在运行“上载容器证书”工作流之前,请确认您满足这些必备条件。您必须按照下面所述获取证书相关文件,以满足“上载容器证书”窗口的条件并成功完成工作流。

  • 在 DNS 服务器中,将完全限定域名 (FQDN) 映射到容器的详细信息页面中显示的 IP 地址,该地址标记为容器管理器负载均衡器 IP。您可以从“容量”页面中导航到容器的详细信息页面,然后单击容器的名称。有关在容器管理器负载均衡器 IP 标签旁边显示的 IP 地址的含义,请参阅在 Horizon Cloud 容器的管理器虚拟机上配置 SSL 证书(主要供在单容器代理环境中包含容器的 Workspace ONE Access Connector 使用)概览
  • 获取基于该 FQDN 的有效受信任 SSL 证书。该 SSL 证书必须采用以下所需的格式,以便在控制台的“上载容器证书”窗口中提供该证书。由于控制台的“上载容器证书”工作流需要特定元素,因此您必须确保此 SSL 证书符合以下特性:
    • 要上载到“上载容器证书”窗口的三个单独文件:
      • 用于 CA 证书的 CA.crt 文件。
      • 用于 CA 签名的 SSL 证书的 SSL.crt 文件。
      • 用于 RSA 私钥的 .key 文件,在窗口中标记为 SSL 密钥文件
    以下屏幕截图显示了在其中提供这三个文件的“上载容器证书”窗口的外观。
    显示“上载容器证书”窗口的屏幕截图,其中绿色箭头指向添加文件的每个位置。

  • 确保用于该上载的 CA 证书文件和 SSL 证书文件采用 PEM 格式,这是 X.509 证书的 BASE64 编码 DER 表示形式。它们都必须具有 .crt 扩展名。在查看其内容时,这两个文件应与以下示例类似。
    -----BEGIN CERTIFICATE----- 
    MIIFejCCA2KgAwIBAgIDAIi/MA0GCSqG 
    ............... 
    -----END CERTIFICATE-----
    
  • 确保私钥没有关联的密码或密码短语。.key 文件与以下示例类似:
    -----BEGIN RSA PRIVATE KEY -----
    MIIEpQIBAAKCAQEAoJmURboiFut+R34CNFibb9fjtI+cpDarUzqe8oGKFzEE/jmj
    ...................... 
    -----END PRIVATE KEY-----
    
  • 在运行“上载容器证书”工作流之前,如果您之前通知 VMware 技术支持团队您不希望容器使用默认 Horizon Cloud 容器备份和还原服务,您应该与 VMware 技术支持团队联系,以便为容器启用备份服务。由于将错误或格式不正确的 SSL 证书文件上载并保存到容器可能会导致无法访问容器,因此,强烈建议您确保备份可用,以防止在上载证书文件后无法访问容器。有关默认备份和还原服务的信息,请参阅Microsoft Azure 中 Horizon Cloud 容器的备份和还原服务。如果您的容器清单版本低于 1101,请联系 VMware 技术支持团队以更新您的容器,以便该容器可以参与备份和还原服务。

有关用于在容器的管理器虚拟机上配置 SSL 证书的步骤,请参阅直接在容器管理器虚拟机上配置 SSL 证书,例如将 Workspace ONE Access Connector 设备与 Microsoft Azure 中的 Horizon Cloud 容器集成时,该连接器可以信任与容器管理器虚拟机的连接