Используйте инструкции, предоставленные в этом разделе, чтобы задать самозаверяющий сертификат с помощью OpenSSL для Integration Broker.
Процедура
- Создайте самозаверяющий сертификат для сервера Integration Broker.
- Создайте папку ibcerts, которая будет использоваться в качестве рабочего каталога.
- Создайте файл конфигурации с помощью команды vi openssl_ext.conf.
- Скопируйте и вставьте в файл конфигурации следующие команды OpenSSL.
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = hostname (имя узла виртуальной машины, на которой установлен Integration Broker).
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
Примечание:Прежде чем сохранить файл, введите значение CN.
- Выполните эту команду, чтобы создать закрытый ключ.
openssl genrsa -des3 -out server.key 1024
- Введите парольную фразу для файла server.key, например vmware.
- Переименуйте файл server.key на server.key.orig.
mv server.key server.key.orig
- Удалите пароль, связанный с ключом.
openssl rsa -in server.key.orig -out server.key
- Скопируйте и вставьте в файл конфигурации следующие команды OpenSSL.
- Создайте запрос на подпись сертификата (CSR) с помощью созданного ключа. server.csr сохраняется в рабочем каталоге пользователя.
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
- Подпишите запрос на подпись сертификата.
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf
Отобразится ожидаемый выходной результат.
Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key
- Создайте формат P12.
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
- При появлении запроса касательно экспорта пароля нажмите клавишу ВВОД.
Важно:
Не вводите пароль.
В результате должен быть создан файл server.p12.
- Переместите файл server.p12 на компьютер Windows, на котором установлен Integration Broker.
- В командной строке введите mmc.
- Щелкните Файл > Добавление и удаление оснасток.
- В окне «Оснастка» щелкните Сертификаты, а затем — Добавить.
- Установите переключатель Учетная запись компьютера.
- При появлении запроса касательно экспорта пароля нажмите клавишу ВВОД.
- Импортируйте сертификат в корень и хранилище личных сертификатов.
- В диалоговом окне выберите Все файлы.
- Выберите файл server.p12.
- Установите флажок Возможность экспорта.
- Оставьте поле пароля пустым.
- При выполнении последующих шагов применяйте значения по умолчанию.
- Скопируйте сертификат в доверенные корневые центры сертификации в той же самой консоли mmc.
- Убедитесь, что в содержании сертификата присутствуют эти элементы.
Закрытый ключ
CN в атрибуте объекта, который совпадает с именем узла Integration Broker.
Атрибут «Расширенное использование ключа» с включенной проверкой подлинности сервера и клиента.