この説明では、OpenSSL を使用して Integration Broker 用に自己署名証明書を設定する方法の例を示します。

手順

  1. IIS サーバ用の自己署名証明書を作成します。
  2. 作業ディレクトリとして使用する ibcerts フォルダを作成します。
  3. vi openssl_ext.conf コマンドを使用して、構成ファイルを作成します。
    1. 次の OpenSSL コマンドをコピーして構成ファイルに貼り付けます。

      # openssl x509 extfile params

      extensions = extend

      [req] # openssl req params

      prompt = no

      distinguished_name = dn-param

      [dn-param] # DN fields

      C = US

      ST = CA

      O = VMware (Dummy Cert)

      OU = Horizon Workspace (Dummy Cert)

      CN = hostname (Integration Broker がインストールされている仮想マシンのホスト名です。)

      emailAddress = EMAIL PROTECTED

      [extend] # openssl extensions

      subjectKeyIdentifier = hash

      authorityKeyIdentifier = keyid:always

      keyUsage = digitalSignature,keyEncipherment

      extendedKeyUsage=serverAuth,clientAuth

      [policy] # certificate policy extension data

      注:

      ファイルを保存する前に CN 値を入力します。

    2. 次のコマンドを実行して、秘密キーを生成します。
      openssl genrsa -des3 -out server.key 1024
    3. server.key のパス フレーズ(たとえば、vmware)を入力します。
    4. server.key ファイルの名前を server.key.orig に変更します。
      mv server.key server.key.orig
    5. キーに関連付けられているパスワードを削除します。
      openssl rsa -in server.key.orig -out server.key
  4. 生成されたキーを使用して CSR(証明書の署名要求)を作成します。server.csr は作業ディレクトリに保存されます。
    openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
  5. CSR に署名します。
    openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf

    予想される出力が表示されます。

    Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key

  6. P12 フォーマットを作成します。
    openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
    1. エクスポート パスワードを求めるプロンプトが表示されたら、Enter キーを押します。
      重要:

      パスワードは入力しません。

      予想される出力は server.p12 ファイルです。

    2. server.p12 ファイルを、Integration Broker がインストールされている Windows マシンに移動します。
    3. コマンド プロンプトから mmc と入力します。
    4. ファイル > スナップインの追加と削除 をクリックします。
    5. [スナップイン] ウィンドウで、証明書 をクリックしてから 追加 をクリックします。
    6. コンピュータ アカウント ラジオ ボタンを選択します。
  7. その証明書をルートおよび個人ストア証明書にインポートします。
    1. ダイアログで すべてのファイル を選択します。
    2. server.p12 ファイルを選択します。
    3. エクスポート可能 チェック ボックスをクリックします。
    4. パスワードは空のままにします。
    5. 以降の手順では、デフォルトを受け入れます。
  8. 証明書を、同じ mmc コンソール内の信頼されたルート CA にコピーします。
  9. 証明書の内容に次の要素が含まれていることを確認します。
    • 秘密キー

    • Integration Broker のホスト名と一致する、件名属性の CN

    • クライアントとサーバの両方の認証が有効化されている拡張キー用途属性