다음 지침은 Integration Broker용 OpenSSL을 사용하여 자체 서명된 인증서를 설정하는 방법의 예를 제공합니다.

프로시저

  1. IIS 서버에 대해 자체 서명된 인증서를 만듭니다.
  2. 작업 디렉토리로 사용할 ibcerts 폴더를 만듭니다.
  3. vi openssl_ext.conf 명령을 사용하여 구성 파일을 만듭니다.
    1. 다음 OpenSSL 명령을 구성 파일에 복사한 후 붙여넣습니다.

      # openssl x509 extfile params

      extensions = extend

      [req] # openssl req params

      prompt = no

      distinguished_name = dn-param

      [dn-param] # DN fields

      C = US

      ST = CA

      O = VMware (Dummy Cert)

      OU = Horizon Workspace (Dummy Cert)

      CN = hostname(Integration Broker가 설치된 가상 시스템 호스트 이름)

      emailAddress = EMAIL PROTECTED

      [extend] # openssl extensions

      subjectKeyIdentifier = hash

      authorityKeyIdentifier = keyid:always

      keyUsage = digitalSignature,keyEncipherment

      extendedKeyUsage=serverAuth,clientAuth

      [policy] # certificate policy extension data

      참고:

      파일을 저장하기 전에 CN 값을 입력합니다.

    2. 다음 명령을 실행하여 개인 키를 생성합니다.
      openssl genrsa -des3 -out server.key 1024
    3. server.key에 대한 암호(예: vmware)를 입력합니다.
    4. server.key 파일 이름을 server.key.orig로 바꿉니다.
      mv server.key server.key.orig
    5. 키와 연결된 암호를 제거합니다.
      openssl rsa -in server.key.orig -out server.key
  4. 생성한 키로 CSR(인증서 서명 요청)을 만듭니다. server.csr은 작업 디렉토리에 저장됩니다.
    openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
  5. CSR에 서명합니다.
    openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf

    다음 화면이 표시됩니다.

    Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key

  6. P12 형식을 만듭니다.
    openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
    1. export password 프롬프트에서 Enter 키를 누릅니다.
      중요:

      암호를 입력하면 안 됩니다.

      server.p12 파일이 생성될 것입니다.

    2. server.p12 파일을 Integration Broker가 설치된 Windows 시스템으로 이동합니다.
    3. 명령 프롬프트에서 mmc를 입력합니다.
    4. 파일 > 스냅인 추가 또는 제거를 클릭합니다.
    5. [스냅인] 창에서 인증서를 클릭하고 추가를 클릭합니다.
    6. 컴퓨터 계정 라디오 버튼을 선택합니다.
  7. 인증서를 루트 및 개인 저장소 인증서로 가져옵니다.
    1. 대화상자에서 모든 파일을 선택합니다.
    2. server.p12 파일을 선택합니다.
    3. 내보내기 가능 확인란을 클릭합니다.
    4. 암호는 비워 둡니다.
    5. 후속 단계에서는 기본값을 그대로 적용합니다.
  8. 인증서를 동일한 mmc 콘솔의 신뢰할 수 있는 루트 CA로 복사합니다.
  9. 인증서 내용에 다음 요소가 포함되어 있는지 확인합니다.
    • 개인 키

    • Integration Broker 호스트 이름과 일치하는 주체 특성의 CN

    • 클라이언트 및 서버 인증이 모두 사용되도록 설정된 확장 키 사용 특성