O recurso do Unified Access Gateway no seu pod requer SSL para conexões de clientes. Quando você deseja que o pod tenha uma configuração do Unified Access Gateway, o assistente de implantação de pod requer um arquivo no formato PEM para fornecer a cadeia de certificados do servidor SSL para a configuração do Unified Access Gateway do pod. O arquivo PEM único deve conter a cadeia de certificados inteira, incluindo a chave privada: o certificado do servidor SSL, quaisquer certificados de CA intermediários necessários, o certificado da CA raiz e a chave privada.

Para obter mais detalhes sobre os tipos de certificado usados em Unified Access Gateway, consulte o tópico chamado Selecionando o tipo de certificado correto na documentação do produto do Unified Access Gateway.

Na etapa do assistente de implantação de pod das configurações do gateway, carregue um arquivo de certificado. Durante o processo de implantação, esse arquivo é enviado para a configuração das instâncias do Unified Access Gateway implantadas. Quando você realiza a etapa de carregamento na interface do assistente, o assistente verifica se o arquivo que você carregou atende a estes requisitos:

  • O arquivo pode ser analisado como formato PEM.
  • Ele contém uma cadeia de certificados válida e uma chave privada.
  • Essa chave privada correspondente à chave pública do certificado do servidor.

Se você não tiver um arquivo no formato PEM para suas informações de certificado, deverá converter suas informações de certificado em um arquivo que atenda os requisitos acima. Você deve converter o arquivo no formato não PEM no formato PEM e criar um único arquivo PEM que contenha a cadeia de certificados inteira mais a chave privada. Você também precisa editá-lo para remover informações adicionais, se houver, para que o assistente não tenha quaisquer problemas ao analisar o arquivo. As etapas de alto nível são:

  1. Converta suas informações de certificado para o formato PEM e crie um único arquivo PEM que contenha a cadeia de certificados e a chave privada.
  2. Edite o arquivo para remover as informações de certificado extras, se houver alguma, que estejam fora das informações do certificado entre cada conjunto de marcadores ----BEGIN CERTIFICATE---- e -----END CERTIFICATE-----.

Os exemplos de código nas etapas a seguir consideram que você está começando com um arquivo chamado mycaservercert.pfx que contém o certificado da CA raiz, as informações de certificado de CA intermediária e a chave privada.

Pré-requisitos

  • Verifique se possui o arquivo do certificado. O arquivo pode estar no formato PKCS#12 (.p12 ou .pfx) ou no formato Java JKS ou JCEKS.
    Importante: Todos os certificados na cadeia de certificados devem ter períodos de tempo válidos. As VMs do Unified Access Gateway exigem que todos os certificados na cadeia, incluindo quaisquer certificados intermediários, tenham períodos de tempo válidos. Se qualquer certificado da cadeia tiver expirado, falhas inesperadas podem ocorrer mais tarde, como o certificado é carregado para a configuração de Unified Access Gateway.
  • Familiarize-se com a ferramenta de linha de comando openssl que você pode usar para converter o certificado. Consulte https://www.openssl.org/docs/apps/openssl.html.
  • Se o certificado estiver no formato Java JKS ou JCEKS, familiarize-se com a ferramenta de linha de comando keytool do Java para converter o certificado primeiramente para o formato .p12 ou .pks antes de convertê-lo em arquivos .pem.

Procedimento

  1. Se seu certificado estiver no formato Java JKS ou JCEKS, utilize o keytool para converter o certificado para o formato .p12 ou .pks.
    Importante: Utilize a mesma senha de origem e destino durante essa conversão.
  2. Se seu certificado estiver no formato PKCS#12 (.p12 ou .pfx) ou após o certificado ser convertido para o formato PKCS#12, utilize o openssl para converter o certificado para um arquivo .pem.
    Por exemplo, se o nome do certificado é mycaservercert.pfx, você poderá usar os seguintes comandos para converter o certificado:
    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercertchain.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    
    A primeira linha acima obtém os certificados no mycaservercert.pfx e os grava no formato PEM como mycaservercertchain.pem. A segunda linha acima obtém a chave privada do mycaservercert.pfx e a grava no formato PEM como mycaservercertkey.pem
  3. (Opcional) Se a chave privada não estiver no formato RSA, converta a chave privada no formato de chave privada RSA.
    As instâncias do Unified Access Gateway requerem o formato da chave privada RSA. Para verificar se você precisa executar essa etapa, examine o arquivo PEM e veja se as informações da chave privada começam com
    -----BEGIN PRIVATE KEY-----
    Se a chave privada começar com essa linha, você deverá converter a chave privada no formato RSA. Se a chave privada começar com -----BEGIN RSA PRIVATE KEY-----, você não precisará executar essa etapa para converter a chave privada.
    Para converter a chave privada no formato RSA, execute este comando.
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
    A chave privada no arquivo PEM agora está no formato RSA ( -----BEGIN RSA PRIVATE KEY----- e -----END RSA PRIVATE KEY-----).
  4. Combine as informações no arquivo PEM da cadeia de certificados e no arquivo PEM da chave privada para criar um único arquivo PEM.
    O exemplo abaixo mostra um exemplo de onde o conteúdo do mycaservercertkeyrsa.pem é exibido primeiro (a chave privada no formato RSA), seguido pelo conteúdo do mycaservercertchain.pem, que é o seu certificado SSL primário, seguido por um certificado intermediário, seguido pelo certificado raiz.
    -----BEGIN CERTIFICATE-----
    .... (your primary SSL certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the intermediate CA certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the trusted root certificate)
    -----END CERTIFICATE-----
    -----BEGIN RSA PRIVATE KEY-----
    .... (your server key from mycaservercertkeyrsa.pem)
    ----- END RSA PRIVATE KEY-----
    Observação: O certificado do servidor deve ser exibido primeiro, seguido por quaisquer outros intermediários e, em seguida, pelo certificado raiz confiável.
  5. Se houver entradas de certificado desnecessárias ou informações externas entre os marcadores BEGIN e END, edite o arquivo para removê-las.

Resultados

O arquivo PEM resultante atende aos requisitos do assistente de implantação de pod.