Embed Size (px)
Citation preview
1 / 33
用友 SSL VPN 操作使用指南
1 SSL VPN 系统简介
登录 SSL VPN,将为用户通过 INTERNET 公网访问集团内网建立一
条安全的加密通信隧道。用户首先需要通过无线网络 (WiFi、3G 无线
上网卡等),或者有线宽带(ADSL、FTTH、Cable Modem 或小区 LAN 网等)
连接 INTERNET。用户使用浏览器登录 SSL VPN 后,VPN 客户端将为您
分配一个内网虚拟地址,这样您就可以访问被保护的内网资源了,收
发集团邮件也将通过 VPN 加密,此时您仍然可以正常访问 INTERNET。
2 系统需求
2.1 操作系统
支持 Windows 2000/XP/Vista/Win7/Win8.0/8.1。
2.2 浏览器支持
支持 IE 6/7/8/9/10/11(32位和 64位)、谷歌 Chrome、火狐 Firefox,
其他国内品牌浏览器(如:360、搜狗、腾讯浏览器,但不支持 Maxthon
傲游、百度)、暂不支持 MacOS Safari 和 Mac Chrome。(注意:用户
首次登录 SSL VPN时,需要下载安装证书和 VPN客户端控件)
2.3 运行环境支持
1) 需要安装 Java虚拟机(可在登录页面下载安装)
2) 建议安装 Adobe Flash Player 和 Adobe Acrobat Reader
2 / 33
3 开始使用 VPN
3.1 步骤一:访问 SSL VPN 地址
打开 Windows 桌面上的浏览器,如 Microsoft IE,在浏览器窗口
地址栏,输入 SSL VPN 访问地址 http://myvpn.yonyou.com ,如下图
所示:
正常情况下,用户应能看到如下 SSL VPN 虚拟门户欢迎页面:
用户可在欢迎页面,根据自己所在公司及分组,选择访问相应的
VPN 通道,通过点击图标即可进入 SSL VPN 登录页面。首次使用 VPN
需要下载安装证书和 VPN 客户端控件等软件,此后日常登录 VPN 时,
除非用户更换浏览器或重装系统,一般情况下无须再重复安装。
在地址栏输入 VPN访问地址
http://myvpn.yonyou.com
址
3 / 33
3.2 步骤二:安装浏览器证书控件
用户首次访问 SSL VPN 登录页面,需要下载安装证书和 VPN 客户
端控件(如下图所示),请在首页依次点击下载链接地址并安装。
以下载安装证书控件为例,点击“iTrus TopCertKit 证书控件”
下载链接地址后,IE 浏览器将提示用户是否运行或保存“天诚安信证
书助手-0.0.0.1*.exe”。用户可直接点击“运行”按钮,浏览器将自
动下载并安装控件。若出现系统帐户控制提示窗口,请点击“是”继
续安装,证书控件安装成功后,需要重启浏览器后再继续操作。
使用火狐 Firefox、谷歌 Google Chrome 浏览器,以及非 IE 内核
的浏览器(如搜狗浏览器等)时的下载提示信息不同,请用户留意。
客户端证书控件安装操作过程,如下图所示:
证书/VPN 客户端控件下载地址
单击“运行”按钮,下载并
安装客户端证书控件
4 / 33
如果用户此前安装过旧版本证书控件,此时系统会提示“系统检
测到证书控件正在运行,请先关闭!”。用户点击“确定”按钮,系统
将关闭当前正运行的控件,然后自动启动新控件安装程序。
用户根据安装向导提示,点击“接受”“下一步”等按钮,如遇防
火墙注册表操作警告,请选择“允许本次操作”。
看到提示“控件安装成功”,请刷新浏览器页面以便加载证书控件。
