Das Zertifikat überprüft für Mirage-Clients, ob der Mirage Gateway-Server, mit dem sie eine Verbindung herstellen möchten, vertrauenswürdig ist.
Die Erstellung eines Zertifikats für den Mirage Gateway-Server kann auf unterschiedliche Arten erfolgen.
Sie können ein Zertifikat für den Mirage Gateway-Server mithilfe von OpenSSL oder mit dem MakeCert-Tool erstellen.
Vorgehensweise
1 Generieren einer Zertifikatsignieranforderung und Abrufen eines Zertifikats mit OpenSSL für den Mi-rage Gateway-Server auf Seite 35
VMware-Produkte implementieren die OpenSSL-Bibliotheken und -Toolkits, um die Standardzertifi‐
kate zu generieren, die während des Installationsprozesses erstellt werden. Sie können OpenSSL zur Vorbereitung einer Anforderung und die Zertifizierungsstelle (Certificate Authority, CA) als eine ver-trauenswürdige Stammzertifizierungsstelle zur Generierung eines signierten Zertifikats verwenden.
2 Generieren einer Zertifikatsignieranforderung und Abrufen eines Zertifikats mit der Microsoft Ma-nagement Console für den Mirage Gateway-Server auf Seite 37
Um für einen Mirage Gateway-Server ein Zertifikat verfügbar zu machen, erstellen Sie eine Zertifikat‐
signieranforderung (Certificate Signing Request, CSR) und senden die Signieranforderung an eine Zertifizierungsstelle (CA). Wenn die Zertifizierungsstelle das Zertifikat zurückgibt, konvertieren Sie die Zertifikatdateierweiterung und importieren das signierte Zertifikat in den Zertifikatspeicher auf dem Computer mit dem Mirage Gateway-Server.
Generieren einer Zertifikatsignieranforderung und Abrufen eines Zertifikats mit OpenSSL für den Mirage Gateway-Server
VMware-Produkte implementieren die OpenSSL-Bibliotheken und -Toolkits, um die Standardzertifikate zu generieren, die während des Installationsprozesses erstellt werden. Sie können OpenSSL zur Vorbereitung einer Anforderung und die Zertifizierungsstelle (Certificate Authority, CA) als eine vertrauenswürdige Stammzertifizierungsstelle zur Generierung eines signierten Zertifikats verwenden.
Erstellen der OpenSSL-Konfigurationsdatei für den Mirage Gateway-Server
Mithilfe der Konfigurationsdatei generieren Sie ein Zertifikat für den Mirage Gateway-Server.
Voraussetzungen
n Laden Sie das geeignete Installationsprogramm für OpenSSL von
http://www.openssl.org/related/binaries.html herunter. Führen Sie das heruntergeladene OpenSSL-In-stallationsprogramm zum Installieren von OpenSSL unter Windows aus.
Vorgehensweise
1 Erstellen Sie unter C:\certs eine Konfigurationsdatei mit dem Namen server.conf. 2 Machen Sie in der Konfigurationsdatei die erforderlichen Angaben.
Ändern Sie die Angaben in Kursivschrift entsprechend Ihrer Umgebung.
[ ca ]
default_ca = myca [ crl_ext ]
authorityKeyIdentifier=keyid:always
dir = ./
# Alternativer Antragstellername wie in alt_names definiert
# subjectAltName = @alt_names
[alt_names]
# if it contains dns type name, then it MUST be used and CN of subject MUST be ignored.
Please refer to rfc2818 for details.
# following items as example:
#dns.1=*.miragedomain.com
#dns.2=*.beispiel.com
#AnzahlTage ist die Gültigkeitsdauer des Zertifikats in Tagen. #AnzahlCRLTage ist der Zeitraum in Tagen bis zur nächsten CRL.
Die OpenSSL‐Konfigurationsdatei für den Mirage Gateway-Server wird erstellt.
