在签名证书过期时,您可以更换这些证书,也可以使用 CA 签名的证书替换默认证书。
对于生产环境,VMware 强烈建议您尽快替换默认证书。在部署 Unified Access Gateway 设备时生成的默认 TLS/SSL 服务器证书不是由可信证书颁发机构签发的。
上载证书时,请注意以下注意事项:
可以使用 CA 签名的 PEM 证书替换管理员和用户的默认证书。
在管理接口上上载 CA 签名的证书时,会更新并重新启动管理接口上的 SSL 连接器,以确保上载的证书生效。如果上载 CA 签名的证书后连接器未能重新启动,则会在管理接口上生成一个自签名证书并应用该证书,并且用户会收到通知,说明之前尝试上载证书的操作未成功。
前提条件
已将新签名证书和私钥保存到您可以访问的计算机中。
将证书转换为 PEM 格式的文件,然后将 .pem 文件转换为单行格式。请参阅将证书文件转换为单行 PEM 格式。
过程
- 在管理控制台中,单击选择。
- 在“高级设置”部分中,单击“SSL 服务器证书设置”齿轮箱图标。
- 选择管理接口或 Internet 接口,以将证书应用于任一接口。您也可以同时选择两者以将证书应用于这两个接口。
- 对于“证书类型”,选择 PEM 或 PFX。
- 如果“证书类型”为 PEM:
- 在“私钥”行中,单击选择并浏览到私钥文件。
- 单击打开以上载该文件。
- 在“证书链”行中,单击选择并浏览到证书链文件。
- 单击打开以上载该文件。
- 如果“证书类型”为 PFX:
- 单击保存。
结果
成功更新证书后,将显示一条确认消息。
下一步做什么
如果您使用 CA 签名的证书更新证书,并且签发证书的 CA 不是公认 CA,请将客户端配置为信任根证书和中间证书。
如果已为管理接口上载了 CA 签名的证书,请关闭浏览器,然后在新浏览器窗口中打开管理 UI。
如果 CA 签名的证书在管理接口上已生效,并且您上载了自签名证书,那么管理 UI 可能会出现异常行为。清除浏览器缓存,然后在新窗口中打开管理 UI。