要在 Unified Access Gateway 设备上存储可信 CA 签名的 TLS/SSL 服务器证书,必须将该证书转换为正确的格式并使用管理 UI 或 PowerShell 脚本配置该证书。

关于此任务

对于生产环境,VMware 强烈建议您尽快替换默认证书。在部署 Unified Access Gateway 设备时生成的默认 TLS/SSL 服务器证书不是由可信证书颁发机构签发的。

重要:

还可以使用该步骤在到期之前定期替换可信 CA 签发的证书,可能需要每两年替换一次。

此过程介绍如何使用 REST API 替换证书。

先决条件

  • 除非已具有有效的 TLS/SSL 服务器证书及其私钥,否则,请从证书颁发机构获取新的签名证书。在生成证书签名请求 (Certificate Signing Request, CSR) 以获取证书时,请确保同时生成一个私钥。不要使用低于 1024 的 KeyLength 值为服务器生成证书。

    要生成 CSR,您必须知道客户端设备用于连接到 Unified Access Gateway 设备的完全限定域名 (Fully Qualified Domain Name, FQDN) 以及组织单位、组织、城市、州和国家/地区以填写使用者名称。

  • 将证书转换为 PEM 格式的文件,然后将 .pem 文件转换为单行格式。请参阅将证书文件转换为单行 PEM 格式

过程

  1. 在管理 UI 的“手动配置”部分中,单击“选择”。
  2. 在“高级设置”>“TLS 服务器证书设置”中,单击齿轮图标。
  3. 单击“私钥”对应的选择并浏览到私钥文件。单击打开以上载该文件。
  4. 单击“证书链”对应的选择并浏览到证书文件。单击打开以上载该文件。
  5. 单击保存

    如果证书被接受,将显示一则成功消息。

下一步做什么

如果签发证书的 CA 不是公认 CA,请配置客户端以信任根证书和中间证书。