如何创建和配置服务器证书进行SSL Relay

Document ID: CTX135562   /   Created On: 2013-2-21   /   Updated On: 2013-3-15

Average Rating: not yet rated

View products this document applies to link to products this document applies to

英文版本: CTX128257 / 创建日期: 2011年2月8日 / 更新日期: 2012年3月10日

概要

本文描述了如何为SSL Relay 创建和配置服务器证书。

SSL Relay 可以用在Web Interface和XenApp XML 服务器之间的安全通信,以及ICA客户端到服务器的安全通信。无论哪一种情形,每一台使用SSL Relay的服务器都必须创建独一无二的服务器证书。

本文使用一个内部域认证中心来创建证书模板,签署来自XenApp服务器的请求。这里假设您已经有一个认证中心了。

环境

  • 运行认证中心的2008R2的域控制器(需要认证中心和认证中心网站的注册)
  • XenApp 6单一服务器Farm

步骤

创建证书模版

  1. 要创建一个新的证书模板,首先打开管理工具的认证中心管理单元,右击Certificate Templates,点击Manage

  1. 右击 Web Server,点击Duplicate Template

  1. 一个对话框弹出提示2003或2008企业版。对于这个模板,为第二版的模版选择Windows Server 2003 Enterprise,这个模版可以通过后文中使用的Web Enrollment来访问。

  1. 给新的证书模板命名,如果需要的话延长有效期。这里,模板命名为“SSL Relay”,有效期被改为“5年”。

  1. 点击Request Handling选项卡,选择Allow private key to be exported选项。

  1. Security选项卡,确保域管理员或您希望用来登记的账户有注册的权利。单击OK关闭对话框,关闭管理证书窗口。要想这个模板可用,右击Certificate Templates,选择New > Certificate Template to Issue

  1. 从列表中选择SSL Relay

从XenApp服务器上申请证书

  1. 打开XenApp服务器上的IE浏览器,使用HTTPS浏览CA。申请证书需要HTTPS。
    https://mycertserver.domain.com/certsrv

    a. 选择Request a certificate.

    b. 选择 advanced certificate request.

    c. 选择Create and submit a request to this CA.

    d. 从模板列表中选择SSL Relay,在表格中填入适当的信息。名称应该是XenApp服务器的完全限定域名(FQDN)。

    e. 选择Mark key as exportable,给证书一个易记的名称,然后点击Submit

  1. 确认对话框接受了这个操作,然后选择安装这个证书。证书被保存到当前用户的个人证书存储中,但还要被保存到计算机的个人存储中。在命令行中输MMC打开XenApp服务器上的MMC管理单元。
  2. File菜单中,选择Add/Remote Snap-in。选择证书并添加当前用户和计算机证书存储。

  1. 从当前用户存储,展开Personal > Certificates。在创建的服务器证书上右击,选择all tasks > export。
  2. 在第一个屏幕的向导上点击下一步,选择“Yes, export the private key”,再点一次下一步。在导出文件格式屏幕上保留默认值,点击下一步。您需要为私钥创建一个密码,然后点击下一步。选择一个文件名,将证书保存在本地文件系统上的任何地方。
  3. 现在证书已经被导出了。在证书MMC中展开computer store > personal > certificate.

  1. 右击Certificates,选择All Tasks > Import。浏览到之前导出的PFX文件保存 的位置,导入证书(必须从选择窗口中选择All Files)。输入您之前创建的密码,选择Mark this key as exportable。.

  1. 点击Next直到完成。

配置SSL Relay

  1. 到开始菜单的Citrix > Administration Tools下打开SSL Relay Configuration工具。检查Enable SSL Relay复选框,确保从下拉列表中选择适当的证书。

  1. Connections选项卡中删除服务器 IP地址列表,这样就只剩下FQDN。

  1. 确保XML端口是正确列出的,这种情况下,XML使用用于ICA的8080和1494端口。点击OK然后重启服务器。现在服务器就可以用于SSL Relay了。
  2. 在farm的其他需要SSL Relay的服务器上重复以上过程。
posted on 2013-04-27 10:41  账号难注册  阅读(2037)  评论(0编辑  收藏  举报