要在 Unified Access Gateway 设备上存储可信 CA 签名的 TLS/SSL 服务器证书,必须将该证书转换为正确的格式并使用管理 UI 或 PowerShell 脚本配置该证书。
关于此任务
对于生产环境,VMware 强烈建议您尽快替换默认证书。在部署 Unified Access Gateway 设备时生成的默认 TLS/SSL 服务器证书不是由可信证书颁发机构签发的。
重要:
还可以使用该步骤在到期之前定期替换可信 CA 签发的证书,可能需要每两年替换一次。
此过程介绍如何使用 REST API 替换证书。
先决条件
除非已具有有效的 TLS/SSL 服务器证书及其私钥,否则,请从证书颁发机构获取新的签名证书。在生成证书签名请求 (Certificate Signing Request, CSR) 以获取证书时,请确保同时生成一个私钥。不要使用低于 1024 的 KeyLength 值为服务器生成证书。
要生成 CSR,您必须知道客户端设备用于连接到 Unified Access Gateway 设备的完全限定域名 (Fully Qualified Domain Name, FQDN) 以及组织单位、组织、城市、州和国家/地区以填写使用者名称。
将证书转换为 PEM 格式的文件,然后将 .pem 文件转换为单行格式。请参阅将证书文件转换为单行 PEM 格式。
过程
下一步做什么
如果签发证书的 CA 不是公认 CA,请配置客户端以信任根证书和中间证书。