创建证书签名请求
要使用 SSL 或 TLS 提供安全通信,NetScaler Gateway 上需要服务器证书。在将证书上载到 NetScaler Gateway 之前,您需要生成证书签名请求 (CSR) 和私钥。您可以使用 NetScaler Gateway 向导中包含的创建证书请求或配置实用程序来创建 CSR。创建证书请求会创建一个 .csr 文件,该文件通过电子邮件发送给证书颁发机构 (CA) 进行签名,并创建一个保留在设备上的私钥。CA 对证书进行签名,然后通过您提供的电子邮件地址将其退还给您。收到签名证书后,可以将其安装在 NetScaler Gateway 上。当您收到来自 CA 的证书时,您需要将证书与私钥配对。
重要:使用 NetScaler Gateway 向导创建 CSR 时,必须退出向导并等待 CA 向您发送签名证书。收到证书后,可以再次运行 NetScaler Gateway 向导以创建设置并安装证书。有关 NetScaler Gateway 向导的详细信息,请参阅 使用 NetScaler Gateway 向导配置设置。
使用 NetScaler Gateway 向导创建 CSR
- 在配置实用程序中,单击“配置”选项卡,然后在导航窗格中单击 NetScaler Gateway。
- 在详细信息窗格的“入门”下,单击 NetScaler Gateway 向导。
- 按照向导中的说明进行操作,直到进入“指定服务器证书”页面。
- 单击 创建证书签名请求 并填写字段。 注意:完全限定域名 (FQDN) 不必与 NetScaler Gateway 主机名相同。FQDN 用于用户登录。
- 单击“创建”将证书保存在计算机上,然后单击“关闭”。
- 在不保存设置的情况下退出 NetScaler Gateway 向导。
使用 NetScaler GUI 创建 CSR
您还可以使用 NetScaler GUI 创建 CSR,而无需运行 NetScaler Gateway 向导。
- 导航到 流量 管理 > SSL > SSL 文件 ,然后选择创建证书签名请求 (CSR)。
- 完成证书的设置,然后单击 创建。
创建证书和私钥后,通过电子邮件将证书发送给 CA,例如 Thawte 或 Verisign。
有关详细过程,请参阅 创建证书签名请求。
在 NetScaler Gateway 上安装签名证书
当您收到来自证书颁发机构 (CA) 的签名证书时,请将其与设备上的私钥配对,然后在 NetScaler Gateway 上安装该证书。
使用 GUI 将签名证书与私钥配对
- 使用安全外壳 (SSH) 程序(例如 WinSCP)将证书复制到 NetScaler Gateway 到文件夹 nsconfig/ssl。
- 在配置实用程序中的配置选项卡的导航窗格中,展开 SSL > 证书。
- 在 SSL 证书 页面中,单击 开始使用。
- 在详细信息窗格中,单击“安装”。
- 在 Certificate-Key Pair Name(证书密钥对名称)中,键入证书的名称。
- 在 证书文件名中,单击 装置。
- 导航到证书,单击 Select(选择),然后单击 Open(打开)。
- 在 密钥文件名中,单击 装置。私钥的名称与证书签名请求 (CSR) 的名称相同。私钥位于 NetScaler Gateway 上\ nsconfig\ ssl 目录中。
- 选择私钥,然后单击“打开”。
- 如果证书是 PEM 格式,请在 Password(密码)中键入私钥的密码。
- 如果要为证书到期时配置通知,请选择过 期时通知。
- 在 Notification Period(通知时段)中,键入天数,单击 Create(创建),然后单击 Close(关闭)。
使用 GUI 将证书和私钥绑定到虚拟服务器
创建并链接证书和私钥对后,将其绑定到虚拟服务器。
- 在配置实用程序中的配置选项卡的导航窗格中,展开 NetScaler Gateway > 虚拟服务器。
- 在详细信息窗格中,单击虚拟服务器,然后单击 Open(打开)。
- 在“Certificates”(证书)选项卡上的 Available(可用)下,选择一个证书,单击 Add(添加),然后单击 OK(确定)。
使用 CLI 将证书和私钥绑定到虚拟服务器
在命令提示符下,键入:
bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional )
<!--NeedCopy-->
示例:
bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory
<!--NeedCopy-->
注意: 如果设备证书不需要 OCSP 检查,则 oscpCheck 是可选的。
使用 GUI 从虚拟服务器取消绑定测试证书
安装签名证书后,取消绑定到虚拟服务器的所有测试证书。您可以使用配置实用程序解绑测试证书。
- 在配置实用程序中的配置选项卡的导航窗格中,展开 NetScaler Gateway > 虚拟服务器。
- 在详细信息窗格中,单击虚拟服务器,然后单击 Open(打开)。
- 在“证书”选项卡上的“已配置”下,选择测试证书,然后单击“删除”。