Dieses Thema enthält ein Beispiel für die Einstellung eines selbstsignierten Zertifikats mithilfe von OpenSSL für den Integration Broker-Server, den Sie für die Citrix-Workspace ONE Access-Integration bereitgestellt haben.
Prozedur
- Erstellen Sie ein selbstsigniertes Zertifikat für den Integration Broker-Server.
- Erstellen Sie den Ordner ibcerts als Arbeitsverzeichnis.
- Erstellen Sie eine Konfigurationsdatei mit dem Befehl vi openssl_ext.conf.
- Kopieren Sie die folgenden OpenSSL-Befehle und fügen Sie sie in die Konfigurationsdatei ein.
# OpenSSL x509-Erweiterungsdatei-Parameter
extensions = extend
[req] # Erforderliche OpenSSL Parameter
prompt = no
distinguished_name = dn-param
[dn-param] # DN-Felder
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = hostname (Name des VM-Hosts, auf dem Integration Broker installiert ist)
emailAddress = EMAIL PROTECTED
[extend] # OpenSSL-Erweiterungen
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # Daten der Zertifikatrichtlinienerweiterung
Hinweis: Geben Sie den CN-Wert ein, bevor Sie die Datei speichern. - Führen Sie diesen Befehl aus, um einen privaten Schlüssel zu generieren.
openssl genrsa -des3 -out server.key 1024
- Geben Sie den Kennwortsatz für server.key ein, z.˚B. vmware.
- Benennen Sie die Datei server.key in server.key.orig um.
mv server.key server.key.orig
- Entfernen Sie das dem Schlüssel zugeordnete Kennwort.
openssl rsa -in server.key.orig -out server.key
- Kopieren Sie die folgenden OpenSSL-Befehle und fügen Sie sie in die Konfigurationsdatei ein.
- Erstellen Sie eine Zertifikatsignieranforderung (CSR) mit dem generierten Schlüssel. server.csr wird in Ihrem Arbeitsverzeichnis gespeichert.
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
- Signieren Sie die CSR.
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf
Die erwartete Ausgabe wird angezeigt.
Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key
- Erstellen Sie ein P12-Format.
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
- Wenn Sie zur Eingabe eines Exportkennworts aufgefordert werden, drücken Sie die EINGABETASTE.
Wichtig: Geben Sie kein Kennwort ein.Die erwartete Ausgabe ist die Datei server.p12.
- Verschieben Sie die Datei server.p12 auf die Windows-Maschine, auf der Integration Broker installiert ist.
- Geben Sie an der Eingabeaufforderung mmc ein.
- Klicken Sie auf Datei > Snap-Ins hinzufügen/entfernen.
- Klicken Sie im Snap-In-Fenster auf Zertifikate und dann auf Hinzufügen.
- Wählen Sie das Optionsfeld Computerkonto aus.
- Wenn Sie zur Eingabe eines Exportkennworts aufgefordert werden, drücken Sie die EINGABETASTE.
- Importieren Sie das Zertifikat in die Zertifikate „Root“ und „Privater Speicher“.
- Wählen Sie im Dialogfeld Alle Dateien aus.
- Wählen Sie die Datei server.p12 aus.
- Aktivieren Sie das Kontrollkästchen Exportierbar.
- Lassen Sie das Kennwort leer.
- Akzeptieren Sie für die nachfolgenden Schritte die Standardwerte.
- Kopieren Sie das Zertifikat in die vertrauenswürdigen Stammzertifizierungsstellen auf derselben MMC-Konsole.
- Stellen Sie sicher, dass im Zertifikat folgende Elemente enthalten sind:
- Privater Schlüssel
- CN im „subject“-Attribut in Übereinstimmung mit dem Integration Broker-Hostnamen
- Attribut für die erweiterte Schlüsselverwendung, wobei Client- und Serverauthentifizierung aktiviert sind