配置中间证书

中间证书是介于 NetScaler Gateway(服务器证书)和根证书(安装在用户设备上)之间的证书。中间证书是链的一部分。

有些组织委派专人负责颁发证书,以解决各组织单位在地域上彼此独立的问题,或者对组织的不同部门应用不同的颁发策略。

可以通过设置从属证书颁发机构 (CA) 来委派颁发证书的责任。CA 可以签署自己的证书(即,它们是自签名的),也可以由其他证书颁发机构签名。X.509 标准包括一个用于设置 CA 层次结构的模型。在此模型中,如下图所示,根 CA 位于层次结构的顶部,是证书颁发机构的自签名证书。直属于根 CA 的 CA 具有由根证书颁发机构签名的 CA 证书。在层次结构中处于从属 CA 之下的 CA 拥有由从属 CA 签名的 CA 证书。

图 1. 展示典型数字证书链层次结构的 X.509 模型

显示典型数字证书链的层次结构图。

如果服务器证书由具有自签名证书的 CA 签署,则证书链正好由两个证书组成:最终实体证书和根证书颁发机构。如果用户或服务器证书由中间证书颁发机构签名,则证书链会更长。

下图显示了前两个元素是最终实体证书(在本例中为 gwy01.company.com)和中间证书颁发机构的证书,按顺序排列。中间证书颁发机构的证书后跟其证书颁发机构的证书。此列表将一直持续到列表中的最后一个证书是针对根证书颁发机构的证书。证书链中的每个证书用来证实前一个证书的身份。

图 2. 典型的数字证书链

显示典型的数字证书链。

安装中间证书

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 SSL,然后单击证书。
  2. 在详细信息窗格中,单击“安装”。
  3. 在证书密钥对名称中,键入证书的名称。
  4. 在详细信息下的证书文件名中,单击浏览(装置),然后在列表中选择本地或装置。
  5. 导航到计算机(本地)或 NetScaler Gateway(设备)上的证书。
  6. 在证书格式中,选择 PEM。
  7. 单击“Install”(安装),然后单击“Close”(关闭)。

在 NetScaler Gateway 上安装中间证书时,无需指定私钥或密码。

在设备上安装证书后,证书需要链接到服务器证书。

将中间证书链接到服务器证书

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 SSL,然后单击证书。
  2. 在详细信息窗格中,选择服务器证书,然后在操作中单击链接。
  3. 在 CA 证书名称旁边,从列表中选择中间证书,然后单击确定。
配置中间证书