Dit onderwerp biedt een voorbeeld van het instellen van een zelfondertekend certificaat met behulp van OpenSSL voor de Integration Broker-server die u hebt geïmplementeerd voor de integratie van Citrix-Workspace ONE Access.
Procedure
- Maak een zelfondertekend certificaat voor de Integration Broker-server.
- Maak de map ibcerts om als werkdirectory te gebruiken.
- Maak een configuratiebestand met behulp van de opdracht vi openssl_ext.conf.
- Kopieer en plak de volgende OpenSSL-opdrachten in het configuratiebestand.
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = hostnaam (hostnaam van de virtuele machine waarop Integration Broker is geïnstalleerd.)
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
Opmerking: Typ de CN-waarde voordat u het bestand opslaat. - Voer deze opdracht uit om een privésleutel te genereren.
openssl genrsa -des3 -out server.key 1024
- Typ de wachtwoordzin voor server.key, bijvoorbeeld vmware.
- Wijzig de naam van het bestand server.key in server.key.orig.
mv server.key server.key.orig
- Verwijder het wachtwoord dat aan de sleutel is gekoppeld.
openssl rsa -in server.key.orig -out server.key
- Kopieer en plak de volgende OpenSSL-opdrachten in het configuratiebestand.
- Maak een CSR (Certificate Signing Request) met de gegenereerde sleutel. De server.csr wordt opgeslagen in uw werkdirectory.
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
- Onderteken de CSR.
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf
De verwachte output wordt weergegeven.
Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Privésleutel ophalen
- Maak P12-formaat.
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
- Druk op Enter bij de vraag om een exportwachtwoord.
Belangrijk: Voer geen wachtwoord in.De verwachte output is het bestand server.p12.
- Verplaats het bestand server.p12 naar het Windows-apparaat waarop Integration Broker is geïnstalleerd.
- Vanaf de opdrachtregel typt u mmc.
- Klik op Bestand > Modules toevoegen of verwijderen.
- In het Modulevenster klikt u op Certificaten en op Toevoegen.
- Selecteer het keuzerondje Computeraccount.
- Druk op Enter bij de vraag om een exportwachtwoord.
- Importeer het certificaat naar de basis- en persoonlijke opslagcertificaten.
- Kies in het dialoogvenster Alle bestanden.
- Selecteer het bestand server.p12.
- Klik op het selectievakje Exporteerbaar.
- Laat het wachtwoord leeg.
- Accepteer de standaardinstellingen voor de volgende stappen.
- Kopieer het certificaat in de Vertrouwde basis-CA's in dezelfde mmc-console.
- Verifieer of de inhoud van het certificaat deze elementen bevat.
- Privésleutel
- CN in het onderwerpkenmerk dat overeenkomst met de hostnaam van Integration Broker
- Uitgebreid kenmerk van sleutelgebruik met ingeschakelde verificatie van client en server