執行 [上傳網繭憑證] 工作流程之前,請先確認您已符合下列先決條件。您必須具有如下所述的憑證相關檔案,以符合 [上傳網繭憑證] 視窗的準則,並且讓工作流程成功完成。

小心: 不支援對這些憑證使用 SHA-1 雜湊函數。

DNS 伺服器

在您的 DNS 伺服器中,將完整網域名稱 (FQDN) 對應至網繭詳細資料頁面中所顯示,且標記為網繭管理員負載平衡器 IP 的 IP 位址。您可以在 [容量] 頁面按一下網繭的名稱,以導覽至網繭的詳細資料頁面。

針對網繭管理員負載平衡器 IP 標籤旁顯示的 IP 位址,您可以參閱在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的概觀,主要是供具有網繭的 Workspace ONE Access Connector 在單一網繭代理環境中使用。,以瞭解其意義。

在取得 SSL 憑證檔案時,您可以使用此 FQDN,如下列小節中所述。

SSL 憑證檔案

主控台的 [上傳網繭憑證] 視窗要求您提供三個相互關聯的不同檔案。

下列螢幕擷取畫面顯示 [上傳網繭憑證] 視窗在您提供這三個檔案時所呈現的內容。


說明 [上傳網繭憑證] 視窗的螢幕擷取畫面,包含三個綠色箭頭以指向每個檔案新增的位置。

下列清單介紹了與主控台視窗中所用標籤相關的檔案,如上所示。

CA 憑證檔案 (CA.crt)
CA.crt 檔案由憑證授權機構 (CA) 所簽發。此檔案用來驗證下列所述的另外兩個檔案的真實性。
SSL 憑證檔案 (SSL.crt)
此檔案是一個公開金鑰檔案,用於使用 RSA 加密演算法對資料加密。假設使用單一網繭代理和 Workspace ONE Access Connector 來與網繭管理員通訊,網繭管理員執行個體會使用此 SSL.crt 檔案來加密其傳送的資料。在 在 Horizon Cloud Pod 的管理員虛擬機器上設定 SSL 憑證的概觀,主要是供具有網繭的 Workspace ONE Access Connector 在單一網繭代理環境中使用。頁面中介紹了此使用案例。
SSL 金鑰檔案 (.key)
這個檔案是一個私密金鑰檔案,用來針對使用 RSA 加密演算法經由上述 SSL.crt 公開金鑰檔案來加密的資料,進行解密。

檔案需求

請確定檔案符合下列需求。

  • 有效的受信任 SSL 憑證是以 FQDN 為基礎,且這個 FQDN 在 DNS 伺服器中對應至網繭管理員的負載平衡器 IP。
  • CA 憑證檔案 (CA.crt) 和 SSL 憑證檔案 (SSL.crt) 採用 PEM 格式,這是 BASE64 編碼 DER 形式的 X.509 憑證。兩者都必須具有 .crt 副檔名。

    下列區塊是檔案內容的外觀範例。

    -----BEGIN CERTIFICATE----- 
    MIIFejCCA2KgAwIBAgIDAIi/MA0GCSqG 
    ............... 
    -----END CERTIFICATE-----
    
  • 私密金鑰檔案 (.key) 沒有相關聯的密碼或複雜密碼。下列區塊是檔案內容的外觀範例:
    -----BEGIN RSA PRIVATE KEY -----
    MIIEpQIBAAKCAQEAoJmURboiFut+R34CNFibb9fjtI+cpDarUzqe8oGKFzEE/jmj
    ...................... 
    -----END RSA PRIVATE KEY-----
    
  • 憑證檔案必須使用比 SHA-1 還新的雜湊函數。網繭管理員執行個體上不支援使用 SHA-1 憑證。
  • 檢閱下列區段,瞭解 CA 憑證檔案的相關特殊注意事項,此外,如果您的 CA 憑證檔案是鏈結的根 CA 類型,請確保符合所述的需求。

CA 憑證檔案 - 特殊注意事項

CA 憑證檔案必須由受信任的憑證授權機構 (CA) 所簽發。

因此,CA.crt 檔案的產生取決於您使用的 CA。例如,常見的 CA 包括 DigiCert、Visign、Google 等。

根據您使用的 CA,它們可能提供下列其中一種類型:

單一根 CA 憑證
在此類型中,CA 會直接簽署憑證。
鏈結的根 CA 憑證
在此類型中,除了根憑證授權機構外,還涉及一或多個第三方中繼憑證授權機構。

如果您的 CA 憑證檔案涉及一或多個中繼憑證授權機構,則 CA.crt 檔案應包含中繼憑證和根 CA。在該檔案中,中繼憑證應放在頂端,根憑證應放在底部。

後續步驟

如需在網繭的管理員虛擬機器上設定 SSL 憑證的步驟,請參閱在網繭管理員虛擬機器上直接設定 SSL 憑證,例如將 Workspace ONE Access Connector 應用裝置與 Microsoft Azure 中的 Horizon Cloud Pod 整合時,讓連接器可以信任與網繭管理員虛擬機器的連線

如果您的網繭資訊清單低於 3139.x,請在執行這些步驟之前,先連絡 VMware 支援以獲得指引。由於將不正確或不當格式的 SSL 憑證檔案上傳和儲存到網繭時,可能會導致無法存取該網繭,且該服務的預設備份和還原需要資訊清單 3139.x 或更新版本,因此,如果在執行 [上傳網繭憑證] 工作流程之前,您的網繭資訊清單低於 3139.x,請務必先連絡 VMware 支援來尋求協助。