主页 » 帮助 » 使用第三方证书

使用第三方证书保护通信安全

每个企业都有必要加密互联网中传输的数据。使用安全通信并不是传输企业数据最安全的方式,因此企业采用了更安全的第三方证书,如SSL、PFX等。这些第三方证书确保了企业数据得到加密,只有拥有证书的接收者才能解密数据。Device Control Plus支持SSL和PFX证书。向Device Control Plus添加这些证书将确保Device Control Plus服务器和被管计算机之间的通信安全。

该证书仅在指定期限内有效。如果证书过期,则Device Control Plus 代理与服务器之间的通信将不再安全。

创建/更新和上传第三方证书的步骤如下:

  1. 创建CSR和密钥文件
  2. 向证书颁发机构(CA)提交CSR,获取CA签名证书
  3. 上传第三方证书到Device Control Plus

1. 创建CSR和密钥文件

创建CSR和密钥文件的步骤如下:

  1. 在<安装目录>\DesktopCentral_Server\apache\bin中,创建名为opensslsan.conf的文件,并将下列代码复制到文件中:

    [ req ]
    prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ]
    countryName =
    stateOrProvinceName =
    localityName =
    organizationName =
    commonName =
    [ req_ext ]
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 =
    DNS.2 =
    DNS.3 = 

  2. 上述代码中,在countryName旁输入两位国家代码。单击这里查看您所在国家代码列表。
  3. stateOrProvinceName旁输入您所在州或省的全称。
  4. localityName旁输入您所在地点,如城市;在organizationName旁输入组织名。
  5. commonName旁输入网站名或域名。Common Name为Web服务器的FQDN(主机名),用于接收证书。输入Common Name时不要包括以下信息:
    -> 协议(http://或https://)
    -> 端口号或路径名
  6. DNS.1DNS.2旁依次输入您网站的主体别名SAN)。一个证书可以有多个SAN,只需在代码结尾继续添加DNS.4DNS.5,等等。示例如下:

    [ req ]
    prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ]
    countryName = IN
    stateOrProvinceName = TN
    localityName = Chennai
    organizationName = ZOHO
    commonName = www.zoho.com
    [ req_ext ]
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 = *.domain.com
    DNS.2 = manageengine.com
    DNS.3 = ems.com
    DNS.4 = desktopcentral.com

  7. 保存文件,打开命令提示符,导航到目录<安装目录>\DesktopCentral_Server\apache\bin
  8. 执行命令openssl.exe req -out server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf
  9. 名为server.csrprivate.key的文件创建成功。
  10. 要查看详细信息,请使用命令openssl.exe req  -noout -text -in server.csr

    11. 注意:不要删除任何环境下的private.key文件。

    2.向证书颁发机构(CA)提交CSR,获取CA签名证书

    1. 向CA提交创建的server.csr。从CA文档/网站中查看提交的CSR详细信息,该操作需要向CA支付一定费用。
    2. 这个过程通常需要几天的时间,您将收到SSL签名证书和CA链/中间证书的.cer文件。
    3. 保存这些文件,并重命名SSL签名证书文件为server.crt

    3.上传第三方证书到Device Control Plus

    1. 在Device Control Plus控制台中,选择管理选项卡
    2. 安全设置下,单击导入SSL证书
    3. 浏览并上传从供应商(CA)处收到的证书。SSL证书为.crt文件,PFX证书为.pfx文件
      1. 如果您上传了一个 .crt文件,那么系统将提示您上传server.key文件。private.key文件上传后, 系统将提示您上传中间证书。如果选择了自动,那么系统将 自动检测中间证书。但自动检测只能检测到一个中间证书。如果您想使用自己的中间证书,或上传多个中间证书,则需要选择手动上传证书。
      2. 如果您上传了一个 .pfx文件,那么系统将提示您输入供应商提供的密码。
    4. 单击“保存”,导入证书。

    第三方证书导入Device Control Plus服务器成功啦!这些证书仅在启用“HTTPS”通信模式时使用。打开管理选项卡,选择服务器设置,在常规设置下启用https模式,确保Device Control Plus服务器和代理安全通信。

    确保pfx文件或 .cert文件与Device Control Plus服务器中指定的NAT地址匹配。如果Device Control Plus和ServiceDesk Plus服务器安装在同一台机器上,则可以使用相同的pfx文件。在上述情况下,如果ServiceDesk Plus服务器被移动到另一台计算机上,则需要根据对应的主机名修改pfx文件。