EdgeADC - Version 5.0.0.1986
User Guide
×
Menu
Search
 
   
   
   
 
 © Edgenexus Limited, 2025

SSL 配置管理器

从 196X 版本开始,配置和管理 SSL 证书和证书请求的方法更加简单明了。
SSL 配置管理器有三个主要部分。
证书列表区
管理器顶部显示的是可使用的 SSL 证书或有待可信机构激活的 SSL 证书。
证书以四栏显示,显示证书名称、有效期、过期天数和证书状态/类型。
颜色编码
如您所见,每一行都显示了一个证书和一个彩色编码块。下面的表格显示了不同颜色编码块及其含义。
颜色代码
意义
 
证书有效且距到期日超过 60 天
 
证书将在 30 天内到期
 
证书有效期为 30 至 60 天
 
证书即将过期,还剩 <1天
 
证书已过期
证书/CSR 信息显示屏
点击证书或 CSR 会在底部面板显示其信息。见下图。
操作按钮和配置区域
在 "列表 "中选择证书时,有许多操作按钮可用并发挥作用。
概述
概览 "按钮在底部显示证书的整体情况。与其他操作不同,"概览 "按钮是独立的,不需要选择证书。
创建请求
如果要创建自签名证书或 CSR,则需要单击 "创建请求 "按钮。这将弹出一个通用输入面板,让您提供所需的所有详细信息。
AD 证书名 (CN)
这是一个描述性字段,用于在 ADC 中显示证书名称。字段输入应为字母数字,不留空格。
组织 (O)
该字段用于指定将使用证书的机构名称。
组织单位(OU
通常用于指定部门或组织单位,这是一个可选字段。
城市/地区
顾名思义,用户一般倾向于指定组织的所在地。
/
在此字段中指定州、县或省。
国家
这是必填字段,必须选择使用证书的国家。请确保此处提供的信息准确无误。
通用名称(FQDN
这是一个关键字段,用于指定使用证书保护的服务器的完全合格域名 (FQDN)。可以是 www.edgenexus.io edgenexus.io,甚至通配符 *.edgenexus.io。如果希望将证书绑定到 IP 地址上,也可以使用 IP 地址。
钥匙长度
用于指定 SSL 证书的加密密钥长度。
期间(天数)
证书有效期,以天为单位。一旦过期,证书将无法使用。
电子邮件
这是证书使用的管理电子邮件 ID。
主题替代名称(SAN
主题备选名称(SAN)是 SSL 证书中的一个扩展名,允许在单个证书下保护多个域名。该功能尤其适用于保护具有多个子域或不同域名的网站,使 SSL 管理更简化、更具成本效益。通过 SAN,单个 SSL 证书可覆盖多个域名和子域,从而无需为每个网站地址提供单独的证书,从而简化了确保网络通信安全的过程,并确保跨不同域的数据加密。
该字段由两个元素组成,一个是允许选择 SAN 类型的下拉框,另一个是指定值的文本字段。
EdgeADC 有以下 SAN 可供使用:DNS、IP 地址、电子邮件地址和 URI。您可以为证书或 CSR 选择并指定多个 SAN。
单击每个 SAN 值中的红色 x 可删除已指定的 SAN。
     DNS - DNS 主题备用名 (SAN) 允许您指定证书有效的其他域名。与只允许一个域名的通用名 (CN) 字段不同,SAN 字段可包含多个域名,从而为证书管理提供了灵活性和可扩展性。这对跨不同域和子域托管多种服务的组织特别有用,因为它允许组织在单个 SSL/TLS 证书下确保所有这些实体的通信安全,从而简化管理并提高安全性。
     IP 地址 - IP 主题替代名称 (SAN) 允许将 IP 地址与域名一起作为受证书保护的实体。该功能对于确保通过 IP 地址直接访问服务至关重要,可确保在不通过域名而直接通过 IP 地址访问服务器时也能建立加密连接。通过采用 IP SAN,企业可以为基于域名和基于 IP 的通信启用 SSL/TLS 加密,从而增强 其网络安全性,使其成为访问内部资源或特定服务时可能不使用或不首选域名的环境中的通用工具。
     电子邮件地址 - 电子邮件地址主题备选名称(SAN)允许您指定与证书相关联的其他电子邮件地址,而不是证书签发的主域或实体。这样,证书就能验证多个电子邮件地址的签发者身份,而不仅仅是单个域或通用名称 (CN)。在需要对同一组织或实体下的多个电子邮件地址进行安全电子邮件通信的情况下,它尤其有用,可确保加密电子邮件交换得到验证,并与证书验证的签发人身份绑定。这使得电子邮件地址 SAN 成为在加密框架内提高电子邮件通信安全性和可信度的关键功能。
