创建证书签名请求

要使用 SSL 或 TLS 提供安全通信,NetScaler Gateway 上需要服务器证书。在将证书上载到 NetScaler Gateway 之前,您需要生成证书签名请求 (CSR) 和私钥。您可以使用 NetScaler Gateway 向导中包含的创建证书请求或配置实用程序来创建 CSR。创建证书请求会创建一个 .csr 文件,该文件通过电子邮件发送给证书颁发机构 (CA) 进行签名,并创建一个保留在设备上的私钥。CA 对证书进行签名,然后通过您提供的电子邮件地址将其退还给您。收到签名证书后,可以将其安装在 NetScaler Gateway 上。当您收到来自 CA 的证书时,您需要将证书与私钥配对。

重要:使用 NetScaler Gateway 向导创建 CSR 时,必须退出向导并等待 CA 向您发送签名证书。收到证书后,可以再次运行 NetScaler Gateway 向导以创建设置并安装证书。有关 NetScaler Gateway 向导的详细信息,请参阅 使用 NetScaler Gateway 向导配置设置。

使用 NetScaler Gateway 向导创建 CSR

  1. 在配置实用程序中,单击“配置”选项卡,然后在导航窗格中单击 NetScaler Gateway
  2. 在详细信息窗格的“入门”下,单击 NetScaler Gateway 向导。
  3. 按照向导中的说明进行操作,直到进入“指定服务器证书”页面。
  4. 单击 创建证书签名请求 并填写字段。 注意:完全限定域名 (FQDN) 不必与 NetScaler Gateway 主机名相同。FQDN 用于用户登录。
  5. 单击“创建”将证书保存在计算机上,然后单击“关闭”。
  6. 在不保存设置的情况下退出 NetScaler Gateway 向导。

使用 NetScaler GUI 创建 CSR

您还可以使用 NetScaler GUI 创建 CSR,而无需运行 NetScaler Gateway 向导。

  1. 导航到 流量 管理 > SSL > SSL 文件 ,然后选择创建证书签名请求 (CSR)
  2. 完成证书的设置,然后单击 创建

创建证书和私钥后,通过电子邮件将证书发送给 CA,例如 Thawte 或 Verisign。

有关详细过程,请参阅 创建证书签名请求

在 NetScaler Gateway 上安装签名证书

当您收到来自证书颁发机构 (CA) 的签名证书时,请将其与设备上的私钥配对,然后在 NetScaler Gateway 上安装该证书。

使用 GUI 将签名证书与私钥配对

  1. 使用安全外壳 (SSH) 程序(例如 WinSCP)将证书复制到 NetScaler Gateway 到文件夹 nsconfig/ssl。
  2. 在配置实用程序中的配置选项卡的导航窗格中,展开 SSL > 证书
  3. SSL 证书 页面中,单击 开始使用。
  4. 在详细信息窗格中,单击“安装”。
  5. Certificate-Key Pair Name(证书密钥对名称)中,键入证书的名称。
  6. 证书文件名中,单击 装置
  7. 导航到证书,单击 Select(选择),然后单击 Open(打开)。
  8. 密钥文件名中,单击 装置。私钥的名称与证书签名请求 (CSR) 的名称相同。私钥位于 NetScaler Gateway 上\ nsconfig\ ssl 目录中。
  9. 选择私钥,然后单击“打开”。
  10. 如果证书是 PEM 格式,请在 Password(密码)中键入私钥的密码。
  11. 如果要为证书到期时配置通知,请选择过 期时通知
  12. Notification Period(通知时段)中,键入天数,单击 Create(创建),然后单击 Close(关闭)。

使用 GUI 将证书和私钥绑定到虚拟服务器

创建并链接证书和私钥对后,将其绑定到虚拟服务器。

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 NetScaler Gateway > 虚拟服务器
  2. 在详细信息窗格中,单击虚拟服务器,然后单击 Open(打开)。
  3. 在“Certificates”(证书)选项卡上的 Available(可用)下,选择一个证书,单击 Add(添加),然后单击 OK(确定)。

使用 CLI 将证书和私钥绑定到虚拟服务器

在命令提示符下,键入:

bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional )
<!--NeedCopy-->

示例:

bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory
<!--NeedCopy-->

注意: 如果设备证书不需要 OCSP 检查,则 oscpCheck 是可选的。

使用 GUI 从虚拟服务器取消绑定测试证书

安装签名证书后,取消绑定到虚拟服务器的所有测试证书。您可以使用配置实用程序解绑测试证书。

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 NetScaler Gateway > 虚拟服务器
  2. 在详细信息窗格中,单击虚拟服务器,然后单击 Open(打开)。
  3. 在“证书”选项卡上的“已配置”下,选择测试证书,然后单击“删除”。
创建证书签名请求