Um Zertifikateinstellungen mit der Unified Access Gateway-REST-API zu konfigurieren oder um PowerShell-Skripts zu verwenden, müssen Sie das Zertifikat für die Zertifikatkette sowie für den privaten Schlüssel in Dateien im PEM-Format und dann die .pem-Dateien in ein einzeiliges Format mit eingebetteten Zeilenendemarken konvertieren.

Warum und wann dieser Vorgang ausgeführt wird

Für das Konfigurieren von Unified Access Gateway stehen drei mögliche Arten von Zertifikaten zur Verfügung, die eventuell konvertiert werden müssen.

  • Sie müssen immer ein TLS/SSL-Serverzertifikat für die Unified Access Gateway-Appliance installieren und konfigurieren.

  • Wenn Sie die Smartcard-Authentifizierung benutzen möchten, müssen Sie das von einer Zertifizierungsstelle herausgegebene vertrauenswürdige Zertifikat für das Zertifikat installieren und konfigurieren, das für die Smartcard verwendet werden soll.

  • Für die Verwendung der Smartcard-Authentifizierung empfiehlt VMware die Installation und Konfiguration eines Stammzertifikats der Signatur-Zertifizierungsstelle für das SAML-Serverzertifikat, das in der Unified Access Gateway-Appliance installiert ist.

Für alle Arten von Zertifikaten ist das Verfahren zur Konvertierung des Zertifikats in eine PEM-Datei mit der Zertifikatkette identisch. Für TLS/SSL-Server- und Stammzertifikate konvertieren Sie jede Datei auch in eine PEM-Datei mit dem privaten Schlüssel. Sie müssen dann auch jede .pem-Datei in ein einzeiliges Format konvertieren, das in einer JSON-Zeichenfolge in die Unified Access Gateway-REST-API übernommen werden kann.

Voraussetzungen

  • Stellen Sie sicher, das die Zertifikatdatei vorhanden ist. Die Datei kann im PKCS#12-Format (.p12 oder .pfx) oder im Java-JKS- bzw. JCEKS-Format vorliegen.

  • Machen Sie sich mit dem openssl-Befehlszeilentool für die Konvertierung des Zertifikats vertraut. Siehe https://www.openssl.org/docs/apps/openssl.html.

  • Liegt das Zertifikat im Java-JKS- oder im JCEKS-Format vor, informieren Sie sich über das Java-keytool-Befehlszeilentool, um zuerst das Zertifikat in das .p12- oder in das .pks-Format und dann in .pem-Dateien zu konvertieren.

Prozedur

  1. Liegt Ihr Zertifikat im Java-JKS- oder JCEKS-Format vor, konvertieren Sie das Zertifikat mit keytool in das .p12- oder .pks-Format.
    Wichtig:

    Verwenden Sie für diese Umwandlung dasselbe Quell- und Zielkennwort.

  2. Liegt Ihr Zertifikat im PKCS#12-Format (.p12 oder .pfx) vor oder wurde das Zertifikat in das PKCS#12-Format konvertiert, verwenden Sie openssl, um das Zertifikat in .pem-Dateien konvertieren.

    Wenn der Name des Zertifikats beispielsweise mycaservercert.pfx lautet, konvertieren Sie das Zertifikat mit den folgenden Befehlen:

    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
  3. Bearbeiten Sie mycaservercert.pem und entfernen Sie nicht erforderliche Zertifikateinträge. Es sollte das eine SSL-Server-Zertifikat enthalten, gefolgt von den erforderlichen Zwischen-CA-Zertifikaten und dem Stamm-CA-Zertifikat.
  4. Mit dem folgenden UNIX-Befehl können Sie jede .pem-Datei in einen Wert konvertieren, der in einer JSON-Zeichenfolge in die Unified Access Gateway-REST-API übernommen werden kann:
    awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

    In diesem Beispiel ist cert-name.pem der Name der Zertifikatdatei. Das Zertifikat sieht ähnlich wie in diesem Beispiel aus.

    Abbildung 1. Zertifikatdatei im einzeiligen Format

    Das neue Format platziert alle Zertifikatinformationen in einzelne Zeilen mit eingebetteten Zeilenendemarken. Wenn Sie über ein Zwischenzertifikat verfügen, muss dieses Zertifikat auch im einzeiligen Format vorliegen und dem ersten Zertifikat hinzugefügt werden, sodass sich beide Zertifikate in derselben Zeile befinden.

Ergebnisse

Sie können die Zertifikate nun für Unified Access Gateway konfigurieren, indem Sie diese .pem-Dateien mit dem PowerShell-Skript verwenden, das dem unter https://communities.vmware.com/docs/DOC-30835 verfügbaren Blog-Beitrag „Using PowerShell to Deploy VMware Access Point“ (Verwenden von PowerShell zur Bereitstellung von VMware Access Point) angehängt ist. Alternativ können Sie eine JSON-Anfrage erstellen und mit dieser das Zertifikat konfigurieren.

Nächste Maßnahme

Informationen zu einem konvertierten TLS-/SSL-Serverzertifikat finden Sie unter Ersetzen des Standard-TLS/SSL-Serverzertifikats für Unified Access Gateway. Erläuterungen zu Smartcard-Zertifikaten erhalten Sie unter Konfigurieren der Zertifikat- oder Smartcard-Authentifizierung in der Unified Access Gateway-Appliance.