以下说明提供了如何使用适用于集成代理的 OpenSSL 设置自签名证书的示例。
过程
- 为 IIS 服务器创建自签名证书。
- 创建用作工作目录的 ibcerts 文件夹。
- 使用 vi openssl_ext.conf 命令创建配置文件。
- 将以下 OpenSSL 命令复制并粘贴到配置文件中。
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = hostname(安装集成代理的虚拟机主机名。)
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
注: 键入 CN 值,然后再保存文件。 - 运行此命令生成私钥。
openssl genrsa -des3 -out server.key 1024 - 键入 server.key 的密码短语,例如,vmware。
- 将 server.key 文件重命名为 server.key.orig。
mv server.key server.key.orig - 移除与密钥关联的密码。
openssl rsa -in server.key.orig -out server.key
- 将以下 OpenSSL 命令复制并粘贴到配置文件中。
- 使用生成密钥创建 CSR(证书签名请求)。server.csr 存储在工作目录中。
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf - 对 CSR 进行签名。
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf会显示预期输出。
Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key
- 创建 P12 格式。
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12- 提示您输入导出密码时,请按 Enter。
重要事项: 请勿输入密码。预期输出为 server.p12 文件。
- 将 server.p12 文件移至安装了集成代理的 Windows 计算机。
- 在命令提示符处,键入 mmc。
- 单击文件 > 添加或删除管理单元。
- 在“管理单元”窗口中,单击证书,然后单击添加。
- 选择计算机帐户单选按钮。
- 提示您输入导出密码时,请按 Enter。
- 将证书导入根证书和个人存储证书。
- 在对话框中选择所有文件。
- 选择 server.p12 文件。
- 单击可导出复选框。
- 将密码留空。
- 接受后续步骤的默认值。
- 在同一个 mmc 控制台中将证书复制到受信任的根 CA 中。
- 验证证书的内容是否包括这些元素。
- 私钥
- 使用者属性中与集成代理主机名匹配的 CN
- 已启用客户端和服务器身份验证的扩展密钥使用属性
