다음 지침은 Integration Broker용 OpenSSL을 사용하여 자체 서명된 인증서를 설정하는 방법의 예를 제공합니다.
프로시저
- Integration Broker 서버에 대해 자체 서명된 인증서를 만듭니다.
- 작업 디렉토리로 사용할 ibcerts 폴더를 만듭니다.
- vi openssl_ext.conf 명령을 사용하여 구성 파일을 만듭니다.
- 다음 OpenSSL 명령을 구성 파일에 복사한 후 붙여넣습니다.
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = hostname(Integration Broker가 설치된 가상 시스템 호스트 이름)
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
참고:파일을 저장하기 전에 CN 값을 입력합니다.
- 다음 명령을 실행하여 개인 키를 생성합니다.
openssl genrsa -des3 -out server.key 1024
- server.key에 대한 암호(예: vmware)를 입력합니다.
- server.key 파일 이름을 server.key.orig로 바꿉니다.
mv server.key server.key.orig
- 키와 연결된 암호를 제거합니다.
openssl rsa -in server.key.orig -out server.key
- 다음 OpenSSL 명령을 구성 파일에 복사한 후 붙여넣습니다.
- 생성한 키로 CSR(인증서 서명 요청)을 만듭니다. server.csr은 작업 디렉토리에 저장됩니다.
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
- CSR에 서명합니다.
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf
예상된 출력이 표시됩니다.
Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key
- P12 형식을 만듭니다.
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
- export password 프롬프트에서 Enter 키를 누릅니다.
중요:
암호를 입력하면 안 됩니다.
server.p12 파일이 생성될 것입니다.
- server.p12 파일을 Integration Broker가 설치된 Windows 시스템으로 이동합니다.
- 명령 프롬프트에서 mmc를 입력합니다.
- 파일 > 스냅인 추가 또는 제거를 클릭합니다.
- [스냅인] 창에서 인증서를 클릭하고 추가를 클릭합니다.
- 컴퓨터 계정 라디오 버튼을 선택합니다.
- export password 프롬프트에서 Enter 키를 누릅니다.
- 인증서를 루트 및 개인 저장소 인증서로 가져옵니다.
- 대화상자에서 모든 파일을 선택합니다.
- server.p12 파일을 선택합니다.
- 내보내기 가능 확인란을 클릭합니다.
- 암호는 비워 둡니다.
- 후속 단계에서는 기본값을 그대로 적용합니다.
- 인증서를 동일한 mmc 콘솔의 신뢰할 수 있는 루트 CA로 복사합니다.
- 인증서 내용에 다음 요소가 포함되어 있는지 확인합니다.
개인 키
Integration Broker 호스트 이름과 일치하는 주체 특성의 CN
클라이언트 및 서버 인증이 모두 사용되도록 설정된 확장 키 사용 특성