安全连接网关:如何生成证书签名请求 (CSR)
Summary: 如何在安全连接网关 (SCG) 或策略管理器 (PM) 上为客户证书生成证书签名请求 (CSR)。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
无法从安全连接网关 (SCG) 用户界面上的证书导入页面生成证书签名请求 (CSR)。
Cause
这是设计使然,某些证书签名颁发机构不要求使用 CSR。相反,它会生成用于安装的证书密钥对。
Resolution
如果您的证书签名颁发机构需要使用 CSR,请按照下面概述的步骤作:
- 使用 SSH 登录 SCG/PM
- 如果在策略管理器 (PM) 上,请使用以下命令输入容器(在 SCG 上跳过此步骤):
-
PM=$(docker ps --format '{{.Names}}');\ docker exec -it $PM bash
-
- 运行以下命令(请勿在 -subj 和 /CN 之间的行中插入反斜杠前的空格):
-
openssl req -newkey rsa:4096 \ -subj "/C=<Country>\ /ST=<State/Province>\ /L=<City>\ /O=<Comapny>\ /OU=<Department>\ /CN=<Hostname/FQDN>" \ -addext "subjectAltName = DNS:<FQDN>, IP:<IP>" \ -keyout private.key -out csr.csr
- 主题字段中的任何空格都必须使用前导 \ 进行转义,请参阅示例图像。
-
- 将文件复制到容器外部(仅在策略管理器上需要):
- 使用 Ctrl+D 退出容器:
-
PM=$(docker ps --format '{{.Names}}');\ docker cp $PM:/csr.csr /root/csr.csr;\ docker cp $PM:/private.key /root/private.key
- 在以下位置生成两个文件
/root:- 将 .csr 传递到证书颁发机构进行签名;要求提供 Base-64 编码的 X.509。
- 保持 private.key 不变,以便稍后使用签名证书导入。
- 收到签名的证书后,将证书上传到 SCG/PM:
- 发出以下命令以将证书和密钥转换为与 SCG/PM 兼容的格式:
-
openssl pkcs12 -export -in pmcert.cer -inkey private.key -out pmcert.p12
- 将 .p12 文件保存到您的 PC 并在 SCG/PM UI 上导入 p12。
- SCG/PM 重新启动后,验证证书信息是否正确:
-
Affected Products
Secure Connect Gateway - Virtual EditionArticle Properties
Article Number: 000215243
Article Type: Solution
Last Modified: 28 Oct 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.