本页介绍了如何添加和管理备份和灾难恢复服务使用的第三方证书。
只有当第三方服务的外部端点具有由与其关联的 Public Certificate Authority 机构 (CA) 签发的有效证书时,备份和灾难恢复服务才能连接到该端点。如果端点没有证书,您需要为其添加证书。
证书通过证书吊销列表 (CRL) 或在线证书状态协议 (OCSP) 进行验证。如果无法访问 CRL 或 OCSP 端点,系统会将证书视为有效并生成事件。您可以在监控 > 事件页面上跟踪这些事件。
准备工作
允许从备份/恢复设备到证书的 OCSP 或 CRL 端点使用 Cloud NAT 进行出站连接。默认情况下,Cloud NAT 有权访问虚拟私有云 (VPC) 网络所在区域中所有子网的所有主 IP 范围和辅助 IP 范围。如需将 Cloud NAT 的访问权限限制为仅限部署设备的子网,请参阅指定 NAT 的子网范围。
IAM 角色和权限
执行第三方证书操作需要以下权限:
backupdr.managementServers.manageSystem和backupdr.managementServers.viewSystem(用于添加或删除证书)backupdr.managementServers.viewSystem,用于查看证书
添加证书
您可以使用管理 > 证书页面,将私有 CA 颁发的证书或自签名证书添加到第三方服务端点。例如,如果 vCenter 使用的是私有 CA 或自签名证书,您需要将证书添加到管理控制台中。
请按照以下说明添加第三方证书:
- 依次点击管理 > 证书。
- 点击添加证书。
您可以通过以下任一方式添加证书:
- 复制证书,然后将其粘贴到证书框中。
- 点击选择文件,然后上传证书。
点击上传。
删除证书
按照以下说明删除证书:
- 依次点击管理 > 证书。
- 右键点击要移除的证书,然后选择删除。
- 点击确认对话框中的删除。