获取 SSL 证书
需要为这些情况获取证书:
•保护 Avalanche Web 控制台和 Avalanche Web 服务器之间的连接。建议将此步骤作为通用步骤和 Android Enterprise 的强制步骤。如需更多信息,请参阅通过 HTTPS 连接来访问 Web 控制台。
•要确保 Avalanche 与中央文件存储器之间的连接安全无虞。如果使用的是中央文件存储器,则此为必要步骤。有关详细信息,请参阅使用中央文件存储。
•保护智能设备与智能设备服务器之间的连接。如果要将 Android 或 iOS 设备连接至 Avalanche,则此为必要步骤。有关详细信息,请参阅导入智能设备服务器的证书。
•保护打印机设备与打印机设备服务器之间的连接。此步骤是打印机管理的强制步骤。有关详细信息,请参阅打印机设备服务器配置文件。
•要确保远程控制服务器与设备之间的连接安全无虞。如果使用的是远程控制,则此为必要步骤。有关详细信息,请参阅使用远程控制。
如果证书是为了建立安全连接,那么我们强烈建议从第三方证书颁发机构(例如 DigiCert 或 Verisign)购买证书。利用证书颁发机构,使客户了解您的服务器信息已由可信来源验证,并且真实可靠。
如果在不同的系统上安装 Avalanche Web 服务器、智能设备服务器或远程控制服务器,则需要通配符证书,或者用于每个已安装这些组件的系统的证书。
生成证书的第一步是生成证书签名请求 (CSR)。必须在相应的机器上生成 CSR。正在生成 CSR 的服务器必须可通过证书颁发机构访问。
本说明介绍如何使用 Internet Information Services (IIS) 管理器生成证书签名请求。Ivanti 未在 Avalanche 中包含 IIS 或未安装 IIS。您负责提供所有相关许可证。如果选择使用其他工具,请参考该工具的用户指南,了解如何创建证书请求。
使用 IIS 生成 CSR
1.从 Windows“开始”菜单中,打开 Internet Information Services (IIS) 管理器。
2.在“连接”窗格中,点击证书对应的服务器。
3.在中央窗格中,双击服务器证书。
4.在活动窗格中,点击创建证书请求。
随即显示“请求证书”窗口。
5.输入服务器完全限定的域名以及贵公司的相关必要信息,然后点击下一步。
6.在“加密服务提供程序”下拉菜单中,选择 Microsoft RSAS 通道加密提供程序。
7.在“位长度”下拉菜单中,选择 2048。
8.点击下一步。
9.指定 CSR 的位置和文件名。
10.点击完成。
11.使用文本编辑器打开 CSR 文件。
12.复制文本,包括开始和结束标签。
13.打开正在使用的证书颁发机构的订单。
14.将 CSR 文本粘贴至订单,并完成订购。
一旦生成证书,证书颁发机构将通过电子邮件方式向您寄送包含证书和路径中任何额外证书的压缩文件。要使用包含 Avalanche 的证书,这些证书必须采用 PKCS#12 格式,并且包含私钥。
如果要将证书用于 Avalanche 控制台、远程控制或智能设备服务器,那么该证书必须为 PKCS #12 格式,并且包含私钥。即使证书颁发机构提供 .p12 文件,也必须将私钥导入 .p12 文件之后才能在 Avalanche 中使用。
将证书导出为 PKCS #12 格式
1.从 Windows“开始”菜单,启动管理计算机证书。
2.右键点击个人目录,并选择全部任务 > 导入...。
随即显示“证书导入向导”。
3.点击下一步。
4.浏览至您从证书颁发机构接收的 .crt 文件。
5.打开包含域名的 .crt 文件,并点击下一步。
6.点击下一步,接受“证书存储”位置。
7.点击完成。
8.在“管理计算机证书”窗口中,右键点击证书,并选择所有任务 > 导出。
随即显示“证书导出向导”。
9.点击下一步。
10.选择是,导出私钥密码,并点击下一步。
11.选择个人信交换 - PKCS #12 (.PFX)。
12.启动如果可能,包含证书路径中的所有证书复选框。
13.点击下一步。
14.输入证书的密码,并确认密码;然后点击下一步。
15.指定证书的位置和文件名;然后点击保存。
16.点击完成。
证书现可用于 Avalanche。
有关实施证书的信息,请参阅下列部分:
•导入智能设备服务器的证书
•使用中央文件存储
•通过 HTTPS 连接来访问 Web 控制台
•使用远程控制
为证书颁发机构创建证书请求