以下指示提供如何使用整合代理之 OpenSSL 設定自我簽署憑證的範例。
程序
- 建立 IIS 伺服器的自我簽署憑證。
- 建立 ibcerts 資料夾以當做工作目錄。
- 使用 vi openssl_ext.conf 命令建立組態檔案。
- 複製以下 OpenSSL 命令並貼到組態檔案。
# openssl x509 extfile params
extensions = extend
[req] # openssl req params
prompt = no
distinguished_name = dn-param
[dn-param] # DN fields
C = US
ST = CA
O = VMware (Dummy Cert)
OU = Horizon Workspace (Dummy Cert)
CN = hostname (安裝整合代理的虛擬機器主機名稱。)
emailAddress = EMAIL PROTECTED
[extend] # openssl extensions
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage=serverAuth,clientAuth
[policy] # certificate policy extension data
備註: 儲存檔案之前,請先輸入 CN 值。 - 執行此命令以產生私密金鑰。
openssl genrsa -des3 -out server.key 1024
- 輸入 server.key 的複雜密碼 (如 vmware)。
- 將 server.key 檔案重新命名為 server.key.orig。
mv server.key server.key.orig
- 移除與金鑰相關聯的密碼。
openssl rsa -in server.key.orig -out server.key
- 複製以下 OpenSSL 命令並貼到組態檔案。
- 利用產生的金鑰建立 CSR (憑證簽署要求)。server.csr 會儲存在工作目錄中。
openssl req -new -key server.key -out server.csr -config ./openssl_ext.conf
- 簽署 CSR。
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -extfile openssl_ext.conf
預期的輸出隨即會顯示。
Signature ok subject=/C=US/ST=CA/O=VMware (Dummy Cert)/OU=Horizon Workspace (Dummy Cert)/CN=w2-hwdog-xa.vmware.com/emailAddress=EMAIL PROTECTED Getting Private key
- 建立 P12 格式。
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
- 出現提示時按 Enter 以取得匯出密碼。
重要: 請勿輸入密碼。預期的輸出為 server.p12 檔案。
- 將 server.p12 檔案移動至安裝整合代理的 Windows 機器上。
- 在 [命令提示字元] 中輸入 mmc。
- 按一下檔案 > 新增或移除嵌入式管理單元。
- 在 [嵌入式管理單元] 視窗中,依序按一下憑證和新增。
- 選取電腦帳戶選項按鈕。
- 出現提示時按 Enter 以取得匯出密碼。
- 將憑證匯入根和個人存放區憑證。
- 在對話方塊中選取所有檔案。
- 選取 server.p12 檔案。
- 按一下可匯出核取方塊。
- 將密碼保留空白。
- 接受後續步驟的預設值。
- 將憑證複製到相同 mmc 主控台中的 [信任的根 CA]。
- 確認憑證內容包含以下元素。
- 私密金鑰
- 主體屬性中的 CN 與整合代理主機名稱相符
- 啟用用戶端和伺服器驗證的擴充金鑰使用方法屬性