Queste istruzioni forniscono un esempio di come impostare un certificato autofirmato utilizzando OpenSSL per Integration Broker.
Procedura
- Creare un certificato autofirmato per il server IIS.
- Creare la cartella ibcerts da utilizzare come directory di lavoro.
- Creare un file di configurazione utilizzando il comando vi openssl_ext.conf.
- Copiare e incollare i comandi OpenSSL riportati di seguito nel file di configurazione.
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = nomehost (il nome host della macchina virtuale su cui è installato Integration Broker)
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
Nota: Immettere il valore di CN prima di salvare il file. - Eseguire questo comando per generare una chiave privata.
openssl genrsa -des3 -out server.key 1024
- Immettere la passphrase per server.key, ad esempio vmware.
- Ridenominare il file server.key in server.key.orig.
mv server.key server.key.orig
- Rimuovere la password associata alla chiave.
openssl rsa -in server.key.orig -out server.key
- Copiare e incollare i comandi OpenSSL riportati di seguito nel file di configurazione.
- Creare una richiesta di firma certificato (CSR, certificate signing request) con la chiave generata. La server.csr sarà memorizzata nella directory di lavoro.
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
- Firmare la CSR.
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf
Verrà visualizzato l'output previsto.
Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key
- Creare il formato P12.
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
- Premere Invio al prompt per una password per l'esportazione.
Importante: Non immettere una password.L'output previsto sarà il file server.p12.
- Spostare il file server.p12 sulla macchina Windows su cui è installato Integration Broker.
- Dal prompt dei comandi, digitare mmc.
- Fare clic su File > Aggiungi o rimuovi snap-in.
- Nella finestra Snap-in, fare clic su Certificati e fare clic su Aggiungi.
- Selezionare il pulsante di opzione Account del computer.
- Premere Invio al prompt per una password per l'esportazione.
- Importare il certificato nell'archivio dei certificati root e personali.
- Scegliere Tutti i file nella finestra di dialogo.
- Selezionare il file server.p12.
- Fare clic sulla casella di spunta Esportabile.
- Lasciare vuoto il campo della password.
- Accettare i valori predefiniti per i passi successivi.
- Copiare il certificato nelle CA root sicure nella stessa console mmc.
- Verificare che il contenuto del certificato includa tali elementi.
- Chiave privata
- CN nell'attributo dell'oggetto che corrisponde al nome host di Integration Broker
- Attributo di utilizzo della chiave esteso con l'autenticazione client e server abilitata