管理TLS证书 - Amazon DCV

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理TLS证书

亚马逊会DCV自动生成自签名证书,用于保护亚马逊DCV客户端和亚马逊DCV服务器之间的流量。默认情况下,如果未安装其他证书,则使用该证书。默认证书包含两个文件。它们是证书本身(dcv.pem) 和密钥(dcv.key)。有关详细信息,请参阅自签名证书的重定向说明

当DCV客户端用户连接到服务器时,他们可能会收到服务器证书警告,在建立连接之前,他们可以根据这些警告进行验证。

如果他们使用 Web 浏览器进行连接,则浏览器可能会警告客户端用户不要轻易信任服务器的证书,并提醒他们应与管理员联系以确认证书的真实性。

同样,如果他们使用的是 Windows、Linux 或 macOS 客户端,可能会建议他们向亚马逊DCV服务器管理员确认给定证书的指纹。

要验证其证书指纹的真实性,请运行 dcv list-endpoints -j 并对照其证书指纹检查输出。

您可以用自己的DCV证书和密钥替换默认的 Amazon 证书及其密钥。

在您生成自己的证书时,请选择满足您的特定需求的证书属性。大多数情况下,CN (Common Name) 属性必须与主机的公有主机名匹配。您可能还希望指定 SAN (Subject Alternative Name) 属性,并将其设置为主机的 IP 地址。

有关如何生成证书的说明,请参阅特定证书颁发机构的文档。

重要

如果您使用自己的证书和密钥,您必须将证书命名为 dcv.pem,并将密钥命名为 dcv.key

Windows Amazon DCV server
在 Windows 上更改服务器的TLS证书

  • 将证书及其密钥放在您的 Windows Amazon DCV 服务器上的以下位置:

    C:\Windows\System32\config\systemprofile\AppData\Local\NICE\dcv\
Linux Amazon DCV server
在 Linux 上更改服务器的TLS证书

  1. 将证书及其密钥放在您的 Linux Amazon DCV 服务器上的以下位置:

    /etc/dcv/

  2. 将这两个文件的所有权授予 dcv 用户,并将其权限更改为 600(只有所有者可以读取或写入它们)。

    $  sudo chown dcv dcv.pem dcv.key
    $  sudo chmod 600 dcv.pem dcv.key
注意

从 Amazon DCV 2022.0 开始,如果您在亚马逊DCV服务器运行时更新证书文件,则新证书将自动重新加载。对于先前版本的亚马逊,DCV您需要手动停止重启亚马逊DCV服务器。