注意:证书控件安装成功后,
需要刷新浏览器以加载控件
请直接点击【确定】按钮,
以便运行新控件安装程序
5 / 33
3.3 步骤三:获取用户证书
SSL VPN 系统采用“域控+用户证书”的双重身份认证机制,因此
用户首次登录 SSL VPN 需要获取用户证书。方法是点击登录页面中的
“获取证书”链接,此时将跳转至“获取用户证书”页面。
用户在“获取用户证书”页面,应在用户名栏输入“域账户名”(即:
[email protected] 或 [email protected] 邮箱地址中@前面 xx 部分,
用友烟草公司用户请输入完整邮箱名,如: [email protected]),
在密码栏输入“账户密码”(即:用户登录 portal.yonyou.com 园区网
的密码),然后点击“获取短信验证码”或“获取证书”按钮。
如下图所示:
注意:部分浏览器在操作“获取证书”时,可能会报告“当前 IE
安全设置拒绝访问您的计算机上的证书”或“无法验证发布者”,并导
致“证书导入失败”或“证书异常”错误。请参见§4.1 添加受信任的
站点和§5.2 Windows 无法验证发布者的解决方法,并按所示步骤操作。
输入域账户名
输入账户密码
点击【获取短信验证码】
6 / 33
3.3.1 获取短信验证码
在“获取用户证书”页面首先输入正确的域账号和密码,单击“获
取短信验证码”按钮,此时系统将随机产生的“短信验证码”,发送至
您在 HR 系统中登记的手机上,用户手机收到验证码后,请将 6 位数字
验证码填写在“短信验证码”输入栏中(3 分钟内输入有效)。
用户在点击“获取短信验证码”按钮后,可在 60秒后点击“再次
获取验证码”,此时前次获取的验证码将自动失效。
特别提示:若用户未在 HR 系统中登记手机号码,或手机号码不准
确,则无法收到“短信验证码”。此时的解决方案如下:
(1) 用友员工应首先设法通过 eHR 自助系统登记手机号码,或者联络
人力资源部门协助办理信息更新;
(2) 若遇紧急情况需要登录 VPN,请联系本人的主管经理,由主管经
理发送或转发申请邮件到 [email protected] 邮箱,邮件中应注
明申请人的手机号码,服务台人员收到申请邮件并核查无误后,
将为用户代为获取一次“短信验证码”,并发送至申请人手机上,
申请人 5 分钟内使用该验证码即可获取用户证书。
3.3.2 获取并安装用户证书
用户获取并输入短信验证码后,在“获取用户证书”页面点击“获
取证书”按钮,服务端系统完成用户身份验证(域控+短信验证码)后,
自动将“用友软件服务有限公司 CA”系统颁发的用户证书,下载并安
装到用户本地 Windows系统中。证书安装成功,将提示如下信息:
7 / 33
证书安装导入成功后,系统还将自动安装用友 CA根证书(如下图
所示),已经安装过的浏览器将不再提示。请在系统弹出窗口中点“是”
安装证书。不同版本的 IE 浏览器提示信息不尽相同,请用户此时一定
注意不要漏装根证书,若不安装根证书,本地系统将无法验证用户证
书的合法性。
用户证书安装导入成功后,系统提示将在 2 秒钟后自动跳转回到
VPN 登录页面,用户在登录页面重新输入域账号和密码登录 VPN。
输入短信验证码
点击【获取用户证书】
8 / 33
3.4 步骤四:登录 VPN、安装 VPN 客户端软件
用户在 SSL VPN 登录页面,应在用户名栏输入“域账户名”(即:
[email protected] 或 [email protected] 邮箱地址中@前面 xx 部分),
在密码栏输入“账户密码”(即: 登录@yonyou.com 或@chanjet.
