本主题提供了使用 OpenSSL 为您为 Citrix-Workspace ONE Access 集成部署的 Integration Broker 服务器设置自签名证书的示例。

过程

  1. 为 Integration Broker 服务器创建自签名证书。
  2. 创建用作工作目录的 ibcerts 文件夹。
  3. 使用 vi openssl_ext.conf 命令创建配置文件。
    1. 将以下 OpenSSL 命令复制并粘贴到配置文件中。

      # openssl x509 extfile params

      extensions = extend

      [req] # openssl req params

      prompt = no

      distinguished_name = dn-param

      [dn-param] # DN fields

      C = US

      ST = CA

      O = VMware (Dummy Cert)

      OU = Horizon Workspace (Dummy Cert)

      CN = hostname(安装 Integration Broker 的虚拟机主机名。)

      emailAddress = EMAIL PROTECTED

      [extend] # openssl extensions

      subjectKeyIdentifier = hash

      authorityKeyIdentifier = keyid:always

      keyUsage = digitalSignature,keyEncipherment

      extendedKeyUsage=serverAuth,clientAuth

      [policy] # certificate policy extension data

      注: 键入 CN 值,然后再保存文件。
    2. 运行此命令生成私钥。
      openssl genrsa -des3 -out server.key 1024
    3. 键入 server.key 的密码短语,例如,vmware
    4. server.key 文件重命名为 server.key.orig
      mv server.key server.key.orig
    5. 移除与密钥关联的密码。
      openssl rsa -in server.key.orig -out server.key
  4. 使用生成密钥创建 CSR(证书签名请求)。server.csr 存储在工作目录中。
    openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
  5. 对 CSR 进行签名。
    openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf

    会显示预期输出。

    Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key

  6. 创建 P12 格式。
    openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
    1. 提示您输入导出密码时,请按 Enter
      重要事项: 请勿输入密码。
      预期输出为 server.p12 文件。
    2. server.p12 文件移至安装了 Integration Broker 的 Windows 计算机。
    3. 在命令提示符处,键入 mmc
    4. 单击文件 > 添加或删除管理单元
    5. 在“管理单元”窗口中,单击证书,然后单击添加
    6. 选择计算机帐户单选按钮。
  7. 将证书导入根证书和个人存储证书。
    1. 在对话框中选择所有文件
    2. 选择 server.p12 文件。
    3. 单击可导出复选框。
    4. 将密码留空。
    5. 接受后续步骤的默认值。
  8. 在同一个 mmc 控制台中将证书复制到受信任的根 CA 中。
  9. 验证证书的内容是否包括这些元素。
    • 私钥
    • 使用者属性中与 Integration Broker 主机名匹配的 CN
    • 已启用客户端和服务器身份验证的扩展密钥使用属性