本指南提供了 Wickr Enterprise 的文档。如果您使用的是 AWS Wickr,请参阅 AWS Wickr 管理指南或 AW S Wickr 用户指南。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
TLS 证书设置
上传用于终止 TLS 的 PEM 证书和私钥。证书上的主题备用名称必须与您的 Wickr Enterprise 部署设置中配置的主机名相匹配。
对于证书链字段,在上传之前,将所有中间证书(如果需要)与根 CA 证书连接起来。
Let's Encrypt
选择此选项可使用 Let's E ncrypt
HTTP-01 挑战要求所需的 DNS 名称解析到集群的入口点(通常是 Load Balancer),并且向 TCP 端口 80 的流量向公众开放。这些证书的有效期很短,将定期续订。必须保持端口 80 处于打开状态,以允许证书自动续订。
注意
本节明确提及 Wickr Enterprise 应用程序本身使用的证书。
已锁定证书
使用自签名证书或客户端设备不信任的证书时,Wickr Enterprise 需要锁定证书。如果您的 Load Balancer 提供的证书是自签名的,或者由不同于 Wickr Enterprise 安装的 CA 签名,请在此处上传 CA 证书,让客户将其锁定。
在大多数情况下,此设置不是必需的。
证书提供商
如果您计划购买证书以用于 Wickr Enterprise,请参阅下文,了解已知默认情况下其证书可以正常运行的提供商列表。如果下面列出了提供商,则其证书已通过软件明确验证。
-
Digicert
-
RapidSSL
生成自签名证书
如果您想创建自己的自签名证书以用于 Wickr Enterprise,则以下示例命令包含生成所需的所有标志。
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=DNS:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"
如果要创建基于 IP 的自签名证书,请改用以下命令。要使用基于 IP 的证书,请确保在 Ingress 设置下启用 “通配符主机名” 字段。有关更多信息,请参阅 Ingress 设置。
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=IP:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"
注意
将示例中的 $YOUR_DOMAIN 替换为您要使用的域名或 IP 地址。
