В этом разделе приводится пример настройки самозаверяющего сертификата с помощью OpenSSL для сервера Integration Broker, развернутого для интеграции Citrix с Workspace ONE Access.
Процедура
- Создайте самозаверяющий сертификат для сервера Integration Broker.
- Создайте папку ibcerts, которая будет использоваться в качестве рабочего каталога.
- Создайте файл конфигурации с помощью команды vi openssl_ext.conf.
- а. Скопируйте и вставьте в файл конфигурации следующие команды OpenSSL.
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = hostname (имя узла виртуальной машины, на которой установлен Integration Broker).
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
Примечание: Прежде чем сохранить файл, введите значение CN. - б. Выполните эту команду, чтобы создать закрытый ключ.
openssl genrsa -des3 -out server.key 1024
- в. Введите парольную фразу для файла server.key, например vmware.
- г. Переименуйте файл server.key на server.key.orig.
mv server.key server.key.orig
- д. Удалите пароль, связанный с ключом.
openssl rsa -in server.key.orig -out server.key
- а. Скопируйте и вставьте в файл конфигурации следующие команды OpenSSL.
- Создайте запрос на подпись сертификата (CSR) с помощью созданного ключа. server.csr сохраняется в рабочем каталоге пользователя.
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
- Подпишите запрос на подпись сертификата.
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf
Отобразится ожидаемый выходной результат.
Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key
- Создайте формат P12.
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
- а. При появлении запроса касательно экспорта пароля нажмите клавишу ВВОД.
Важно!: Не вводите пароль.В результате должен быть создан файл server.p12.
- б. Переместите файл server.p12 на компьютер Windows, на котором установлен Integration Broker.
- в. В командной строке введите mmc.
- г. Щелкните Файл > Добавление и удаление оснасток.
- д. В окне «Оснастка» щелкните Сертификаты, а затем — Добавить.
- е. Установите переключатель Учетная запись компьютера.
- а. При появлении запроса касательно экспорта пароля нажмите клавишу ВВОД.
- Импортируйте сертификат в корень и хранилище личных сертификатов.
- а. В диалоговом окне выберите Все файлы.
- б. Выберите файл server.p12.
- в. Установите флажок Возможность экспорта.
- г. Оставьте поле пароля пустым.
- д. При выполнении последующих шагов применяйте значения по умолчанию.
- Скопируйте сертификат в доверенные корневые центры сертификации в той же самой консоли mmc.
- Убедитесь, что в содержании сертификата присутствуют эти элементы.
- Закрытый ключ
- CN в атрибуте объекта, который совпадает с именем узла Integration Broker.
- Атрибут «Расширенное использование ключа» с включенной проверкой подлинности сервера и клиента.