本文適用於 Avamar 19.2.x。
工作詳細資料:
下列程序會建立、匯入私人金鑰及其憑證、將金鑰和憑證分配至每個元件 (avinstaller、aam/flr/dtlt、mcsdk、rmi 和 AUI),然後將所有等級的受信任憑證匯入您的憑證鏈結,進而取代所列出元件的憑證
使用 AUI 安裝憑證的步驟:
- 以系統管理員使用者身分登入 Avamar PuTTY。
- 在 /home/admin 下建立 certs 目錄,並使用命令切換至 /home/admin/certs 目錄:
- 使用以下命令建立私人金鑰和憑證要求:
openssl req -x509 -new -newkey rsa:3072 -nodes -keyout server.key -sha512 -out server.crt -days 1825
- 使用以下命令建立憑證要求:
openssl x509 -x509toreq -in server.crt -signkey server.key -out server.csr
- 將 server.csr 傳送至 CA 並加以簽署。請確定從 CA 收到的所有憑證均為 PEM 格式。假設您收到的已簽署憑證為 avamar_server.crt,請從 CA 取得 root 和中繼憑證。
- 將 server.key 從 /home/admin/certs 複製到桌面。將已簽署的憑證 (avamar_server.crt) 與根憑證和中繼憑證結合至 ca.crt 檔案中,並放置在桌面上。
- 在具備完整網域名稱 (FQDN) 的瀏覽器中開啟 AUI 頁面:
https://fqdn_of_avamar/aui
- 在 AUI 中,瀏覽至系統管理 > 系統 > 憑證標籤 > 私人金鑰標籤。表格中會顯示 Web 伺服器的私人憑證項目。
- 按一下 Web 伺服器項目旁的選項按鈕 > 按一下 +取代標籤。取代私人項目精靈隨即顯示。
- 在私人金鑰欄位中,按一下瀏覽以找出並選取憑證的私人金鑰。在我們的案例中,此金鑰為桌面上的 server.key。
- 在憑證欄位中,按一下瀏覽以找出並選取您的認證檔案。應為 avamar_server.crt。
- (選用) 如果私人金鑰受到保護,請提供密碼片語,否則請將其保留空白,然後按一下「下一步」。
- 憑證驗證隨即啟動。如果驗證失敗 (例如您為私人金鑰選取 server.key,並為憑證選取了 ca.crt),則會顯示訊息,指出私密金鑰和憑證不相符。
- 驗證成功完成時,按一下完成。
- 在憑證標籤下,選取信任憑證標籤 > 按一下 +匯入。匯入憑證精靈隨即顯示。
- 在別名欄位中,提供任何別名名稱,例如:trustedCA。在檔案欄位中按一下瀏覽,以找出並匯入適當的受信任憑證。在我們的案例中,此憑證為桌面上的 ca.crt。按一下下一步。
- 按一下完成。匯入完成後,請檢閱信任憑證標籤下的受信任憑證詳細資料。
- 按一下重新啟動服務以套用憑證,然後按一下是以確認您是否要重新啟動這些服務。
(注意:這會重新開機 Apache Tomcat 和 MCS)