1、U8 15.0加密的类别
U8V15.0支持在线加密、离线加密两种类别。其中:
在线加密包括:产品试用、在线买断模式、顾问版、在线借用四种类型;
离线加密包括:离线买断模式、离线借用两种类型。
可能大家可能会产生疑问“U815.0加密可以部署在虚拟机中吗?”
这里是重点,敲黑板加强记忆。
a)在线加密支持部署在物理机、虚拟机(仅支持VMware及Hyper-V虚拟机)、云服务器上。
b)离线加密不支持虚拟机。也就是说,如果客户的加密服务器部署在自有云、公有云、虚拟化等环境中,不可以选择离线加密。
所以,订购产品之前首先要确定客户服务器属性,选择适配的加密类型。
2、U8 15.0在线加密登录与日期校验
绝大多数客户订购的是U8V15.0在线加密,包括顾问加密、产品试用加密都属于在线加密,所以在线加密的使用场景比较复杂。
例如,客户并非是军工企业或涉密单位,并不具有申请离线加密的资质,但是出于对信息安全方面的考虑,加密服务器不能访问外网,这里就产生了矛盾,这类场景我们该如何应对?
首先,我们先来弄清楚【证书更新日期】这个字段的含义,在线许可每天会自动连线更新证书,更新的时间就是校验计划中的时间,可能会出现证书更新日期与计划日期不符的情况,但是误差不会很大,每次更新后会刷新证书更新日期。在U8 15.0版本中,证书更新日期对于登录U8门户起着至关重要的作用,所以需要特别注意。
理解了证书更新日期之后,我们需要注意:U8门户登录日期、服务器操作系统日期都会围绕证书更新日期进行比对,如系统判断存在异常,U815.0登录门户时会出现以下几种提示:
a)如果登陆日期大于证书更新日期,且大于7天,则不能登录,提示证书失效;
这种情况需要注意,可能在年底跨年做业务时会遇到这种情况,并非证书真正失效,而是登录日期选择大于当前日期7天以上。
b)如果登录日期大于证书更新日期,但在7天内(含7日),可以登陆,并提示证书失效日期;
c) 如果加密服务器操作系统日期大于证书更新日期7天,则不能登录账套。
综上,如果加密服务器在校验计划时间点无法正常更新证书,或修改了U8登录日期,或修改了操作系统日期,均存在无法登录U8门户的风险,这里需要注意。
不要修改U815.0加密及应用服务器的系统时间,如特殊场景需要,请及时改回正确的时间,否则会影响U815.0门户登录。
3、U8 15.0加密服务器无网环境的应对策略
接下来我们来考虑应对策略,我们再来看一遍这句话“如果登录日期大于证书更新日期,但在7天内(含7日),可以登陆,会提示证书失效日期;”简单来说,在线加密最后一次更新后,七天以内是可以登录U8门户的,只是登录会看到一个提示。
也就是说:极端条件下,可以通过在七天内登录友户通下载并导入企业认证文件的方式来应对客户服务器在一个特定期间内断网时U8可正常运行的需求。
接下来我们来介绍一下服务器不能连接外网、且使用在线加密这种场景的应对策略,我们分如下两种情况讨论:
没有接入Internet
即不能上外网、完全隔绝外网,只能通过每天或每几天(七天以内)导入一次许可文件,如上所述。当然这种情况会产生额外工作量,可以考虑自动化实现方式或采用离线加密。
接入Internet,有防火墙控制
2.1 可以考虑设置基于时间段的转发策略,例如,加密证书每天在14:00更新,具体时间见图1,那么我们可以设置每天只能在休息时间13:50~14:20的时间范围内访问Internet,可以根据每日更新时间再次缩小时间段范围,保证证书在更新时间段可访问Internet即可。
2.2 可以考虑设置基于域名的转发策略,将友户通HTTP的域名地址:https://apcenter.yonyoucloud.com/apptenat及https://apcenter.yonyoucloud.com添加到可访问域名地址中,这样保证友户通网站可正常访问即可。
(以上2.1及2.2设置均需要参考所采购防火墙品牌相关型号的技术文档配置。)
4、常见问题解析
Q1:服务器无法连接外网,如何安装补丁?
A1:
STEP 1
在可上网的PC中打开网址:http://cloudapi.yonyou.com/ISDSps/,输入服务识别码,如下图:
如果在SPS有效期内会生成授权文件,下载并保存。如果不在SPS有效期内则无法生成下载授权文件,不可安装补丁。
SETP 2
拷贝STEP1下载的授权文件到服务器中,通过补丁更新工具选择并导入授权文件。
STEP 3
到一台有网环境下,下载并导出所需补丁。
导出补丁后存放路径在【其他设置】中。
STEP 4
拷贝导出的补丁包到正式服务器,并导入。
STEP 5
通过isd下载、安装补丁即可。
Q2: 如何进行异机代办注册?
A2:
i.U815.0注册不再区分本机注册、异机代办注册。
ii.在任意计算机(包括不安装U8的计算机)只要能够访问友户通网站,就能进行产品注册激活,注册成功后下载证书拷贝到加密服务器上导入即可。
Q3: 解除特征码绑定的条件有哪些
A3:
i.顾问加密、在线借用、离线借用不支持特征码解绑,不支持重发许可;如需绑定新的特征码,需重新申请新的加密。
ii. 在线买断、离线买断允许绑定两套硬件特征码;绑定的特征码超过规定次数后,如需绑定新的特征码,需登录销管系统申请重发许可。
Q4: 在线加密首次登录门户时用户认证界面显示不正常,怎么办?
A4: 可选择如下一种方式解决
i. 按照U8安装光盘中《U8+V15.0_Setup 》附录“安装IIS的方法”,将IIS安装完整。
ii. 友户通上添加操作员信息时,操作员会收到邀请短信,点击该短信中的链接,可以完成用户认证。已认证的用户再次登录门户时,不会再出现认证界面,可以绕开此问题。
iii. 换一台电脑登陆验证,验证通过后再次登录就可以不用验证。Q5: U8操作员离职或新增人员,如何调整许可?
A5:
i. 在线加密:企业账号管理员登录友户通,进入对应企业账号,点击按钮【续费/加购】重新进行注册,在“分配许可”环节,将离职人员从各个领域分组中移除,然后将新增人员添加至对应领域分组下,重新生成新的证书。然后打开U8加密服务器的许可管理功能,在导入许可界面点击按钮【在线同步许可】,更新U8端上的证书。
ii. 离线加密:打开U8加密服务器的许可管理功能,在分配许可界面,将离职人员从各个领域分组中移除,然后将新增人员添加至对应领域分组下,保存设置即可。
(本文所列式的均为U815.0版本问题,后续若有功能变更或补丁更新,请以最新补丁说明或产品发版说明文档为主。)
文章来源于用友服务公众号
