您網繭中的 Unified Access Gateway 功能需要 SSL 以進行用戶端連線。當您想要讓網繭具有 Unified Access Gateway 組態,則網繭部署精靈需要 PEM 格式檔案,才能將 SSL 伺服器憑證鏈結提供給網繭的 Unified Access Gateway 組態。單一 PEM 檔案必須包含完整憑證鏈結,包括私密金鑰:SSL 伺服器憑證、任何必要的中繼 CA 憑證、根 CA 憑證和私密金鑰。

如需與 Unified Access Gateway 中所使用憑證類型相關的其他詳細資料,請參閱 Unified Access Gateway 產品說明文件中的〈選取正確的憑證類型〉主題。

在關於閘道設定的網繭部署精靈步驟中,您需要上傳憑證檔案。在部署程序中,此檔案會提交至已部署 Unified Access Gateway 執行個體的組態中。當您在精靈介面中執行上傳步驟時,精靈會驗證您上傳的檔案是否符合下列需求:

  • 檔案可以剖析為 PEM 格式。
  • 其中包含有效的憑證鏈結和私密金鑰。
  • 該私密金鑰符合伺服器憑證的公開金鑰。

如果您沒有作為憑證資訊的 PEM 格式檔案,則必須將憑證資訊轉換為符合前述需求的檔案。您必須將非 PEM 格式檔案轉換為 PEM 格式,並建立包含完整憑證鏈結和私密金鑰的單一 PEM 檔案。您也必須編輯檔案以移除額外的資訊 (若有的話),使精靈在剖析檔案時不會發生任何問題。高階步驟如下:

  1. 將憑證資訊轉換為 PEM 格式,並建立包含憑證鏈結和私密金鑰的單一 PEM 檔案。
  2. 編輯檔案以移除每組 ----BEGIN CERTIFICATE---------END CERTIFICATE----- 標記之間憑證資訊外部的額外憑證資訊 (若有的話)。

下列步驟中的程式碼範例假設您已開始使用名為 mycaservercert.pfx 的檔案,其包含根 CA 憑證、中繼 CA 憑證資訊和私密金鑰。

必要條件

  • 確認您擁有憑證檔案。檔案可能是 PKCS#12 (.p12.pfx) 格式,也可能是 Java JKS 或 JCEKS 格式。
    重要: 憑證鏈結中的所有憑證皆必須具有有效的時間範圍。 Unified Access Gateway 虛擬機器需要鏈結中的所有憑證 (包括任何中繼憑證) 皆具有有效的時間範圍。如果鏈結中的任何憑證已到期,則稍後在將憑證上傳至 Unified Access Gateway 組態時可能會發生非預期的失敗。
  • 自行熟悉您可用來轉換憑證的 openssl 命令列工具。請參閱https://www.openssl.org/docs/apps/openssl.html
  • 如果憑證是 Java JKS 或 JCEKS 格式,請自行熟悉 Java keytool 命令列工具,以先將憑證轉換為 .p12.pks 格式,之後才能再轉換為 .pem 檔案。

程序

  1. 如果憑證是 Java JKS 或 JCEKS 格式,請使用 keytool 將憑證轉換為 .p12.pks 格式。
    重要: 在此轉換期間,請使用相同的來源和目的地密碼。
  2. 如果憑證是 PKCS#12 (.p12.pfx) 格式,或已將憑證轉換為 PKCS#12 格式後,請使用 openssl 將憑證轉換為 .pem 檔案。
    例如,如果憑證的名稱是 mycaservercert.pfx,您可以使用下列命令轉換憑證:
    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercertchain.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    
    上方第一行會取得 mycaservercert.pfx 中的憑證,且會以 PEM 格式將其寫入 mycaservercertchain.pem。上方第二行會取得來自 mycaservercert.pfx 的私密金鑰,且會以 PEM 格式將其寫入 mycaservercertkey.pem
  3. (選擇性) 如果私密金鑰不是 RSA 格式,請將私密金鑰轉換為 RSA 私密金鑰格式。
    Unified Access Gateway 執行個體需要 RSA 私密金鑰格式。若要確認您是否需要執行此步驟,請在 PEM 檔案中查看私密金鑰資訊的開頭是否為
    -----BEGIN PRIVATE KEY-----
    如果私密金鑰的開頭即為該行,則您應將私密金鑰轉換為 RSA 格式。如果私密金鑰的開頭為 -----BEGIN RSA PRIVATE KEY-----,則無須執行此步驟以轉換私密金鑰。
    若要將私密金鑰轉換為 RSA 格式,請執行下列命令。
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
    PEM 檔案中的私密金鑰現在為 RSA 格式 ( -----BEGIN RSA PRIVATE KEY----------END RSA PRIVATE KEY-----)。
  4. 結合憑證鏈結 PEM 檔案和私密金鑰 PEM 檔案中的資訊以形成單一 PEM 檔案。
    以下範例顯示的例子會顯示 mycaservercertkeyrsa.pem 的內容 (RSA 格式的私密金鑰),後面接著來自 mycaservercertchain.pem (即主要 SSL 憑證) 的內容,接著是一個中繼憑證,再來是根憑證。
    -----BEGIN CERTIFICATE-----
    .... (your primary SSL certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the intermediate CA certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the trusted root certificate)
    -----END CERTIFICATE-----
    -----BEGIN RSA PRIVATE KEY-----
    .... (your server key from mycaservercertkeyrsa.pem)
    ----- END RSA PRIVATE KEY-----
    備註: 伺服器憑證應在前方,接著是任何中繼憑證,然後才是受信任的根憑證。
  5. 如果 BEGINEND 標記之間存在任何不必要的憑證項目或無關的資訊,請編輯檔案以移除這些內容。

結果

產生的 PEM 檔案會符合網繭部署精靈的需求。