安装可信的外部签署 XClarity Orchestrator 服务器证书

您可以选择使用由私人或商业证书颁发机构（CA）签署的可信服务器证书。要使用外部签署的服务器证书，请生成证书签名请求（CSR），然后导入所得的服务器证书以替换现有服务器证书。

关于本任务

最佳做法是始终使用 v3 签名证书。

必须从使用生成 CSR 文件按钮最新生成的证书签名请求来创建外部签署的服务器证书。

外部签署的服务器证书内容必须是包含整个 CA 签名链（其中包括 CA 的根证书、任何中间证书和服务器证书）的证书捆绑包。

如果新服务器证书未由可信的第三方签署，则下次连接到 XClarity Orchestrator 时，Web 浏览器将显示安全消息和对话框，提示您将新证书纳入浏览器。要避免显示安全消息，可将服务器证书导入到 Web 浏览器的可信证书列表中（请参阅将服务器证书导入到 Web 浏览器中）。

XClarity Orchestrator 在不终止当前会话的情况下，开始使用新的服务器证书。新会话将以新证书建立。要使用正在使用的新证书，请重新启动 Web 浏览器。

重要

修改服务器证书后，必须单击 Ctrl+F5 来刷新 Web 浏览器，然后重新建立与 XClarity Orchestrator 的连接，从而让所有已建立的用户会话接受新证书。

过程

要生成并安装外部签署的服务器证书，请完成以下步骤。

创建一个证书签名请求并将文件保存到本地系统。
1. 从 XClarity Orchestrator 菜单栏中，单击管理（） > 安全性，然后单击左侧导航栏中的服务器证书，以显示“生成证书签名请求”卡。
2. 在“生成证书签名请求（CSR）”卡中，填写请求的字段。
  - 与证书组织关联的来源国家或地区的两字母 ISO 3166 代码（例如，美国为 US）。
  - 与证书关联的州或省全名（例如，California 或 New Brunswick）。
  - 与证书关联的城市全名（例如，San Jose）。该值长度不得超过 50 个字符。
  - 拥有证书的组织（公司）。通常为公司的合法注册名称。名称中应包含 Ltd.、Inc. 或 Corp 等后缀（例如，ACME International Ltd.）。该值长度不得超过 60 个字符。
  - （可选）拥有证书的组织单位（例如，ABC 部门）。该值长度不得超过 60 个字符。
  - 证书所有者的公用名。这必须是正在使用证书的服务器的主机名。该值长度不得超过 63 个字符。
  - （可选）生成 CSR 时添加到 X.509“subjectAltName”扩展名的主题备用名称。
    默认情况下，XClarity Orchestrator 会根据 XClarity Orchestrator 访客操作系统的网络接口发现的 IP 地址和主机名自动为该 CSR 定义主题备用名称。可定制、删除或添加此类主题备用名称值。但是，主题备用名称必须具有服务器的完全限定域名（FQDN）或 IP 地址，并且主题名称必须设置为 FQDN。
    指定的名称必须对所选的类型有效。
    DNS（使用 FQDN，例如 hostname.labs.company.com）
    IP 地址（例如，192.0.2.0）
    邮箱（例如，example@company.com）
    注
    仅当您在下一步中生成 CSR 后，才会在 CSR 中验证、保存和添加表格中列出的所有主题备用名称。
向可信证书颁发机构（CA）提供 CSR。CA 签署 CSR 并返回一个服务器证书。
将外部签署的服务器证书和 CA 证书导入到 XClarity Orchestrator，并替换当前服务器证书。
1. 从“生成证书签名请求（CSR）”卡中，单击导入证书以显示导入证书对话框。
2. 复制并粘贴 PEM 格式的服务器证书和 CA 证书。必须提供从服务器证书到根 CA 证书的完整证书链。
3. 单击导入将服务器证书存储在 XClarity Orchestrator 信任存储区中。
按 Ctrl+F5 刷新浏览器，然后重新建立与 Web 界面的连接，从而接受新证书。此步骤必须由所有已建立的用户会话来完成。

提供反馈