ワ,クロ,ドバランスの証明書
Citrix Hypervisorとワークロードバランスサーバーは,HTTPSを使用して通信します。ワクロドバランス仮想アプラアンスの設定時に、ウィザードにより自己署名入りのテスト証明書が自動的に作成されます。このテスト証明書により、ワークロードバランスとCitrix HypervisorとのTLS接続が確立されます。デフォルトでは、ワークロードバランスにより、Citrix HypervisorとのこのTLS接続が自動的に作成されます。ワークロードバランス仮想アプライアンスの設定時および設定後に追加の証明書設定を行う必要はありません。
注:
自己署名入りのテスト証明書はHTTPS通信を行うための代替証明書であり,信頼された証明機関からの証明書ではありません。セキュリティを向上させるために,信頼された証明機関からの証明書を使用することをお勧めします。
別の証明機関からの証明書を使用する場合は,ワークロードバランス仮想アプライアンスとCitrix Hypervisorを,その証明書を使用するように設定する必要がります。
デフォルトでは,Citrix Hypervisorにより,ワークロードバランス仮想アプライアンスとの接続を確立する前に証明書の同一性は検証されません。Citrix Hypervisorで特定の証明書を検証するようにするには,その証明書の署名に使用されたルート証明書をエクスポートします。証明書をCitrix Hypervisorにコピーし、ワークロードバランスへの接続時に証明書をチェックするようにCitrix Hypervisorを設定します。この場合、Citrix Hypervisorはクライアントとして動作し、ワークロードバランス仮想アプライアンスはサーバーとして動作します。
環境のセキュリティポリシ,に応じて,以下のいずれかを行います。
注:
証明書の検証機能は,不正な接続を防ぐ目的で設計されています。ワ,クロ,ドバランスの証明書が厳密な要件を満たさない場合は、証明書の検証に失敗します。証明書の検証に失敗すると、Citrix Hypervisorとワークロードバランス仮想アプライアンスの接続が確立されません。
証明書を検証するには,Citrix Hypervisorが特定できる適切な場所に証明書が格納されている必要があります。
Citrix Hypervisorで自己署名証明書の検証を設定する
Citrix Hypervisorがワークロードバランス仮想アプライアンスとの接続を確立する前にCitrixワークロードバランスの自己署名証明書が本物であることを検証するように,Citrix Hypervisorを設定できます。
重要:
ワークロードバランス仮想アプライアンスが,Citrix Hypervisor 8云プレビューの証明書の検証と連携するように設定する場合,自己署名証明書のキーの長さが2048であること,および必要なパラメーターがstunnel構成に追加されていることを確認します:
先ほど作成したユ,ザ,名(通常は
根)とル,トパスワ,ドを使用して,ワ,クロ,ドバランス仮想アプラ,アンスにログ,ンします。次のコマンドを実行して,キ,の長さが2048の自己署名証明書を生成します:
openssl req -x509 -days 3650 -nodes -subj "/CN=" -newkey rsa:2048 -keyout /etc/ssl/cert /server. sh /CN= "输入/etc/ssl/certs/server.pem 次のコマンドを使用して,
/etc/stunnel/stunnel.confファ@ @ルを編集して曲线= secp384r1行を含めます:Sed -i ' /^fips=no/a curve = secp384r1 ' /etc/stunnel/stunnel.conf . Sed -i ' /^fips=no/a curve = secp384r1
ワクロドバランス仮想アプラアンスを再起動します。
これらの手順は,”ワクロドバランス仮想アプラアンスの設定の手順の一部として,既に完了している場合があります。
Citrixワークロードバランスの自己署名証明書をXenServerで検証する場合は,ホスト名を指定してワークロードバランス仮想アプライアンスに接続する必要があります。ワ、クロ、ドバランスのホスト名を確認するには、仮想アプラ、アンス上で主机名コマンドを実行します。
自己署名証明書を検証するようにCitrix Hypervisorを構成するには,次の手順を実行します:
ワークロードバランス仮想アプライアンス上の自己署名入り証明書をプールコーディネーターにコピーします。Citrixワ,クロ,ドバランスの自己署名証明書は
/etc/ssl/certs/server.pemに保存されます。これを行うには,プ,ルコ,ディネ,タ,で次のコマンドを実行します:scp root@ < wlb-ip >: / etc / ssl /组/服务器。pem。<!——NeedCopy >ワクロドバランス仮想アプラアンスのipアドレス(
