证书要求

重要提示：

有关如何在安装后管理证书的详细信息，请参阅管理证书。

Automation Suite 在安装时需要两个证书。

TLS 证书 – 客户端和集群之间的 TLS 通信所必需的；
身份令牌签名证书 – 签署身份验证令牌所必需的。

重要提示：

The installation process generates self-signed certificates on your behalf. We recommend that you replace them with certificates signed by a trusted Certificate Authority (CA). Note that the certificates can be generated at the time of installation only if you grant the Automation Suite installer admin privileges during the installation. If you cannot grant the installer admin privileges, then you must create and manage the certificates yourself.

除了上述证书外，如果您希望集群信任外部软件，则可能需要提供其他受信任的 CA 证书。示例：SQL Server CA 证书、SMTP 服务器 CA 证书、外部 S3 兼容对象存储 CA 证书等。

在安装时，您必须为需要安全 TLS 通信的任何外部软件提供 CA 证书。但是，如果尚未启用 TLS 通信，则可以在安装后进行配置。

有关说明，请参阅管理证书。

TLS 证书要求

TLS 证书必须满足以下要求：

文件格式应为 .pem，即 Base64 编码的 DER 证书；
私钥长度应至少为 2048；
扩展密钥用法：TLS Web 服务器身份验证；在 iOS 设备上访问 Automation Suite 所必需的；
证书密钥必须解密。如果密钥已加密，请运行以下命令将其解密：
```
# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key

openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key# replace /path/to/encrypted/cert/key to absolute file path of key
# replace /path/to/decrypt/cert/key to store decrypt key
# Once prompted, please entry the passphrase or password to decrypt the key

openssl rsa -in /path/to/encrypted/cert/key -out /path/to/decrypt/cert/key
```
应包含安装 Automation Suite 所需的所有 DNS 条目的使用者可选名称。如果集群的 FQDN 为 automationsuite.mycompany.com，则证书 SAN 应具有以下 DNS：
- Automationsuite.mycompany.com
- *.automationsuite.mycompany.com
  备注：
  或者，如果 * 通配符过于通用，请确保以下 DNS 具有 SAN 条目：
  - Automationsuite.mycompany.com
  - alm.automationsuite.mycompany.com
  - monitoring.automationsuite.mycompany.com
  - Insights.automationsuite.mycompany.com
  - apps.automationsuite.mycompany.com

TLS 证书文件

Automation Suite 在安装时需要三个文件，如下所示：

TLS 证书文件 — 服务器的公共证书文件。此文件必须仅包含分支服务器证书。
TLS 密钥文件 — 服务器证书的私钥文件。
证书颁发机构捆绑包 — 这是 CA 的公共证书，用于签署或颁发 TLS 证书。此文件必须同时包含根证书和所有中间证书（如果存在）。

要验证 CA 和 TLS 证书，请在 Linux 计算机上运行以下命令：

# Please replace /path/to/ca-certificate-bundle and /path/to/server-certificate with actual file path.

openssl verify -CAfile /path/to/ca-certificate-bundle /path/to/server-certificate# Please replace /path/to/ca-certificate-bundle and /path/to/server-certificate with actual file path.

openssl verify -CAfile /path/to/ca-certificate-bundle /path/to/server-certificate

如果您选择使用自己的证书管理器，并且 TLS 证书由私有或非公共 CA 颁发，则必须手动将叶证书和中间 CA 证书包含在 TLS 证书文件中。如果是公共 CA，客户端系统将自动信任它们，您无需采取进一步的措施。