控制器必須將憑證傳送至用戶端,以建立安全通訊。此憑證必須具有與 Avi 控制器叢集主機名稱或 IP 位址相符的主體別名 (SAN)。
控制器具有預設的自我簽署憑證。此憑證沒有正確的 SAN。您必須將其取代為具有正確 SAN 的有效憑證或自我簽署的憑證。您可以建立自我簽署的憑證或上傳外部憑證。
如需有關憑證的詳細資訊,請參閱 Avi 說明文件。
程序
- 在 Avi 控制器儀表板中,按一下左上角的功能表,然後選取。
- 選取 SSL/TLS 憑證。
- 若要建立憑證,請按一下建立,然後選取控制器憑證。
隨即顯示
新增憑證 (SSL/TLS) 視窗。
- 輸入憑證的名稱。
- 如果沒有預先建立的有效憑證,請為類型選取
Self Signed
以新增自我簽署憑證。
- 輸入以下詳細資料:
選項 |
說明 |
一般名稱 |
指定站台的完整限定名稱。對於被視為受信任的站台,此項目必須與用戶端在瀏覽器中輸入的主機名稱相符。 |
主體替代名稱 (SAN) |
如果 Avi 控制器部署為單一節點,請輸入該控制器的叢集 IP 位址和/或 FQDN。 如果只使用 IP 位址或 FQDN,則該值必須與您在部署期間指定的控制器虛擬機器的 IP 位址相符。請參閱部署控制器。 如果 Avi 控制器叢集部署為包含三個節點的叢集,請輸入該叢集的叢集 IP 或 FQDN。如需部署包含三個控制器節點的叢集的相關資訊,請參閱部署控制器叢集。 |
演算法 |
選取 EC (橢圓曲線密碼編譯) 或 RSA。建議使用 EC。 |
金鑰大小 |
選取要用於信號交換的加密層級:
SECP256R1 用於 EC 憑證。
- 建議將 2048 位元用於 RSA 憑證。
|
- 按一下儲存。
設定主管叢集以啟用工作負載管理功能時,您需要此憑證。
- 下載您建立的自我簽署憑證。
- 選取。
如果未看到此憑證,請重新整理頁面。
- 選取已建立的憑證,然後按下載圖示。
- 在出現的匯出憑證頁面中,按一下憑證對應的複製到剪貼簿。請勿複製金鑰。
- 儲存複製的憑證,以供稍後在啟用工作負載管理時使用。
- 如果您有預先建立的有效憑證,請為類型選取
Import
以上傳該憑證。
- 在憑證中,按一下上傳檔案並匯入憑證。
您上傳之憑證的 SAN 欄位必須具有控制器的叢集 IP 位址或 FQDN。
備註: 請確保僅上傳或貼上憑證的內容一次。
- 在金鑰 (PEM) 或 PKCS12 中,按一下上傳檔案,然後匯入金鑰。
- 按一下驗證,來驗證憑證和金鑰。
- 按一下儲存。
- 若要變更入口網站憑證,請執行以下步驟。
- 在 Avi 控制器儀表板中,按一下左上角的功能表,然後選取。
- 選取存取設定。
- 按一下編輯圖示。
- 從 SSL/TLS 憑證中,移除現有的預設入口網站憑證。
- 在下拉式功能表中,選取新建立或上傳的憑證。
- 按一下儲存。