跳至主要内容

安裝受信任的外部簽署 XClarity Orchestrator 伺服器憑證

您可以選擇使用私密或商業憑證管理中心 (CA) 簽署的受信任伺服器憑證。若要使用外部簽署的伺服器憑證,請產生憑證簽章要求 (CSR),然後匯入產生的伺服器憑證,以取代現有伺服器憑證。

關於此作業

最佳做法是始終使用 v3 已簽署憑證。

外部簽署的伺服器憑證必須從最近使用產生 CSR 檔案按鈕建立的憑證簽章要求來建立。

外部簽署的伺服器憑證內容必須是包含整個 CA 簽署鏈結的憑證組合,包括 CA 的主要憑證、中繼憑證和伺服器憑證。

如果授信的第三方未簽署新的伺服器憑證,則下次連線至 XClarity Orchestrator 時,Web 瀏覽器會顯示安全性訊息和對話框,提示您在瀏覽器中接受新憑證。要避免安全性訊息,可以將伺服器憑證匯入 Web 瀏覽器的受信任憑證清單(請參閱將伺服器憑證匯入 Web 瀏覽器)。

XClarity Orchestrator 會開始使用新的伺服器憑證而不終止目前的階段作業。使用新的憑證建立新階段作業。若要使用使用中的新憑證,請重新啟動您的 Web 瀏覽器。

重要
伺服器憑證經過修改後,所有已建立的使用者階段作業都必須接受新的憑證,方法是按一下 Ctrl+F5 來重新整理 Web 瀏覽器,然後重新建立它們與 XClarity Orchestrator 的連線。

程序

若要產生並安裝外部簽署的伺服器憑證,請完成下列步驟。

  1. 建立憑證簽章要求並將檔案儲存至您的本端系統。
    1. XClarity Orchestrator 功能表列上,按一下管理 (管理圖示) > 安全性,然後按一下左側導覽窗格中的伺服器憑證以顯示產生憑證簽章要求卡片。
      產生憑證簽章要求 (CSR) 卡片
    2. 在產生憑證簽章要求 (CSR) 卡片上,填入要求的各個欄位。
      • 與憑證組織相關聯的雙字母 ISO 3166 國家或地區碼(例如,US 表示美國)。
      • 與憑證相關聯的州/省(縣/市)完整名稱(例如 California 或 New Brunswick)。
      • 與憑證相關聯的鄉鎮/市區完整名稱(例如 San Jose)。此值的長度不能超過 50 個字元。
      • 擁有憑證的組織(公司)。通常是公司的法定公司名稱。它應包含所有字尾,例如 Ltd.、Inc. 或 Corp(例如 ACME International Ltd.)。此值的長度不能超過 60 個字元。
      • (選用)擁有憑證的組織單位(例如 ABC Division)。此值的長度不能超過 60 個字元。
      • 憑證擁有者的一般名稱。這必須是使用憑證的伺服器的主機名稱。此值的長度不能超過 63 個字元。
      • (選用)產生 CSR 時新增至 X.509「subjectAltName」延伸的主體替代名稱。

        依預設,XClarity Orchestrator 會根據 XClarity Orchestrator 客體作業系統的網路介面探索找到的 IP 位址和主機名稱,自動定義 CSR 的主體替代名稱。您可以對這些主體替代名稱值進行自訂、刪除或新增。不過,主體替代名稱必須具有伺服器的完整網域名稱 (FQDN) 或 IP 位址,而且主體名稱必須設定為 FQDN。

        您必須指定對所選類型有效的名稱。
        • DNS(使用 FQDN,例如 hostname.labs.company.com)
        • IP 位址(例如,192.0.2.0)
        • 電子郵件(例如,example@company.com)
        僅當您在下一步中產生 CSR 後,才會驗證列於上表的所有主體替代名稱並將其儲存及新增至 CSR。
  2. 將 CSR 提供給授信憑證管理中心 (CA)。CA 簽署 CSR,然後傳回伺服器憑證。
  3. 將外部簽署的伺服器憑證和 CA 憑證匯入 XClarity Orchestrator,並取代目前的伺服器憑證。
    1. 在產生憑證簽章要求 (CSR) 卡片上,按一下匯入憑證以顯示匯入憑證對話框。
    2. 複製並貼上 PEM 格式的伺服器憑證和 CA 憑證。您必須提供完整的憑證鏈,以伺服器憑證為首,以主要 CA 憑證為尾。
    3. 按一下匯入將伺服器憑證儲存在 XClarity Orchestrator 信任儲存庫。
  4. 按 Ctrl+F5 重新整理瀏覽器,然後重新建立您與 Web 介面的連線,以接受新憑證。所有已建立的使用者階段作業都必須完成此步驟。