com 邮箱的密码),然后点击“登录”按钮,如下图所示:
点击“登录”按钮后,VPN 系统将自动弹出一次“确认证书”窗口。
用户检查无误后,直接单击“确定”按钮即可。不同浏览器“确认证
书”窗口样式不尽相同,以下是微软 IE 浏览器的“确认证书”窗口:
输入域账户名
输入账户密码
点击【登录】按钮
9 / 33
以下是谷歌 Chrome浏览器的“确认证书”窗口:
以下是火狐 Firefox 浏览器的“确认证书”窗口:
首次访问 SSL VPN,系统将提示用户安装 SSL VPN 客户端软件,不
同浏览器的提示信息不尽相同,下图为使用 IE9 时获得的系统提示:
10 / 33
请在系统账户控制提示窗口中点击“确定”,系统开始下载安装 VPN
客户端软件,下载时间长短将跟用户当前的网速有关。安装过程中,
有些系统需要重新启动操作系统,如下图所示:
点击“是”,重新启动系统后,将在 Windows操作系统中安装 Array
Networks SSL VPN adapter 的“本地连接”。
正常登录 VPN时,系统自动启动 VPN客户端软件,如下图所示:
单击“安装”按钮,安装
Array VPN Client 客户端
11 / 33
在完成 VPN客户端安装、VPN客户端与服务器端连接完成后,在屏
幕右下角任务栏将出现红色 A 图标,浏览器显示内网资源导航页面,
如下图所示:
此时,说明用户已成功登录 SSL VPN,可以在资源导航页面或浏览
器地址栏,访问其权限范围内的各网站资源。
注意:用户可以使用不同的电脑登录 VPN,但同一时刻只能保持一
个 VPN正常连接,不能使用相同的账户名在两台电脑上同时登录。
可看到 VPN 客户端与
服务端通讯协商过程
屏幕右下角任务栏,出现红色 A 图标
12 / 33
3.5 步骤五:断开 VPN、退出并注销
为了防止用户误操作,目前策略是即使用户关闭资源导航页面,
或者关闭当前使用的浏览器,系统都不会自动断开 VPN 连接。用户若
希望结束 SSL VPN内网访问,需要手工退出 VPN当前连接。
具体操作方法:单击屏幕右下任务栏中红色 A 图标,如下图所示:
弹出 SSL VPN状态窗口,点击窗口下方“断开”或“退出并注销”
按钮,则完全退出 VPN 当前连接,用户需要再次访问内网资源时,必
须重新登录 VPN。如下图所示:
注意:因网络资源有限,若用户登录连接 VPN 后,30 分钟内没有
任何操作,则系统将自动断开当前 VPN 连接。用户最长连续使用 VPN
的时间为 24小时。
13 / 33
4 浏览器操作使用指南
4.1 添加受信任站点
对于首次使用 SSL VPN 系统的用户,需要通过控制面板或微软 IE
浏览器进入“Internet选项”添加受信任站点,否则部分浏览器在 VPN
登录过程中,系统操作用户证书时可能报错,如下图所示:
添加受信任站点的操作步骤如下:
(1) 通过 Windows 控制面板或微软 IE 浏览器打开“Internet 选
项”窗口,选择进入“安全”标签页;
14 / 33
(2) 点击“受信任站点”图标,然后单击“站点”按钮;
(3) 在“受信任的站点”窗口,键入“https://*.yonyou.com”,
单击“添加”按钮,然后点击“关闭”;
(4) 在“Internet属性”窗口先后点击“应用”和“确定”按钮,
受任何站点添加完成。
15 / 33
4.2 安装 Java 虚拟机
用户若使用非 IE 内核浏览器登录(如 Firefox、Google Chrome
和搜狗浏览器等),用户操作系统中若没有安装 Java 虚拟机,浏览器
可能提示如下信息:
Firefox:
Google Chrome:
此时,用户需要下载 Java虚拟机到本机并安装,可在登录页面访
问如下地址:http://www.java.com/zh_CN/download/index.jsp
16 / 33
下载后运行安装程序:
安装成功:
17 / 33
再次访问 SSL VPN,浏览器将不再出现 Java 虚拟机错误提示。使
