在签名证书过期时,您可以更换这些证书,也可以使用 CA 签名的证书替换默认证书。
默认情况下,Unified Access Gateway 使用自签名 TLS 服务器证书。对于生产环境,VMware 强烈建议您将默认的自签名证书替换为适用于您环境的受信任的 CA 签名证书。
上载证书时,请注意以下注意事项:
- 可以使用 PEM 证书替换管理员和用户的默认证书。
- 在管理接口上上载 CA 签名的证书时,会更新并重新启动管理接口上的 TLS 连接器,以确保上载的证书生效。如果上载 CA 签名的证书后连接器未能重新启动,则会在管理接口上生成一个自签名证书并应用该证书,并且用户会收到通知,说明之前尝试上载证书的操作未成功。
注: 使用 Unified Access Gateway 的 PowerShell 部署时,可以指定 TLS 服务器证书。无需手动进行替换。
前提条件
- 已将新签名证书和私钥保存到您可以访问的计算机中。
- 将证书转换为 PEM 格式的文件,然后将 .pem 文件转换为单行格式。请参阅将证书文件转换为单行 PEM 格式。
过程
- 在 Unified Access Gateway 管理 UI 的手动配置部分中,单击选择。
- 在高级设置部分中,单击 TLS 服务器证书设置齿轮箱图标。
- 选择管理接口或 Internet 接口,以将证书应用于任一接口。您也可以同时选择两者以将证书应用于这两个接口。
- 对于证书类型,请选择
PEM
或PFX
。 - 如果“证书类型”为 PEM:
- 在“私钥”行中,单击选择并浏览到私钥文件。
- 单击打开以上载该文件。
- 在“证书链”行中,单击选择并浏览到证书链文件。
- 单击打开以上载该文件。
- 如果“证书类型”为 PFX:
- 在“上载 PFX”行中,单击选择并浏览到 pfx 文件。
- 单击打开以上载该文件。
- 输入 PFX 证书的密码。
- 输入 PFX 证书的别名。
当存在多个证书时,您可以使用别名加以区分。
- 单击保存。