使用现有自定义证书配置 HTTPS - BlueCat Integrity - 9.5.0

管理指南

Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

上传服务器证书、私有密钥和 CA 证书包以在 Address Manager 上配置 HTTPS。

注: 如果客户在以前版本的 Address Manager 上配置了 HTTPS 并希望将以前系统上使用的证书迁移到新系统上,则建议使用此方法。

要使用自定义上传的证书配置 HTTPS:

  1. 选择管理选项卡。选项卡会记住上次处理的页面,因此请再次选择该选项卡以确保您在管理页面上。
  2. 用户管理下,单击安全访问
  3. 通用下,完成以下操作:
    • 选择服务器 — 默认情况下,这是独立Address Manager服务器的 IP 地址。如果在复制中运行Address Manager,请使用下拉菜单选择主要备用Address Manager服务器的 IP 地址。
    • HTTP — 从下拉菜单中选择启用禁用重定向到 HTTPS
      注: 重定向到 HTTPS
      选择重定向到 HTTPS会将用户重定向到 HTTPS(如果他们尝试使用 HTTP 访问 Address Manager)。必须启用 HTTPS 才能使用“重定向到 HTTPS”。
      • 如果 Address Manager 域名配置为解析为 IPv6 地址,则启用重定向到 HTTPS 会将 URL 中的域名重定向到 IPv6 地址,从而导致浏览器中出现未知证书警告。有关更多信息,请参阅 BlueCat 客户服务中心 上的知识库文章 5978
    • HTTPS — 从下拉菜单中选择启用
      重要: 禁用 HTTPS

      如果 HTTP 配置为重定向到 HTTPS,则无法禁用 HTTPS。

  4. 服务器证书设置下,选择自定义
  5. 选择加载自定义证书
  6. 上传证书下,完成以下操作:
    • 使用之前配置的私有密钥 — (可选)选择以使用存储在 Address Manager 数据库中的先前配置的私有密钥。
      注:
      • 首次将私有密钥加载到 Address Manager 时,此复选框不可单击。加载服务器证书和 CA 捆绑文件并更新 Address Manager 后,默认情况下将选中此复选框(Address Manager 在其数据库中存储密钥的一个副本)。
      • 仅当要上传新的私有密钥时,才取消选中此复选框。Address Manager 会警告上传新的私有密钥将覆盖已存储在 Address Manager 数据库中的密钥。
    • 私有密钥 — (可选)单击选择文件以选择与本地计算机或工作站上的服务器证书相关联的私有密钥文件 (<common_name>.key)
      注意:
      • 私有密钥必须符合 PKCS #8 标准。
      • 私有密钥必须是 PEM 格式,且必须只包含一个密钥,不能包含多个密钥或证书。您可以使用 openssl 和以下命令验证密钥(如果没有密码,请忽略 --passin pass:<password> 参数):
        openssl rsa -noout -modulus -in <private key file> --passin pass:<password>

        如果输出的开头包含 Modulus=,表示密钥有效。

    • 使用密码 — (可选)选中该复选框为私有密钥提供安全保障。选择后,将打开密码字段。
      • 密码 — 输入一个字母数字密码来保护私有密钥。
    • 域签名证书 — 单击选择文件以在本地计算机或工作站上选择签名的服务器证书 (<common_name>.crt)。
      注意: 证书必须是 PEM 格式,且必须只包含一个证书,不能包含多个证书或密钥。您可以使用 openssl 和以下命令验证证书:
      openssl x509 -noout -modulus -in <certificate file>

      如果输出的开头包含 Modulus=,表示密钥有效。

    • 中级绑定证书 — 单击选择文件以在本地计算机或工作站上选择相关联的 CA 证书包 (<common_name>.ca-bundle)。CA 证书包必须包含验证服务器证书的 CA 签名所需的根 CA 证书和任何中间 CA 证书。
      注意: 该包必须是 PEM 格式,且必须只包含一个根证书以及与域证书匹配的中间证书链。您可以使用 openssl 和以下命令验证包:
      openssl x509 -noout -modulus -in <bundle file>

      如果输出的开头包含 Modulus=,表示密钥有效。

  7. 单击更新。将打开确认 Web 访问配置
  8. 确认配置下,验证更改。
    列出的更改将包括 Address Manager 服务器的 IP 地址HTTPSHTTPS 状态(启用/禁用)和证书类型
  9. 单击。提交更改并重启服务器时,Address Manager服务器将暂时不可用。

结果

  1. 一旦配置完成,请登录Address Manager
    注: 修改 HTTP 或 HTTPS 后,如有未知或无效的证书,浏览器会警告您。一旦接受证书并登录 Address Manager,此警告将停止。
  2. 从证书警告,进入站点。取决于您的浏览器,可能需要单击按钮或创建例外。