| 操作指南—常见问题解答 |
 如何获得别人的证书? |
| 解答:可以通过个人普通证书的下载页面,在"查找证书"选项中选择"将证书导入到浏览器中"来获得别人的证书。 |
| 证书无法下载到key里。 |
原因:没有初始化key。
解决办法:初始化后重新下载。 |
| 下载普通证书,提示页面乱码。 |
原因:可能为操作系统显示的原因。
解决办法:检查操作系统的版本。检查IE中的"查看"-〉"编码"中,是否设定为"简体中文" |
| 证书下载时报:-1666错误。 |
原因:下载证书时使用腾讯的浏览器。
解决办法:建议用户使用IE下载证书。 |
| 使用苹果机下载普通证书不成功。 |
原因:苹果机自带的safari和IE均不支持证书。
解决办法:使用NetScape解决。 |
| 申请网银专业版,在下载证书时系统提示成功下载,但通过工具-IE选项-内容证书里,查不到此证书(个人和其他里都无证书),也无法登陆网银专业版,后到网点办证书修复,仍出现此情况。 |
原因:可能是浏览器的问题。
解决办法:从其他机器上成功下载证书,导入到用户机器上。 |
| 下载普通证书到usb key中,发现key中没能下载成功。 |
原因:用户的key不是cfca做过测试的。
解决办法:换新key。 |
| 下载普通证书,报:"The error '80090020' occurred."错误 |
原因一:对于握奇公司生产的USB Key或者智能卡,可能的原因是:驱动程序安装不正确。
解决方法:首先确定驱动是否安装正常(在设备管理器中显示Watchdata Watchkey);然后确定CSP名称是否选择正确;使用厂商提供的Key初始化工具,重新初始化Key。或者,与售Key的厂商联系。
原因二:对于赛孚耐(彩虹天地)公司生产的iKey,可能的原因是:在下载前,没有初始化key。
解决方法:使用厂商提供的Key初始化工具,重新初始化Key。或者,与售Key的厂商联系。 |
| 下载普通证书,报:"The error '80090019' occurred."错误。 |
原因:对于握奇公司生产的USB Key,可能的原因是:驱动程序安装不正确。或者,系统不能识别USEKEY。
解决方法:卸载掉旧程序,重新安装程序,然后重新启动机器就可以了。 20)、下载普通证书,报:"The error '800900ID' occurred."错误。
原因一:对于握奇公司生产的USB Key,可能的原因是:驱动程序安装不正确。
解决方法一:卸载掉旧驱动程序,重新安装驱动程序,然后重新启动机器就可以了。
原因二:对于捷德公司生产的USB Key或者智能卡,可能的原因是:USBKEY没有插入电脑或者操作系统没有识别USBKEY。
解决方法二:检查是否插入了USB Key或者智能卡。 |
| 用户使用两码进行下载后,出现如下错误。 |
 |
原因:该参考号和授权码已经使用,证书已经被签发。
解决办法:填写没有下载的证书申请参考号和授权码。请不要重复下载证书。
这也可能是由于网络方面的问题导致证书下载没有成功,请先查看证书是否已经下载(如何查看),如果确认没有成功下载证书,请参考1666错误的试行解决办法中的第三步"重新下载用户证书" |
使用普通证书在做签名的时候报"数字签名验证错"
在后台服务器看到的log记录:(Weblogic)
in Operator().construction(): DN is CN=040@02201046712011
61@1002116772LIAO
ZHI GAO@00000001, OU=Customers, OU=SPDB, O=CFCA Operation
CA, C=CN
signature:A:00000167CifNo=1002116772~|~language=gb~
|~LoginId=Z/1002116772~|~transName=login~|~Reserve=1~
|~signature=invalid~|~cn=CN=
040@0220104671201161@1002116772LIAO ZHI
GAO@00000001~|~0000012857D78063782B8434
78E33A5E48C7BC37AF148F6B14C3322D70D20FE
0FD359AB82DBC0
1C919D4C687F7CB8F333399D25AB41A60E5E69DF595EA802F7A81576C13
Caught exception java.security.SignatureException: Bad block type |
原因:由于客户端证书被更新后,浏览器中存在两张DN名相同的证书,用于签名的私钥和服务器端验签的公钥不对应。
解决办法:在业务流程上,让客户在重新下载证书前,将原来的老证书删除,保证有相同DN的证书只有一张,就不会引起混淆。 3)、卸载IE5时,已安装的证书会丢失吗?
