本指南提供了 Wickr Enterprise 的文档。如果您使用的是 AWS Wickr，请参阅 [AWS Wickr 管理指南](https://docs.aws.amazon.com/wickr/latest/adminguide/what-is-wickr.html)或 AW [S Wickr 用户](https://docs.aws.amazon.com/wickr/latest/userguide/what-is-wickr.html)指南。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# TLS 证书设置
<a name="tls-certificate-settings"></a>

上传用于终止 TLS 的 PEM 证书和私钥。证书上的主题备用名称必须与您的 Wickr Enterprise 部署设置中配置的主机名相匹配。

**对于证书链字段，在上传之前，将所有中间证书（如果需要）与根 CA 证书连接起来。**

## Let's Encrypt
<a name="lets-encrypt"></a>

选择此选项可使用 Let's E [ncrypt](https://letsencrypt.org/) 自动生成证书。证书是通过 [HTTP-01 质询](https://letsencrypt.org/docs/challenge-types/#http-01-challenge)通过证书管理器操作员颁发的。

HTTP-01 挑战要求所需的 DNS 名称解析到集群的入口点（通常是 Load Balancer），并且向 TCP 端口 80 的流量向公众开放。这些证书的有效期很短，将定期续订。必须保持端口 80 处于打开状态，以允许证书自动续订。

**注意**  
本节明确提及 Wickr Enterprise 应用程序本身使用的证书。

## 已锁定证书
<a name="pinned-certificate"></a>

使用自签名证书或客户端设备不信任的证书时，Wickr Enterprise 需要锁定证书。如果您的 Load Balancer 提供的证书是自签名的，或者由不同于 Wickr Enterprise 安装的 CA 签名，请在此处上传 CA 证书，让客户将其锁定。

在大多数情况下，此设置不是必需的。

## 证书提供商
<a name="certificate-providers"></a>

如果您计划购买证书以用于 Wickr Enterprise，请参阅下文，了解已知默认情况下其证书可以正常运行的提供商列表。如果下面列出了提供商，则其证书已通过软件明确验证。
+ Digicert
+ RapidSSL

## 生成自签名证书
<a name="generating-self-signed-certificate"></a>

如果您想创建自己的自签名证书以用于 Wickr Enterprise，则以下示例命令包含生成所需的所有标志。

```
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=DNS:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"
```

如果要创建基于 IP 的自签名证书，请改用以下命令。要使用基于 IP 的证书，请确保在 Ingress 设置下启用 “通配符主机名” 字段。有关更多信息，请参阅 [Ingress 设置](https://docs.aws.amazon.com/wickr/latest/wickrenterpriseinstall/ingress-settings.html)。

```
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=IP:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"
```

**注意**  
将示例中的 $YOUR\_DOMAIN 替换为您要使用的域名或 IP 地址。