用 Chrome或搜狗浏览器登录 VPN时,浏览器会弹出如下提示:
请勾选“不再对来自以上发行者和位置的应用程序显示此消息”,
然后点击“运行”按钮。当弹出以下提示时,请勾选“不再对此应用
程序和 Web站点显示此消息”,然后点击“允许”。
18 / 33
19 / 33
4.3 Firefox 配置和使用说明
4.3.1 浏览器配置
若用户使用火狐 Firefox登录 SSL VPN需要开启“Renegotiation”
功能,否则无法正常登录 VPN。相关配置操作步骤如下:
(1) 在地址栏键入:about:config进入 Firefox配置页面;
(2) 在搜索栏键入:security.ssl此时页面显示相匹配的项目;
(3) 找到下列项目所在行:
“security.ssl.allow_unrestricted_renego_everywhere_
_temporarily_available_pref”
(4) 双击后将该选项值由默认“false”改为“true”;
20 / 33
配置完毕,建议重新启动 Firefox以确保选项修改生效。
4.3.2 手工安装用户证书
由于 Firefox不支持 Windows系统的证书管理器,因此,需要先使
用其他浏览器(不限浏览器种类)成功获取用户证书后,再将用户证书
导出,然后再导入 Firefox,才能正常登录 VPN。操作步骤如下:
步骤一:Windows 系统中导出用户证书;
(1) 从 Windows 控制面板或 IE 浏览器,打开 Internet 选项,进
入“内容”标签页,点击“证书”按钮;
21 / 33
(2) 在“证书”窗口“个人”标签页中,找到颁发者为“用友软
件股份有限公司 Intermediate CA”,颁发给用户域账户名称
的证书,单击“导出”按钮;
注意:颁发者为“用友软件用户 CA”的同名个人证书,是用
户在原 VPN 系统中使用的 1024 位旧证书,在新 VPN 系统
中不能使用,请注意区分;
(3) 进入证书导出向导,直接点击“下一步”;
22 / 33
(4) 在导出私钥页面,选择“是,导出私钥”,单击下一步;
(5) 在导出文件格式页面,选中“如果可能,则数据包括证书路
径中的所有证书”,单击下一步;
23 / 33
(6) 设置证书保护密码,注意输入容易记忆的密码,点击下一步;
然后指定导出证书的文件名和路径,检查证书文件扩展名应
为.pfx,然后单击下一步;
(7) 点击“完成”按钮,系统提示“导出成功”。至此,用户证书
已成功导出到本地。
24 / 33
步骤二:Firefox 浏览器导入用户证书;
(1) 打开 Firefox浏览器,打开菜单,菜单窗口中点击进入选项;
25 / 33
(2) 点击“高级”并选择“证书”标签页,点击“查看证书”;
(3) 进入 Firefox 证书管理器,选择“您的证书”标签页,然后
点击“导入”按钮;
(4) 在“证书文件导入”窗口,找到并选择刚才导出的.pfx证书,
点击“打开”按钮;
26 / 33
(5) 在“密码输入对话框”中输入刚才导出时设定的证书保护密
码,点击确定。系统将提示“已成功恢复您的安全证书和私
钥”。此时证书管理器中应能看到您刚导入的个人证书信息。
证明导入证书成功。
完成以上两个步骤的操作,成功将用户证书导入 Firefox 浏览器,
用户就可以像使用其他浏览器一样,正常登录 SSL VPN了。
27 / 33
4.4 Chrome 配置和使用说明
谷歌 Chrome 浏览器是目前比较常用的桌面浏览器,对新 SSL VPN
系统兼容支持较好。为了方便用户使用,以下配置将屏蔽 Chrome 浏览
器在用户登录 SSL VPN过程中拦截控件加载的提示询问(如下图所示)。
相关操作步骤如下:
(1) 打开谷歌 Chrome浏览器,地址栏键入:chrome://plugins/;
(2) 在插件浏览页面,寻找“TopCertKit”插件项,将“始终允
许”项打上对勾。
完成以上配置步骤操作后,谷歌 Chrome 浏览器将不再拦截并提示
