En estas instrucciones se proporciona una muestra de cómo establecer un certificado autofirmado con OpenSSL para Integration Broker.
Procedimiento
- Cree un certificado autofirmado para el servidor ISS.
- Cree la carpeta ibcerts para utilizar como el directorio de trabajo.
- Cree un archivo de configuración con el comando vi openssl_ext.conf.
- Copie los siguientes comandos de OpenSSL y péguelos en el archivo de configuración.
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = hostname (Virtual machine hostname where the Integration Broker is installed. )
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
Nota: Escriba el valor CN antes de guardar el archivo. - Ejecute este comando para generar una clave privada.
openssl genrsa -des3 -out server.key 1024
- Escriba la frase de contraseña de server.key, por ejemplo, vmware.
- Cambie el nombre del archivo server.key a server.key.orig.
mv server.key server.key.orig
- Elimine la contraseña asociada a la clave.
openssl rsa -in server.key.orig -out server.key
- Copie los siguientes comandos de OpenSSL y péguelos en el archivo de configuración.
- Cree una solicitud de firma del certificado (CSR) con la clave generada. El server.csr se almacenará en su directorio de trabajo.
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
- Firme el CSR.
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf
Se mostrará la salida esperada.
Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key
- Cree el formato P12.
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
- Pulse Intro en el mensaje para una contraseña exportada.
Importante: No introduzca la contraseña.La salida esperada es el archivo server.p12.
- Mueva el archivo server.p12 a la máquina de Windows dónde se instaló Integration Broker.
- En el mensaje, escriba mmc.
- Haga clic en Archivo > Agregar o quitar complementos.
- En la ventana Complementos, haga clic en Certificados y en Agregar.
- Seleccione el botón de selección Cuenta de equipo.
- Pulse Intro en el mensaje para una contraseña exportada.
- Importe el certificado en los certificados de tienda personal y raíz.
- Seleccione Todos los archivos en el cuadro de diálogo.
- Seleccione el archivo server.p12.
- Haga clic en la casilla de verificación para habilitar la exportación.
- Deje la contraseña en blanco.
- Acepte los valores predeterminados de los pasos siguientes.
- Copie el certificado en las CA raíz de confianza de la misma consola mmc.
- Compruebe que el contenido del certificado incluye estos elementos.
- Clave privada
- CN en el atributo del sujeto que coincide con el nombre de host de Integration Broker.
- Atributo de uso de clave ampliada con autenticación tanto de cliente como de servidor habilitada