Weiter
Generieren Sie die Zertifikatsanforderung.
Generieren eines Zertifikats für den Mirage Gateway-Server mithilfe von OpenSSL Für den Mirage Gateway-Server wird ein CA‐Zertifikat mithilfe von OpenSSL erstellt.
Bei Linux wird die Groß-/Kleinschreibung beachtet.
Voraussetzungen
n Erstellen Sie die Datei server.conf.
Vorgehensweise
1 Greifen Sie auf die OpenSSL‐Eingabeaufforderung zu.
2 Erstellen Sie ein Root‐CA‐Zertifikat.
openssl req -newkey rsa:4096 -sha512 -days 9999 -x509 -nodes -out root.cer 3 Erstellen Sie zusätzliche interne Daten, die in der Datei server.conf verwendet werden.
touch certindex echo 000a > certserial echo 000a > crlnumber
4 Generieren Sie eine CA‐Zertifikatsanforderung für den Mirage Gateway-Server und den Mirage-Server.
openssl req -newkey rsa:4096 -sha512 -nodes -out server.csr -keyout server.key -subj
"/C=CN/ST=bj/L=bj/O=VMware/OU=EUC/CN=10.117.162.236"
Der Wert für die Variable CN muss dem FQDN oder der IP-Adresse des Mirage-Servers entsprechen, der während der Mirage-Serverinstallation angegeben wurde.
5 Erstellen Sie ein Zertifikat für den Mirage Gateway-Server und den Mirage-Server.
openssl ca -batch -config server.conf -notext -in server.csr -out server.cer 6 Konvertieren Sie das Zertifikat für den Mirage Gateway-Server in das .pem-Format.
cat server.key server.cer >GW.pem
7 Konvertieren Sie das Zertifikat für den Mirage-Server in das .pfx-Format.
openssl pkcs12 -export -inkey server.key -in server.cer -out Server.pfx
Importieren Sie das Zertifikat mithilfe der Webkonsole.
Generieren einer Zertifikatsignieranforderung und Abrufen eines Zertifikats mit der Microsoft Management Console für den Mirage Gateway-Server
Um für einen Mirage Gateway-Server ein Zertifikat verfügbar zu machen, erstellen Sie eine Zertifikatsignie‐
ranforderung (Certificate Signing Request, CSR) und senden die Signieranforderung an eine Zertifizierungs‐
stelle (CA). Wenn die Zertifizierungsstelle das Zertifikat zurückgibt, konvertieren Sie die Zertifikatdateier‐
weiterung und importieren das signierte Zertifikat in den Zertifikatspeicher auf dem Computer mit dem Mirage Gateway-Server.
Generieren der Zertifikatsignieranforderung für den Mirage Gateway-Server
Wenn Sie das SSL‐Zertifikat für den Mirage Gateway-Server einrichten, müssen Sie zunächst die Zertifikat‐
signieranforderung (Certificate Signing Request, CSR) erzeugen.
Vorgehensweise
1 Wählen Sie in der Microsoft Management Console Datei > Snap-In hinzufügen/entfernen aus.
2 Wählen Sie im Fenster Snap-In hinzufügen/entfernen die Option Zertifikate aus und klicken Sie auf Hinzufügen.
3 Wählen Sie im Fenster Zertifikat‐Snap‐In die Option Computerkonto aus und klicken Sie auf Weiter.
4 Wählen Sie Lokaler Computer aus und klicken Sie auf Fertig stellen.
5 Klicken Sie im Fenster Snap-In hinzufügen/entfernen auf OK, um das Fenster zu schließen.
6 Erweitern Sie den Knoten Zertifikate (Lokaler Computer).
7 Erweitern Sie den Knoten Persönlich und klicken Sie mit der rechten Maustaste auf Zertifikate.
8 Wählen Sie Alle Aufgaben > Erweiterte Vorgänge > Benutzerdefinierte Anforderung erstellen.
9 Folgen Sie den Eingabeaufforderungen und wählen Sie auf der Seite „Zertifikatregistrierungsrichtlinie auswählen“ die Option Den Vorgang ohne Registrierungsrichtlinie fortsetzen aus und klicken Sie auf Weiter.
