到 Unified Access Gateway 设备的客户端连接需要使用 TLS/SSL。终止 TLS/SSL 连接的面向客户端的 Unified Access Gateway 设备和中间服务器需要使用 TLS/SSL 服务器证书。
TLS/SSL 服务器证书是由证书颁发机构 (Certificate Authority, CA) 签名的。CA 是确保证书及其创建者身份的受信机构。如果证书是由受信任的 CA 签发,则系统不会向用户显示要求验证证书的消息,且瘦客户端设备可以在无需额外配置的情况下进行连接。
在部署 Unified Access Gateway 设备时,将生成一个默认 TLS/SSL 服务器证书。对于生产环境,VMware 建议您尽快更换默认证书。默认证书不是由受信任的 CA 签名的。仅在非生产环境中使用默认证书。
VMware 建议对 TLS 服务器使用基于 RSA 密钥的证书。证书和私钥可以作为 PKCS12/PFX 密钥库提供,也可以作为 PEM 格式的单独私钥和证书链文件提供。
要将 PKCS12/PFX 转换为 PEM 格式的证书链文件,请运行以下
openssl
命令:
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem要将 PKCS12/PFX 转换为 PEM 格式的私钥文件,请运行以下
openssl
命令:
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem以 PEM 格式提供证书和密钥时,私钥必须采用 PKCS1 格式。要将私钥从 PKCS8 转换为 PKCS1(从 BEGIN PRIVATE KEY 格式转换为 BEGIN RSA PRIVATE KEY 格式),请运行以下
openssl
命令:
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem