如何创建和配置服务器证书进行SSL Relay
Document ID: CTX135562 / Created On: 2013-2-21 / Updated On: 2013-3-15
Average Rating: not yet rated
View products this document applies to
英文版本: CTX128257 / 创建日期: 2011年2月8日 / 更新日期: 2012年3月10日
概要
本文描述了如何为SSL Relay 创建和配置服务器证书。
SSL Relay 可以用在Web Interface和XenApp XML 服务器之间的安全通信,以及ICA客户端到服务器的安全通信。无论哪一种情形,每一台使用SSL Relay的服务器都必须创建独一无二的服务器证书。
本文使用一个内部域认证中心来创建证书模板,签署来自XenApp服务器的请求。这里假设您已经有一个认证中心了。
环境
- 运行认证中心的2008R2的域控制器(需要认证中心和认证中心网站的注册)
- XenApp 6单一服务器Farm
步骤
创建证书模版
- 要创建一个新的证书模板,首先打开管理工具的认证中心管理单元,右击Certificate Templates,点击Manage。
- 右击 Web Server,点击Duplicate Template。
- 一个对话框弹出提示2003或2008企业版。对于这个模板,为第二版的模版选择Windows Server 2003 Enterprise,这个模版可以通过后文中使用的Web Enrollment来访问。
- 给新的证书模板命名,如果需要的话延长有效期。这里,模板命名为“SSL Relay”,有效期被改为“5年”。
- 点击Request Handling选项卡,选择Allow private key to be exported选项。
- 在Security选项卡,确保域管理员或您希望用来登记的账户有注册的权利。单击OK关闭对话框,关闭管理证书窗口。要想这个模板可用,右击Certificate Templates,选择New > Certificate Template to Issue。
- 从列表中选择SSL Relay。
从XenApp服务器上申请证书
- 打开XenApp服务器上的IE浏览器,使用HTTPS浏览CA。申请证书需要HTTPS。
https://mycertserver.domain.com/certsrv
a. 选择Request a certificate.
b. 选择 advanced certificate request.
c. 选择Create and submit a request to this CA.
d. 从模板列表中选择SSL Relay,在表格中填入适当的信息。名称应该是XenApp服务器的完全限定域名(FQDN)。
e. 选择Mark key as exportable,给证书一个易记的名称,然后点击Submit。
- 确认对话框接受了这个操作,然后选择安装这个证书。证书被保存到当前用户的个人证书存储中,但还要被保存到计算机的个人存储中。在命令行中输MMC打开XenApp服务器上的MMC管理单元。
- 从File菜单中,选择Add/Remote Snap-in。选择证书并添加当前用户和计算机证书存储。
- 从当前用户存储,展开Personal > Certificates。在创建的服务器证书上右击,选择all tasks > export。
- 在第一个屏幕的向导上点击下一步,选择“Yes, export the private key”,再点一次下一步。在导出文件格式屏幕上保留默认值,点击下一步。您需要为私钥创建一个密码,然后点击下一步。选择一个文件名,将证书保存在本地文件系统上的任何地方。
- 现在证书已经被导出了。在证书MMC中展开computer store > personal > certificate.
- 右击Certificates,选择All Tasks > Import。浏览到之前导出的PFX文件保存 的位置,导入证书(必须从选择窗口中选择All Files)。输入您之前创建的密码,选择Mark this key as exportable。.
- 点击Next直到完成。
配置SSL Relay
- 到开始菜单的Citrix > Administration Tools下打开SSL Relay Configuration工具。检查Enable SSL Relay复选框,确保从下拉列表中选择适当的证书。
- 从 Connections选项卡中删除服务器 IP地址列表,这样就只剩下FQDN。
- 确保XML端口是正确列出的,这种情况下,XML使用用于ICA的8080和1494端口。点击OK然后重启服务器。现在服务器就可以用于SSL Relay了。
- 在farm的其他需要SSL Relay的服务器上重复以上过程。