Verwenden Sie diesen Befehl, um einen neuen privaten Schlüssel und eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) innerhalb von Unified Access Gateway zu generieren. Sie können diese CSR verwenden, um ein von einer Zertifizierungsstelle signiertes Zertifikat abzurufen und das Zertifikat und den privaten Schlüssel für Admin- und/oder internetseitige TLS-Schnittstellen zu konfigurieren.
Prozedur
- Melden Sie sich bei Unified Access Gateway-Konsole als Benutzer mit Root- oder Sudo-Berechtigungen an.
- Öffnen Sie die Standardkonfigurationsdatei. Alternativ können Sie einen anderen Dateispeicherort angeben.
vi /opt/vmware/certutil/uagcertutil.conf
OR
vi /opt/vmware/certutil/example1.conf
Hinweis: Eine Sicherungskonfigurationsdatei ist auf
/opt/vmware/certutil/uagcertutil.example.conf
verfügbar.
- Aktualisieren Sie die Datei, um die vom Unified Access Gateway-Zertifikatsdienstprogramm zu verwendenden Konfigurationen anzugeben. Sie können z. B. die Größe des Schlüssels, den Signaturalgorithmus, der zum Signieren der CSR verwendet werden soll, den Dateinamen des privaten Schlüssels usw. angeben.
- Führen Sie den folgenden Befehl aus, um einen privaten Schlüssel und eine CSR zu generieren.
Standardkonfigurationsdatei
uagcertutil --newcsr
Andere Konfigurationsdatei
uagcertutil --newcsr --config /opt/vmware/certutil/example1.conf
Ein neuer privater Schlüssel wird im Standardpfad generiert und eine CSR wird erfolgreich in dem in der Konfigurationsdatei angegebenen Dateipfad generiert.
- Kopieren Sie die generierte CSR in eine externe Zertifizierungsstelle und rufen Sie eine signierte Zertifikatskette ab.
- Kopieren Sie das signierte Zertifikat zurück in Unified Access Gateway. Aktualisieren Sie die Konfigurationsdatei mit dem neuen, von der Zertifizierungsstelle signierten Zertifikatspfad. Stellen Sie sicher, dass Sie auf denselben Dateinamen des privaten Schlüssels verweisen, der in Schritt 4 generiert wurde.
- Aktualisieren Sie das Ziel (mit admin und/oder esmanager) in der Konfigurationsdatei und führen Sie den folgenden Befehl aus, um die TLS-Server admin und/oder esmanager mit dem generierten Zertifikat zu konfigurieren.
Ergebnisse
Das neue TLS-Zertifikat wird erfolgreich für die Admin- und/oder Internet-Schnittstelle aktualisiert.