宝钢集团有限公司

宝钢集团有限公司

宝钢SSL VPN安全升级指南

Version:V1

编制：宝钢统一认证及网络文件保护系统项目组审核单位：宝钢集团运营改善部

发布日期：2013年9月5日

第一章宝钢SSL VPN安全升级指南

一、升级前请先确认以下事项（重要）

1、请确保在需要使用VPN的电脑上进行升级；

2、如需使用多个VPN账号，升级时绑定常用账号。非常用账号请向宝钢股份设备部备案(gulq@)。

3、部门VPN账号在安全升级后须转为个人VPN账号，如多位员工使用同一部门账号，请其余员工重新申请。

二、宝钢SSL VPN安全升级流程

1、激活宝钢通行证（已激活用户忽略）

①宝钢内网：使用原协同办公帐号、密码，登陆宝钢统一认证系统：，完善您的信息，注册激活宝钢通行证（需要使用手机接收短信密码）。

②宝钢外网：先使用原VPN帐号登陆VPN，然后以“NETWORK”方式登陆激活宝钢通行证。

2、安全升级流程（详见第二章操作说明）

登陆统一认证平台 升级。点击首页→快速导航→”VPN安全升级”。按步骤：○1下载安装证书驱动；○2验证原VPN帐号及密码○3下载宝钢CA 证书○4完成VPN升级。升级后请按提示验证新VPN帐号及密码。

第二章、VPN安全升级操作说明

1、登陆统一认证平台 )升级

使用宝钢通行证登陆；没有宝钢通行证的用户，使用协办公系统帐号及密码登陆，按照提示完成用户升级、激活宝钢通行证。

2、首页选择“快速导航”—“VPN安全升级”图标进入升级流程

3、按照页面提示，点击“证书控件下载”，下载并安装。

如下图所示，点击运行按钮。（如果已经安装控件请跳过）

4、根据系统提示安装证书控件，点击“下一步”

5、点击“安装”

6、点击“完成”，完成证书控件的安装。

7、完成安装控件后，请在“VPN账户安全升级”页面右侧填入您的VPN账号和密码，点击“下一步”

8、VPN账号和密码校验通过后，进入第二步“安全升级”

9、确认证书申请信息：“宝钢通行证”、“姓名”、“VPN账户”，如果无误，输入并确认新的VPN密码（密码强度8-16位数字、字母混合，且与宝钢通行证密码不相同），点击“下一步”：

10、上图为“证书设置私钥保护口令”画面。用户必须两次输入相同的6-20位字符的密码，证书私钥保护口令作使只用于证书重置密码、签名验证的口令。口令遗失后不能重置只能重新申请证书，故请妥善保管证书私钥保护口令

11、完成后点击“确定”按钮，进入“安装宝钢CA证书”图：

12、点击“下一步”，显示如下“证书安装成功”提示

13、点击“确定”后，系统提示VPN账户安全升级成功。

第三章SSL VPN安全升级常见问题(Q&A)

1.Q：本次VPN升级范围

A：使用宝钢集团统一因特网出口的VPN用户，站点如下：

https:// 、https:// 、

https://

其他站点不在本次升级范围内，如：宝钢国际自有的VPN系统https:// 。

2.Q：在外网可否进行VPN安全升级？

A：能，如果您在外网先使用原有的VPN登录，通过network模式登录宝钢统一认证系统 进行安全升级。

3.Q：一个VPN账号是否可以被多人认领（绑定）

A：不能，一个VPN账号只能被一个宝钢通行证（工号）认领（绑定），系统提示“此账号已经被认领”。

4.Q：一个人可以绑定多个VPN账号吗

A：不能，由于VPN安全升级后使用宝钢CA证书，所以一个人只能绑定VPN账号，如果有人原来有两个VPN账号，挑选其中常用的进行绑定，另外一个账号请发送至gulq@ 股份设备部网管中心备案，另行处理。具体可以查看通知中的升级确认第2点。

5.Q：部门账号如何处理?

A: 部门VPN账号在安全升级后须转为个人VPN账号，员工使用同一部门账号，请其余员工重新申请。

6.Q：WIN7环境下安装控件可能会提示存在风险，如下图：

A：请用户选择“仍要运行”。

7.Q：第一步提示“VPN账户验证失败”

A：用户输入的密码错误，不是当前VPN账户的密码。

8.Q：第一步提示“您要认领的账户不存在”

A：请确认是否在本次升级范围内（见Q1）。并确认您的VPN账户是否输入正确（注意大小写），如仍有问题直接反馈运维报修。

9.Q：登录统一认证 为什么要身份认证

A：身份安全认证是确保每个员工获取一个宝钢通行证，并预留手机、邮箱设置安全密码，此安全密码作为登录统一认证的密码。

10.Q：身份认证时候收不到短信验证码或者收到后已经失效

A：可以尝试再次发送。如果多次发送还是收不到，可以点击右上角的遇到问题进行反馈。也可以另外挑选时间再次尝试。

11.Q：安全升级后，原VPN账号是否还能使用

A：原有账号在安全升级期间（10月9日前）仍然可以通过https:// 的地址访问，10月9日之后停止使用。

安全升级后已经重新开通了一个与宝钢通行证一致的VPN账号，建议登录新站点。

12.Q：安全升级后新VPN账号是否能在VPN1、VPN2站点使用

A：不能。使用新VPN账号，只能登录新站点。

13.Q：安全升级开始后，VPN2站点为什么无法登录

A：VPN2已经切换成为新VPN站点的应急通道（短信验证），不能直接登录。用户可使用短信接收到的用户名和密码进行登录。短信的获取方式为：访问，选择VPN应急登录。

14.Q：什么情况下应该使用应急登录的模式

A：当用户使用常用的办公电脑访问VPN时，应该安装证书并选择证书登录。只有在用户临时使用个人电脑，无法安装证书的情况下，方可使用应急通道、通过短信验证码的方式来访问VPN系统。

15.Q：证书登录时，为什么会“页面无法显示”的错误？

A：请确认您的电脑上是否正确的安装了宝钢证书。查看证书的方法为：在IE浏览器中点击“工具-Internet选项-内容-证书”，查看是否已安装了一个与宝钢通行证（协同工号）名称相同的证书。如果已正确的安装了证书，请您关闭浏览器重新打开后再登录。

16.Q：如果安全升级后重装操作系统或更换电脑，如何重新下载证书？

A：请在宝钢内网环境访问统一认证平台（如在外网请用应急登录，使用短信的方式接入VPN）,在统一认证首页选择“宝钢CA 证书”，按照提示下载控件及安装证书。

17.Q：安全升级功能支持什么版本的浏览器？

A：IE 6.0以上版本。