NetCert信安通认证中心系统

Q1. 启动CA或初始化CA是提示：Initialize Connection Pool fail

A1. 查看数据库是否正常启动；
检查数据库JDBC端口是否正常启动；
确认配置文件caserver.xml中与数据库相关的配置项是否正确。
数据库的JDBC URL，即dburl：数据库IP地址、数据库名；
用户名/口令，即dbuser和dbpwd是否正确；
对于DB2V7.2，需要用DB2中的db2java.zip（此文件在DB2V7.2安装目录的Sqllib\java12目录下）覆盖CAServer安装目录lib下的db2java.zip文件，以保持双方使用的包一致。

Q2. 如果从LDAP取得的CRL与主LDAP不一致，或者无法实时复制主LDAP到从LDAP。

A2. 查看从LDAP是否选中了只读选项，如果选择了，请删除从LDAP软件及LDAP目录，并重新安装，配置中不要选只读，只是在访问控制中把by * write去掉。
 

Q3. 使用SJY05-B加密机时，无法导出P10请求。

A3. 请查看ExportKeyTool.exe下面是否有u.prik文件。

NSAE应用安全网关

Q1. 虚拟服务配置CRL后，无法下载LDAP的CRL？

A1. 检查是否导入了CRL信任证书。

 
Q2. 某些ADSL用户单向SSL工作正常，无法进行双向SSL验证，浏览器显示该页无法显示？

A2. 调小Windows客户端的MTU、ADSL拨号宽带路由器或NSAE的MTU可解决此问题，通常不建议调小NSAE的MTU，因为这样会影响整个系统的性能。

Q3. WebLogic 8.x后续版本无法从J2EE底层获取NSAE传递的证书？

A3.要在Weblogic管理控制台中选择Configuration->General，然后钩选"Client Cert Proxy Enabled"选项。

Q4. 在WAS环境中，通过NSAE的SSL代理服务无法访问后台应用?

A4. 这是由于WAS对于客户端访问端口有限制，需要在NSAE中设置URL请求重定向和URL响应重定向。

Q5. NSAE配置了Verisign证书，通过手机浏览器访问NSAE时，总是弹出站点不受信任警告框。但在IE中访问正常。

A5. 手机浏览器中的证书链较少，可能不存有中级证书。在NSAE的中级根证书配置区域中配置浏览器中缺少的根证书。浏览器通过SSL访问NSAE时，NSAE会将中级根证书中配置的根证书推送给浏览器，这样可以解决自建CA系统不受微软信任的问题。

Q6. 客户直接用IE访问后台web应用，利用用户名口令登录系统可正常访问，但通过NSAE单向SSL代理访问后台Web应用，输入用户名口令并提交后访问不到页面，如何处理？

A6. 一般是因为应用系统在处理登录操作时有一个重定向，该重定向导致下一个访问的地址不是NSAE的SSL服务而是后台Web服务器的地址和端口。可以在NSAE上通过响应重定向改写处理该问题，或者要求后台服务不使用重定向操作。

Q7. 客户IE直接访问后台Web应用，可以进行所有操作。但通过NSAE的单向SSL代理访问后台Web应用，首页即出现错误，错误号500。

A7. 一般应用系统的Web服务检查http请求包头中host字段，如果该字段与Web服务自身的地址端口不一致，则Web服务返回500错误。可以在NSAE上进行请求重定向，修改请求包的host地址，或者要求后台服务器放开host字段检查。

Q8. NSAE-B对大数据包签名失败.

A8. 默认只能对32768Byte（0x8000）的数据包进行签名，在ncsign/config.ini文件中加入[Buffer] MaxContent=数据大小（0x开头，数据大小需转换成16进制）。

Q9. NetSafe（NSAE500）配置上海CA服务器证书时，会发生无法正常启动服务问题

A9. 因为上海CA服务器证书中的证书项“好记的名称”为空，需要将服务器证书导入IE后进行编辑，添加“好记的名称”后重新导出。配置后可正常启动服务。

Q10. 企业端NC或NSAE-B通过域名方式连接SSL服务器服务器端无响应，异常断开。

A10. 检查防火墙策略，访问的域名所对应的多个公网地址是否已经配置了防火墙策略。

Q11. 在银企互联中，客户端使用某财务软件.net通信模块，每5分钟才能完成一次交易，经检查客户端NSAE-B系统所设置的超时时间为5分钟。

A11.经检查该财务软件.NET通信模块不能支持服务端使用HTTP1.1协议，在使用该协议时，该财务软件通信模块必须等待服务器端断开连接才能完成数据接收，并完成交易。出现此情况时，服务器端NSAE应选用HTTP1.0协议。

Q12. NC软件不能通过远程桌面启动，进行系统维护不方便。

A12. NC由于涉及到密钥操作，Windows不支持和密钥操作相关的远程桌面启动动作。如果需要进行远程维护管理，建议采用硬件设备NSAE-B。

NetSign签名服务器系统（签安通）

Q1. 为什么在IE地址栏中输入管理IP和端口，没有出现正常的登录页面？

A1. 请检查网络环境和设置，是否可以连接NetSignServer服务器；
检查NetSignServer服务器是否已经启动；
检查NetSignServer的访问地址以及端口是否输入错误。

Q2. 为什么在做Server端签名或验签名时提示“解密加密密钥错误”？

A2. 请检查NetSignServer端通讯数据加解密配置的证书是否与NetSignAgent端netsignagent.properties文件的ServerEncCert（Server 加密公钥证书）一致。

Q3. 在用友NC集群环境中，登录绑定页面出现无法登录的情况。

A3. 一些集群环境中session会被重置，直接访问集群中的某一台服务器IP，不要访问集群IP。

Q4. 超级网银系统上线时，人行等几家银行使用自己的签名证书做签名报文，发现该报文不能发给其他银行行，查因数据包超过大小限制。

A4. 部署在签名服务器中的签名证书中包含证书信任链，因此签名产生的报文中也包含证书信任链，导致报文过大。应部署不包含证书信任链的签名证书。