若要在 Unified Access Gateway 應用裝置上儲存信任的 CA 簽署的 TLS/SSL 伺服器憑證,您必須將憑證轉換為正確格式,然後使用管理員 UI 或 PowerShell 指令碼來設定憑證。

執行這項作業的原因和時機

若是生產環境,VMware 強烈建議您盡快更換預設憑證。在部署 Unified Access Gateway 應用裝置時所產生的預設 TLS/SSL 伺服器憑證並未經信任的憑證授權機構簽署。

重要事項︰

此外,也請在信任的 CA 簽署的憑證過期之前,使用此程序定期更換憑證,大約是每兩年一次。

此程序說明如何使用 REST API 更換憑證。

先決條件

  • 除非您已擁有有效的 TLS/SSL 伺服器憑證及其私密金鑰,否則請向憑證授權機構取得新簽署的憑證。當您產生憑證簽署要求 (CSR) 以取得憑證時,請確定也有一併產生私密金鑰。請勿使用低於 1024 的 KeyLength 值來產生伺服器的憑證。

    若要產生 CSR,您必須知道用戶端裝置將用來連線至 Unified Access Gateway 應用裝置的完整網域名稱 (FQDN) 以及組織單位、組織、城市、州及國家,以便完成主體名稱。

  • 將憑證轉換為 PEM 格式檔案,再將 .pem 檔案轉換為單行格式。請參閱將憑證檔案轉換為單行 PEM 格式

程序

  1. 在管理員 UI 的 [手動設定] 區段中,按一下 [選取]。
  2. 在 [進階設定] > [TLS 伺服器憑證設定] 中,按一下齒輪圖示。
  3. 針對 [私密金鑰] 按一下選取,並瀏覽至私密金鑰檔案。按一下開啟以上傳檔案。
  4. 針對 [憑證鏈結] 按一下選取,並瀏覽至憑證檔案。按一下開啟以上傳檔案。
  5. 按一下儲存

    如果接受憑證,隨即會顯示成功訊息。

下一步

如果簽署憑證的 CA 並不知名,請設定用戶端信任根憑證和中繼憑證。