控制器必須將憑證傳送至用戶端,以建立安全通訊。此憑證必須具有與 Avi 控制器叢集主機名稱或 IP 位址相符的主體別名 (SAN)。

控制器具有預設的自我簽署憑證。此憑證沒有正確的 SAN。您必須將其取代為具有正確 SAN 的有效憑證或自我簽署的憑證。您可以建立自我簽署的憑證或上傳外部憑證。

如需有關憑證的詳細資訊,請參閱 Avi 說明文件

程序

  1. 在 Avi 控制器儀表板中,按一下左上角的功能表,然後選取範本 > 安全性
  2. 選取 SSL/TLS 憑證
  3. 若要建立憑證,請按一下建立,然後選取控制器憑證
    隨即顯示 新增憑證 (SSL/TLS) 視窗。
  4. 輸入憑證的名稱。
  5. 如果沒有預先建立的有效憑證,請為類型選取 Self Signed 以新增自我簽署憑證。
    1. 輸入以下詳細資料:
      選項 說明
      一般名稱

      指定站台的完整限定名稱。對於被視為受信任的站台,此項目必須與用戶端在瀏覽器中輸入的主機名稱相符。
      主體替代名稱 (SAN) 如果 Avi 控制器部署為單一節點,請輸入該控制器的叢集 IP 位址和/或 FQDN。

      如果只使用 IP 位址或 FQDN,則該值必須與您在部署期間指定的控制器虛擬機器的 IP 位址相符。請參閱部署控制器

      如果 Avi 控制器叢集部署為包含三個節點的叢集,請輸入該叢集的叢集 IP 或 FQDN。如需部署包含三個控制器節點的叢集的相關資訊,請參閱部署控制器叢集
      演算法 選取 EC (橢圓曲線密碼編譯) 或 RSA。建議使用 EC。
      金鑰大小 選取要用於信號交換的加密層級:
      • SECP256R1 用於 EC 憑證。
      • 建議將 2048 位元用於 RSA 憑證。
    2. 按一下儲存
    設定主管叢集以啟用工作負載管理功能時,您需要此憑證。
  6. 下載您建立的自我簽署憑證。
    1. 選取安全性 > SSL/TLS 憑證
      如果未看到此憑證,請重新整理頁面。
    2. 選取已建立的憑證,然後按下載圖示。
    3. 在出現的匯出憑證頁面中,按一下憑證對應的複製到剪貼簿。請勿複製金鑰。
    4. 儲存複製的憑證,以供稍後在啟用工作負載管理時使用。
  7. 如果您有預先建立的有效憑證,請為類型選取 Import 以上傳該憑證。
    1. 憑證中,按一下上傳檔案並匯入憑證。
      您上傳之憑證的 SAN 欄位必須具有控制器的叢集 IP 位址或 FQDN。
      備註: 請確保僅上傳或貼上憑證的內容一次。
    2. 金鑰 (PEM) 或 PKCS12 中,按一下上傳檔案,然後匯入金鑰。
    3. 按一下驗證,來驗證憑證和金鑰。
    4. 按一下儲存
  8. 若要變更入口網站憑證,請執行以下步驟。
    1. 在 Avi 控制器儀表板中,按一下左上角的功能表,然後選取管理 > 設定
    2. 選取存取設定
    3. 按一下編輯圖示。
    4. SSL/TLS 憑證中,移除現有的預設入口網站憑證。
    5. 在下拉式功能表中,選取新建立或上傳的憑證。
    6. 按一下儲存