第一代容器中的 Unified Access Gateway 功能要求使用 SSL 进行客户端连接。如果您希望容器使用 Unified Access Gateway 配置,则容器部署向导需要一个 PEM 格式文件以向容器的 Unified Access Gateway 配置提供 SSL 服务器证书链。单个 PEM 文件必须包含连同私钥在内的完整证书链:SSL 服务器证书、任何必需的中间 CA 证书、根 CA 证书和私钥。
重要说明: 仅当您有权访问第一代控制平面中的第一代租户环境时,此信息才适用。如
知识库文章 92424 中所述,第一代控制平面已终止提供 (EOA)。有关详细信息,请参阅该文章。
有关在 Unified Access Gateway 中使用的证书类型的其他详细信息,请参阅 Unified Access Gateway 产品文档中标题为“选择正确的证书类型”的主题。
在容器部署向导的网关设置步骤中,您可以上载一个证书文件。在部署过程中,该文件将提交到部署的 Unified Access Gateway 实例的配置中。在向导界面中执行上载步骤时,向导将验证您上载的文件是否符合以下要求:
- 该文件可以解析为 PEM 格式。
- 它包含有效的证书链和私钥。
- 该私钥与服务器证书的公钥匹配。
如果您的证书信息没有 PEM 格式的文件,您必须将证书信息转换为符合上述要求的文件。您必须将非 PEM 格式的文件转换为 PEM 格式,并创建一个包含完整证书链和私钥的 PEM 文件。您还需要编辑该文件以移除额外的信息(如果有),以便向导在解析该文件时不会遇到任何问题。概要步骤如下:
- 将您的证书信息转换为 PEM 格式,并创建一个包含证书链及私钥的 PEM 文件。
- 编辑此文件,如果除每组
----BEGIN CERTIFICATE----
和-----END CERTIFICATE-----
标记之间的证书信息以外有任何额外的证书信息,则移除额外的证书信息。
以下步骤中的代码示例假定您从一个名为 mycaservercert.pfx 的文件(其中包含根 CA 证书、中间 CA 证书信息和私钥)开始应用上述方法。
前提条件
- 确认您具有证书文件。该文件可以采用 PKCS#12(.p12 或 .pfx)格式,也可以采用 Java JKS 或 JCEKS 格式。
重要说明: 证书链中的所有证书都必须在有效期内。 Unified Access Gateway 虚拟机要求证书链中的所有证书(包括中间证书)都必须在有效期内。如果证书链中有证书已过期,之后将证书上载到 Unified Access Gateway 配置时可能会出现意外故障。
- 熟悉可用于转换证书的 openssl 命令行工具。有关文档,请查看获取 OpenSSL 软件的供应商站点,或者在 openssl.org 中找到手册页面。
- 如果证书采用 Java JKS 或 JCEKS 格式,请熟悉 Java keytool 命令行工具,以便先将证书转换为 .p12 或 .pks 格式,然后再转换为 .pem 文件。