您的第一代網繭中的 Unified Access Gateway 功能需要 SSL 以進行用戶端連線。當您想要讓網繭具有 Unified Access Gateway 組態,則網繭部署精靈需要 PEM 格式檔案,才能將 SSL 伺服器憑證鏈結提供給網繭的 Unified Access Gateway 組態。單一 PEM 檔案必須包含完整憑證鏈結,包括私密金鑰:SSL 伺服器憑證、任何必要的中繼 CA 憑證、根 CA 憑證和私密金鑰。
重要: 此資訊僅適用於在您有權存取第一代控制平面中的第一代租用戶環境時。如
知識庫文章 92424 中所述,第一代控制平面已終止提供 (EOA)。請參閱此文章以取得詳細資料。
如需與 Unified Access Gateway 中所使用憑證類型相關的其他詳細資料,請參閱 Unified Access Gateway 產品說明文件中的〈選取正確的憑證類型〉主題。
在關於閘道設定的網繭部署精靈步驟中,您需要上傳憑證檔案。在部署程序中,此檔案會提交至已部署 Unified Access Gateway 執行個體的組態中。當您在精靈介面中執行上傳步驟時,精靈會驗證您上傳的檔案是否符合下列需求:
- 檔案可以剖析為 PEM 格式。
- 其中包含有效的憑證鏈結和私密金鑰。
- 該私密金鑰符合伺服器憑證的公開金鑰。
如果您沒有作為憑證資訊的 PEM 格式檔案,則必須將憑證資訊轉換為符合前述需求的檔案。您必須將非 PEM 格式檔案轉換為 PEM 格式,並建立包含完整憑證鏈結和私密金鑰的單一 PEM 檔案。您也必須編輯檔案以移除額外的資訊 (若有的話),使精靈在剖析檔案時不會發生任何問題。高階步驟如下:
- 將憑證資訊轉換為 PEM 格式,並建立包含憑證鏈結和私密金鑰的單一 PEM 檔案。
- 編輯檔案以移除每組
----BEGIN CERTIFICATE----
與-----END CERTIFICATE-----
標記之間憑證資訊外部的額外憑證資訊 (若有的話)。
下列步驟中的程式碼範例假設您已開始使用名為 mycaservercert.pfx 的檔案,其包含根 CA 憑證、中繼 CA 憑證資訊和私密金鑰。
必要條件
- 確認您擁有憑證檔案。檔案可能是 PKCS#12 (.p12 或 .pfx) 格式,也可能是 Java JKS 或 JCEKS 格式。
重要: 憑證鏈結中的所有憑證皆必須具有有效的時間範圍。 Unified Access Gateway 虛擬機器需要鏈結中的所有憑證 (包括任何中繼憑證) 皆具有有效的時間範圍。如果鏈結中的任何憑證已到期,則稍後在將憑證上傳至 Unified Access Gateway 組態時可能會發生非預期的失敗。
- 自行熟悉您可用來轉換憑證的 openssl 命令列工具。如需說明文件,請查看取得 OpenSSL 軟體的供應商網站,或者在 openssl.org 中找到手冊頁面。
- 如果憑證是 Java JKS 或 JCEKS 格式,請自行熟悉 Java keytool 命令列工具,以先將憑證轉換為 .p12 或 .pks 格式,之後才能再轉換為 .pem 檔案。