OpenSSL 是 SSL 和 TLS 协议的开放式源代码实现。它在标准通信层上提供了加密传输层,允许其与诸多网络应用程序和服务相结合。
开始之前
要完成本主题中描述的任务,您必须具有
Cloud Manager 的“
TLS 概要文件”页面的访问权。有关哪些用户角色具有访问权的更多信息,请参阅
添加用户和分配角色。
关于此任务
Cloud Manager 中的缺省 TLS 概要文件具有通用公共名称。将 TLS 概要文件关联至网关集群时,如果使用缺省 TLS 概要文件,那么发出 API 调用的应用程序可能无法根据提供的证书验证其所连接到的主机名。
在这种情况下,您可以生成一个新的自签名证书,
以表示应用程序可以验证的公共名称。该主题告诉您如何使用 OpenSSL 工具箱生成自签名 SSL 证书,以启用 HTTPS 连接。
过程
要使用 OpenSSL 生成自签名 SSL 证书,请完成以下步骤:
- 写下您的 SSL 证书的公共名称 (CN)。
该公共名称 (CN) 是使用该证书的系统的标准名称。
如果您使用的是动态 DNS,那么 CN 应该具有通配符,例如: *.api.com. 否则,使用网关集群中设置的主机名或 IP 地址(例如,192.16.183.131 或 dp1.acme.com)。
- 运行以下 OpenSSL 命令来生成您的专用密钥和公用证书。回答问题并在出现提示时输入公共名称。
openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem
- 检查已创建的证书:
openssl x509 -text -noout -in certificate.pem
- 将密钥和证书组合在 PKCS#12 (P12) 捆绑软件中:
openssl pkcs12 -inkey key.pem -in certificate.pem -export -out certificate.p12
- 验证您的 P12 文件。
openssl pkcs12 -in certificate.p12 -noout -info
- 在 Cloud Manager 中,单击 TLS 概要文件。
- 单击添加,在显示名称、名称和(可选)描述字段中输入值。
- 在现有证书部分中,单击上载证书图标
。
- 单击选择文件,浏览以查找要为认证显示的证书文件,然后单击打开。
注: - API Connect 仅支持现有证书的 P12 (PKCS12) 格式文件。
- P12 文件必须包含专用密钥、来自认证中心的公用证书,以及用于签名的所有中间证书。
- P12 文件最多可包含 10 个中间证书。
- 在密码文本字段中,输入证书文件的密码。
注: 现有证书必须用密码加以保护。
- 单击上载。 这样会填充该证书。
- 要验证证书,请将针对信任库中提供的 CA,请求并验证证书滑块滑至“打开”位置。
- 在信任库部分中,单击上载证书图标 。
- 单击选择文件,浏览以查找要为认证显示的证书文件,然后单击打开。
- 在密码文本字段中,输入证书文件的密码。
- 单击上载。 这样会填充该证书。
- 展开“协议”部分,以显示 SSL 和 TLS 版本。
- 使用复选框来指示 SSL 或 TLS 版本。
- 单击保存。
- 在 Cloud Manager 中,单击服务。
- 在“网关服务”窗格中,单击服务设置图标
。
- 在“TLS 概要文件”字段中,选择所需的概要文件,然后单击保存服务。
上次更新时间:2017-10-24