La fonctionnalité Unified Access Gateway dans votre espace nécessite SSL pour les connexions client. Si vous voulez que l'espace ait une configuration d'Unified Access Gateway, l'assistant de déploiement de l'espace requiert un fichier au format PEM pour fournir la chaîne de certificats du serveur SSL à la configuration d'Unified Access Gateway de l'espace. Le fichier PEM doit contenir toute la chaîne de certificats et la clé privée : le certificat de serveur SSL, des certificats d’autorité de certification intermédiaires nécessaires, le certificat d’autorité de certification racine et la clé privée.

Pour plus d'informations sur les types de certificats utilisés dans Unified Access Gateway, reportez-vous à la rubrique Sélection du type de certificat correct dans la documentation du produit Unified Access Gateway.

À l'étape de l'assistant de déploiement de l'espace pour les paramètres de la passerelle, téléchargez un fichier de certificat. Lors du processus de déploiement, ce fichier est soumis dans la configuration des instances déployées d'Unified Access Gateway. Lorsque vous effectuez l’étape de téléchargement dans l’interface de l'assistant, celui-ci vérifie que le fichier que vous téléchargez répond aux conditions requises suivantes :

  • Le fichier peut être analysé au format PEM.
  • Il contient une chaîne de certificats valide et une clé privée.
  • Cette clé privée correspond à la clé publique du certificat du serveur.

Si vous ne possédez pas un fichier au format PEM pour vos informations de certificat, vous devez convertir celles-ci en un fichier qui répond aux conditions requises ci-dessus. Vous devez convertir votre fichier qui n'est pas au format PEM en format PEM et créer un fichier PEM unique qui contient la chaîne de certificats complète ainsi que la clé privée. Vous devez également modifier le fichier pour supprimer les informations supplémentaires, le cas échéant, afin que l’assistant puisse analyser sans problèmes le fichier. Voici les étapes générales :

  1. Convertissez vos informations de certificat au format PEM et créez un fichier PEM qui contient la chaîne de certificats et la clé privée.
  2. Modifiez le fichier pour supprimer les informations de certificat supplémentaires, le cas échéant, qui sont en dehors des informations de certificat entre chaque ensemble de marqueurs ----BEGIN CERTIFICATE---- et -----END CERTIFICATE-----.

Les exemples de code dans les étapes suivantes supposent que vous commencez avec un fichier nommé mycaservercert.pfx qui contient le certificat d’autorité de certification racine, les informations de certificat d'autorité de certification intermédiaire et la clé privée.

Conditions préalables

  • Vérifiez que vous disposez de votre fichier de certificat. Le fichier peut être au format PKCS#12 (.p12 ou .pfx) ou au format Java JKS ou JCEKS.
    Important : Tous les certificats de la chaîne doivent comprendre des périodes valides. Les machines virtuelles Unified Access Gateway requièrent que tous les certificats de la chaîne, y compris les certificats intermédiaires, aient des périodes valides. Si un certificat dans la chaîne est expiré, des défaillances inattendues peuvent se produire ultérieurement, car le certificat est téléchargé dans la configuration d' Unified Access Gateway.
  • Familiarisez-vous avec l'outil de ligne de commande openssl que vous pouvez utiliser pour convertir le certificat. Reportez-vous à la section https://www.openssl.org/docs/apps/openssl.html.
  • Si le certificat est au format Java JKS ou JCEKS, familiarisez-vous avec l'outil de ligne de commande keytool de Java pour d'abord convertir le certificat au format .p12 ou .pks avant de convertir en fichiers .pem.

Procédure

  1. Si votre certificat est au format Java JKS ou JCEKS, utilisez keytool pour convertir le certificat au format .p12 ou .pks.
    Important : Utilisez le même mot de passe source et de destination lors de cette conversion.
  2. Si votre certificat est au format PKCS#12 (.p12 ou .pfx), ou après la conversion du certificat au format PKCS#12, utilisez openssl pour convertir le certificat en fichier .pem.
    Par exemple, si le nom du certificat est mycaservercert.pfx, vous pouvez utiliser les commandes suivantes pour convertir le certificat :
    openssl pkcs12 -in mycaservercert.pfx -nokeys -out mycaservercertchain.pem
    openssl pkcs12 -in mycaservercert.pfx -nodes -nocerts -out mycaservercertkey.pem
    
    La première ligne ci-dessus obtient les certificats dans mycaservercert.pfx et les écrit au format PEM dans mycaservercertchain.pem. La deuxième ligne ci-dessus obtient la clé privée de mycaservercert.pfx et l’écrit au format PEM dans mycaservercertkey.pem.
  3. (Facultatif) Si la clé privée n'est pas au format RSA, convertissez-la en format de clé privée RSA.
    Les instances d’Unified Access Gateway nécessitent le format de clé privée RSA. Pour vérifier si vous devez exécuter cette étape, examinez votre fichier PEM et vérifiez si les informations de clé privée commencent par
    -----BEGIN PRIVATE KEY-----
    Si la clé privée commence par cette ligne, vous devez la convertir au format RSA. Si la clé privée commence par -----BEGIN RSA PRIVATE KEY-----, il n'est pas nécessaire d’exécuter cette étape pour convertir la clé privée.
    Pour convertir la clé privée au format RSA, exécutez cette commande.
    openssl rsa -in mycaservercertkey.pem -check -out mycaservercertkeyrsa.pem
    La clé privée dans le fichier PEM est à présent au format RSA ( -----BEGIN RSA PRIVATE KEY----- et -----END RSA PRIVATE KEY-----).
  4. Combinez les informations contenues dans le fichier PEM de chaîne de certificats et le fichier PEM de clé privée pour créer un fichier PEM unique.
    Vous voyez ci-dessous un exemple dans lequel le contenu de mycaservercertkeyrsa.pem apparaît en premier (clé privée au format RSA), suivi du contenu de mycaservercertchain.pem, qui est votre certificat SSL principal, suivi d’un certificat intermédiaire, suivi du certificat racine.
    -----BEGIN CERTIFICATE-----
    .... (your primary SSL certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the intermediate CA certificate)
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    .... (the trusted root certificate)
    -----END CERTIFICATE-----
    -----BEGIN RSA PRIVATE KEY-----
    .... (your server key from mycaservercertkeyrsa.pem)
    ----- END RSA PRIVATE KEY-----
    Note : Le certificat de serveur doit apparaître en premier, suivi des certificats intermédiaires, puis du certificat racine approuvé.
  5. S’il existe des entrées de certificat inutiles ou des informations superflues entre les marqueurs BEGIN et END, modifiez le fichier pour les supprimer.

Résultats

Le fichier PEM obtenu répond aux conditions requises de l’assistant de déploiement de l'espace.