XenCenter

在服务器上安装 TLS 证书

XenServer 主机附带安装了一个默认的 TLS 证书。但是,要使用 HTTPS 保护 XenServer 与 Citrix Virtual Apps and Desktops 之间的通信安全,请安装受信任的证书颁发机构提供的证书。

本文包含有关如何在 XenCenter 中使用证书的信息。有关通过 xe CLI 使用证书的信息,请参阅主机和资源池

要求

确保您的 TLS 证书及其私钥满足以下要求:

  • 证书和密钥对是 RSA 密钥
  • 密钥与证书匹配
  • 密钥在单独的文件中提供给证书
  • 该证书在单独的文件中提供给任意中间证书
  • 密钥文件必须是以下类型之一:.pem.key
  • 任意证书文件必须是以下类型之一:.pem.cer.crt
  • 密钥大于或等于 2048 位,长度小于或等于 4096 位
  • 密钥是未加密的 PKCS #8 密钥,没有专属密钥
  • 密钥和证书采用 base-64 编码的“PEM”格式
  • 证书有效且尚未过期
  • 签名算法为 SHA-2 (SHA256)

当您选择的证书和密钥不满足这些要求时,XenCenter 会发出警告。

安装证书

可以使用 XenCenter 将 XenCenter 系统中的证书安装到 XenServer 主机中。

要在 XenServer 主机上安装证书,您必须具有池管理员角色且 XenServer 主机不得启用高可用性。

  1. 转到安装证书对话框。可以通过以下方式之一访问此对话框:

    • 服务器菜单中,选择安装证书
    • 在“资源”窗格中的主机上单击鼠标右键,然后从上下文菜单中选择安装证书
    • 在主机的常规选项卡的证书部分中单击鼠标右键,然后从上下文菜单中选择安装证书
  2. 安装证书对话框中,浏览到私钥文件所在的位置并将其选中。
  3. 浏览到服务器证书文件所在的位置并将其选中。
  4. 可以选择从证书链中添加任意数量的中间证书。

    1. 单击 Add(添加)
    2. 浏览到一个或多个中间证书所在的位置并将其选中。
  5. 单击安装

    XenCenter 验证并安装证书。

    • 如果证书存在问题,XenCenter 将显示一条错误消息。尝试更正此问题,然后再次单击安装
    • 如果证书安装成功,XenCenter 将显示成功消息。您现在可以单击关闭关闭对话框。

更改 XenServer 主机上的证书时,主机会关闭所有打开的连接。XenCenter 预计会出现此行为,因此会重新打开与 XenServer 主机的连接。但是,您可能需要手动重新打开以前打开的与服务器建立的任何其他连接,例如,从另一个 API 客户端或远程 xe CLI。

查看证书信息

在 XenServer 主机的常规选项卡中,名为证书的部分显示了该主机的以下信息:

  • 证书有效期。当证书接近到期日期时,此文本显示为红色。
  • 证书指纹

XenServer 池的常规选项卡将显示该池的以下信息:

  • 常规部分有一个证书验证条目,显示启用还是禁用了证书验证。
  • 证书部分将列出 CA 证书的名称、有效期和指纹。

为您的池启用证书验证

在全新安装的 XenServer 8 及更高版本中,证书验证默认处于启用状态。有关详细信息,请参阅证书验证

如果从 XenServer 的早期版本升级,则不会自动启用证书验证,您必须负责将其启用。下次连接到升级后的池时,XenCenter 会提示您启用证书验证。

在池上启用证书验证之前,请确保池中未运行任何操作。

XenCenter 提供了多种启用证书验证的方法。

  • 首次将 XenCenter 连接到未启用证书验证的池时,系统会提示您将其启用。单击是,启用证书验证
  • 菜单中,选择启用证书验证
  • 在池的常规选项卡上,右键单击证书验证条目,然后从菜单中选择启用证书验证

重置服务器身份证书

您可以从 XenCenter 或 xe CLI 重置服务器身份证书。重置证书会从主机中删除该证书,并在该证书所在的位置安装新的自签名证书。

要在 XenCenter 中重置证书,请执行以下操作:

  1. 转到主机的常规选项卡。
  2. 证书部分中,右键单击要重置的证书。
  3. 从菜单中选择重置证书
  4. 在显示的对话框中,单击以确认重置证书。

或者,在服务器菜单中,您可以转到证书 > 重置证书

重置证书时,与 XenServer 主机建立的所有现有连接都将断开,包括 XenCenter 与主机之间的连接。

有关使用 xe CLI 重置证书的信息,请参阅证书验证

证书警报

当您的证书接近到期日期时,XenCenter 会在通知选项卡的警报部分中显示警报。可以从这些警报的操作菜单中选择打开安装证书对话框。

有关警报的详细信息,请参阅 XenCenter 警报

在服务器上安装 TLS 证书