更新时间:2024-05-11 GMT+08:00

更新系统Web证书

云堡垒机Web证书是验证系统网站身份和安全的SSL(Secure Sockets Layer)证书,遵守SSL协议的服务器数字证书,并由受信任的根证书颁发机构颁发。

云堡垒机系统默认配置安全的自签发证书,但受限于自签发证书的认证保护范围和认证保护时间,用户可替换证书。

本小节主要介绍在证书过期或安全扫描不通过时,用户如何更新证书,确保CBH系统安全。

如果更新了证书,系统还是提示证书不安全,请参考部署了SSL证书后,为什么网站仍然提示不安全?排查解决。

前提条件

  • 已获取证书,并下载签发证书。
  • 上传证书绑定的域名已解析到绑定云堡垒机实例的弹性公网IP,具体的操作请参见增加A类型记录集
  • 用户已获取“系统”模块管理权限。

约束限制

  • 目前云堡垒机系统只适配Tomcat的Java Keystore格式证书文件,即后缀为jks的证书文件。
  • 上传的证书文件大小不超过20KB,且证书文件包含证书密码。

    无证书密码将不能验证上传证书,SSL证书文件无法上传到系统。

操作步骤

  1. 登录云堡垒机系统。
  2. 选择系统 > 系统配置 > 安全配置,进入系统安全配置管理页面。
  3. “Web证书配置”区域,单击“编辑”,弹出Web证书更新窗口。
  4. 上传下载到本地的证书文件。
  5. 证书文件上传成功后,输入keystore密码,证书密码验证文件。

    图1 更新Web证书

  6. 单击“确定”,返回安全配置管理页面,查看当前系统Web证书信息。
  7. 证书信息更新后,为了使证书生效,需要重启堡垒机系统。

    重启堡垒机系统的有以下两种方式,您可以根据具体情况进行选择:

    • 华为云控制台重启实例,具体操作请参见重启实例
    • 堡垒机系统工具重启系统,具体操作请参见管理系统工具
    图2 系统Web证书信息