このトピックでは、Citrix と Workspace ONE Access の統合用に展開した Integration Broker サーバに OpenSSL を使用して自己署名証明書を設定する例を示します。

手順

  1. Integration Broker サーバ用の自己署名証明書を作成します。
  2. 作業ディレクトリとして使用する ibcerts フォルダを作成します。
  3. vi openssl_ext.conf コマンドを使用して、構成ファイルを作成します。
    1. 次の OpenSSL コマンドをコピーして構成ファイルに貼り付けます。

      # openssl x509 extfile params

      extensions = extend

      [req] # openssl req params

      prompt = no

      distinguished_name = dn-param

      [dn-param] # DN fields

      C = US

      ST = CA

      O = VMware (Dummy Cert)

      OU = Horizon Workspace (Dummy Cert)

      CN = hostname (Integration Broker がインストールされている仮想マシンのホスト名です。)

      emailAddress = EMAIL PROTECTED

      [extend] # openssl extensions

      subjectKeyIdentifier = hash

      authorityKeyIdentifier = keyid:always

      keyUsage = digitalSignature,keyEncipherment

      extendedKeyUsage=serverAuth,clientAuth

      [policy] # certificate policy extension data

      注: ファイルを保存する前に CN 値を入力します。
    2. 次のコマンドを実行して、プライベート キーを生成します。
      openssl genrsa -des3 -out server.key 1024
    3. server.key のパス フレーズ(たとえば、vmware)を入力します。
    4. server.key ファイルの名前を server.key.orig に変更します。
      mv server.key server.key.orig
    5. キーに関連付けられているパスワードを削除します。
      openssl rsa -in server.key.orig -out server.key
  4. 生成されたキーを使用して CSR(証明書の署名要求)を作成します。server.csr は作業ディレクトリに保存されます。
    openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
  5. CSR に署名します。
    openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf

    予想される出力が表示されます。

    Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key

  6. P12 フォーマットを作成します。
    openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
    1. エクスポート パスワードを求めるプロンプトが表示されたら、[Enter] キーを押します。
      重要: パスワードは入力しません。
      予想される出力は server.p12 ファイルです。
    2. server.p12 ファイルを、Integration Broker がインストールされている Windows マシンに移動します。
    3. コマンド プロンプトから mmc と入力します。
    4. [ファイル] > [スナップインの追加と削除] をクリックします。
    5. [スナップイン] ウィンドウで、[証明書] をクリックしてから [追加] をクリックします。
    6. [コンピュータ アカウント] ラジオ ボタンを選択します。
  7. その証明書をルートおよび個人ストア証明書にインポートします。
    1. ダイアログで [すべてのファイル] を選択します。
    2. server.p12 ファイルを選択します。
    3. [エクスポート可能] チェック ボックスをクリックします。
    4. パスワードは空のままにします。
    5. 以降の手順では、デフォルトを受け入れます。
  8. 証明書を、同じ mmc コンソール内の信頼されたルート CA にコピーします。
  9. 証明書の内容に次の要素が含まれていることを確認します。
    • プライベート キー
    • Integration Broker のホスト名と一致する、件名属性の CN
    • クライアントとサーバの両方の認証が有効な拡張キー用途属性