First-Gen-Mandanten – Konvertieren einer Zertifikatsdatei in das PEM-Format, das für Horizon Cloud First-Gen-Pod-Bereitstellungen erforderlich ist

Die Unified Access Gateway-Funktion in Ihrem First-Gen-Pod benötigt SSL für Clientverbindungen. Wenn der Pod eine Unified Access Gateway-Konfiguration aufweisen soll, benötigt der Pod-Bereitstellungsassistent eine Datei im PEM-Format, um die SSL-Serverzertifikatskette für die Unified Access Gateway-Konfiguration des Pods bereitzustellen. Diese einzelne PEM-Datei muss die vollständige Zertifikatskette einschließlich des privaten Schlüssels enthalten: das SSL-Serverzertifikat, alle erforderlichen Zwischenzertifizierungsstellen-Zertifikate, das Stamm-Zertifizierungsstellenzertifikat und den privaten Schlüssel.

Wichtig: Diese Informationen gelten nur, wenn Sie auf eine First-Gen-Mandantenumgebung in der First-Gen-Steuerungsebene zugreifen können. Wie im KB-Artikel 92424 beschrieben, hat die First-Gen-Steuerungsebene das Ende der Verfügbarkeit (End of Availability, EOA) erreicht. Weitere Informationen finden Sie in diesem Artikel.

Weitere Informationen zu den in Unified Access Gateway verwendeten Zertifikatstypen finden Sie unter dem Thema „Auswahl des richtigen Zertifikatstyps“ in der Produktdokumentation für Unified Access Gateway.

Im Schritt des Pod-Bereitstellungsassistenten für die Gateway-Einstellungen laden Sie eine Zertifikatdatei hoch. Während des Bereitstellungsvorgangs wird diese Datei an die Konfiguration der bereitgestellten Unified Access Gateway-Instanzen übergeben. Wenn Sie den Upload-Schritt im Assistenten ausführen, überprüft dieser, ob die hochgeladene Datei folgende Anforderungen erfüllt:

Die Datei kann im PEM-Format analysiert werden.
Sie enthält eine gültige Zertifikatskette und einen privaten Schlüssel.
Dieser private Schlüssel entspricht dem öffentlichen Schlüssel des Serverzertifikats.

Wenn Sie keine PEM-Datei für Ihre Zertifikatsinformationen haben, müssen Sie Ihre Zertifikatsinformationen in eine Datei konvertieren, die den oben genannten Anforderungen entspricht. Sie müssen Ihre Nicht-PEM-Datei in das PEM-Format konvertieren und eine einzige PEM-Datei erstellen, die die gesamte Zertifikatskette plus privaten Schlüssel enthält. Sie müssen die Datei auch bearbeiten, um ggf. zusätzliche Informationen zu entfernen, damit der Assistent keine Probleme bei der syntaktischen Analyse der Datei hat. Die allgemeinen Schritte sind:

Konvertieren Sie Ihre Zertifikatinformationen in das PEM-Format und erstellen Sie eine einzelne PEM-Datei, die die Zertifikatskette und den privaten Schlüssel enthält.
Bearbeiten Sie die Datei, um eventuell vorhandene zusätzliche Zertifikatinformationen zu entfernen, die außerhalb der Zertifikatinformationen zwischen ----BEGIN CERTIFICATE---- und -----END CERTIFICATE----- liegen.

In den folgenden Codebeispielen wird davon ausgegangen, dass Sie mit einer Datei namens mycaservercert.pfx starten, die das Stamm-Zertifizierungsstellenzertifikat, Zwischenzertifizierungsstellen-Zertifikate und den privaten Schlüssel enthält.