用户是否允许证书插件操作。
28 / 33
5 常见问题
5.1 忘记登录密码的解决方法
如果用户(指:用友烟草及畅捷通用户)忘记了登录园区网的密码,
登录 VPN时将无法使用“获取短信验证码”和“获取证书”功能下载并
安装用户证书。
解决方法:请用户登录 http://uflive.ufida.com.cn 重置密码,
在页面中选择“使用集团邮箱登录”,请点击“此处激活”按钮。注:
用友烟草公司用户选择邮箱后缀@uf-tobacco.com,畅捷通用户选择
邮箱后缀@chanjet.com。如下图所示:
邮箱激活/重置成功后,系统会自动发送一个新密码到用户邮箱中,
用户可以使用这个密码 “获取短信验证码”及“获取证书”。
29 / 33
5.2 Windows 无法验证发布者的解决方法
由于用户使用“爱国版”Windows操作系统等原因,在登录 SSL VPN
及安装 iTrusPTA证书控件时,系统可能会报告“由于无法验证发布者,
Windows已阻止此软件”。因 PTA证书控件(itruscertctl.cab)被阻止
运行,会导致用户“获取证书”时无法正常安装证书。如下图所示:
出现以上问题,目前有两种解决方法:
方法一:更改 Internet 选项安全设置
(1) 通过 Windows控制面板或微软 IE浏览器打开“Internet选项”
窗口,选择进入“安全”标签页,单击“自定义级别”;
30 / 33
(2) 在“安全设置-Internet区域”窗口的设置列表中,找到“下
载未签名的 ActiveX控件”条目,选中“提示”选项;
(3) 点击“确定”返回上一级窗口,再点击“应用”、“确定”按
钮退出设置。刷新浏览器后,尝试重新安装证书控件。
方法二:手工安装 VeriSign根证书链
(1) 依次双击以下图标链接(注:以下两个证书都需要安装);
VeriSign-mid.cer ——中级根证书
VeriSign-root.cer ——顶级根证书
打开进入“证书”手工安装页面,然后点击“安装证书”按钮;
31 / 33
(2) 在“证书导入向导”窗口点击“下一步”;
(3) 在接下来的窗口中直接点击“下一步”;
32 / 33
(4) 最后点击“完成”,系统将提示“导入成功”。
以上两种方法等效,用户选择执行其中一种即可。操作成功
后,用户可尝试再次安装 iTrusPTA证书控件,登录 VPN时系统将
不会再提示“无法验证发布者”的警告信息。
33 / 33
5.3 VPN 客户端使用说明
(1)如果您正在通过防火墙或代理服务器使用 Array SSL VPN,请确
保允许通过 SSL的连接(协议:TCP,端口:443)。
(2)首次连接 VPN 浏览器将提示安装控件,点击“安装”进行客户
端的安装。浏览器将自动下载一个 ActiveX程序并运行,在这个过程中,
根据您的系统设置会出现一到多个系统对话框,请点击确定。
(3)VPN客户端运行以后会弹出一个对话框显示当前的连接状态,连
接建立以后将显示分配到的 IP地址、连接时间和统计信息。
(4)用户关闭浏览器,VPN仍然会保持连接。需要断开 VPN连接,请
单击任务栏中红色 A图标,选择“断开”或“退出并注销”按钮。
5.4 VPN 客户端安装失败(任务栏不出现红色 A)处理步骤
(1) 清理浏览器缓存(如:删除历史数据、清除上网痕迹等)。
(2) 浏览器安全级别设置太高,调整浏览器的安全级别至 "中" 或
"默认"(不推荐),或修改下浏览器安全设置,允许下载和运行 Active
X 控件和插件。
(3) 浏览器插件拦截控件下载,如上网安全助手等,请关闭。
(4) 添加设置 https://*.yonyou.com/为信任站点。
(5) 浏览器开启了增强保护模式,选择 "Internet 选项" 的 "高级
" 标签页,将列表中的 "启用增强保护模式" 的勾选取消。
(6)每个用户同时只能建立一个到 VPN的连接,如果从不同 PC上进
行新的连接将导致当前连接中断。请先断开其他 VPN连接。
