Para utilizar a API REST do Unified Access Gatewaypara configurar definições de certificado ou para utilizar os scripts do PowerShell, você deve converter o certificado em arquivos de formato PEM para a cadeia de certificados e a chave privada, e deve converter os arquivos .pem em um formato de uma linha que inclua caracteres newline integrados.

Ao configurar o Unified Access Gateway, há três tipos possíveis de tipos de certificados que talvez seja preciso converter.

  • Você deve sempre instalar e configurar um certificado de servidor TLS/SSL para o appliance do Unified Access Gateway.

  • Se planeja utilizar a autenticação com cartão inteligente, você deve instalar e configurar o certificado do emissor de CA confiável para o certificado que será colocado no cartão inteligente.

  • Se planeja utilizar a autenticação com cartão inteligente, a VMware recomenda a instalação e configuração de um certificado raiz para o certificado de autoridade de certificação de assinatura do certificado de servidor SAML que está instalado no appliance do Unified Access Gateway.

Para todos estes tipos de certificados, realize o mesmo procedimento para converter o certificado para o arquivo de formato PEM que contém a cadeia de certificados. Para os certificados de servidor TSL/SSL e certificados raiz, também é possível converter cada arquivo para o arquivo PEM que contém a chave privada. Você deve converter cada arquivo .pem para um formato de uma linha que possa ser passado em uma cadeia de caracteres de JSON à API REST do Unified Access Gateway.

Pré-requisitos

  • Verifique se possui o arquivo do certificado. O arquivo pode estar no formato PKCS#12 (.p12 ou .pfx) ou no formato Java JKS ou JCEKS.

  • Familiarize-se com a ferramenta de linha de comando do openssl que você usará para converter o certificado. Consulte https://www.openssl.org/docs/apps/openssl.html.

  • Se o certificado estiver no formato Java JKS ou JCEKS, familiarize-se com a ferramenta de linha de comando keytool do Java para converter o certificado primeiramente para o formato .p12 ou .pks antes de convertê-lo para arquivos .pem.

Procedimento

  1. Se seu certificado estiver no formato Java JKS ou JCEKS, utilize o keytool para converter o certificado para o formato .p12 ou .pks.
    Importante:

    Utilize a mesma senha de origem e destino durante essa conversão.

  2. Se seu certificado estiver no formato PKCS#12 (.p12 ou .pfx) ou após o certificado ser convertido para o formato PKCS#12, utilize o openssl para converter o certificado para arquivos .pem.

    Por exemplo, se o nome do certificado é mycaservercert.pfx, utilize os seguintes comandos para converter o certificado:

    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
  3. Edite mycaservercert.pem e remova quaisquer entradas de certificado desnecessárias. Ele deve conter o certificado de servidor SSL seguido por quaisquer certificados de autoridade de certificação intermediários necessários e o certificado de autoridade de certificação raiz.
  4. Utilize o seguinte comando UNIX para converter cada arquivo .pem para um valor que possa ser passado em uma cadeia de caracteres de JSON à API REST do Unified Access Gateway:
    awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

    Neste exemplo, cert-name.pem é o nome do arquivo do certificado. O certificado parece semelhante a este exemplo.

    Figura 1. Arquivo do certificado em uma única linha

    O novo formato coloca todas as informações do certificado em uma única linha com caracteres integrados de nova linha. Se você possui um certificado intermediário, esse certificado deve também estar no formato de uma linha e adicionar-se ao primeiro certificado para que ambos os certificados estejam na mesma linha.

Resultados

Você pode agora configurar certificados para o Unified Access Gateway utilizando estes arquivos .pem com os scripts do PowerShell anexados à publicação do blog "Utilizando o PowerShell para Implementar o VMware Unified Access Gateway", disponível em https://communities.vmware.com/docs/DOC-30835. De forma alternativa, você pode criar e utilizar uma solicitação JSON para configurar o certificado.

O que Fazer Depois

Você pode atualizar o certificado autoassinado padrão com um certificado assinado pela CA. Consulte Atualizar certificados assinados de servidor SSL. Para certificados de cartão inteligente, consulte Configurando a autenticação de certificado ou de cartão inteligente no appliance do Unified Access Gateway.