Voraussetzungen

Stellen Sie sicher, das die Zertifikatdatei vorhanden ist. Die Datei kann im PKCS#12-Format (.p12 oder .pfx) oder im Java JKS- bzw. JCEKS-Format vorliegen.
Wichtig: Alle Zertifikate in der Zertifikatskette müssen gültige Zeiträume aufweisen. Die Unified Access Gateway-VMs erfordern, dass alle Zertifikate in der Zertifikatskette und alle gegebenenfalls vorhandenen Zwischenzertifikate gültige Zeiträume besitzen. Wenn ein Zertifikat in der Zertifikatskette abgelaufen ist, können später beim Hochladen des Zertifikats in die Unified Access Gateway-Konfiguration unerwartete Fehler auftreten.
Machen Sie sich mit dem Befehlszeilentool openssl vertraut, mit dem Sie das Zertifikat konvertieren können. Die Dokumentation finden Sie auf der Website des Anbieters, bei dem Sie Ihre OpenSSL-Software erworben haben, oder auf den Handbuchseiten unter openssl.org.
Liegt das Zertifikat im Java JKS- oder im JCEKS-Format vor, informieren Sie sich über das Java-Befehlszeilentool keytool, um das Zertifikat in das Format .p12 oder .pks und dann in eine .pem-Datei zu konvertieren.

Prozedur

Wenn Ihr Zertifikat im Java JKS- oder JCEKS-Format vorliegt, konvertieren Sie es mit keytool in das Format .p12 oder .pks.

Wichtig: Verwenden Sie für diese Konvertierung dasselbe Quell- und Zielkennwort.
Wenn Ihr Zertifikat im PKCS#12-Format (.p12 oder .pfx) vorliegt oder in das PKCS#12-Format konvertiert wurde, verwenden Sie openssl, um das Zertifikat in eine .pem-Datei zu konvertieren.
Wenn der Name des Zertifikats beispielsweise mycaservercert.pfx lautet, konvertieren Sie das Zertifikat mit den folgenden Befehlen:
```
openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercertchain.pem
openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
```
Mit der ersten Zeile werden die in mycaservercert.pfx vorhandenen Zertifikate abgerufen und im PEM-Format in mycaservercertchain.pem geschrieben. Mit der zweiten Zeile wird der private Schlüssel aus mycaservercert.pfx abgerufen und im PEM-Format in mycaservercertkey.pem geschrieben.
(Optional) Wenn der private Schlüssel nicht im RSA-Format vorliegt, konvertieren Sie den privaten Schlüssel in das RSA-Format für private Schlüssel.
Die Unified Access Gateway-Instanzen benötigen das RSA-Format für private Schlüssel. Um zu überprüfen, ob Sie diesen Schritt ausführen müssen, schauen Sie in Ihrer PEM-Datei nach, ob die Informationen über den privaten Schlüssel wie folgt beginnen:
```
-----BEGIN PRIVATE KEY-----
```
Wenn der private Schlüssel mit dieser Zeile beginnt, sollten Sie den privaten Schlüssel in das RSA-Format konvertieren. Wenn der private Schlüssel mit -----BEGIN RSA PRIVATE KEY----- beginnt, müssen Sie diesen Schritt nicht ausführen, um den privaten Schlüssel zu konvertieren.
Um den privaten Schlüssel in das RSA-Format zu konvertieren, führen Sie diesen Befehl aus.
```
openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
```
Der private Schlüssel in der PEM-Datei ist nun im RSA-Format ( -----BEGIN RSA PRIVATE KEY----- und -----END RSA PRIVATE KEY-----).
Kombinieren Sie die Informationen aus der PEM-Datei der Zertifikatskette und aus der PEM-Datei des privaten Schlüssels zu einer einzigen PEM-Datei.
Nachfolgend finden Sie ein Beispiel, in dem zuerst der Inhalt aus mycaservercertkeyrsa.pem (der private Schlüssel im RSA-Format) und dann der Inhalt aus mycaservercertchain.pem (Ihr primäres SSL-Zertifikat, gefolgt von einem Zwischenzertifikat, gefolgt vom Stammzertifikat) aufgeführt wird.
```
-----BEGIN CERTIFICATE-----
.... (your primary SSL certificate)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.... (the intermediate CA certificate)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.... (the trusted root certificate)
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
.... (your server key from mycaservercertkeyrsa.pem)
-----END RSA PRIVATE KEY-----
```
Hinweis: Zuerst muss das Serverzertifikat angegebenen werden, dann folgen alle Zwischenstellenzertifikate und zuletzt das vertrauenswürdige Stammzertifikat.
Wenn zwischen BEGIN und END unnötige Zertifikateinträge oder irrelevante Informationen vorhanden sind, bearbeiten Sie die Datei, um diese zu entfernen.

Ergebnisse

Die resultierende PEM-Datei entspricht den Anforderungen des Pod-Bereitstellungsassistenten.