控制器必须将证书发送到客户端才能建立安全通信。此证书必须具有与 Avi 控制器集群主机名或 IP 地址相匹配的主体备用名称 (SAN)。

控制器具有默认的自签名证书。此证书没有正确的 SAN。您必须将其替换为具有正确 SAN 的有效证书或自签名证书。您可以创建自签名证书或上载外部证书。

有关证书的详细信息,请参见 Avi 文档

过程

  1. 在“Avi 控制器”仪表板中,单击左上角的菜单,然后选择模板 > 安全
  2. 选择 SSL/TLS 证书
  3. 要创建证书,请单击创建,然后选择控制器证书
    此时将显示 新建证书 (SSL/TLS) 窗口。
  4. 输入证书的名称。
  5. 如果没有预先创建的有效证书,请为类型选择 Self Signed 以添加自签名证书。
    1. 输入以下详细信息:
      选项 描述
      公用名称

      指定站点的完全限定名称。要使站点视为可信,此条目必须与客户端在浏览器中输入的主机名匹配。
      主体备用名称 (SAN) 如果 Avi 控制器部署为单个节点,请输入该控制器的集群 IP 地址和/或 FQDN。

      如果只使用 IP 地址或 FQDN,则该值必须与您在部署期间指定的控制器虚拟机的 IP 地址相匹配。请参见部署控制器

      如果 Avi 控制器集群部署为包含三个节点的集群,请输入该集群的集群 IP 或 FQDN。有关部署包含三个控制器节点的集群的信息,请参见部署控制器集群
      算法 选择 EC(椭圆曲线加密)或 RSA。建议使用 EC。
      密钥大小 选择握手时使用的加密级别:
      • 对于 EC 证书,使用 SECP256R1
      • 对于 RSA 证书,建议使用 2048 位。
    2. 单击保存
    当配置主管集群以启用工作负载管理功能时,将需要用到此证书。
  6. 下载您创建的自签名证书。
    1. 选择安全 > SSL/TLS 证书
      如果看不到此证书,请刷新页面。
    2. 选择您创建的证书,然后单击下载图标。
    3. 在出现的导出证书页面中,单击证书对应的复制到剪贴板。请勿复制密钥。
    4. 保存复制的证书,供稍后在启用工作负载管理时使用。
  7. 如果您有预先创建的有效证书,请为类型选择 Import 以上载该证书。
    1. 证书中,单击上载文件,然后导入证书。
      所上载证书的 SAN 字段必须具有控制器的集群 IP 地址或 FQDN。
      注: 确保仅上载或粘贴证书的内容一次。
    2. 密钥 (PEM) 或 PKCS12 中,单击上载文件,然后导入密钥。
    3. 单击验证以验证证书和密钥。
    4. 单击保存
  8. 要更改门户证书,请执行以下步骤。
    1. 在“Avi 控制器”仪表板中,单击左上角的菜单,然后选择系统管理 > 设置
    2. 选择访问设置
    3. 单击编辑图标。
    4. SSL/TLS 证书中,移除现有的默认门户证书。
    5. 在下拉列表中,选择新创建或上载的证书。
    6. 单击保存