Dieses Thema enthält ein Beispiel für die Einstellung eines selbstsignierten Zertifikats mithilfe von OpenSSL für den Integration Broker-Server, den Sie für die Citrix-Workspace ONE Access-Integration bereitgestellt haben.

Prozedur

  1. Erstellen Sie ein selbstsigniertes Zertifikat für den Integration Broker-Server.
  2. Erstellen Sie den Ordner ibcerts als Arbeitsverzeichnis.
  3. Erstellen Sie eine Konfigurationsdatei mit dem Befehl vi openssl_ext.conf.
    1. Kopieren Sie die folgenden OpenSSL-Befehle und fügen Sie sie in die Konfigurationsdatei ein.

      # OpenSSL x509-Erweiterungsdatei-Parameter

      extensions = extend

      [req] # Erforderliche OpenSSL Parameter

      prompt = no

      distinguished_name = dn-param

      [dn-param] # DN-Felder

      C = US

      ST = CA

      O = VMware (Dummy Cert)

      OU = Horizon Workspace (Dummy Cert)

      CN = hostname (Name des VM-Hosts, auf dem Integration Broker installiert ist)

      emailAddress = EMAIL PROTECTED

      [extend] # OpenSSL-Erweiterungen

      subjectKeyIdentifier = hash

      authorityKeyIdentifier = keyid:always

      keyUsage = digitalSignature,keyEncipherment

      extendedKeyUsage=serverAuth,clientAuth

      [policy] # Daten der Zertifikatrichtlinienerweiterung

      Hinweis: Geben Sie den CN-Wert ein, bevor Sie die Datei speichern.
    2. Führen Sie diesen Befehl aus, um einen privaten Schlüssel zu generieren.
      openssl genrsa -des3 -out server.key 1024
    3. Geben Sie den Kennwortsatz für server.key ein, z.˚B. vmware.
    4. Benennen Sie die Datei server.key in server.key.orig um.
      mv server.key server.key.orig
    5. Entfernen Sie das dem Schlüssel zugeordnete Kennwort.
      openssl rsa -in server.key.orig -out server.key
  4. Erstellen Sie eine Zertifikatsignieranforderung (CSR) mit dem generierten Schlüssel. server.csr wird in Ihrem Arbeitsverzeichnis gespeichert.
    openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
  5. Signieren Sie die CSR.
    openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf

    Die erwartete Ausgabe wird angezeigt.

    Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key

  6. Erstellen Sie ein P12-Format.
    openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
    1. Wenn Sie zur Eingabe eines Exportkennworts aufgefordert werden, drücken Sie die EINGABETASTE.
      Wichtig: Geben Sie kein Kennwort ein.
      Die erwartete Ausgabe ist die Datei server.p12.
    2. Verschieben Sie die Datei server.p12 auf die Windows-Maschine, auf der Integration Broker installiert ist.
    3. Geben Sie an der Eingabeaufforderung mmc ein.
    4. Klicken Sie auf Datei > Snap-Ins hinzufügen/entfernen.
    5. Klicken Sie im Snap-In-Fenster auf Zertifikate und dann auf Hinzufügen.
    6. Wählen Sie das Optionsfeld Computerkonto aus.
  7. Importieren Sie das Zertifikat in die Zertifikate „Root“ und „Privater Speicher“.
    1. Wählen Sie im Dialogfeld Alle Dateien aus.
    2. Wählen Sie die Datei server.p12 aus.
    3. Aktivieren Sie das Kontrollkästchen Exportierbar.
    4. Lassen Sie das Kennwort leer.
    5. Akzeptieren Sie für die nachfolgenden Schritte die Standardwerte.
  8. Kopieren Sie das Zertifikat in die vertrauenswürdigen Stammzertifizierungsstellen auf derselben MMC-Konsole.
  9. Stellen Sie sicher, dass im Zertifikat folgende Elemente enthalten sind:
    • Privater Schlüssel
    • CN im „subject“-Attribut in Übereinstimmung mit dem Integration Broker-Hostnamen
    • Attribut für die erweiterte Schlüsselverwendung, wobei Client- und Serverauthentifizierung aktiviert sind