此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。
安裝使用外部工具產生的HTTPS憑證
貢獻者
建議變更
您可以安裝自我簽署或CA簽署的憑證、並使用OpenSSL、BoringSSL、LetsEncrypt等外部工具產生。
您應該將私密金鑰與憑證鏈結一起載入、因為這些憑證是由外部產生的公開私密金鑰配對。允許的金鑰配對演算法為「'rSA'」和「'EC'」。「一般」區段下方的「HTTPS憑證」頁面提供「安裝HTTPS憑證」選項。您上傳的檔案應採用下列輸入格式。
-
屬於Active IQ Unified Manager 該伺服器的私有金鑰
-
與私密金鑰相符的伺服器憑證
-
CA的憑證會反轉至根憑證、用於簽署上述憑證
以EC金鑰配對載入憑證的格式
允許的曲線為「prime256v1」和「cep384r1」。外部產生EC配對的憑證範例:
-----BEGIN EC PRIVATE KEY----- <EC private key of Server> -----END EC PRIVATE KEY-----
-----BEGIN CERTIFICATE----- <Server certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #1 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #2 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Root signing certificate> -----END CERTIFICATE-----
載入具有 RSA 金鑰配對之憑證的格式
屬於主機憑證的RSA金鑰配對允許金鑰大小為2048、3072和4096。具有外部產生* RSA金鑰組*的憑證:
-----BEGIN RSA PRIVATE KEY----- <RSA private key of Server> -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- <Server certificate> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #1 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Intermediate certificate #2 (if present)> -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- <Root signing certificate> -----END CERTIFICATE-----
上傳憑證後、您應該重新啟動Active IQ Unified Manager 更新以使變更生效。
上傳外部產生的憑證時進行檢查
系統會在上傳使用外部工具產生的憑證時執行檢查。如果有任何檢查失敗、則會拒絕該憑證。產品內的CSR產生的憑證以及使用外部工具產生的憑證也包含驗證功能。
-
輸入中的私密金鑰會根據輸入中的主機憑證進行驗證。
-
主機憑證中的「Common Name(CN)(一般名稱(CN))」會對照主機的FQDN進行檢查。
-
主機憑證的一般名稱(CN)不應為空白或空白、且不應設定為localhost。
-
有效開始日期不應為未來日期、而且憑證的有效到期日不應為過去日期。
-
如果存在中介CA或CA、則憑證的有效開始日期不應為未來日期、而且有效到期日不應為過去日期。
輸入中的私密金鑰不應加密。如果有任何私密金鑰已加密、則系統會拒絕這些金鑰。 |
範例 1.
----BEGIN ENCRYPTED PRIVATE KEY----- <Encrypted private key> -----END ENCRYPTED PRIVATE KEY-----
範例 2.
-----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED <content here> -----END RSA PRIVATE KEY-----
範例3.
-----BEGIN EC PRIVATE KEY----- Proc-Type: 4,ENCRYPTED <content here> -----END EC PRIVATE KEY-----