场景：指定自定义管理服务器证书

例如，您可以分配自定义管理服务器证书，以便更好地与贵司的现有公钥基础结构 (PKI) 集成，或自定义配置证书字段。最好在安装管理服务器后，快速启动向导完成之前立即替换证书。

管理服务器证书的最长有效期不得超过 397 天。

先决条件

新证书必须以 PKCS#12 格式创建（例如，通过组织的 PKI），并且必须由受信任的证书颁发机构 (CA) 颁发。此外，新证书必须包含整个信任链和私钥，该私钥必须存储在扩展名为 pfx 或 p12 的文件中。对于新证书，必须满足下面列出的要求。

证书类型：普通证书，普通备用证书（“C”，“CR”）

要求：

• 最小密钥长度：2048
• 基本限制：
  • CA：true
  • 路径长度限制：无

    路径长度约束值可以是不同于“无”的整数，但不能小于 1。

• 密钥用法：
  • 数字签名
  • 证书签名
  • 密钥加密
  • CRL 签名
• 扩展密钥用法 (EKU)：服务器身份验证，客户端身份验证。EKU 可选，但如果您的证书包含它，则必须在 EKU 中指定服务器和客户端身份验证数据。

公共 CA 颁发的证书没有证书签名权限。要使用此类证书，请确保您在网络中的分发点或连接网关上安装了网络代理版本 13 或更高版本。否则，您将无法在没有签名权限的情况下使用证书。

阶段

指定管理服务器证书分阶段进行：

1. 替换管理服务器证书

   为此目的使用命令行 klsetsrvcert utility。

2. 指定新证书并恢复网络代理与管理服务器的连接

   当证书被替换时，所有先前通过 SSL 连接到管理服务器的网络代理将丢失它们的连接，并返回“管理服务器身份验证错误。”要指定新证书和恢复连接，使用命令行 klmover utility。

结果

当您结束场景时，管理服务器证书被替换，且服务器得到受管理设备上的网络代理验证。