В этом разделе приводится пример настройки самозаверяющего сертификата с помощью OpenSSL для сервера Integration Broker, развернутого для интеграции Citrix с Workspace ONE Access.

Процедура

  1. Создайте самозаверяющий сертификат для сервера Integration Broker.
  2. Создайте папку ibcerts, которая будет использоваться в качестве рабочего каталога.
  3. Создайте файл конфигурации с помощью команды vi openssl_ext.conf.
    1. а. Скопируйте и вставьте в файл конфигурации следующие команды OpenSSL.

      # openssl x509 extfile params

      extensions = extend

      [req] # openssl req params

      prompt = no

      distinguished_name = dn-param

      [dn-param] # DN fields

      C = US

      ST = CA

      O = VMware (Dummy Cert)

      OU = Horizon Workspace (Dummy Cert)

      CN = hostname (имя узла виртуальной машины, на которой установлен Integration Broker).

      emailAddress = EMAIL PROTECTED

      [extend] # openssl extensions

      subjectKeyIdentifier = hash

      authorityKeyIdentifier = keyid:always

      keyUsage = digitalSignature,keyEncipherment

      extendedKeyUsage=serverAuth,clientAuth

      [policy] # certificate policy extension data

      Примечание: Прежде чем сохранить файл, введите значение CN.
    2. б. Выполните эту команду, чтобы создать закрытый ключ.
      openssl genrsa -des3 -out server.key 1024
    3. в. Введите парольную фразу для файла server.key, например vmware.
    4. г. Переименуйте файл server.key на server.key.orig.
      mv server.key server.key.orig
    5. д. Удалите пароль, связанный с ключом.
      openssl rsa -in server.key.orig -out server.key
  4. Создайте запрос на подпись сертификата (CSR) с помощью созданного ключа. server.csr сохраняется в рабочем каталоге пользователя.
    openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
  5. Подпишите запрос на подпись сертификата.
    openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf

    Отобразится ожидаемый выходной результат.

    Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key

  6. Создайте формат P12.
    openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
    1. а. При появлении запроса касательно экспорта пароля нажмите клавишу ВВОД.
      Важно!: Не вводите пароль.
      В результате должен быть создан файл server.p12.
    2. б. Переместите файл server.p12 на компьютер Windows, на котором установлен Integration Broker.
    3. в. В командной строке введите mmc.
    4. г. Щелкните Файл > Добавление и удаление оснасток.
    5. д. В окне «Оснастка» щелкните Сертификаты, а затем — Добавить.
    6. е. Установите переключатель Учетная запись компьютера.
  7. Импортируйте сертификат в корень и хранилище личных сертификатов.
    1. а. В диалоговом окне выберите Все файлы.
    2. б. Выберите файл server.p12.
    3. в. Установите флажок Возможность экспорта.
    4. г. Оставьте поле пароля пустым.
    5. д. При выполнении последующих шагов применяйте значения по умолчанию.
  8. Скопируйте сертификат в доверенные корневые центры сертификации в той же самой консоли mmc.
  9. Убедитесь, что в содержании сертификата присутствуют эти элементы.
    • Закрытый ключ
    • CN в атрибуте объекта, который совпадает с именем узла Integration Broker.
    • Атрибут «Расширенное использование ключа» с включенной проверкой подлинности сервера и клиента.