杭州-实施组 技术分享—— NO.002-工商银行-网银U盾无法加载证书弹出密码框问题

作者：谈笑
关键词：网银、U盾、工商银行

-----------------------------------------------------------------------------------------------------------------------------------------

一、问题描述：

当客户打开对应ukey设备的工行u盾后，u盾已被正确识别打开，但是该u盾因证书加载问题未能加载到证书，致使网站u盾登录无法弹出密码框，导致流程无法运行，问题如下图：

二、问题分析：

个人分析，该类问题属于u盾驱动加载环境问题，工行u盾产品属于硬件产品，没那么智能自动加载证书，并且有些相同银行的u盾还分不同厂家驱动，例如天地融，华虹，金邦达等u盾厂家，同一个银行下多个厂家u盾可能存在冲突，并且锁证书互斥，例如前一个u盾使用的工行华虹证书，触发成功后，下一个天地融u盾无法自动加载成功，需要先解除华虹证书，在手动加载天地融证书，另外也可可能存在多家银行同一个u盾驱动厂商，可能与其他银行u盾驱动冲突。

三、解决方案：

流程设计上，可以手动加载u盾牌证书，这里我们以工商银行天地融u盾为例：

1、首先确认对应在执行的u盾属于哪个厂商：

    U盾上的10位号码是证书介质序列号。通过证书介质序列号中的第一个数字，即可判断其对应的品牌，具体对应品牌情况如下：
        一代U盾：1—捷德；2—金邦达；3—金邦达（2006新版）；4—华虹（无LCD显示屏）
        二代U盾：4—华虹（有LCD显示屏）；5—飞天二代；6—明华二代；7—天地融二代。

    提示：
        1.2019年4月14日起，将原一代金邦达U盾号段区间（序列号以25、26、27、28开头）调整为二代天地融U盾号段区间；
        2.因华大智宝、文鼎创序列号首位与华虹、明华相同，目前可通过U盾序列号首位并结合U盾介质外观上的英文标识来区分品牌。

2、根据对应的u盾，使用工行的客户端管理工具正确加载对应天地融u盾证书。

    登录企业网银时，如遇“请确认您已插入工商银行U盾证书，或更换端口后再次尝试登录”或浏览器显示“无法显示网页、网页走丢了、403、白屏”等提示，请您按以下方法操作：

    1、确认U盾与电脑正常连接；
    2、请您选择“开始-程序-工行网银客户端软件”，点击证书的品牌。如您持有的是明华、天地融、飞天诚信、华虹多语言证书，请您点击“客户端管理工具-证书”后选中颁发者为ICBCCA的证书，然后点击“注册证书”；如您持有的是华虹或华虹二代证书，请您点击“证书”输入证书密码/用户口令后确定，点击“安装”或“注册证书”进行证书注册操作。提示“注册成功”后再重新打开新网页进行登录。如您持有的是捷德或金邦达的一代证书，请连接好证书重启计算机后再重新登录；

      
    3、如不成功请您点击IE浏览器中的“工具-Internet选项-高级”，只勾选SSL3.0和TLS1.0两项，去掉TLS1.1、TLS1.2、SSL2.0，关闭IE浏览器后再重新进行登录；

    4、若上述方法无效，请检查操作系统日期设置是否正确，或重装驱动程序。

    提示：
        使用XP操作系统及IE8浏览器的用户，若手工勾选了ipv6选项，则会遇到无法访问情况。请您点击IE浏览器选择“工具-Internet选项-高级”，勾选使用SSL2.0，SSL3.0，TLS1.0。重新打开浏览器尝试登录。

通过以上方式加载证书u盾即可正常弹出密码框登录，此加载方式可以编写成流程，在每次登录打开u盾，登录之前，先跑加载流程，提高u盾登录的成功稳定性。