本指南提供 Wickr Enterprise 的文件。如果您使用的是 AWS Wickr，請參閱 [AWS Wickr 管理指南](https://docs.aws.amazon.com/wickr/latest/adminguide/what-is-wickr.html)或 [AWS Wickr 使用者指南](https://docs.aws.amazon.com/wickr/latest/userguide/what-is-wickr.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# TLS 憑證設定
<a name="tls-certificate-settings"></a>

上傳 PEM 憑證和私有金鑰以終止 TLS。憑證上的主體別名必須符合 Wickr Enterprise 部署設定中設定的主機名稱。

對於憑證鏈欄位，在**上傳之前**，請將任何中繼憑證 （如果需要） 與根 CA 憑證串連。

## Let's Encrypt
<a name="lets-encrypt"></a>

選取此選項以使用 [Let's Encrypt](https://letsencrypt.org/) 自動產生憑證。憑證是透過 cert-manager 運算子使用 [HTTP-01 挑戰](https://letsencrypt.org/docs/challenge-types/#http-01-challenge)發出。

HTTP-01 挑戰要求所需的 DNS 名稱解析為叢集的輸入點 （通常是Load Balancer)，且 TCP 連接埠 80 的流量開放給公有。這些憑證是短期的，將定期續約。必須保持連接埠 80 開啟，以允許憑證自動續約。

**注意**  
本節明確參考 Wickr Enterprise 應用程式本身所使用的憑證。

## 固定憑證
<a name="pinned-certificate"></a>

使用自我簽署憑證或非用戶端裝置信任的憑證時，Wickr Enterprise 需要憑證鎖定。如果您的 Load Balancer 提供的憑證是自我簽署的，或是由與 Wickr Enterprise 安裝不同的 CA 簽署的，請在此處上傳 CA 憑證，讓用戶端接腳。

在大多數情況下，不需要此設定。

## 憑證提供者
<a name="certificate-providers"></a>

如果您計劃購買憑證以與 Wickr Enterprise 搭配使用，請參閱下列清單，以取得憑證依預設可正常運作的提供者清單。如果供應商列於下方，則其憑證已使用 軟體進行明確驗證。
+ Digicert
+ RapidSSL

## 產生自我簽署憑證
<a name="generating-self-signed-certificate"></a>

如果您想要建立自己的自我簽署憑證以與 Wickr Enterprise 搭配使用，下面的範例命令會包含產生所需的所有必要旗標。

```
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=DNS:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"
```

如果您想要建立以 IP 為基礎的自我簽署憑證，請改用下列命令。若要使用 IP 型憑證，請確定已在輸入設定下啟用萬用字元主機名稱欄位。如需詳細資訊，請參閱[傳入設定](https://docs.aws.amazon.com/wickr/latest/wickrenterpriseinstall/ingress-settings.html)。

```
openssl req -x509 -newkey rsa:4096 -sha256 -days 365 -nodes -keyout $YOUR_DOMAIN.key -out $YOUR_DOMAIN.crt -subj "/CN=$YOUR_DOMAIN" -addext "subjectAltName=IP:$YOUR_DOMAIN" -addext "extendedKeyUsage = serverAuth"
```

**注意**  
以您想要使用的網域名稱或 IP 地址取代範例中的 $YOUR\_DOMAIN。