解答:是的,卸载IE时,已安装在浏览器中的普通证书会丢失。因此,建议卸载前将需要保存的证书在浏览器中导出保存,在重新安装完浏览器后再行导入。安装在USB Key或者智能卡设备中的证书不会丢失,只需要重新安装好IE,并确保USB Key或者智能卡设备的驱动程序在系统中安装正常,即可正常使用。 |
| 访问Https://的网站弹出"选择证书"窗口,但是没有证书可以选择。 |
 |
原因:
1.虽然通过IE查看证书信息完整,证书链安装正常,但是Win2000还需要使用自带的"证书管理单元"安装证书链。
2.使用的证书不是同一个系统发的。如服务器端证书是国产863生产系统颁发的,而客户端证书只有一张国产863对外测试系统颁发的,所以登录的时候无法罗列证书。
解决办法:
1.使用自带的"证书管理单元"安装证书链。
a, 请先在CFCA网站获得对应系统的证书链(zip文件中包含三层CA的共三张证书)。其中rca.cer是根证书,pca.cer和oca.cer是中级证书。
b, "证书管理单元"的启用一般需要运行mmc进行配置后才能使用。打开"证书管理单元",可以分别选择"受信任的根证书颁发机构/证书"或"中级证书颁发机构/证书"点右键选择"所有任务/导入…"指向对应的证书进行安装。
c, 使用 "证书管理单元"还可以导入证书吊销列表(.crl文件)以便Web Server完成证书吊销列表查询的工作。
导入根证书: |
 |
| 2. 首先确认证书链导入正常,请用户申请与web服务器端证书属于同一系统的普通证书。 |
| 用户使用https协议,登录安装过Webserver证书的站点出现如下对话框: |
 |
原因:上图所示的警告,惊叹号在第三行,说明浏览器输入的URL与webserver证书的名称不符,可能是:
a、 webserver证书以域名申请,而用户URL输入IP;
b、 或者webserver证书以IP申请,而用户URL输入域名导致的。
解决办法:建议用户在URL中输入相应的域名或者IP应该就不会有该警告了。当然,该警告并不影响继续使用。 |
| 用户登录安装过Webserver证书的站点出现如下对话框: |
 |
原因:上图所示的警告,惊叹号除了在第三行有以外,在第一行也有。第一行的惊叹号说明本机不信任WebServer证书的颁发机构
解决办法:用户需要安装颁发此WebServer证书的CA的证书链。当然,该警告并不影响继续使用。 |
| 用户登录安装过Webserver证书的站点出现如下对话框: |
 |
原因:上图所示的警告,惊叹号除了在第三行有以外,在第二行也有。第二行的惊叹号说明本机时间不在WebServer证书有效期的范围内,可以参考下图。
解决办法:调整本机时间,使之在WebServer证书有效期的范围内即可。当然,该警告并不影响继续使用。 |
 |
| 用户访问https网站期间清除SSL缓存会产生什么后果? |
答:用户在访问https网站期间在IE里面清除SSL缓存后(如下图),则再在此https网站进行页面切换的时候,需要用户重新选择登录此网站的证书。
|
 |
| 捷德智能卡证书没有注册成功,显示"数字ID自动注册功能不可用" |
原因:可能是智能卡的驱动程序没有安装好。
解决办法:需要进行如下操作:
1、 在本机搜索"SafeSignCertReg.exe",该文件应该在系统目录下;
2、 找不到SafeSignCertReg.exe,则需要重新安装智能卡管理工具;
3、 找到SafeSignCertReg.exe后,双击执行;
4、 执行完成后打开智能卡管理工具检查数字ID自动注册功能,应该是可用。这样,证书就可以自动注册到IE中进行使用了。 |
| 同一个IE窗口每次使用存放在捷德智能卡内的证书都需要验证pin码 |
原因:造成此现象的原因是微软的某些设置被更改了。
解决办法:
1、点击开始>运行>输入regedit,启动注册表
2、点击HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Cryptography>Defaults>Provider>SafeSign CSP Version 1.0,查看右边的LogonEveryTime的选项值
3、如果LogonEveryTime=1,请把它改成0
4、注意:LogonEveryTime只对win2K以上的系统生效,对win98无效。 |
| 用户登录网银后,发现用户的DN与申请的不一致。 |
原因:用户在不同的行申请了两张普通证书。比如,用户使用了在民生银行申请的证书登陆交行的网银系统,因此网银系统发现用户的DN与申请时不一致。
解决办法:申请相应行的证书。 |
| 使用https访问安全站点时,弹出"不是可信CA颁发的证书"警告框等类似安全警告。 |
原因:IE没有导入证书链。
解决办法:导入证书链。 |
| 为什么用户的普通证书在有效期内,但是访问时报用户证书过期或失效错误 |
原因:用户的证书做过恢复,而又未下载。在两码过期以后,原来的证书被撤销,因此会报错。或者用户修改了系统时间或时区,导致系统当前时间不在证书有效期之内。
解决办法:重新申请证书,修改系统时间为标准时间。 |
| 使用https协议,访问某个网站,显示"该页无法显示"或"无法打开该页面" |
原因一:可能是域名解析有问题;可能用户的网络不正常;可能该网站的服务不正常;
解决方法一:找到网络管理员,检查域名服务器设置,检查是否能够正常的解析服务器的IP地址,检查该网站的服务是否正常。
原因二:如果访问以后,"选择证书"对话框已经弹出,选完证书后,出现"改页无法显示"的情况,则与证书有关,可能是部分厂商的key,导致的。请使用认证卡商列表中的产品。
解决办法二:可以先将key注册到IE中的证书链接删除(在IE中选择"工具"-)"Internet选项"->"内容"-〉"证书",打开"证书"对话框,在"个人"页中找到key注册的证书,选择"删除",删除证书),然后重新拔卡、插卡,等key重新将证书注册到IE后,再登陆到网站上试一试。 |
| 装了核新SSL通讯安全代理软件的用户,在进行双向SSL登录的时候会遭遇到"该页无法显示"(图1)或者证书选择框中没有证书(图2)的问题。 |
 图一 |
 图二 |
原因:问题是由于核新SSL通讯安全代理软件绑定指定证书,并且配置所有本机的SSL访问必须通过核新SSL通讯安全代理软件占用的127.0.0.1的9999端口(默认配置)造成的。
解决方法:为了消除核新SSL通讯安全代理软件的影响,需进行如下操作:
1、打开IE,选择"工具"下面的"internet选项"菜单;
2、在"连接"属性页,选择"局域网设置";
3、在新窗口中选择代理服务器部分的"高级";
4、在新窗口把secure栏目的内容清除后确定(详见图3);
5、通过确定关闭所有窗口。
6、关闭所有IE窗口后,再打开新窗口,就可以正常进行双向SSL登录了。
解决方法一:清除"代理服务器设置"的Secure部分的内容 |
 图三 |
| 解决方法二:仅适用于平时不使用代理服务器上网的用户,直接取消代理服务器的设置。 |
| 图四 |
| |
