SSL 证书

SUSE Multi-Linux Manager 使用 SSL 证书来确保客户端注册到正确的服务器。

每个使用 SSL 注册到 SUSE Multi-Linux Manager Server 的客户端将通过验证服务器证书来检查它是否连接到正确的服务器。此过程称为 SSL 握手。

在 SSL 握手期间，客户端将检查服务器证书中的主机名是否与预期相符。客户端还需要检查服务器证书是否受信任。

证书颁发机构 (CA) 是用于为其他证书签名的证书。所有证书必须由证书颁发机构 (CA) 签名，只有这样，才会将它们视为有效，并且客户端才能成功地匹配它们。

为使 SSL 身份验证能够正常进行，客户端必须信任根 CA。这意味着必须在每个客户端上安装根 CA。

默认的 SSL 身份验证方法是让 SUSE Multi-Linux Manager 使用自我签名证书。在这种情况下，SUSE Multi-Linux Manager 已生成所有证书，并且根 CA 已直接为服务器证书签名。

另一种方法是使用中间 CA。在这种情况下，根 CA 为中间 CA 签名。然后中间 CA 可为任意数量的其他中间 CA 签名，而最后一个中间 CA 为服务器证书签名。这称为链式证书。

如果您在链式证书中使用中间 CA，则根 CA 将安装在客户端上，而服务器证书则安装在服务器上。在 SSL 握手期间，客户端必须能够校验根 CA 与服务器证书之间的整个中间证书链，因此它们必须能够访问所有中间证书。

可以通过两种主要方式实现此目的。在较旧版本的 SUSE Multi-Linux Manager 中，所有中间 CA 默认都安装在客户端上。不过，您也可以在服务器上配置服务以将其提供给客户端。在这种情况下，在 SSL 握手期间，服务器会提供服务器证书以及所有中间 CA。此机制现已用作默认配置。

SUSE Multi-Linux Manager 默认使用没有中间 CA 的自我签名证书。为了提高安全性，您可以安排一个第三方 CA 来为您的证书签名。第三方 CA 执行检查以确保证书中包含的信息正确。他们通常针对此项服务收取年费。使用第三方 CA 可以提高证书的伪造难度，并为安装提供附加的保护。如果您的证书已由第三方 CA 签名，您可以将其导入 SUSE Multi-Linux Manager 安装中。

本手册分 2 步介绍 SSL 证书的用法：

如果证书由第三方实例（例如自有或外部的 PKI）提供，则可以跳过步骤 1。