Der Controller muss ein Zertifikat an Clients senden, um eine sichere Kommunikation herstellen zu können. Dieses Zertifikat muss einen alternativen Antragstellernamen (Subject Alternative Name, SAN) aufweisen, der mit dem Hostnamen oder der IP-Adresse des AVI-Controller-Clusters übereinstimmt.

Der Controller verfügt über ein selbstsigniertes Standardzertifikat. Dieses Zertifikat verfügt jedoch nicht über das richtige SAN. Sie müssen es durch ein gültiges oder selbstsigniertes Zertifikat mit dem richtigen SAN ersetzen. Sie erstellen ein selbstsigniertes Zertifikat oder laden ein externes Zertifikat hoch.

Weitere Informationen zu Zertifikaten finden Sie in der Avi-Dokumentation.

Prozedur

  1. Klicken Sie im Avi-Controller-Dashboard auf das Menü in der oberen linken Ecke und wählen Sie Vorlagen > Sicherheit aus.
  2. Klicken Sie auf SSL/TLS-Zertifikat.
  3. Zum Erstellen eines Zertifikats klicken Sie auf Erstellen und wählen Sie Controller-Zertifikat aus.
    Das Fenster Neues Zertifikat (SSL/TLS) wird geöffnet.
  4. Geben Sie einen Namen für das Zertifikat ein.
  5. Wenn kein vorab erstelltes gültiges Zertifikat vorhanden ist, fügen Sie ein selbstsigniertes Zertifikat hinzu, indem Sie für Typ die Option Self Signed auswählen.
    1. Geben Sie die folgenden Details ein:
      Option Beschreibung
      Allgemeiner Name

      Geben Sie den vollqualifizierten Namen der Site an. Damit die Site als vertrauenswürdig eingestuft wird, muss dieser Eintrag mit dem Hostnamen übereinstimmen, den der Client im Browser eingegeben hat.

      Alternativer Antragstellername (Subject Alternate Name, SAN) Geben Sie die IP-Adresse und/oder den FQDN des Clusters ein, wenn der Avi Controller als einzelner Knoten bereitgestellt wird.

      Wenn nur die IP-Adresse oder der FQDN verwendet wird, muss sie mit der IP-Adresse der Controller-VM übereinstimmen, die Sie während der Bereitstellung angeben. Weitere Informationen finden Sie unter Bereitstellen des Controllers.

      Geben Sie die Cluster-IP oder den Cluster-FQDN des Avi Controller-Clusters ein, wenn dieser als Cluster mit drei Knoten bereitgestellt wird. Informationen zum Bereitstellen eines Clusters mit drei Controller-Knoten finden Sie unter Bereitstellen eines Controller-Clusters.

      Algorithmus Wählen Sie EC (Elliptic Curve Cryptography) oder RSA aus. EC wird empfohlen.
      Schlüssellänge Wählen Sie die Verschlüsselungsebene aus, die für Handshakes verwendet werden soll:
      • SECP256R1 wird für EC-Zertifikate verwendet.
      • 2048 Bit wird für RSA-Zertifikate empfohlen.
    2. Klicken Sie auf Speichern.
    Sie benötigen dieses Zertifikat, wenn Sie den Supervisor-Cluster zum Aktivieren der Arbeitslastverwaltungsfunktion konfigurieren.
  6. Laden Sie das selbstsignierte Zertifikat herunter, das Sie erstellen.
    1. Klicken Sie auf Sicherheit > SSL/TLS-Zertifikate.
      Wenn das Zertifikat nicht angezeigt wird, aktualisieren Sie die Seite.
    2. Wählen Sie das erstellte Zertifikat aus und klicken Sie auf das Download-Symbol.
    3. Klicken Sie auf der Seite Zertifikat exportieren für das Zertifikat auf In Zwischenablage kopieren. Kopieren Sie nicht den Schlüssel.
    4. Speichern Sie das kopierte Zertifikat für die spätere Verwendung, wenn Sie die Arbeitslastverwaltung aktivieren.
  7. Wenn ein vorab erstelltes gültiges Zertifikat vorhanden ist, laden Sie es hoch, indem Sie für Typ die Option Import auswählen.
    1. Klicken Sie unter Zertifikat auf Datei hochladen und importieren Sie das Zertifikat.
      Das SAN-Feld des Zertifikats, das Sie hochladen, muss über die IP-Adresse oder den FQDN des Controllers verfügen.
      Hinweis: Stellen Sie sicher, dass Sie den Inhalt des Zertifikats nur einmal hochladen oder einfügen.
    2. Klicken Sie in Schlüssel (PEM) oder PKCS12 auf Datei hochladen und importieren Sie den Schlüssel.
    3. Klicken Sie Validieren, um das Zertifikat und den Schlüssel zu validieren.
    4. Klicken Sie auf Speichern.
  8. Um das Portalzertifikat zu ändern, führen Sie die folgenden Schritte aus.
    1. Klicken Sie im Avi-Controller-Dashboard auf das Menü in der oberen linken Ecke und wählen Sie Verwaltung > Einstellungen aus.
    2. Klicken Sie auf Zugriffseinstellungen.
    3. Klicken Sie auf das Symbol „Bearbeiten“.
    4. Entfernen Sie aus dem SSL/TLS-Zertifikat die vorhandenen Standardportalzertifikate.
    5. Wählen Sie im Dropdown-Menü das neu erstellte oder hochgeladene Zertifikat aus.
    6. Klicken Sie auf Speichern.