本指南提供 Wickr Enterprise 的文件。如果您使用的是 AWS Wickr,請參閱 AWS Wickr 管理指南或 AWS Wickr 使用者指南。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
TLS 憑證設定
上傳 PEM 憑證和私有金鑰以終止 TLS。憑證上的主體別名必須符合 Wickr Enterprise 部署設定中設定的主機名稱。
對於憑證鏈欄位,在上傳之前,請將任何中繼憑證 (如果需要) 與根 CA 憑證串連。
Let's Encrypt
選取此選項以使用 Let's Encrypt
HTTP-01 挑戰要求所需的 DNS 名稱解析為叢集的輸入點 (通常是Load Balancer),且 TCP 連接埠 80 的流量開放給公有。這些憑證是短期的,將定期續約。必須保持連接埠 80 開啟,以允許憑證自動續約。
注意
本節明確參考 Wickr Enterprise 應用程式本身所使用的憑證。
固定憑證
使用自我簽署憑證或非用戶端裝置信任的憑證時,Wickr Enterprise 需要憑證鎖定。如果您的 Load Balancer 提供的憑證是自我簽署的,或是由與 Wickr Enterprise 安裝不同的 CA 簽署的,請在此處上傳 CA 憑證,讓用戶端接腳。
在大多數情況下,不需要此設定。
憑證提供者
如果您計劃購買憑證以與 Wickr Enterprise 搭配使用,請參閱下列清單,以取得憑證依預設可正常運作的提供者清單。如果供應商列於下方,則其憑證已使用 軟體明確驗證。
-
Digicert
-
RapidSSL
產生自我簽署憑證
如果您想要建立自己的自我簽署憑證以與 Wickr Enterprise 搭配使用,下面的範例命令會包含產生所需的所有必要旗標。
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=DNS:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"
如果您想要建立以 IP 為基礎的自我簽署憑證,請改用下列命令。若要使用 IP 型憑證,請確定已在輸入設定下啟用萬用字元主機名稱欄位。如需詳細資訊,請參閱傳入設定。
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=IP:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"
注意
以您想要使用的網域名稱或 IP 地址取代範例中的 $YOUR_DOMAIN。
