在 Splashtop Gateway 上安装 SSL 证书有利于提高站点安全性并增强客户信任。但是如何获取 SSL 证书并将其安装在 Splashtop Gateway?
本文将介绍如何生成 SSL 证书并将其安装在 Splashtop Gateway Server。
注意:通常,由知名证书颁发机构(CA)颁发的 SSL 证书每年的费用为100到200美元。
步骤 1:生成 CSR 请求
使用 OpenSSL 生成证书签名请求(CSR)的过程简单易懂。
-
如果使用 MAC,则可能已经安装 OpenSSL。在终端运行“openssl”命令进行确认。
-
如果使用 Windows PC,请先安装 OpenSSL。
使用 OpenSSL 生成 CSR 请求
-
对于 Windows,使用“以管理员身份运行”启动命令提示符,然后导航到 OpenSSL 程序的“bin”文件夹
-
对于 Mac,只需启动终端即可。
-
使用以下命令生成2048位 RSA 私钥和 CSR:
openssl req -newkey rsa:2048 -keyout PRIVATEKEY.key -out CSRNAME.csr
输入上述命令后,系统将要求创建密码,该密码可用于将来访问私钥。之后,系统将提示输入以下信息,随后并入 CSR 中。
-
国家名称(可选)
-
地点名称(可选)
-
组织名称(可选)
-
组织单位名称(可选)
-
通用名称(必填):Splashtop Gateway 服务器的完全限定域名(FQDN)
-
电子邮件地址(可选)
-
私钥保护密码(可选)
如果没有在命令中指定文件的位置,则可到 Windows 的“bin”文件夹或 Mac 的个人配置文件文件夹(/Users/username)中找到私钥文件和 CSR 文件。
步骤 2:向可信证书颁发机构(CA)申请 SSL 证书
市面上有数十种证书颁发机构可供选择。建议从 Wiki 页面 Certificate_Authority#Providers 中选择,因为这些颁发机构深受主流操作系统和网络浏览器的信赖。如果证书受到客户端操作系统的信任,则无需将证书副本导入客户端计算机的秘钥库。
SSL 证书可以自助申请。在向证书颁发机构提交申请之前,请准备好以下物品:
-
CSR 请求(.csr 文件)
-
Splashtop Gateway 服务器的完全限定域名(FQDN)
-
您的公司信息
-
您的联系信息
按照 CA 网站上的说明完成 SSL 证书申请。选择 Apache 作为服务器应用类型,CA 将颁发 PEM 或 CRT 格式的证书。您应在48小时内收到证书文件。
步骤 3:将 SSL 证书转换为 PFX
Splashtop Gateway 只接受一个 PFX 格式的 SSL 证书。因此,如果从 CA 收到的证书采用其他格式,例如 PEM、CRT 或 CER,则必须将其与私钥文件合并,然后使用以下 OpenSSL 命令将其转换为单个 PFX 文件。
openssl pkcs12 -export -out mycert.pfx -inkey private.key -in mycert.crt
-
mycert.pfx - 输出 PFX 证书文件
-
private.key - 私钥文件
-
mycert.crt - 从 CA 收到的 SSL 证书文件
如果 CA 还提供中间证书文件,则必须使用以下命令将其全部连接成单个 PFX 文件。
openssl pkcs12 -export -out mycert.pfx -inkey private.key -in mycert.crt -certfile intermediate1.crt -certfile intermediate2.crt
运行上述命令时,系统将要求输入私钥的密码,并采用密码来保护 PFX 文件。
步骤 4:将 PFX 证书导入 Splashtop Gateway
最后一步非常简单。
使用所有者账户登录到 Splashtop Gateway Web 门户,然后转到“系统 > 安全性”。
单击“导入”按钮,浏览 PFX 证书文件,输入 PFX 文件的密码并确认。
成功导入证书后,系统将要求重新登录。现在,最终用户可以使用 HTTPS 连接 Gateway 服务器,不会再收到 SSL 警告。