用戶端在連線至 Unified Access Gateway 應用裝置時必須使用 TLS/SSL。面向用戶端的 Unified Access Gateway 應用裝置和終止 TLS/SSL 連線的中繼伺服器需要 TLS/SSL 伺服器憑證。
TLS/SSL 伺服器憑證是由憑證授權機構 (CA) 簽署。CA 是一個受信任的實體,可保證憑證的身分及其建立者。當憑證是由信任的 CA 簽署時,使用者不會再收到要求他們確認憑證的訊息,而精簡型用戶端裝置可以連線,無需要求額外組態。
當您部署 Unified Access Gateway 應用裝置時就會產生預設的 TLS/SSL 伺服器憑證。針對生產環境,VMware 建議您盡快取代預設憑證。預設憑證並非由信任的 CA 所簽署。僅在非生產環境中使用預設憑證。
VMware 建議對 TLS 伺服器使用以 RSA 金鑰為基礎的憑證。憑證和私密金鑰可以作為 PKCS12/PFX 金鑰儲存區提供,也可以 PEM 格式提供個別私密金鑰和憑證鏈結檔。
若要將 PKCS12/PFX 轉換為 PEM 格式的憑證鏈結檔,請執行以下
openssl
命令:
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem若要將 PKCS12/PFX 轉換為 PEM 格式的私密金鑰檔,請執行以下
openssl
命令:
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem以 PEM 格式提供憑證和金鑰時,私密金鑰必須採用 PKCS1 格式。若要將私密金鑰從 PKCS8 轉換為 PKCS1(從 BEGIN PRIVATE KEY 格式到 BEGIN RSA PRIVATE KEY 格式),請執行下列
openssl
命令:
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem