Le contrôleur doit envoyer un certificat aux clients pour établir une communication sécurisée. Ce certificat doit avoir un nom de remplacement de sujet (SAN) qui correspond au nom d'hôte ou à l'adresse IP du cluster de contrôleur Avi.
Le contrôleur dispose d'un certificat auto-signé par défaut. Mais ce certificat n'a pas le SAN approprié. Vous devez le remplacer par un certificat valide ou auto-signé ayant le SAN approprié. Créez un certificat auto-signé ou téléchargez un certificat externe.
Pour plus d'informations sur les certificats, reportez-vous à la documentation Avi.
Procédure
- Dans le tableau de bord du contrôleur Avi, cliquez sur le menu situé dans le coin supérieur gauche et sélectionnez .
- Sélectionnez Certificat SSL/TLS.
- Pour créer un certificat, cliquez sur Créer, puis sélectionnez Certificat de contrôleur.
La fenêtre
Nouveau certificat (SSL/TLS) s'affiche.
- Entrez un nom pour le certificat.
- Si vous ne disposez pas d'un certificat valide précréé, ajoutez un certificat auto-signé en sélectionnant le Type
Self Signed
.
- Entrez les informations suivantes :
Option |
Description |
Nom commun |
Spécifiez le nom complet du site. Pour que le site soit considéré comme approuvé, cette entrée doit correspondre au nom d'hôte que le client a entré dans le navigateur. |
Autre nom du sujet (SAN) |
Entrez l'adresse IP ou le nom de domaine complet du cluster, ou les deux, du contrôleur Avi s'il est déployé en tant que nœud unique. Si seule l'adresse IP ou le nom de domaine complet est utilisé, il doit correspondre à l'adresse IP de la machine virtuelle du contrôleur que vous spécifiez lors du déploiement. Reportez-vous à la section Déployer le contrôleur. Entrez l'adresse IP ou le nom de domaine complet du cluster de contrôleur Avi s'il est déployé en tant que cluster de trois nœuds. Pour plus d'informations sur le déploiement d'un cluster de trois nœuds de contrôleur, consultez Déployer un cluster de contrôleurs. |
Algorithme |
Sélectionnez EC (elliptic curve cryptography) ou RSA. EC est recommandé. |
Taille de la clé |
Sélectionnez le niveau de chiffrement à utiliser pour les établissements de liaison :
SECP256R1 est utilisé pour les certificats EC.
- 2 048 bits est recommandé pour les certificats RSA.
|
- Cliquez sur Enregistrer.
Vous avez besoin de ce certificat lorsque vous configurez le cluster superviseur pour activer la fonctionnalité de gestion de la charge de travail.
- Téléchargez le certificat auto-signé que vous créez.
- Sélectionnez .
Si vous ne voyez pas le certificat, actualisez la page.
- Sélectionnez le certificat que vous avez créé et cliquez sur l'icône de téléchargement.
- Sur la page Exporter un certificat qui s'affiche, cliquez sur Copier dans le Presse-papiers pour le certificat. Ne copiez pas la clé.
- Enregistrez le certificat copié pour une utilisation ultérieure lorsque vous activez la gestion de la charge de travail.
- Si vous disposez d'un certificat valide précréé, chargez-le en sélectionnant le Type
Import
.
- Dans Certificat, cliquez sur Télécharger le fichier et importez le certificat.
Le champ SAN du certificat que vous chargez doit avoir l'adresse IP du cluster ou le nom de domaine complet du contrôleur.
Note : Assurez-vous que vous chargez ou collez le contenu du certificat qu'une seule fois.
- Dans Clé (PEM) ou PKCS12, cliquez sur Télécharger le fichier et importez la clé.
- Cliquez sur Valider pour valider le certificat et la clé.
- Cliquez sur Enregistrer.
- Pour modifier le certificat du portail, procédez comme suit.
- Dans le tableau de bord du contrôleur Avi, cliquez sur le menu situé dans le coin supérieur gauche et sélectionnez .
- Sélectionnez Paramètres d'accès.
- Cliquez sur l'icône Modifier.
- Dans Certificat SSL/TLS, supprimez les certificats de portail par défaut existants.
- Dans le menu déroulant, sélectionnez le certificat récemment créé ou téléchargé.
- Cliquez sur Enregistrer.