2019-01-15 21:38:32
U8 15.0加密的类别
U8V15.0支持在线加密、离线加密两种类别。其中:
在线加密包括:产品试用、在线买断模式、顾问版、在线借用四种类型;
离线加密包括:离线买断模式、离线借用两种类型。
可能大家可能会产生疑问“U815.0加密可以部署在虚拟机中吗?”
这里是重点,敲黑板加强记忆。
a) 在线加密支持部署在物理机、虚拟机(仅支持VMware及Hyper-V虚拟机)、云服务器上。
b) 离线加密不支持虚拟机。也就是说,如果客户的加密服务器部署在自有云、公有云、虚拟化等环境中,不可以选择离线加密。
所以,订购产品之前首先要确定客户服务器属性,选择适配的加密类型。
U8 15.0在线加密登录与日期校验
绝大多数客户订购的是U8V15.0在线加密,包括顾问加密、产品试用加密都属于在线加密,所以在线加密的使用场景比较复杂。
例如,客户并非是军工企业或涉密单位,并不具有申请离线加密的资质,但是出于对信息安全方面的考虑,加密服务器不能访问外网,这里就产生了矛盾,这类场景我们该如何应对?
首先,我们先来弄清楚【证书更新日期】这个字段的含义,在线许可每天会自动连线更新证书,更新的时间就是校验计划中的时间,可能会出现证书更新日期与计划日期不符的情况,但是误差不会很大,每次更新后会刷新证书更新日期。在U8 15.0版本中,证书更新日期对于登录U8门户起着至关重要的作用,所以需要特别注意。
理解了证书更新日期之后,我们需要注意:U8门户登录日期、服务器操作系统日期都会围绕证书更新日期进行比对,如系统判断存在异常,U815.0登录门户时会出现以下几种提示:
a) 如果登陆日期大于证书更新日期,且大于7天,则不能登录,提示证书失效;
这种情况需要注意,可能在年底跨年做业务时会遇到这种情况,并非证书真正失效,而是登录日期选择大于当前日期7天以上。
b) 如果登录日期大于证书更新日期,但在7天内(含7日),可以登陆,并提示证书失效日期;
c) 如果加密服务器操作系统日期大于证书更新日期7天,则不能登录账套。
综上,如果加密服务器在校验计划时间点无法正常更新证书,或修改了U8登录日期,或修改了操作系统日期,均存在无法登录U8门户的风险,这里需要注意。
不要修改U815.0加密及应用服务器的系统时间,如特殊场景需要,请及时改回正确的时间,否则会影响U815.0门户登录。
U8 15.0加密服务器无网环境的应对策略
接下来我们来考虑应对策略,我们再来看一遍这句话“如果登录日期大于证书更新日期,但在7天内(含7日),可以登陆,会提示证书失效日期;”简单来说,在线加密最后一次更新后,七天以内是可以登录U8门户的,只是登录会看到一个提示。
也就是说:极端条件下,可以通过在七天内登录友户通下载并导入企业认证文件的方式来应对客户服务器在一个特定期间内断网时U8可正常运行的需求。
接下来我们来介绍一下服务器不能连接外网、且使用在线加密这种场景的应对策略,我们分如下两种情况讨论:
没有接入Internet
即不能上外网、完全隔绝外网,只能通过每天或每几天(七天以内)导入一次许可文件,如上所述。当然这种情况会产生额外工作量,可以考虑自动化实现方式或采用离线加密。
接入Internet,有防火墙控制
2.1 可以考虑设置基于时间段的转发策略,例如,加密证书每天在14:00更新,具体时间见图1,那么我们可以设置每天只能在休息时间13:50~14:20的时间范围内访问Internet,可以根据每日更新时间再次缩小时间段范围,保证证书在更新时间段可访问Internet即可。
2.2 可以考虑设置基于域名的转发策略,将友户通HTTP的域名地址:https://apcenter.yonyoucloud.com/apptenat及https://apcenter.yonyoucloud.com添加到可访问域名地址中,这样保证友户通网站可正常访问即可。
(以上2.1及2.2设置均需要参考所采购防火墙品牌相关型号的技术文档配置。)