在签名证书过期时,您可以更换这些证书,也可以使用 CA 签名的证书替换默认证书。

对于生产环境,VMware 强烈建议您尽快替换默认证书。在部署 Unified Access Gateway 设备时生成的默认 TLS/SSL 服务器证书不是由可信证书颁发机构签发的。

上载证书时,请注意以下注意事项:
  • 可以使用 CA 签名的 PEM 证书替换管理员和用户的默认证书。
  • 在管理接口上上载 CA 签名的证书时,会更新并重新启动管理接口上的 SSL 连接器,以确保上载的证书生效。如果上载 CA 签名的证书后连接器未能重新启动,则会在管理接口上生成一个自签名证书并应用该证书,并且用户会收到通知,说明之前尝试上载证书的操作未成功。

前提条件

  • 已将新签名证书和私钥保存到您可以访问的计算机中。
  • 将证书转换为 PEM 格式的文件,然后将 .pem 文件转换为单行格式。请参阅将证书文件转换为单行 PEM 格式

过程

  1. 在管理控制台中,单击选择
  2. 在“高级设置”部分中,单击“SSL 服务器证书设置”齿轮箱图标。
  3. 选择管理接口Internet 接口,以将证书应用于任一接口。您也可以同时选择两者以将证书应用于这两个接口。
  4. 对于“证书类型”,选择 PEMPFX
  5. 如果“证书类型”为 PEM
    1. 在“私钥”行中,单击选择并浏览到私钥文件。
    2. 单击打开以上载该文件。
    3. 在“证书链”行中,单击选择并浏览到证书链文件。
    4. 单击打开以上载该文件。
  6. 如果“证书类型”为 PFX
    1. 在“上载 PFX”行中,单击选择并浏览到 pfx 文件。
    2. 单击打开以上载该文件。
    3. 输入 PFX 证书的密码。
    4. 输入 PFX 证书的别名。
      当存在多个证书时,您可以使用别名加以区分。
  7. 单击保存

结果

成功更新证书后,将显示一条确认消息。

后续步骤

  • 如果您使用 CA 签名的证书更新证书,并且签发证书的 CA 不是公认 CA,请将客户端配置为信任根证书和中间证书。
  • 如果已为管理接口上载了 CA 签名的证书,请关闭浏览器,然后在新浏览器窗口中打开管理 UI。
  • 如果 CA 签名的证书在管理接口上已生效,并且您上载了自签名证书,那么管理 UI 可能会出现异常行为。清除浏览器缓存,然后在新窗口中打开管理 UI。