この説明では、OpenSSL を使用して Integration Broker 用に自己署名証明書を設定する方法の例を示します。
手順
- Integration Broker サーバ用の自己署名証明書を作成します。
- 作業ディレクトリとして使用する ibcerts フォルダを作成します。
- vi openssl_ext.conf コマンドを使用して、構成ファイルを作成します。
- 次の OpenSSL コマンドをコピーして構成ファイルに貼り付けます。
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = hostname (Integration Broker がインストールされている仮想マシンのホスト名です。)
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
注:ファイルを保存する前に CN 値を入力します。
- 次のコマンドを実行して、秘密キーを生成します。
openssl genrsa -des3 -out server.key 1024
- server.key のパス フレーズ(たとえば、vmware)を入力します。
- server.key ファイルの名前を server.key.orig に変更します。
mv server.key server.key.orig
- キーに関連付けられているパスワードを削除します。
openssl rsa -in server.key.orig -out server.key
- 次の OpenSSL コマンドをコピーして構成ファイルに貼り付けます。
- 生成されたキーを使用して CSR(証明書の署名要求)を作成します。server.csr は作業ディレクトリに保存されます。
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
- CSR に署名します。
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf
予想される出力が表示されます。
Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key
- P12 フォーマットを作成します。
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
- エクスポート パスワードを求めるプロンプトが表示されたら、Enter キーを押します。
重要:
パスワードは入力しません。
予想される出力は server.p12 ファイルです。
- server.p12 ファイルを、Integration Broker がインストールされている Windows マシンに移動します。
- コマンド プロンプトから mmc と入力します。
- ファイル > スナップインの追加と削除 をクリックします。
- [スナップイン] ウィンドウで、証明書 をクリックしてから 追加 をクリックします。
- コンピュータ アカウント ラジオ ボタンを選択します。
- エクスポート パスワードを求めるプロンプトが表示されたら、Enter キーを押します。
- その証明書をルートおよび個人ストア証明書にインポートします。
- ダイアログで すべてのファイル を選択します。
- server.p12 ファイルを選択します。
- エクスポート可能 チェック ボックスをクリックします。
- パスワードは空のままにします。
- 以降の手順では、デフォルトを受け入れます。
- 証明書を、同じ mmc コンソール内の信頼されたルート CA にコピーします。
- 証明書の内容に次の要素が含まれていることを確認します。
秘密キー
Integration Broker のホスト名と一致する、件名属性の CN
クライアントとサーバの両方の認証が有効な拡張キー用途属性