Si desea utilizar la APi de REST de Unified Access Gateway para configurar las opciones del certificado o bien utilizar los scripts de PowerShell, debe convertir el certificado en archivos de formato PEM para la cadena de certificados y la clave privada y, a continuación, pasar los archivos .pem a un formato de una línea que incluya caracteres incrustados de nueva línea.

Al configurar Unified Access Gateway, es posible que necesite convertir tres tipos de certificados.

  • Siempre debería instalar y configurar un certificado de servidor TLS/SSL para el dispositivo de Unified Access Gateway.
  • Si piensa utilizar autenticación de tarjeta inteligente, debe instalar y configurar el certificado emisor de entidad de certificación del certificado que se agregará a la tarjeta inteligente.
  • Si piensa utilizar autenticación de tarjeta inteligente, VMware recomienda instalar y configurar un certificado raíz para la entidad de certificación que firma el certificado del servidor SAML que está instalado en el dispositivo de Unified Access Gateway.

Con todos estos tipos de certificados debe realizar el mismo procedimiento para convertir el certificado en un archivo de formato PEM que incluya la cadena de certificados. Con los certificados de servidor TLS/SSL y los certificados raíz, también debe convertir cada uno de los archivos en un archivo PEM que incluya la clave privada. A continuación, deberá convertir cada uno de los archivos .pem al formato de una línea que se pueda pasar en una cadena JSON a la API de REST de Unified Access Gateway.

Requisitos previos

  • Compruebe que disponga del archivo de certificado. El formato del archivo puede ser PKCS#12 (.p12 o .pfx) o bien Java JKS o JCEKS.
  • Familiarícese con la herramienta de línea de comandos openssl que utilizará para convertir el certificado. Consulte https://www.openssl.org/docs/apps/openssl.html.
  • Si el certificado tiene el formato Java JKS o JCEKS, familiarícese con la herramienta de línea de comandos de Java keytool para convertir en primer lugar el certificado al formato .p12 o .pks antes de convertirlo en archivos .pem.

Procedimiento

  1. Si su certificado tiene el formato Java JKS o JCEKS, utilice keytool para pasar el certificado al formato .p12 o .pks.
    Importante: Durante la conversión, utilice la misma contraseña de origen y destino.
  2. Si su certificado tiene el formato PKCS#12 (.p12 o .pfx), o una pasado el certificado al formato PKCS#12, utilice openssl para convertir el certificado en archivos .pem.
    Por ejemplo, si el nombre del certificado es mycaservercert.pfx, los comandos siguientes le permitirán convertir el certificado:
    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
  3. Edite mycaservercert.pem y elimine las entradas de certificado que no sean necesarias. Debería incluir el certificado de servidor SSL seguido por cualquier certificado intermedio de AC y un certificado raíz de AC.
  4. Los siguientes comandos UNIX le permitirán convertir cada uno de los archivos .pem (certificado y clave) en el valor que se pueda pasar en una cadena JSON a la REST API de Unified Access Gateway.
    awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

    En este ejemplo, cert-name.pem es el nombre del archivo de certificado. El certificado es similar al de este ejemplo.

    Figura 1. Archivo del certificado en una sola línea
    Archivo de certificado SAMLE
    El nuevo formato coloca toda la información del certificado en una sola línea con caracteres incrustados de nueva línea. Si tiene un certificado intermedio, también deberá tener formato de una línea y estar agregado al primer certificado para que ambos estén en la misma línea.

Resultados

Ahora puede configurar certificados para Unified Access Gateway si utiliza estos archivos .pem con los scripts de PowerShell adjuntos a la entrada de blog "Utilizar PowerShell para implementar VMware Unified Access Gateway", disponible en https://communities.vmware.com/docs/DOC-30835. También puede crear y utilizar una solicitud JSON para configurar el certificado.

Qué hacer a continuación

Puede sustituir el certificado autofirmado predeterminado por un certificado firmado por una CA. Consulte Actualizar certificados firmados del servidor TLS. Si desea información sobre certificados de tarjeta inteligente, consulte Configurar certificado o autenticación de tarjeta inteligente en el dispositivo de Unified Access Gateway.