在趋势科技服务器深度安全防护系统快速入门部署中更新负载平衡器证书

通常,在您尝试使用自签名证书连接到服务器时,您的浏览器会显示证书验证错误的警告。这是因为在使用自签名证书的情况下,浏览器无法自动验证由第三方证书颁发机构 (CA) 创建的证书签名,因此浏览器不知道证书是否由攻击者发送。安装时,趋势科技服务器深度安全防护系统管理中心的初始配置是为 HTTPS 连接(SSL 或 TLS)使用自签名证书,因此您必须手动验证用于确保连接安全的服务器证书指纹属于您的趋势科技服务器深度安全防护系统服务器。在将自签名证书替换为 CA 签名证书之前,这是正常状态。

如果弹性负载平衡 (ELB) 负载平衡器向浏览器展示自签名证书,将会发生同样的错误。

自签名证书错误

如果忽略警告并继续操作(具体方法因浏览器而异),您仍然可以访问趋势科技服务器深度安全防护系统管理中心。但是,每次连接时,此错误都会再次出现,除非您采取以下操作之一:

  • 将证书添加到您的计算机的信任证书存储(不推荐)或 
  • 将负载平衡器的证书替换为可信 A 签名的证书(强烈推荐)
  1. 使用所有 HTTPS 客户端信任的 CA,注册管理员、中继和客户端用于连接到趋势科技服务器深度安全防护系统管理中心的完全限定域名(非 IP 地址)。 

    指定将唯一识别趋势科技服务器深度安全防护系统管理中心的子域(例如,deepsecurity.example.com)。对于 SSL 终结器负载均衡器后面的节点,此证书将由负载均衡器(而不是每个趋势科技服务器深度安全防护系统管理中心节点)提供给浏览器和其他 HTTPS 客户端。

    在 CA 对证书进行签名时,请同时下载证书(包含公钥)和私钥。 

    妥善存储和传输私钥。如果文件权限或未加密的连接允许第三方访问您的私钥,那么由该证书和密钥保护的所有连接都会受到危害。您必须撤销该证书、移除密钥,并获取新证书和密钥。
  2. 将证书添加到证书存储(如果您的计算机信任对证书进行签名的 CA,则可选此项。)
  3. 更新负载平衡器的 DNS 设置以使用新域名
  4. 替换负载平衡器的 SSL 证书