更換 Access Point 的預設 TLS/SSL 伺服器憑證

若要在 Access Point 應用裝置上儲存信任的 CA 簽署的 TLS/SSL 伺服器憑證，您必須將憑證轉換為正確格式，然後使用 PowerShell 指令碼或 Access Point REST API 來設定憑證。

若是生產環境，VMware 強烈建議您盡快更換預設憑證。在部署 Access Point 應用裝置時所產生的預設 TLS/SSL 伺服器憑證並未經信任的憑證授權單位簽署。

重要：此外，也請在信任的 CA 簽署的憑證過期之前，使用此程序定期更換憑證，大約是每兩年一次。

此程序說明如何使用 REST API 更換憑證。比較簡單的方法是運用 https://communities.vmware.com/docs/DOC-30835 中的部落格文章〈Using PowerShell to Deploy VMware Access Point〉(使用 PowerShell 部署 VMware Access Point) 內附的 PowerShell 指令碼。如果您已部署具名的 Access Point 應用裝置，則再次執行指令碼會關閉應用裝置電源、將其刪除，然後使用您指定的目前設定重新部署該應用裝置。

必要條件

除非您已擁有有效的 TLS/SSL 伺服器憑證及其私密金鑰，否則請向憑證授權單位取得新簽署的憑證。當您產生憑證簽署要求 (CSR) 以取得憑證時，請確定也有一併產生私密金鑰。請勿使用低於 1024 的 KeyLength 值來產生伺服器的憑證。
若要產生 CSR，您必須知道用戶端裝置將用來連線至 Access Point 應用裝置的完整網域名稱 (FQDN) 以及組織單位、組織、城市、州及國家，以便完成主體名稱。
將憑證轉換為 PEM 格式檔案，再將 .pem 檔案轉換為單行格式。請參閱將憑證檔案轉換為單行 PEM 格式。
自行熟悉 Access Point REST API。此 API 的規格位於安裝 Access Point 的虛擬機器上，可從下列 URL 取得：https://access-point-appliance.example.com:9443/rest/swagger.yaml。

程序

建立 JSON 要求，用以提交憑證給 Access Point 應用裝置。
```
{
  "privateKeyPem": "string",
  "certChainPem": "string"
}
```
在此範例中，string 值是依先決條件所述而建立的 JSON 單行 PEM 值。
使用 REST 用戶端 (例如 curl 或 postman)，以使用 JSON 要求來叫用 Access Point REST API，並將憑證和金鑰儲存在 Access Point 應用裝置上。
下列範例使用 curl 命令。在此範例中，access-point-appliance.example.com 是 Access Point 應用裝置的完整網域名稱，而 cert.json 是您在上一個步驟中建立的 JSON 要求。
```
curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.example.com:9443/rest/v1/config/certs/ssl < ~/cert.json
```

後續步驟

如果簽署憑證的 CA 並不知名，請設定用戶端信任根憑證和中繼憑證。