以前一样可以直接浏览到。
1.3.3 读取国密证书
1.3.3.1 Q:安装完驱动后,从飞天的 EKEY 管理工具中点击证书查看,如下图所示,“提示验证信任关系时,系统层上出现了一个错误”,请问是证书读取错误吗?
A:不是。此是正常的,这是因为微软和 IE 并没有完全支持国密,读取国密证书时会如此显示。如果看详细信息一栏,可以看到证书是正常的。
1.3.4 读取国密证书失败
1.3.4.1 Q:安装完驱动后,从飞天的 EKEY 管理工具中点击证书查看,可看到证书,但是 CCNET 登录,读取不到证书,如下图所示,请问为什么,如何解决?
A:以上报错原因:实际上是没有真正读取到 EKEY,覆盖安装有时会出现此问题,建议卸载 CCNET 网关后,移除 CCNET 网关安装目录,再重新安装一次国密 CCNET 网关。
1.3.5 读取国密证书失败
1.3.5.1 Q:国密 CCNET 网关 20180925 版本配置为使用 EKEY 登录,登录的时候选了 key 但是没有提示输入 PIN 密码就登录了,正常吗?
A:正常,国密 CCNET 网关 20180925 版本没有要求用户输入 PIN 码。国密 CCNET 网关 20180925 版本后更新的版本,如 20191027 和20200731,会要求用户输入 PIN 码。
1.3.6 终端显示无 EKEY
1.3.6.1 Q:国密 CCNET 终端,国密 EKEY 已经插上,但是登录终端时显示无EKEY,为什么?
A:国密 CCNET 网关参数配置-其他配置中使用 EKEY 取消勾选,再重新勾选,再重启下 CCNET 网关,重启 CCNET 终端即可解决该问题。
问题原因是,CCNET 网关参数配置-其他配置中使用 EKEY 的勾选框是一个“是否使用 EKEY”的总开关,有时没有从缓存中真正写入到配置文件里。取消勾选,再重新勾选,可以解决这个问题。
1.4 技术相关
1.4.1.1 Q:技术上国密 CCNET 网关和之前的 CCNET 网关有什么区别?
A:CCNET 经过国密改造后,CCNET 国密网关的变化是:一是可以兼容使用国密 Ekey,二是可以兼容使用原国际 SSL 算法套件和国密 SSL 算法套件;
简单地概括:
①国密网关支持国密 EKEY 和非国密 EKEY。
②使用国密 EKEY 时则使用国密算法加密通信,使用非国密 EKEY 时则使用原国际算法加密通信。
③非国密 CCNET 网关只支持非国密 EKEY 和原国际算法加密通信。
具体地描述:
①国密 CCNET 网关,可以识别国密的 EKey,原来的 CCNET 网关识别不了国密 EKEY。至于识别出的国密 EKEY 里面的证书是否是国密证书,可以通过飞天的证书管理小程序查看。
②国密 CCNET 网关使用国密 EKEY 握手成功后的套件是国密的 SSL套件,表示 CCNET 网关和服务器端的通信使用的是国密算法加解密。国密 CCNET 网关,握手成功,有日志提示,握手成功会使用ECC-SM4-SM3,或 ECDHE-SM4-SM3,此两个算法套件都是较主流的国密算法套件。
1.5 终端
国密终端和非国密终端区别:国密终端支持国密 EKEY 和 RSA EKEY,非国密终端只支持RSA EKEY。使用国密 EKEY 和 RSA EKEY,对业务是透明的,只是校验的 EKEY 种类不同。
