使用第三方证书保障通信安全

1. 创建 CSR 和密钥文件

对于  Central Server 版本 11.1.2242.01 及以上， 

1. 建议您在开始此过程之前备份现有的 Server.key 和 Server.csr 文件。此过程中这些文件将被覆盖。
   • 对于 Server.key 文件，请导航到 <Server_Installed_Directory>/nginx/conf 。
   • 对于 Server.csr 文件，请导航到 <Server_Installed_Directory>/bin。（如果之前已生成）
2. 以管理员权限在命令提示符中导航到 <Server_Installed_Directory>/bin，并执行 generateCSR.bat 文件。
3. generateCSR.bat 会执行两项操作： 
   • 创建 .csr 和 .key 文件 
   • 解密 .key 文件 
4. 输入 1 以继续生成 .csr 和 .key 文件。
5. 参考此文档输入国家代码。[注意：如果输入了错误的国家代码，请重新运行批处理文件]
6. 输入生成 .csr 文件所需的详细信息。[州/省、地区、组织、组织单位、公用名、主题备用名称（用逗号分隔）]   
7. 您已成功在 <Server_Installed_Directory>/bin 下生成 Server.csr 和 Server.key 文件

对于 Central Server 版本 低于 11.1.2242.01， 

1. 导航到 Server安装目录并访问 \bin。
2. 使用管理员命令提示符运行命令 generateCSR.bat。
3. 现在，在显示的提示中，在 countryName 后输入两个字母的国家代码。在此处查看您所在国家/地区的双字母国家代码。
4. 在 localityName 后输入您所在地区的名称。在 organizationName 后指定您的组织名称。
5. 在 commonName 后输入您的网站或域名。将接收证书的 Web Server的 FQDN（主机名）即为公用名。输入公用名时请勿包含以下详细信息：
   -> 协议 (http:// 或 https://)
   -> 端口号或路径名
6. 输入您网站的主题备用名称 (SAN)。您必须留空并按 Enter 键以结束命令执行。
   示例：-
   *.domain.com
   manageengine.com
   ems.com
   desktopcentral.com

1. 名为 Server.csr 和 private.key 的文件已创建，并放置在 Server安装目录\bin 目录下。

1. 导航到 Server安装目录并访问 \apache\bin，创建一个名为 opensslsan.conf 的文件，并将以下代码复制到该文件中：
   

   [ req ]
   prompt=no
   default_bits = 2048
   distinguished_name = req_distinguished_name
   req_extensions = req_ext
   [ req_distinguished_name ]
   countryName =
   stateOrProvinceName =
   localityName =
   organizationName =
   commonName =
   [ req_ext ]
   subjectAltName = @alt_names
   [alt_names]
   DNS.1 =
   DNS.2 =
   DNS.3 = 

2. 现在，在代码中，在 countryName 后输入两个字母的国家代码。在此处查看您所在国家/地区的双字母国家代码。
3. 接下来，在 stateOrProvinceName 后输入您所在州或省的全名。
4. 在 localityName 后输入您所在地区的名称。在 organizationName 后指定您的组织名称。
5. 在 commonName 后输入您的网站或域名。将接收证书的 Web Server的 FQDN（主机名）即为公用名。输入公用名时请勿包含以下详细信息：
   -> 协议 (http:// 或 https://)
   -> 端口号或路径名
6. 在代码中依次于 DNS.1、DNS.2 等后输入您网站的主题备用名称（SAN）。单个证书可以包含多个 SAN。您可以通过在代码末尾添加 DNS.4、DNS.5 等来添加更多 SAN。示例如下：
   

   [ req ]
   prompt=no
   default_bits = 2048
   distinguished_name = req_distinguished_name
   req_extensions = req_ext
   [ req_distinguished_name ]
   countryName = IN
   stateOrProvinceName = TN
   localityName = Chennai
   organizationName = Zylker
   commonName = www.zylker.com
   [ req_ext ]
   subjectAltName = @alt_names
   [alt_names]
   DNS.1 = *.zylker-tech.com
   DNS.2 = zylker-it.com
   DNS.3 = zylkerteam.com
    

7. 保存文件，打开命令提示符，导航到 Server安装目录并访问 \apache\bin 目录。
8. 执行 openssl.exe req -out Server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf 命令。
9. 名为 Server.csr 和 private.key 的文件会在 <Server_Installed_Directory>/bin 和 \apache\bin 目录下创建。
10. 要验证详细信息，请使用 openssl.exe req -in Server.csr -noout -text -config ..\conf\openssl.cnf 命令。

注意：在任何情况下都不要删除 private.key 文件。

2. 将 CSR 提交给证书颁发机构 (CA) 以获取 CA 签名证书

1. 将创建好的 Server.csr 提交给 CA。有关如何提交 CSR 的详细信息，请查看其文档/网站，这通常需要向 CA 支付费用
2. 该过程通常需要几天时间，之后您将收到已签名的 SSL 证书以及 CA 的证书链/中间证书，文件格式为 .cer
3. 保存这些文件，并将您已签名的 SSL 证书文件重命名为 Server.crt

注意： 

• 证书有效期应少于 397 天。
• Central Server 仅支持 RSA 密钥。

3. 将第三方证书上传到 Central Server

1. 在产品控制台中单击 管理 选项卡
2. 在 安全设置 下，单击管理 SSL 证书
3. 浏览并上传您从供应商 (CA) 处收到的证书。SSL 证书格式为 .crt，PFX 证书格式为 .pfx
   1. 如果您上传的是 .crt 文件，系统会提示您上传 Server.key 文件。上传 private.key 后，系统会提示您上传中间证书。如果您选择 自动，则会自动检测中间证书。但是自动检测中间证书时，只会检测到一个证书。如果您想使用自己的中间证书，或者上传多个中间证书，则需要选择手动，并手动上传它们。
   2. 如果您选择上传 .pfx 文件，系统会提示您输入供应商提供的密码。
4. 单击“保存”以导入证书。

注意：导入证书后，您需要重新启动 Central Server 服务，以便 Web Server加载新导入的证书。

您已成功将第三方证书导入到 Central Server。只有在启用“HTTPS”通信模式时，这些证书才会被使用。单击 管理 选项卡并选择 Server设置，在 常规设置 下启用 https 模式。现在您可以看到Server与代理之间的通信是安全的。

请确保 pfx 文件或 .cert 文件与 Central Server中指定的 NAT 地址匹配。如果 Central Server 和 ServiceDesk Plus Server 安装在同一台计算机上，则相同的 pfx 文件可以正常使用。在上述情况下，如果 ServiceDesk Plus Server 被移至另一台计算机，则需要修改 pfx 以指定相应的主机名。