10 Überprüfen Sie die entsprechenden Informationen auf der Seite „Benutzerdefinierte Anforderung“ und klicken Sie auf Weiter.
a Wählen Sie Legacyschlüssel als Vorlagentyp aus.
b Wählen Sie PKCS #10 als Anforderungsformat aus.
11 Erweitern Sie das Dropdown-Menü Details und klicken Sie auf Eigenschaften.
12 Geben Sie auf der Registerkarte Allgemein der Seite „Zertifikatinformationen“ den Anzeigenamen des Zertifikats ein.
Sie müssen diesen Namen im DNS-Eintrag verwenden.
13 Überprüfen Sie die Informationen auf der Registerkarte Betreff.
Option Beschreibung
Allgemeiner Name, Wert Der vollqualifizierte Domänenname (FQDN) des Servers. Dies ist der Name des Zertifikatantragstellers, der in der Mirage‐Konfiguration zum Auffinden des Zertifikats verwendet wird. Der FQDN muss auf den be-treffenden Server verweisen und wird beim Herstellen der Verbindung vom Client überprüft.
Organisation, Wert Der Firmenname. Wird gewöhnlich von der ZS verlangt.
Land, Wert Ein aus zwei Buchstaben bestehender Ländercode, z. B. US oder DE. Wird gewöhnlich von der ZS verlangt.
Bundesland, Wert Der Name des Bundeslands/Kantons.
Ort, Wert Der Ortsname.
14 Wählen Sie auf der Registerkarte Erweiterungen in den Dropdown-Menüs die Informationen zur Schlüsselverwendung aus.
a Erweitern Sie das Dropdown-Menü Schlüsselverwendung, wählen Sie Datenverschlüsselung aus und klicken Sie auf Hinzufügen.
b Erweitern Sie das Dropdown-Menü Erweiterte Schlüsselverwendung, wählen Sie Serverauthenti-fizierung aus und klicken Sie auf Hinzufügen.
15 Wählen Sie auf der Registerkarte Privater Schlüssel die Größen- und Exportoptionen für den Schlüssel aus.
Option Beschreibung
Schlüsseloptionen Dies ist die erforderliche Schlüsselgröße (gewöhnlich 1024 oder 2048 MB).
Privaten Schlüssel exportierbar ma-chen
Mit dieser Option werden die Zertifikatsignieranforderung und später das Zertifikat zu Sicherungs- und Serververschiebungszwecken mit dem priva-ten Schlüssel exportiert.
Schlüsseltyp Wählen Sie Exchange aus (der Standardwert ist Signatur).
16 Klicken Sie auf Anwenden und dann auf OK, um das Fenster Zertifikateigenschaften zu schließen. An-schließend klicken Sie im Assistenten für Zertifikatregistrierung auf Weiter.
17 Behalten Sie auf der Seite „Zertifikatregistrierung“ das Standarddateiformat (Base 64) bei und klicken Sie auf Durchsuchen, um einen Dateinamen und einen Speicherort für die Zertifikatsignieranforderung einzugeben. Klicken Sie anschließend auf Fertig stellen.
Die Zertifikatanforderung ist abgeschlossen.
18 Klicken Sie auf der Registerkarte Zertifikatregistrierungen & Zertifikate auf Aktualisieren.
Sie können die Zertifikatsignieranforderung zu Sicherungszwecken mit dem privaten Schlüssel expor-tieren.
Weiter
Nachdem Sie die Zertifikatsignieranforderung erzeugt haben, müssen Sie sie absenden. Weitere Informatio-nen hierzu finden Sie unter „Absenden der Zertifikatanforderung“, auf Seite 39.
