Estas instruções fornecem uma amostra de como configurar um certificado autoassinado usando o OpenSSL para Integration Broker.
Procedimento
- Crie um certificado autoassinado para o servidor IIS.
- Crie a pasta ibcerts a ser usada como o diretório de trabalho.
- Crie um arquivo de configuração usando o comando vi openssl_ext.conf.
- Copie e cole os seguintes comandos do OpenSSL no arquivo de configuração.
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Certificado fictício)
OU = Horizon Workspace (Certificado fictício)
CN = nome do host (Nome do host da máquina virtual na qual o Integration Broker está instalado. )
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
Observação: Digite o valor CN antes de salvar o arquivo. - Execute este comando para gerar uma chave privada.
openssl genrsa -des3 -out server.key 1024
- Digite a frase secreta de server.key, por exemplo, vmware.
- Renomeie o arquivo server.key como server.key.orig.
mv server.key server.key.orig
- Remova a senha associada à chave.
openssl rsa -in server.key.orig -out server.key
- Copie e cole os seguintes comandos do OpenSSL no arquivo de configuração.
- Crie uma CSR (solicitação de assinatura de certificado) com a chave gerada. O arquivo server.csr é armazenado em seu diretório de trabalho.
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
- Assine a CSR.
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf
A saída esperada aparece.
Signature ok subject=/C=US/ST=CA/O=VMware (Certificado fictício)/OU=Horizon Workspace (Certificado fictício)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key
- Crie o formato P12.
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
- Pressione Enter no prompt para obter uma senha de exportação.
Importante: Não insira uma senha.O resultado esperado é o arquivo server.p12.
- Mova o arquivo server.p12 para a máquina Windows na qual o Integration Broker está instalado.
- No Prompt de Comando, digite mmc.
- Clique em Arquivo > Adicionar ou Remover Snap-ins.
- Na janela Snap-in, clique em Certificados e em Adicionar.
- Selecione o botão de opção Conta de Computador.
- Pressione Enter no prompt para obter uma senha de exportação.
- Importe o certificado para a raiz e armazene os certificados pessoais.
- Escolha Todos os Arquivos na caixa de diálogo.
- Selecione o arquivo server.p12.
- Clique na caixa de seleção Exportável.
- Deixe a senha em branco.
- Aceite os padrões nas etapas subsequentes.
- Copie o certificado para as CAs Raiz Confiáveis no mesmo console do mmc.
- Verifique se o conteúdo do certificado inclui esses elementos.
- Chave privada
- CN no atributo da entidade que corresponde ao nome do host do Integration Broker
- Atributo de uso de chave estendido com o cliente e a autenticação do servidor ativados