您的第一代網繭中的 Unified Access Gateway 功能需要 SSL 以進行用戶端連線。當您想要讓網繭具有 Unified Access Gateway 組態,則網繭部署精靈需要 PEM 格式檔案,才能將 SSL 伺服器憑證鏈結提供給網繭的 Unified Access Gateway 組態。單一 PEM 檔案必須包含完整憑證鏈結,包括私密金鑰:SSL 伺服器憑證、任何必要的中繼 CA 憑證、根 CA 憑證和私密金鑰。

重要: 此資訊僅適用於在您有權存取第一代控制平面中的第一代租用戶環境時。如 知識庫文章 92424 中所述,第一代控制平面已終止提供 (EOA)。請參閱此文章以取得詳細資料。

如需與 Unified Access Gateway 中所使用憑證類型相關的其他詳細資料,請參閱 Unified Access Gateway 產品說明文件中的〈選取正確的憑證類型〉主題。

在關於閘道設定的網繭部署精靈步驟中,您需要上傳憑證檔案。在部署程序中,此檔案會提交至已部署 Unified Access Gateway 執行個體的組態中。當您在精靈介面中執行上傳步驟時,精靈會驗證您上傳的檔案是否符合下列需求:

  • 檔案可以剖析為 PEM 格式。
  • 其中包含有效的憑證鏈結和私密金鑰。
  • 該私密金鑰符合伺服器憑證的公開金鑰。

如果您沒有作為憑證資訊的 PEM 格式檔案,則必須將憑證資訊轉換為符合前述需求的檔案。您必須將非 PEM 格式檔案轉換為 PEM 格式,並建立包含完整憑證鏈結和私密金鑰的單一 PEM 檔案。您也必須編輯檔案以移除額外的資訊 (若有的話),使精靈在剖析檔案時不會發生任何問題。高階步驟如下:

  1. 將憑證資訊轉換為 PEM 格式,並建立包含憑證鏈結和私密金鑰的單一 PEM 檔案。
  2. 編輯檔案以移除每組 ----BEGIN CERTIFICATE---------END CERTIFICATE----- 標記之間憑證資訊外部的額外憑證資訊 (若有的話)。

下列步驟中的程式碼範例假設您已開始使用名為 mycaservercert.pfx 的檔案,其包含根 CA 憑證、中繼 CA 憑證資訊和私密金鑰。

必要條件

  • 確認您擁有憑證檔案。檔案可能是 PKCS#12 (.p12.pfx) 格式,也可能是 Java JKS 或 JCEKS 格式。
    重要: 憑證鏈結中的所有憑證皆必須具有有效的時間範圍。 Unified Access Gateway 虛擬機器需要鏈結中的所有憑證 (包括任何中繼憑證) 皆具有有效的時間範圍。如果鏈結中的任何憑證已到期,則稍後在將憑證上傳至 Unified Access Gateway 組態時可能會發生非預期的失敗。
  • 自行熟悉您可用來轉換憑證的 openssl 命令列工具。如需說明文件,請查看取得 OpenSSL 軟體的供應商網站,或者在 openssl.org 中找到手冊頁面。
  • 如果憑證是 Java JKS 或 JCEKS 格式,請自行熟悉 Java keytool 命令列工具,以先將憑證轉換為 .p12.pks 格式,之後才能再轉換為 .pem 檔案。

程序

  1. 如果憑證是 Java JKS 或 JCEKS 格式,請使用 keytool 將憑證轉換為 .p12.pks 格式。
    重要: 在此轉換期間,請使用相同的來源和目的地密碼。
  2. 如果憑證是 PKCS#12 (.p12.pfx) 格式,或已將憑證轉換為 PKCS#12 格式後,請使用 openssl 將憑證轉換為 .pem 檔案。
    例如,如果憑證的名稱是 mycaservercert.pfx,您可以使用下列命令轉換憑證:
    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercertchain.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    
    上方第一行會取得 mycaservercert.pfx 中的憑證,且會以 PEM 格式將其寫入 mycaservercertchain.pem。上方第二行會取得來自 mycaservercert.pfx 的私密金鑰,且會以 PEM 格式將其寫入 mycaservercertkey.pem
  3. (選擇性) 如果私密金鑰不是 RSA 格式,請將私密金鑰轉換為 RSA 私密金鑰格式。
    Unified Access Gateway 執行個體需要 RSA 私密金鑰格式。若要確認您是否需要執行此步驟,請在 PEM 檔案中查看私密金鑰資訊的開頭是否為
    -----BEGIN PRIVATE KEY-----
    如果私密金鑰的開頭即為該行,則您應將私密金鑰轉換為 RSA 格式。如果私密金鑰的開頭為 -----BEGIN RSA PRIVATE KEY-----,則無須執行此步驟以轉換私密金鑰。
    若要將私密金鑰轉換為 RSA 格式,請執行下列命令。
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
    PEM 檔案中的私密金鑰現在為 RSA 格式 ( -----BEGIN RSA PRIVATE KEY----------END RSA PRIVATE KEY-----)。
  4. 結合憑證鏈結 PEM 檔案和私密金鑰 PEM 檔案中的資訊以形成單一 PEM 檔案。
    以下範例顯示的例子會顯示 mycaservercertkeyrsa.pem 的內容 (RSA 格式的私密金鑰),後面接著來自 mycaservercertchain.pem (即主要 SSL 憑證) 的內容,接著是一個中繼憑證,再來是根憑證。
    -----BEGIN CERTIFICATE-----
    .... (your primary SSL certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the intermediate CA certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the trusted root certificate)
    -----END CERTIFICATE-----
    -----BEGIN RSA PRIVATE KEY-----
    .... (your server key from mycaservercertkeyrsa.pem)
    -----END RSA PRIVATE KEY-----
    備註: 伺服器憑證應在前方,接著是任何中繼憑證,然後才是受信任的根憑證。
  5. 如果 BEGINEND 標記之間存在任何不必要的憑證項目或無關的資訊,請編輯檔案以移除這些內容。

結果

產生的 PEM 檔案會符合網繭部署精靈的需求。