Absenden der Zertifikatanforderung
Nachdem Sie die Zertifikatsignieranforderung erzeugt haben, müssen Sie sie absenden.
Vorgehensweise
1 Öffnen Sie die Website der externen Zertifizierungsstelle und klicken Sie auf Zertifikat anfordern.
2 Wählen Sie auf der Seite „Zertifikat anfordern“ die Option Erweiterte Zertifikatanforderung aus.
3 Wählen Sie auf der Seite „Erweiterte Zertifikatanforderung“ die Option Reichen Sie eine Zertifikatan-forderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneue-rungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein aus.
4 Öffnen Sie die Datei csr.req mit einem Text-Editor und kopieren Sie den Text.
5 Fügen Sie den Text der Zertifikatsignieranforderung im Textfeld Base-64-codierte Zertifikatanforde-rung ein.
6 Wählen Sie im Dropdown-Menü Zertifikatvorlage die Option Web Server aus und klicken Sie auf Sen-den.
7 Wählen Sie auf der Seite „Zertifikat wurde ausgestellt“ die Option Base-64-codiert aus und klicken Sie dann auf Zertifikat herunterladen.
8 Wählen Sie, wenn Sie dazu aufgefordert werden, Speichern unter aus, geben Sie den Dateinamen ein und speichern Sie das Zertifikat als .p7b-Datei.
Konvertieren der Zertifikatdateierweiterung
Nachdem Sie das Zertifikat erzeugt haben, konvertieren Sie die Zertifikatdateierweiterung von .p7b in .pfx. Die Zertifikatdateierweiterung für die Mirage Gateway-Serverinstallation muss .pfx lauten.
Voraussetzungen
n Stellen Sie sicher, dass Sie den Mirage-Server installiert haben.
n Stellen Sie sicher, dass Sie ein Zertifikat generiert haben.
Vorgehensweise
1 Doppelklicken Sie auf das Zertifikat und klicken Sie mit der rechten Maustaste auf Zertifikat installie-ren, um den Assistenten für die Zertifikatinstallation zu starten.
2 Wählen Sie Alle Zertifikate in folgendem Speicher speichern aus und klicken Sie auf Durchsuchen.
3 Wählen Sie im Fenster Zertifikatspeicher auswählen den Ordner Persönlich aus, klicken Sie auf OK, um das Fenster zu schließen und klicken Sie dann auf Weiter.
4 Überprüfen Sie die Informationen zum Installieren des Zertifikats und klicken Sie auf Fertig stellen.
5 Erweitern Sie in der Windows MMC den Knoten Zertifikate und dann den Knoten Persönlich und wählen Sie dann Zertifikate aus.
6 Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Alle Aufgaben > Exportieren aus.
7 Folgen Sie den Eingabeaufforderungen, wählen Sie Ja, privaten Schlüssel exportieren aus und klicken Sie auf Weiter.
8 Wählen Sie das Format der Exportdatei aus.
a Aktivieren Sie das Kontrollkästchen Privater Informationsaustausch – PKCS #12 (.PFX).
b Aktivieren Sie das Kontrollkästchen Wenn möglich, alle Zertifikate im Zertifizierungspfad einbe-ziehen.
c Klicken Sie auf Weiter.
9 Aktivieren Sie auf der Seite „Sicherheit“ das Kontrollkästchen Kennwort, geben Sie ein neues Kenn-wort ein, bestätigen Sie das KennKenn-wort und klicken Sie auf Weiter.
10 Speichern Sie das Zertifikat.
a Klicken Sie auf der Seite „Zu exportierende Datei“ auf Durchsuchen
b Suchen Sie das Zertifikat, wählen Sie es aus und speichern Sie es als .pfx-Datei.
c Klicken Sie auf Speichern.
11 Folgen Sie den Eingabeaufforderungen, um den Export abzuschließen.
Das Zertifikat ist nun auf dem Mirage-Server installiert und für SSL konfiguriert.