使用第三方证书保证通信安全

每个企业都有必要对互联网上传输的数据进行加密。使用安全通信并不一定是传输公司数据的最安全的方式,因此企业使用了特定的第三方证书,如SSL、PFX等。这些第三方证书可以对公司数据进行加密,并确保只有拥有证书的接收方才能对其解密。Desktop Central支持使用SSL和PFX证书。将这些证书添加到Desktop Central将保护Desktop Central服务器、托管计算机和移动设备之间的通信。

此证书在指定期限内有效。如果证书过期,则Desktop Central代理与服务器之间的通信将不再安全。您将无法管理任何移动设备,直到您更新证书并将其上载到Desktop Central服务器。

按照以下步骤创建/更新和上传第三方证书:

  1. 创建CSR和密钥文件
  2. 将CSR提交给证书颁发机构(CA)以获得CA签署的证书
  3. 上传第三方证书到Desktop Central

1.创建CSR和密钥文件

要创建一个CSR和密钥文件,请参考以下步骤:

  1. 在<安装目录>\DesktopCentral_Server\apache\bin文件夹下创建一个名为opensslsan.conf的文件,复制下面的内容到文件中:

    [ req ]
    prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ]
    countryName =
    stateOrProvinceName =
    localityName =
    organizationName =
    commonName =
    [ req_ext ]
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 =
    DNS.2 =
    DNS.3 = 

  2. 在文件中,输入countryName的值,2个字母的国家码。在这里可以找到国家码。
  3. 然后,输入stateOrProvinceName值,省份的全称。
  4. localityName后输入为你的位置名称。子啊organizationName后面输入你的组织名称。
  5. commonName后输入你的网站或域名称。网站服务器的FQDN(主机名称),这将用于接收证书。名称不用包含以下信息:
    -> 协议(http://或https://)
    -> 端口号和路径
  6. DNS.1DNS.2等后面依次输入你网站的主题别名 (SAN)。一个凭证可以有多个SAN。可以添加DNS.4DNS.5等等。以下是个例子

    [ req ]
    prompt=no
    default_bits = 2048
    distinguished_name = req_distinguished_name
    req_extensions = req_ext
    [ req_distinguished_name ]
    countryName = CN
    stateOrProvinceName = Tianjin
    localityName = Tianjin
    organizationName = ZOHO
    commonName = www.zoho.com
    [ req_ext ]
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 = *.domain.com
    DNS.2 = manageengine.com
    DNS.3 = ems.com
    DNS.4 = desktopcentral.com

  7. 保存文件。打开命令提示符并进入<安装目录>\DesktopCentral_Server\apache\bin目录
  8. 执行openssl.exe req -out server.csr -newkey rsa:2048 -nodes -keyout private.key -config opensslsan.conf命令
  9. 文件名 server.csrprivate.key已创建。 
  10. 使用openssl.exe req -noout -text -in server.csr命令,来验证

    11. 注意:任何情况下都不要删除private.key文件

    2.将CSR提交给证书颁发机构(CA)以获得CA签署的证书

    1. 向CA提交已创建的server.csr 。查阅他们的文件/网站以获取提交CSR的详细信息,这将涉及支付给CA的费用
    2. 这个过程通常需要几天的时间,您将收到作为.cer文件的已签名SSL证书和CA的链/中间证书
    3. 保存这些文件并将签名的SSL证书文件重命名为server.crt

    3.上传第三方证书到Desktop Central

    1. 在Desktop Central 控制台中点击管理页签
    2. 安全设置下, 点击导入 SSL 证书
    3. 浏览并上传您从供应商(CA)处收到的证书。证书会是SSL的.crt格式和PFX证书的.pfx格式
      1. 如果您上传一个.crt文件,那么将会提示上传server.key文件。  上传sever.key后,将会提示您上传中间证书。如果您选择自动, 那么中间证书将 被自动检测。但是,当自动检测中间证书时,只会检测到一个证书。如果您想要使用您自己的中间证书,或上传更多中间证书,那么您需要选择 手动, 来手动上传它们。
      2. 如果您选择上传一个.pfx文件,将会提示您输入供应商提供的密码。
    4. 点击保存以导入证书。

    您已成功将第三方证书导入到Desktop Central服务器。这些证书只有在启用“HTTPS”模式进行通信时才会使用。点击管理页签并选择服务器设置, 以启用通用设置下的Https模式。现在您可以看到Desktop Central服务器和代理之间的通信是安全的。

    确保.pfx文件或.cert文件与Desktop Central服务器中指定的NAT地址匹配。如果Desktop Central和ServiceDesk Plus服务器安装在同一台计算机上,则可以使用相同的pfx文件。在上面列出的情况中,如果ServiceDesk Plus服务器被移动到另一台计算机上,那么需要修改pfx来指定适当的主机名。