     URI - URI(统一资源标识符)SAN 用于指定证书所保护的单个实体的 URI 所代表的其他身份。与通常包括域名(DNS 名称)或 IP 地址的传统 SAN 条目不同,URI SAN 使证书能将实体与特定 URI(如指向特定资源或服务端点的 URL)关联起来。这样可以更灵活、更精确地识别,使安全连接能够与域内的特定资源或服务建立,而不仅仅是确保域本身的安全,从而提高 SSL/TLS 证书的粒度和范围。
正确填写后,您可以选择创建证书签名请求(CSR)并发送给证书颁发机构进行签名,或者创建自签名证书以供立即使用。
取消 "按钮将取消整个请求,而 "重置 "按钮将重置所有字段。
重新命名
重命名按钮允许您重命名虚拟服务中未使用的证书。
要使用此功能
     点击要重命名的证书,然后点击重命名按钮。
     证书行将发生变化,您可以更改其名称。
     完成后,单击 "更新 "按钮。
     您也可以双击证书,重新命名证书。
删除
删除按钮只有在选择证书时才可用。点击后将显示以下内容
底部窗格将显示删除请求以及请求删除的证书名称。
单击窗格右下角的 "删除 "按钮,继续删除。
安装/签署
当您创建 CSR 并希望由证书颁发机构(CA)签署该请求时,您将把 CSR 发送给证书颁发机构。作为回报,CA 会将已签署的证书连同私钥文件以及使证书正常运行所需的任何中间件一起发送。
他们可能会向您发送一个包含所有必要元素的 ZIP 文件,您可以使用右侧窗格的上半部分上传该文件。
或者,也可以在文本编辑器中创建证书集,并将内容粘贴到窗格下部的证书文本字段中。
使用这两种方法之一后,单击 "签署 "按钮,然后单击 "应用 "按钮。现在,已签署的证书将显示在左侧窗格中。
更新
当证书超过有效期数据时,"更新 "按钮允许您延长和更新证书。续期有两种类型。
自签名证书
自签名证书与受信任证书不同,不能使用 CSR 更新。相反,自签证书的更新是通过使用现有数据提交新配置来实现的。然后,允许用户为证书指定一个新名称和一个新的到期值。
完成此操作后,新的自签名证书就会创建并保存在证书存储区中。然后,管理员有责任确保及时重新配置使用该证书的虚拟服务。
可信签名证书
当涉及到由认证机构签署的可信证书时,就需要使用 CSR。
点击顶部面板中即将过期的证书,然后点击 "更新",就会显示一个使用当前证书详细信息的新 CSR。然后就可以下载 CSR 并提交给认证机构进行签署,之后就可以安装已签署的证书了。
您要求更新的证书将有一个新的状态,即 "正在更新"。签名证书安装完毕后,系统会要求你为证书分配一个新名称。新名称将显示为 "受信任"。原始证书将被保留,任何使用该证书的服务都应尽快配置为使用新证书。
验证证书
SSL 证书由多个部分组成,这些部分不仅必须齐全,而且顺序必须正确。下文列出了验证从第三方机构获取的 SSL 证书的原因。
     验证:验证:确保证书来自受信任的机构,并验证网站或服务器的身份。这有助于防止中间人攻击,即攻击者可以拦截客户端和服务器之间的通信。
     完整性:通过验证 SSL 证书,可以确保证书未被篡改或更改。这对维护安全连接的完整性至关重要。
     信任链验证:SSL 证书由证书颁发机构 (CA) 颁发。验证证书包括验证证书是否链回到受信任的根 CA。这一过程可确保证书的合法性和可信度。
     撤销状态:在验证过程中,检查 SSL 证书是否已被签发 CA 撤销也很重要。如果证书签发有误、网站私钥泄露或网站不再需要证书,证书就可能被撤销。导入已撤销的证书可能会导致安全漏洞。
     过期检查:SSL 证书有特定的有效期。在导入时验证证书包括检查其过期日期,以确保证书仍然有效。使用过期证书可能会导致漏洞,并可能导致浏览器或客户端拒绝安全连接。
     配置和兼容性:验证确保证书的配置与客户的安全策略以及服务器或应用程序的技术要求相兼容。这包括检查所使用的算法、证书的用途和其他技术细节。
     合规性:在某些行业,法规可能要求验证 SSL 证书,以确保敏感信息的安全处理。这在金融、医疗保健和电子商务等行业尤为重要。
 
