“证书服务”用户操作指南
使用背景
目前华润集团同步建设新一代身份管理平台证书认证场景项目,具备了多系统用户统一登录认证和权限管理的能力,在用户登录认证的身份鉴别方式上目前是采用账号口令校验的方式,存在弱口令、撞库攻击、口令被盗等安全风险。结合基于国密算法的签名验签的技术,为用户签发专属软证书,再结合分片密码技术,可实现集团统一的、高安全性的用户身份鉴别访问框架。
区别于传统账号口令认证模式,证书认证具备以下优势:
1、提升安全性:证书认证基于IBC标识密码体系,使用国密SM9算法认证,将人、设备、账号关联绑定,可有效防止暴力破解账号口令,安全系数显著提升。
2、提升用户体验:证书的密码比较于传统口令,复杂度要求降低,可简单设置6位纯数字为证书PIN码,方便日常记忆和使用。
具体安装使用流程如下,后续大家在使用过程中,若有操作或使用方面的问题,请直接联系IT服务台。
第一章 PC证书客户端安装&证书下载
1.1 环境要求
Windows系统,win7及以上操作系统。内存最低要求2GB,双核CPU。
1.2 安装包下载地址
https://sia-update.crc.com.cn/app/file/KeyService_file_daemon_ecsb_Setup_signed.exe
1.3 安装客户端
双击安装包,自动静默安装(无安装界面),完成结束后会自动运行。安装完成后会在桌面生成以下图标:(如果本机电脑有安装过客户端,且客户端页面为开启状态,需要提前把客户端页面关闭后再进行安装)
1.4 管理工具主界面
1、打开桌面上的“华润证书服务客户端”,弹出证书管理工具主界面,点击“下载证书”。(注:2.1.2.15及之前的客户端版本[包括2.1.2.15版本]只允许在内网下载证书,2.1.2.15之后的客户端版本可以在互联网下载证书。)
2、输入相应的信息并点击下载
3、点击下载后,输入PIN码(6~16位数字PIN码)。
点击“确认”,下载成功:
下载成功后,会在界面上显示证书列表:
第二章 移动端证书下载
2.1 环境要求
1、手机上完成润工作app的下载安装。
2.2 证书下载
1、打开润工作app,选择证书登录。
2、跳转至证书下载界面,输入LDAP账号,此账号对应的手机号,点击获取验证码,输入正确的验证码,点击登录。
3、设置后续登录使用的手势码信息,需要连接三个点以上(不包括三个点),输入两次做手势码的确认,有下图设置手势码成功的提示,证书下载成功。
第三章 统一身份管理平台证书登录
3.1 环境要求
1、本地电脑需要能访问统一身份管理平台。
2、本地电脑已完成证书的下载,如没有安装或需要确认是否完成证书下载,参考第一章内容。
3.2 证书登录
1、打开统一身份管理平台,选择证书登录。
2、选择对应证书,输入正确PIN码,点击登录按钮,完成登录操作。
第四章 慧盾UES客户端证书登录
4.1 环境要求
1、本地电脑需要提前安装慧盾UES客户端。
2、本地电脑已完成证书的下载,如没有安装或需要确认是否完成证书下载,参考第一章内容。
4.2 证书登录
1、打开慧盾UES客户端,选择无边界办公菜单,默认加载证书认证登录页。
2、选择对应证书,输入正确PIN码,点击登录按钮,完成登录操作。
第五章 润工作PC证书登录
5.1 环境要求
1、本地电脑完成润工作客户端的安装。
2、本地电脑已完成证书的下载,如没有安装或需要确认是否完成证书下载,参考第一章内容。
5.2 证书登录
1、打开润工作客户端,选择证书登录。
2、选择对应证书,输入正确PIN码,点击登录按钮,完成登录操作。
第六章 润工作APP证书登录
6.1 环境要求
1、手机上完成润工作app的下载安装。
2、手机上已完成证书的下载,如本地没有下载证书,点击证书登录自动跳转至证书下载界面,参考第二章内容。
6.2 证书登录
1、打开润工作app,选择证书登录。
2、选择登录用户,输入正确手势码,登录成功。
第七章 润工作扫码登录
(证书登录目前在MacOS和信创机型上无法使用,可通过润工作扫码方式进行登录认证)
