Queste istruzioni forniscono un esempio di come impostare un certificato autofirmato utilizzando OpenSSL per Integration Broker.
Procedura
- Creare un certificato autofirmato per il server Integration Broker.
- Creare la cartella ibcerts da utilizzare come directory di lavoro.
- Creare un file di configurazione utilizzando il comando vi openssl_ext.conf.
- Copiare e incollare i comandi OpenSSL riportati di seguito nel file di configurazione.
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = nomehost (il nome host della macchina virtuale su cui è installato Integration Broker)
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
Nota:Immettere il valore di CN prima di salvare il file.
- Eseguire questo comando per generare una chiave privata.
openssl genrsa -des3 -out server.key 1024
- Immettere la passphrase per server.key, ad esempio vmware.
- Ridenominare il file server.key in server.key.orig.
mv server.key server.key.orig
- Rimuovere la password associata alla chiave.
openssl rsa -in server.key.orig -out server.key
- Copiare e incollare i comandi OpenSSL riportati di seguito nel file di configurazione.
- Creare una richiesta di firma certificato (CSR, certificate signing request) con la chiave generata. La server.csr sarà memorizzata nella directory di lavoro.
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
- Firmare la CSR.
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf
Verrà visualizzato l'output previsto.
Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key
- Creare il formato P12.
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
- Premere Invio al prompt per una password per l'esportazione.
Importante:
Non immettere una password.
L'output previsto sarà il file server.p12.
- Spostare il file server.p12 sulla macchina Windows su cui è installato Integration Broker.
- Dal prompt dei comandi, digitare mmc.
- Fare clic su File > Aggiungi o rimuovi snap-in.
- Nella finestra Snap-in, fare clic su Certificati e fare clic su Aggiungi.
- Selezionare il pulsante di opzione Account del computer.
- Premere Invio al prompt per una password per l'esportazione.
- Importare il certificato nell'archivio dei certificati root e personali.
- Scegliere Tutti i file nella finestra di dialogo.
- Selezionare il file server.p12.
- Fare clic sulla casella di spunta Esportabile.
- Lasciare vuoto il campo della password.
- Accettare i valori predefiniti per i passi successivi.
- Copiare il certificato nelle CA root sicure nella stessa console mmc.
- Verificare che il contenuto del certificato includa tali elementi.
Chiave privata
CN nell'attributo dell'oggetto che corrisponde al nome host di Integration Broker
Attributo di utilizzo della chiave esteso con l'autenticazione client e server abilitata