ADC SSL 管理系统可对导入的 SSL 证书进行验证。
     选择已导入的 SSL 证书。
     单击验证按钮。
     结果如下图所示。
添加中间体
如前所述,SSL 证书由几部分组成,其中一部分是中间证书,它们构成了完整的证书链。
ADC 中的 SSL 管理器允许您添加任何缺失的中间证书。
     点击要添加中间证书的 SSL
     单击 "中间人 "按钮。
     显示的面板如下图所示。
     粘贴中间证书的内容。
     单击 "应用"
可能需要更改中间证书的顺序,以便正确验证 SSL 证书。这可以使用重新排序按钮来完成。
重新订购
SSL 证书必须按正确的顺序排列才能正常运行。
黄金法则是发送方证书必须放在首位,而最终的根证书必须放在链的最后。一般来说,这看起来有点像下面的表示法:
原始签发人 > 中间件 1 > 最终根。
最终根证书是由证书颁发机构提供的受信任根证书。
在某些情况下,会有多个中间证书,这些证书也应放在正确的位置。从根本上说,后面的每个证书都必须对前面的证书进行认证。因此,最终的结果可能是这样的。
原始签发人 > 中间件 1 > 最终根目录
例如,当您导入中间体 2 时,它可能被放在链的末端,这将意味着认证失效。因此,需要重新排序,将中间件 2 放到正确的位置(如红色所示)。
所以,最终的结果会是这样的:
原始发行人 > 中间件 1 > 中间件 2最终根目录
 
-----begin certificate-----
MIIFKTCCBBGgAwIBAgISA/UUyBjJ71fucZuvpiLsdfsfsdfsdfd
...
hoFWWJt3/SeBKn+ci03RRvZsdfdsfsdfw=
-----end certificate-----
-----begin certificate-----
MIIFFjCCAv6gAwIBAgIRAJErCErPDBinsdfsfsdfsdfdsfsdfsdfd
....
nLRbwHqsdqD7hHwg==
-----end certificate-----
-----begin certificate-----
MIIFYDCCBsdfSDFSDFVSDVzfsdffvqdsfgsT664ScbvsfGDGSDV
...
Dfvp7OOGAN6dEOM4+SDFSDZET+DFGDFQSD45Bddfghqsqf6Bsff
-----end certificate-----
-----begin certificate-----
MIIFYDCCBsdfSDFSDFVSDVzfsdffvqdsfgsT664ScbvsfGDGSDV
...
Dfvp7OOGAN6dEOM4+SDFSDZET+DFGDFQSD45Bddfghqsqf6Bsff
-----end certificate-----
选择证书并按下重新排序按钮后,重新排序部分如下图所示。
要重新排列证书部分的顺序,可复制框内的文本,在文本编辑器中编辑并重新排列内容,然后粘贴回去替换现有内容。完成后,点击 "应用 "按钮。
进口/出口
每当你从 SSL 证书提供商处收到证书时,它都会以 ZIP 文件或一组文件的形式出现。这些文件将包含 SSL 证书、密钥文件和根 ca 以及任何中间文件
您需要将它们导入 ADC,因此我们提供了一种导入方法。
SSL 证书有多种格式,如 CER、DER、PEM 和 PFX。某些格式要求在导入程序中添加 KEY 文件。PFX 文件需要密码才能导入 PFX 证书。
如果需要,我们还提供了从 ADC 导出证书的方法。导出时,文件将是 PFX 格式,因此需要密码才能创建导出。