7.1 环境要求
1、手机上完成润工作app的下载安装;
2、手机上已完成证书的下载,如本地没有下载证书,点击证书登录自动跳转至证书下载界面,参考第二章内容;
3、证书登录目前在MacOS和信创机型上无法使用,可通过润工作扫码方式进行登录认证。
7.2 扫码登录
1、打开统一身份管理平台,选择润工作扫码登录,证书扫码。
2、打开移动端润工作,点击右上角➕号选择扫一扫,(先确认润工作需是使用证书登录才可以使用证书扫码,如果是账密登录选择普通扫码登录即可),扫统一身份管理平台点击证书扫码生成的二维码。
3、扫码成功在移动端输入设置的手势码,认证成功,即可登录进入平台
第八章 多账户登录(特殊、公共账户)场景
存在用户除了自身的ldap账号,还拥有管理相应系统的公共账号场景。证书登录可以支持多用户证书登录,如果需要进行身份登录,可以在证书服务客户端下载相应公共账号的证书,然后在证书登录页面下拉选择相应的用户进行PIN码登录即可。注意的是,公共账号进行证书下载的时候要校验的手机号,不一定是下载者的手机号码,需要填写的是公共账户绑定的手机号。
如果公共账户或者特殊账户处于业务单元的组织架构内,由于权限问题无法下载证书,则可以将相应系统的实例告知 ldap项目组李胜,对相应系统实例进行加白处理,恢复账密共存的登录方式。
第九章 证书客户端卸载
打开设备"此电脑",找到C盘该路径下文件C:\ChinaResources\KeyService\uninst.exe,管理员权限双击"uninst.exe"文件,弹出卸载证书客户端提示,选是即可删除证书客户端。
附1:证书使用常见问题FAQ
1、证书PIN码忘记或证书被锁定
Q:证书长期不使用,忘记了PIN码或连续输入5次错误PIN码,证书被锁定。
A:打开证书客户端,选中忘记PIN码或被锁定的证书,点击解锁证书,账号自动填充,用户输入手机号和验证码,重新输入PIN码即可重置证书和解锁证书。
2、证书PIN码登录提示证书认证失败
Q:证书登录提示“证书认证失败”。
A:(1)PIN码输入错误,可以删除,然后重新下载证书
(2)当前登录页搁置太久(有超时机制),重新加载登录页面或者重新打开润工作,再次尝试登录。
(3)证书文件属于旧版本,可以通过查看客户端左上角版本号知悉,正常版本为2.1.2.18,如果是旧版本需要更新客户端,然后重新下载证书。
(4)企业服务总线和ldap业务可能存在异常,对应域名为ecsb.crc.com.cn:80和ldap.crc.com.cn:443 ,看域名是否可以解析及端口是否可达。
3、证书文件无法显示
Q:证书文件无法显示出来
A:(1)打开证书客户端,确认证书文件是否下载。
(2)如果是润认证界面无法显示证书文件,需要确认当前是否处于内网环境,非内网环境润认证证书登录功能不可用。如果润认证出现异常可以联系 华润云熊锋 进行处理
(3)如果证书客户端可以显示证书,但是访问统一身份管理平台(ldap.crc.com.cn)页面或者登录润工作无法显示个人证书。可以打开任务管理查看是否存在此进程(KeyServiceSvr.exe),若未发现此进程可能是和某软件冲突了,建议卸载冲突软件,例如:360安全中心,360天擎等。然后重启电脑才能恢复。
排查是那个冲突软件端口占用导致,打开cmd,输入netstat -ano | findstr "10022"
根据这个数字对应的进程ID可以在任务管理器上查看是那个终端软件对应的服务,查到之后视个人情况进行卸载。
4、下载证书时问题汇总
Q:下载证书提示“错误:证书认证目前仅在集团总部试点,请采用其他方式登录,谢谢!”。
A: (1)由于证书登录目前只在集团总部和华润数科正式上线,只有在集团总部和华润数科组织下的账户才有权限下载证书,其它业务单元的用户还未开通相应权限。若有业务单元用户需要试用证书登录可以联系安全组罗高超。
(2)账户处于被禁用或者锁定状态,需要联系集团服务台进行处理,账户状态恢复正常后再次尝试证书下载。
附2:证书用户支持群(润工作扫码入群)
