若要在 Access Point 應用裝置上儲存信任的 CA 簽署的 TLS/SSL 伺服器憑證,您必須將憑證轉換為正確格式,然後使用 PowerShell 指令碼或 Access Point REST API 來設定憑證。

執行這項作業的原因和時機

若是生產環境,VMware 強烈建議您盡快更換預設憑證。在部署 Access Point 應用裝置時所產生的預設 TLS/SSL 伺服器憑證並未經信任的憑證授權單位簽署。

重要事項︰

此外,也請在信任的 CA 簽署的憑證過期之前,使用此程序定期更換憑證,大約是每兩年一次。

此程序說明如何使用 REST API 更換憑證。比較簡單的方法是運用 https://communities.vmware.com/docs/DOC-30835 中的部落格文章〈Using PowerShell to Deploy VMware Access Point〉(使用 PowerShell 部署 VMware Access Point) 內附的 PowerShell 指令碼。如果您已部署具名的 Access Point 應用裝置,則再次執行指令碼會關閉應用裝置電源、將其刪除,然後使用您指定的目前設定重新部署該應用裝置。

先決條件

  • 除非您已擁有有效的 TLS/SSL 伺服器憑證及其私密金鑰,否則請向憑證授權單位取得新簽署的憑證。當您產生憑證簽署要求 (CSR) 以取得憑證時,請確定也有一併產生私密金鑰。請勿使用低於 1024 的 KeyLength 值來產生伺服器的憑證。

    若要產生 CSR,您必須知道用戶端裝置將用來連線至 Access Point 應用裝置的完整網域名稱 (FQDN) 以及組織單位、組織、城市、州及國家,以便完成主體名稱。

  • 將憑證轉換為 PEM 格式檔案,再將 .pem 檔案轉換為單行格式。請參閱 將憑證檔案轉換為單行 PEM 格式

  • 自行熟悉 Access Point REST API。此 API 的規格位於安裝 Access Point 的虛擬機器上,可從下列 URL 取得:https://access-point-appliance.example.com:9443/rest/swagger.yaml

程序

  1. 建立 JSON 要求,用以提交憑證給 Access Point 應用裝置。
    {
      "privateKeyPem": "string",
      "certChainPem": "string"
    }

    在此範例中,string 值是依先決條件所述而建立的 JSON 單行 PEM 值。

  2. 使用 REST 用戶端 (例如 curlpostman),以使用 JSON 要求來叫用 Access Point REST API,並將憑證和金鑰儲存在 Access Point 應用裝置上。

    下列範例使用 curl 命令。在此範例中,access-point-appliance.example.comAccess Point 應用裝置的完整網域名稱,而 cert.json 是您在上一個步驟中建立的 JSON 要求。

    curl -k -d @- -u 'admin' -H "Content-Type: application/json" -X PUT https://access-point-appliance.example.com:9443/rest/v1/config/certs/ssl < ~/cert.json

下一步

如果簽署憑證的 CA 並不知名,請設定用戶端信任根憑證和中繼憑證。