การติดตั้งใบรับรองเซิร์ฟเวอร์ XClarity Orchestrator ที่เชื่อถือได้ที่ลงนามจากภายนอก
คุณสามารถเลือกใช้ใบรับรองเซิร์ฟเวอร์ที่เชื่อถือได้ที่มีการลงนามโดยหน่วยงานด้านใบรับรอง (CA) เอกชนหรือพาณิชย์ ในการใช้ใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอก ให้สร้างคำขอการลงนามใบรับรอง (CSR) แล้วนำเข้าใบรับรองเซิร์ฟเวอร์ที่ได้มาเพื่อแทนที่ใบรับรองเซิร์ฟเวอร์ที่มีอยู่
เกี่ยวกับงานนี้
แนวทางปฏิบัติที่ดีที่สุดคือให้ใช้ใบรับรองที่ลงนาม v3 เสมอ
ต้องสร้างใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกจากคำขอการลงนามใบรับรองที่สร้างขึ้นล่าสุดโดยใช้ปุ่ม สร้างไฟล์ CSR
เนื้อหาของใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอกต้องเป็นชุดใบรับรองที่ประกอบด้วยสายการลงนาม CA ทั้งหมด รวมทั้งใบรับรองรูทของ CA, ใบรับรองระดับกลางใดๆ และใบรับรองเซิร์ฟเวอร์
หากใบรับรองเซิร์ฟเวอร์ใหม่ไม่ได้รับการลงนามโดยบุคคลที่สามที่เชื่อถือได้ ครั้งถัดไปที่คุณเชื่อมต่อกับ XClarity Orchestrator เบราเซอร์ของคุณจะแสดงข้อความเกี่ยวกับการรักษาความปลอดภัยและกล่องโต้ตอบที่แจ้งให้คุณยอมรับใบรับรองใหม่ลงในเบราเซอร์ เพื่อหลีกเลี่ยงข้อความเกี่ยวกับการรักษาความปลอดภัย คุณสามารถนำเข้าใบรับรองเซิร์ฟเวอร์ลงในรายการใบรับรองที่เชื่อถือได้ของเว็บเบราเซอร์ (โปรดดู การนำเข้าใบรับรองเซิร์ฟเวอร์ลงในเว็บเบราเซอร์)
XClarity Orchestrator เริ่มต้นใช้งานใบรับรองเซิร์ฟเวอร์ใหม่โดยไม่ต้องสิ้นสุดเซสชันปัจจุบัน ระบบจะสร้างเซสชันใหม่โดยใช้ใบรับรองใหม่ เมื่อต้องการใช้ใบรับรองใหม่ที่ใช้งานอยู่ ให้รีสตาร์ทเว็บเบราเซอร์ของคุณ
ขั้นตอน
ดำเนินการขั้นตอนต่อไปนี้เพื่อสร้างและติดตั้งใบรับรองเซิร์ฟเวอร์ที่ลงนามจากภายนอก
- สร้างคำขอการลงนามใบรับรองและบันทึกไฟล์ไปยังระบบภายในของคุณ
- จากแถบเมนู XClarity Orchestrator ให้คลิก การดูแลระบบ (
) > การรักษาความปลอดภัย แล้วคลิก ใบรับรองเซิร์ฟเวอร์ ในการนำทางด้านซ้ายเพื่อแสดงการ์ด สร้างคำขอการลงนามใบรับรอง
- จากการ์ดสร้างคำขอการลงนามใบรับรอง (CSR) ให้กรอกข้อมูลในฟิลด์สำหรับคำขอ
- รหัส ISO 3166 สองตัวอักษรสำหรับประเทศหรือภูมิภาคต้นทางที่เชื่อมโยงกับหน่วยงานด้านใบรับรอง (เช่น US สำหรับสหรัฐอเมริกา)
- ชื่อเต็มของรัฐหรือจังหวัดที่จะเชื่อมโยงกับใบรับรอง (เช่น แคลิฟอร์เนียหรือนิวบรันสวิก)
- ชื่อเต็มของเมืองที่จะเชื่อมโยงกับใบรับรอง (ตัวอย่างเช่น San Jose) ความยาวของค่าต้องไม่เกิน 50 อักขระ
- องค์กร (บริษัท) ซึ่งเป็นเจ้าของใบรับรอง โดยทั่วไปแล้วคือชื่อตามกฎหมายของบริษัท ควรใส่ส่วนต่อท้ายใดๆ เช่น Ltd., Inc., หรือ Corp (เช่น ACME International Ltd.) ความยาวของค่านี้ต้องไม่เกิน 60 อักขระ
- (ไม่บังคับ) หน่วยงานที่เป็นเจ้าของใบรับรอง (เช่น ABC Division) ความยาวของค่านี้ต้องไม่เกิน 60 อักขระ
- ชื่อทั่วไปของเจ้าของใบรับรอง ส่วนนี้ต้องเป็นชื่อโฮสต์ของเซิร์ฟเวอร์ที่ใช้ใบรับรอง ความยาวของค่านี้ต้องไม่เกิน 63 อักขระ
- (ไม่บังคับ) Subject Alternative Name ที่เพิ่มให้กับส่วนขยาย X.509 “subjectAltName” ขณะสร้าง CSR
ตามค่าเริ่มต้น XClarity Orchestrator จะกำหนดชื่อแสดงแทนบุคคลที่ได้รับการรับรองสำหรับ CSR โดยอัตโนมัติตามที่อยู่ IP และชื่อโฮสต์ที่ค้นพบโดยอินเทอร์เฟสเครือข่ายสำหรับระบบปฏิบัติการเกสต์ของ XClarity Orchestrator คุณสามารถปรับแต่ง ลบ หรือเพิ่มไปยังค่าชื่อแสดงแทนบุคคลที่ได้รับการรับรองเหล่านี้ อย่างไรก็ตาม Subject Alternative Name ต้องมีชื่อโดเมนแบบเต็ม (FQDN) หรือที่อยู่ IP ของเซิร์ฟเวอร์ และต้องตั้ง Subject Name เป็น FQDN
ชื่อที่คุณระบุต้องถูกต้องสำหรับประเภทที่เลือก- DNS (ใช้ FQDN ตัวอย่างเช่น hostname.labs.company.com)
- ที่อยู่ IP (เช่น 192.0.2.0)
- อีเมล (เช่น example@company.com)
หมายเหตุชื่อแสดงแทนบุคคลที่ได้รับการรับรองทั้งหมดที่แสดงอยู่ในตารางจะได้รับการตรวจสอบ บันทึก และเพิ่มให้กับ CSR หลังจากที่คุณสร้าง CSR ในขั้นถัดไปแล้วเท่านั้น
- จากแถบเมนู XClarity Orchestrator ให้คลิก การดูแลระบบ (