创建证书
- Updated: 2024/09/05
在安装 PEG 的过程中创建证书。
先决条件
- 选项 1:PEG 生成密钥和 CSR。
- 选项 2: 创建您自己的密钥和证书。
在这两种工单中,您将需要以下内容:
-
唯一标识符 (UID): 您运行的每个 PEG VM 都必须有一个唯一 ID。 您可以将 UID 定义为任何您想要的内容,只要其符合以下标准:
- 长度小于或等于 18 个字符
- 仅包含从 a 到 z 的字母、从 0 到 9 的数字或连字符
- 不得以连字符开头或结尾
- 不得包含连续的连字符
-
提示: 要轻松创建一个 UID,可以从在线 GUID 生成器生成的 GUID 中取最后 18 个字符。
- 您想要用于 PEG DNS 名称的顶级域名(例如,example.com)
选项 2 - 创建您自己的密钥和证书
在部署 PEG 之前,学习如何创建密钥和证书。
密钥和证书必须采用 Base64 PEM格式(在部分系统中,密钥格式称为 openssl 或 PKCS #8)。 根据 常见任务 - 创建证书 创建证书。 密钥不得设置密码保护。 此外,请确保您的密钥与 常见任务 - 创建证书 中密钥文件名 列中的文件名匹配。
重要的是,确保粘贴到终端的证书与源证书完全匹配。 部分应用程序在复制和粘贴时可能会在文件中附加一个隐藏字符。 可以采用以下步骤辅助避免出现任何问题。
- 验证文件内容:将内容粘贴到文件后,使用文本编辑器(如 nano、vim 或 gedit)检查文件末尾是否有任何不需要的字符。
- 使用回显和重定向:不要直接粘贴内容,而是使用回显和重定向来创建文件。 这样可以最大程度地降低隐藏字符的风险。
- 使用 scp 将文件从本地系统复制到远程实例,而不是直接复制这些文件。
常见任务 - 创建证书
学习如何创建 Base64 PEM 证书。
在创建证书时,创建六个服务器 Base64 PEM 证书(在部分系统中称为 openssl 格式),其域名和文件名映射如下,Process Discovery 将为您提供 UID,顶级域名是您将用于 PEG 的顶级域名。 您创建的每个证书必须只包含叶子证书,而不是完整链。
域 | 证书文件名 | 密钥文件名(仅在您创建自己的密钥时需要) |
---|---|---|
analytics-fiq-<UID>.<apex domain> | analytics-cert.pem | analytics-key.pem |
proxy-fiq-<UID>.<apex domain> | proxy-cert.pem | proxy-key.pem |
storage-fiq-<UID>.<apex domain> | storage-cert.pem | storage-key.pem |
st-fiq-<UID>.<apex domain> | st-cert.pem | st-key.pem |
dlp-fiq-<UID>.<apex domain> | dlp-cert.pem | dlp-key.pem |
es-fiq-<UID>.<apex domain> | es-cert.pem | es-key.pem |
klite-fiq-<UID>.<apex domain> | klite-cert.pem | klite-key.pem |
注: 您可以创建一个包含所有 SAN 的证书。 如果您愿意,您也可以只创建一个密钥。 但是,您仍需要确保证书和密钥(如果您创建了密钥)各有七个副本,并按照之前所述命名。 不要创建通配符证书。
注意事项
在创建用于安装 PEG 的证书时,请查看以下注意事项:
- 不允许使用通配符证书: 在 PEG 部署中,您不可以使用通配符证书。 必须为每个具有特定域名的服务单独创建每个证书。
- 证书并非全球有效: 内部 CA 生成的证书不被外部系统视为全球受信任,这意味着需要在所有客户端设备或服务上手动配置信任。
- 手动验证证书: 需要在每个部署阶段手动验证证书,以确保其正确,并且在传输过程中没有被损坏或篡改。
- 手动传输证书: 证书必须手动复制到虚拟机 (VM) 上,这在操作不当或者在复制过程中文件被更改时可能会导致潜在错误。
- 确保所有机器上的证书有效: 必须确认所有证书有效,并且正确安装在需要访问由这些证书保护的服务的任何机器上。
- 无证书自动更新: 由于内部证书缺乏与全球 CA 系统的集成,因此没有自动更新过程。 管理员必须在证书到期之前手动跟踪和更新证书,以防止服务中断。
- 信任的附加配置: 每个访问 PEG 服务的客户端或系统必须进行手动配置以信任内部 CA 证书,这可能包括安装根证书或调整安全设置。
- 人为错误的风险: 证书创建、验证和分发的手动性质增加了文件名错误、配置无效或证书丢失等人为错误的可能性。
- 有限撤销和审核: 内部 CA 设置可能缺乏复杂的撤销机制(如证书撤销列表或 OCSP),这导致更难撤销被盗或到期证书以及审核其使用情况。
- 扩展困难: 随着系统的扩展,在多个虚拟机 (VM) 和环境中手动管理大量证书可能会较为困难,因此需要专门的流程用于确保一致性。