在运行“上载容器证书”工作流之前,请确认您满足这些必备条件。您必须按照下面所述获取证书相关文件,以满足“上载容器证书”窗口的条件并成功完成工作流。
DNS 服务器
在 DNS 服务器中,将完全限定域名 (FQDN) 映射到容器的详细信息页面中显示的 IP 地址,该地址标记为容器管理器负载均衡器 IP。您可以从“容量”页面中导航到容器的详细信息页面,然后单击容器的名称。
有关在容器管理器负载均衡器 IP 标签旁边显示的 IP 地址的含义,请参阅在 Horizon Cloud 容器的管理器虚拟机上配置 SSL 证书(主要供在单容器代理环境中包含容器的 Workspace ONE Access Connector 使用)概览。
在获取 SSL 证书文件时,您可以使用此 FQDN,如以下部分中所述。
SSL 证书文件
控制台的“上载容器证书”窗口要求您提供三个相互关联的不同文件。
以下屏幕截图显示了在其中提供这三个文件的“上载容器证书”窗口的外观。
以下列表介绍了与控制台窗口中所用标签相关的文件,如上所示。
- CA 证书文件 (CA.crt)
- 此 CA.crt 文件由证书颁发机构 (CA) 颁发。此文件用于验证以下所述的另外两个文件的真实性。
- SSL 证书文件 (SSL.crt)
- 此文件是用于使用 RSA 加密算法对数据进行加密的公钥文件。在使用单容器代理和 Workspace ONE Access Connector 与容器管理器通信的场景中,容器管理器实例会使用此 SSL.crt 文件来加密其发送的数据。在 在 Horizon Cloud 容器的管理器虚拟机上配置 SSL 证书(主要供在单容器代理环境中包含容器的 Workspace ONE Access Connector 使用)概览页面中描述了此用例。
- SSL 密钥文件 (.key)
- 此文件是一个私钥文件,用于对使用 RSA 加密算法经由上述 SSL.crt 公钥文件加密的数据进行解密。
文件要求
确保文件满足以下要求。
- 有效的可信 SSL 证书基于您在 DNS 服务器中映射到容器管理器负载均衡器 IP 的 FQDN。
- CA 证书文件 (CA.crt) 和 SSL 证书文件 (SSL.crt) 采用 PEM 格式,这是 X.509 证书的 BASE64 编码 DER 表示形式。它们都必须具有 .crt 扩展名。
以下块是文件内容外观的示例。
-----BEGIN CERTIFICATE----- MIIFejCCA2KgAwIBAgIDAIi/MA0GCSqG ............... -----END CERTIFICATE-----
- 私钥文件 (.key) 没有与之关联的密码或密码短语。以下块是文件内容外观的示例:
-----BEGIN RSA PRIVATE KEY ----- MIIEpQIBAAKCAQEAoJmURboiFut+R34CNFibb9fjtI+cpDarUzqe8oGKFzEE/jmj ...................... -----END RSA PRIVATE KEY-----
- 证书文件必须使用比 SHA-1 更新的哈希函数。容器管理器实例上不支持 SHA-1 证书。
- 查看以下部分,了解与 CA 证书文件相关的特殊注意事项,另外,如果您的 CA 证书文件是链式根 CA 类型,请确保满足所描述的要求。
CA 证书文件 - 特殊注意事项
CA 证书文件必须由受信任的证书颁发机构 (CA) 颁发。
因此,CA.crt 文件的生成取决于您使用的 CA。例如,常见的 CA 包括 DigiCert、Visign、Google 等。
根据您使用的 CA,它们可能会提供以下类型之一:
如果您的 CA 证书文件涉及到一个或多个中间证书颁发机构,则 CA.crt 文件应包含中间证书和根 CA。该文件应当顶部以中间证书开头,在文件底部具有根证书。
后续步骤
有关用于在容器的管理器虚拟机上配置 SSL 证书的步骤,请参阅直接在容器管理器虚拟机上配置 SSL 证书,例如将 Workspace ONE Access Connector 设备与 Microsoft Azure 中的 Horizon Cloud 容器集成时,该连接器可以信任与容器管理器虚拟机的连接。
如果您的容器清单版本低于 3079.x,请先联系 VMware 技术支持团队获取指导,然后再执行这些步骤。由于将不正确或格式不当的 SSL 证书文件上载和保存到容器可能会导致无法访问该容器,并且该服务的默认备份和还原需要清单版本 3139.x 或更高版本,因此,如果在运行“上载容器证书”工作流之前容器清单版本低于 3139.x,请务必先联系 VMware 技术支持团队以寻求帮助。