以下指示提供如何使用整合代理之 OpenSSL 設定自我簽署憑證的範例。

程序

  1. 建立 IIS 伺服器的自我簽署憑證。
  2. 建立 ibcerts 資料夾以當做工作目錄。
  3. 使用 vi openssl_ext.conf 命令建立組態檔案。
    1. 複製以下 OpenSSL 命令並貼到組態檔案。

      # openssl x509 extfile params

      extensions = extend

      [req] # openssl req params

      prompt = no

      distinguished_name = dn-param

      [dn-param] # DN fields

      C = US

      ST = CA

      O = VMware (Dummy Cert)

      OU = Horizon Workspace (Dummy Cert)

      CN = hostname (安裝整合代理的虛擬機器主機名稱。)

      emailAddress = EMAIL PROTECTED

      [extend] # openssl extensions

      subjectKeyIdentifier = hash

      authorityKeyIdentifier = keyid:always

      keyUsage = digitalSignature,keyEncipherment

      extendedKeyUsage=serverAuth,clientAuth

      [policy] # certificate policy extension data

      備註: 儲存檔案之前,請先輸入 CN 值。
    2. 執行此命令以產生私密金鑰。
                      openssl genrsa -des3 -out server.key 1024
    3. 輸入 server.key 的複雜密碼 (如 vmware)。
    4. server.key 檔案重新命名為 server.key.orig
                      mv server.key server.key.orig
    5. 移除與金鑰相關聯的密碼。
                      openssl rsa -in server.key.orig -out server.key
  4. 利用產生的金鑰建立 CSR (憑證簽署要求)。server.csr 會儲存在工作目錄中。
                openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
  5. 簽署 CSR。
                openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf

    預期的輸出隨即會顯示。

    Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key

  6. 建立 P12 格式。
                openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
    1. 出現提示時按 Enter 以取得匯出密碼。
      重要: 請勿輸入密碼。
      預期的輸出為 server.p12 檔案。
    2. server.p12 檔案移動至安裝整合代理的 Windows 機器上。
    3. 在 [命令提示字元] 中輸入 mmc
    4. 按一下檔案 > 新增或移除嵌入式管理單元
    5. 在 [嵌入式管理單元] 視窗中,依序按一下憑證新增
    6. 選取電腦帳戶選項按鈕。
  7. 將憑證匯入根和個人存放區憑證。
    1. 在對話方塊中選取所有檔案
    2. 選取 server.p12 檔案。
    3. 按一下可匯出核取方塊。
    4. 將密碼保留空白。
    5. 接受後續步驟的預設值。
  8. 將憑證複製到相同 mmc 主控台中的 [信任的根 CA]。
  9. 確認憑證內容包含以下元素。
    • 私密金鑰
    • 主體屬性中的 CN 與整合代理主機名稱相符
    • 啟用用戶端和伺服器驗證的擴充金鑰使用方法屬性