Pour utiliser l'API REST Unified Access Gateway afin de configurer des paramètres de certificat, ou pour utiliser les scripts PowerShell, vous devez convertir le certificat en fichiers au format PEM pour la chaîne de certificats et la clé privée, et vous devez ensuite convertir les fichiers .pem en un format sur une seule ligne qui inclut des caractères de saut de ligne intégrés.

Lors de la configuration d'Unified Access Gateway, vous pouvez avoir à convertir trois types possibles de certificat.

  • Vous devez toujours installer et configurer un certificat de serveur TLS/SSL pour le dispositif Unified Access Gateway.
  • Si vous prévoyez d'utiliser l'authentification par carte à puce, vous devez installer et configurer le certificat de l'émetteur d'autorité de certification approuvée pour le certificat qui sera placé sur la carte à puce.
  • Si vous prévoyez d'utiliser l'authentification par carte à puce, VMware vous recommande d'installer et de configurer un certificat racine pour l'autorité de certification de signature pour le certificat du serveur SAML installé sur le dispositif Unified Access Gateway.

Pour tous ces types de certificats, vous effectuez la même procédure pour convertir le certificat en un fichier au format PEM qui contient la chaîne de certificats. Pour les certificats de serveur TLS/SSL et les certificats racine, vous convertissez également chaque fichier en un fichier PEM qui contient la clé privée. Vous devez ensuite convertir chaque fichier .pem en un format sur une seule ligne pouvant être transmis dans une chaîne JSON à l'API REST Unified Access Gateway.

Conditions préalables

  • Vérifiez que vous disposez du fichier de certificat. Le fichier peut être au format PKCS#12 (.p12 ou .pfx) ou au format Java JKS ou JCEKS.
  • Familiarisez-vous avec l'outil de ligne de commande openssl que vous utiliserez pour convertir le certificat. Pour afficher le format de la liste de chiffrements, vous pouvez rechercher « openssl cipher string » dans un navigateur Web.
  • Si le certificat est au format Java JKS ou JCEKS, familiarisez-vous avec l'outil de ligne de commande keytool de Java pour d'abord convertir le certificat au format .p12 ou .pks avant de convertir en fichiers .pem.

Procédure

  1. Si votre certificat est au format Java JKS ou JCEKS, utilisez keytool pour convertir le certificat au format .p12 ou .pks.
    Important : Utilisez le même mot de passe source et de destination lors de cette conversion.
  2. Si votre certificat est au format PKCS#12 (.p12 ou .pfx), ou après la conversion du certificat au format PKCS#12, utilisez openssl pour convertir le certificat en fichiers .pem.
    Par exemple, si le nom du certificat est mycaservercert.pfx, utilisez les commandes suivantes pour convertir le certificat :
    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercert.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
  3. Modifiez mycaservercert.pem et supprimez les entrées inutiles du certificat. Il doit contenir le certificat de serveur SSL, ainsi que les certificats d'autorité de certification intermédiaires et racine nécessaires.
  4. Utilisez la commande UNIX suivante pour convertir chaque fichier .pem (certificat et clé) en une valeur pouvant être transmise dans une chaîne JSON à la REST API Unified Access Gateway :
    awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' cert-name.pem

    Dans cet exemple, cert-name.pem est le nom du fichier de certificat. Le certificat ressemble à cet exemple.

    Figure 1. Fichier de certificat sur une seule ligne
    Exemple de fichier de certificat
    Le nouveau format place toutes les informations de certificat sur une seule ligne avec des caractères de saut de ligne intégrés. Si vous disposez d'un certificat intermédiaire, convertissez ce certificat en format sur une seule ligne et ajoutez-le au premier certificat pour que les deux se trouvent sur la même ligne.

Résultats

Vous pouvez désormais configurer des certificats pour Unified Access Gateway à l'aide de ces fichiers .pem avec les scripts PowerShell joints à l'article de blog « Using PowerShell to Deploy VMware Unified Access Gateway » (Utilisation de PowerShell pour déployer VMware Unified Access Gateway), disponible sur la page https://communities.vmware.com/docs/DOC-30835. Vous pouvez également créer et utiliser une demande JSON pour configurer le certificat.

Que faire ensuite

Vous pouvez remplacer le certificat auto-signé par défaut par un certificat signé par une autorité de certification. Reportez-vous à la section #GUID-59A33B87-B3E9-4A80-9348-1AE841EDF567. Pour les certificats de carte à puce, reportez-vous à la section Authentification par certificat et par carte à puce.