Um Zertifikateinstellungen mit der Unified Access Gateway-REST-API zu konfigurieren oder um PowerShell-Skripts zu verwenden, müssen Sie das Zertifikat für die Zertifikatkette sowie für den privaten Schlüssel in Dateien im PEM-Format und dann die .pem-Dateien in ein einzeiliges Format mit eingebetteten Zeilenendemarken konvertieren.
Für das Konfigurieren von Unified Access Gateway stehen drei mögliche Arten von Zertifikaten zur Verfügung, die eventuell konvertiert werden müssen.
- Sie müssen immer ein TLS/SSL-Serverzertifikat für die Unified Access Gateway-Appliance installieren und konfigurieren.
- Wenn Sie die Smartcard-Authentifizierung benutzen möchten, müssen Sie das von einer Zertifizierungsstelle herausgegebene vertrauenswürdige Zertifikat für das Zertifikat installieren und konfigurieren, das für die Smartcard verwendet werden soll.
- Für die Verwendung der Smartcard-Authentifizierung empfiehlt VMware die Installation und Konfiguration eines Stammzertifikats der Signatur-Zertifizierungsstelle für das SAML-Serverzertifikat, das in der Unified Access Gateway-Appliance installiert ist.
Für alle Arten von Zertifikaten ist das Verfahren zur Konvertierung des Zertifikats in eine PEM-Datei mit der Zertifikatkette identisch. Für TLS/SSL-Server- und Stammzertifikate konvertieren Sie jede Datei auch in eine PEM-Datei mit dem privaten Schlüssel. Sie müssen dann auch jede .pem-Datei in ein einzeiliges Format konvertieren, das in einer JSON-Zeichenfolge in die Unified Access Gateway-REST-API übernommen werden kann.
Voraussetzungen
- Stellen Sie sicher, das die Zertifikatdatei vorhanden ist. Die Datei kann im PKCS#12-Format (.p12 oder .pfx) oder im Java-JKS- bzw. JCEKS-Format vorliegen.
- Machen Sie sich mit dem openssl-Befehlszeilentool für die Konvertierung des Zertifikats vertraut. Wenn Sie das Format der Verschlüsselungsliste anzeigen möchten, können Sie in einem Webbrowser nach „openssl cipher string“ suchen.
- Liegt das Zertifikat im Java-JKS- oder im JCEKS-Format vor, informieren Sie sich über das Java-keytool-Befehlszeilentool, um zuerst das Zertifikat in das .p12- oder in das .pks-Format und dann in .pem-Dateien zu konvertieren.
Prozedur
Ergebnisse
Sie können nun die Zertifikate für Unified Access Gateway konfigurieren, indem Sie diese .pem-Dateien mit den PowerShell-Skripten verwenden, die an den unter https://communities.vmware.com/docs/DOC-30835 verfügbaren Blog-Beitrag „Using PowerShell to Deploy VMware Unified Access Gateway“ (Verwenden von PowerShell zur Bereitstellung von VMware Unified Access Gateway) angehängt sind. Alternativ können Sie eine JSON-Anfrage erstellen und mit dieser das Zertifikat konfigurieren.
Nächste Maßnahme
Sie können das selbstsignierte Standardzertifikat durch ein CA-signiertes Zertifikat aktualisieren. Siehe Aktualisieren von signierten TLS-Serverzertifikaten. Erläuterungen zu Smartcard-Zertifikaten erhalten Sie unter Konfigurieren der Zertifikat- oder Smartcard-Authentifizierung in der Unified Access Gateway-Appliance.