Skip to main content
Active IQ Unified Manager
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

安装使用外部工具生成的 HTTPS 证书

PDF

您可以安装自签名或 CA 签名的证书,并使用外部工具(如 OpenSSL、BoringSSL、LetsEncrypt)生成。

您应该将私钥与证书链一起加载,因为这些证书是外部生成的公钥-私钥对。允许的密钥对算法是“RSA”和“EC”。 “常规”部分下的“HTTPS 证书”页面中提供了“安装 HTTPS 证书”选项。您上传的文件应采用以下输入格式。

  1. 属于Active IQ Unified Manager主机的服务器的私钥

  2. 与私钥匹配的服务器证书

  3. 反向直到根的 CA 证书,用于签署上述证书

加载带有 EC 密钥对的证书的格式

允许的曲线是“prime256v1”和“secp384r1”。带有外部生成的 EC 对的证书样本:

 -----BEGIN EC PRIVATE KEY-----
<EC private key of Server>
-----END EC PRIVATE KEY-----
 -----BEGIN CERTIFICATE-----
 <Server certificate>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #1 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #2 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Root signing certificate>
 -----END CERTIFICATE-----

使用 RSA 密钥对加载证书的格式

属于主机证书的 RSA 密钥对允许的密钥大小为 2048、3072 和 4096。具有外部生成的 RSA 密钥对 的证书:

-----BEGIN RSA PRIVATE KEY-----
 <RSA private key of Server>
 -----END RSA PRIVATE KEY-----
 -----BEGIN CERTIFICATE-----
 <Server certificate>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #1 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Intermediate certificate #2 (if present)>
 -----END CERTIFICATE-----
 -----BEGIN CERTIFICATE-----
 <Root signing certificate>
 -----END CERTIFICATE-----

上传证书后,您应该重新启动Active IQ Unified Manager实例以使更改生效。

上传外部生成的证书时进行检查

系统在上传使用外部工具生成的证书时执行检查。如果任何检查失败,则证书被拒绝。还包括对产品内 CSR 生成的证书和使用外部工具生成的证书的验证。

  • 输入中的私钥根据输入中的主机证书进行验证。

  • 主机证书中的通用名称 (CN) 与主机的 FQDN 进行检查。

  • 主机证书的通用名称(CN)不能为空或空白,并且不能设置为localhost。

  • 证书的有效期起始日期不应为将来日期,且证书的有效期到期日期不应为过去日期。

  • 如果存在中级 CA 或 CA,则证书的有效期开始日期不应在未来,有效期到期日期不应在过去。

备注

输入中的私钥不应该被加密。如果有任何私钥被加密,那么系统就会拒绝它们。

示例 1

----BEGIN ENCRYPTED PRIVATE KEY-----
<Encrypted private key>
-----END ENCRYPTED PRIVATE KEY-----

示例 2

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
<content here>
-----END RSA PRIVATE KEY-----

示例 3

-----BEGIN EC PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
<content here>
-----END EC PRIVATE KEY-----

如果证书安装失败,请参阅知识库 (KB) 文章:https://kb.netapp.com/mgmt/AIQUM/AIQUM_fails_to_install_externally_generated_certificate["ActiveIQ Unified Manager 无法安装外部生成的证书"^]