跳到主要内容

SSL 证书处理

本主题介绍对配合 SSL 安全协议使用的证书进行管理的信息。

您可以将 SSL 与自签名证书或由第三方证书颁发机构签名的证书配合使用。虽然使用自签名证书是使用 SSL 的最简单方法,但是该方法会带来一个较小的安全性风险。发生风险的原因是,针对 SSL 客户端和 SSL 服务器之间首次尝试的连接,SSL 客户端无法验证 SSL 服务器的身份。例如,第三方有可能会冒充 XClarity Controller Web 服务器,并拦截真实 XClarity Controller Web 服务器和用户 Web 浏览器之间的数据流。如果在浏览器和 XClarity Controller 之间首次连接时,将自签名证书导入到浏览器的证书库中,那么针对该浏览器的所有后续通信都将是安全的(假设首次连接未遭受攻击)。

要获取更完整的安全性,可以使用证书颁发机构(CA)签名的证书。要获取签名证书,需要选择生成证书签名请求(CSR)。选择下载证书签名请求(CSR)并将该证书签名请求(CSR)发送到 CA 以获取签名证书。收到签名证书后,选择导入签名证书以将其导入 XClarity Controller。

CA 的功能是验证 XClarity Controller 的身份。一个证书包含 CA 和 XClarity Controller 的数字签名。如果某知名 CA 发放了证书,或者 CA 的证书已导入到 Web 浏览器中,那么浏览器可以验证该证书,并明确地识别 XClarity Controller Web 服务器。

XClarity Controller 要求 HTTPS 服务器、CIM over HTTPS 和安全 LDAP 客户端与证书配合使用。此外,安全 LDAP 客户端还要求导入一个或多个可信证书。安全 LDAP 客户端使用可信证书来明确识别 LDAP 服务器。可信证书是由签署 LDAP 服务器证书的 CA 所发出的证书。如果 LDAP 服务器使用自签名证书,那么可信证书可以是 LDAP 服务器本身的证书。如果在您的配置中使用了多个 LDAP 服务器,必须导入其他可信证书。