wlb-ip)の信頼性を確認できないという内容のメッセ,ジが表示されたら,”是的と入力して続行します。プロンプトが表示されたら,ワクロドバランス仮想アプラアンスのルトパスワドを入力します。証明書が現在のフォルダ,にコピ,されます。
証明書を▪▪ンスト▪▪ルします。証明書をコピーしたディレクトリで次のコマンドを実行します:
Xe pool-certificate-install filename=server. exepem < !——NeedCopy >プルコディネタで次のコマンドを実行して,証明書が正しくンストルされたことを確認します:
Xe pool-certificate-list証明書が正しくインストールされた場合は,このコマンドの出力に,エクスポートされたルート証明書が含まれています。(このコマンドを実行すると,)。
証明書をプールコーディネーターからすべてのサーバーへと同期させるには,プールコーディネーターで次のコマンドを実行します:
Xe pool-certificate-syncプ,ルコ,ディネ,タ,上で
pool-certificate-syncコマンドを実行すると,証明書および証明書失効一覧がプ,ル内で同期されます。この操作により,プ,ル内のすべてのサ,バ,で同じ証明書が使用されるようになります。このコマンドを実行しても,何も出力されません。このコマンドが正しく実行されていない場合,次の手順も機能しません。
ワークロードバランス仮想アプライアンスとの接続を確立する前に証明書を検証するように,Citrix Hypervisorに指示します。これを行うには,プ,ルコ,ディネ,タ,で次のコマンドを実行します:
Xe pool-param-set wlb-verify-cert=true uuid=uuid_of_poolヒント:
プ,ルのuuidは,选项卡キ,を押すと自動で入力されます。
(オプション)このコマンドが正しく実行されたことを確認するには,以下の手順に従います:
プル内のほかのサバに証明書が同期されたことを確認するには,それらのサバで
pool-certificate-listコマンドを実行します。証明書を検証するようにCitrix Hypervisorが設定されていることを確認するには,
pool-param-getコマンドにparam-name=wlb-verify-certパラメ,タ,を指定して実行します。例:Xe pool-param-get param-name=wlb-verify-cert uuid=uuid_of_pool
Citrix Hypervisorで証明機関からの証明書の検証を設定する
信頼された証明機関によって署名された証明書を検証するように,Citrix Hypervisorを設定できます。
信頼された機関からの証明書をCitrix Hypervisorで使用するには,公開キ,を含んだ,.pem形式のファイルとしてエクスポートした証明書または証明書チェーン(中間証明書とルート証明書)が必要です。
信頼された機関からの証明書をワ,クロ,ドバランスで使用する必要がある場合は,次のタスクを行います:
これらのタスクを実行する前に,以下の点を確認します:
Citrix Hypervisorのプ,ルコ,ディネ,タ,のIPアドレスが必要です。
Citrix Hypervisorでワークロードバランス仮想アプライアンスのホスト名を解決できる必要があります(Citrix Hypervisorプールコーディネーターのコンソールでワークロードバランス仮想アプライアンスの完全修飾ドメイン名を指定して萍を実行できるなど)。
信頼された証明機関からの署名入り証明書の入手
認証局から証明書を取得するには,証明書署名要求(csr)を生成する必要があります。ワ,クロ,ドバランス仮想アプライアンスで、秘密キーを作成し、その秘密キーを使用してCSRを生成します。
証明書の一般名にいて
CSRの作成時に指定する一般名(CN:常见的名字)はワークロードバランス仮想アプライアンスの完全修飾ドメイン名と正確に一致させる必要があります。また,[wlbサ,バ,への接続]ダ@ @アログボックスの[アドレス]ボックスで指定した完全修飾ドメesc escン名またはipアドレスとも一致させる必要があります。
cnを指定するときは,以下のいずれかのガaaplドラaaplンに従います。
[wlbサ,バ,への接続]ダesc escアログボックスで指定したものと同じcnを指定する。
たとえば,ワ,クロ,ドバランス仮想アプラ,アンスの名前が”
wlb-vpx.yourdomainである場合は,[wlbサ,バ,への接続]ダ电子邮箱アログボックスで”wlb-vpx.yourdomain“と指定し,csrの作成時にcnとして”wlb-vpx.yourdomainと指定します。IPアドレスを使用してプールをワークロードバランスに接続した場合は,完全修飾ドメイン名をCNとして使用し,IPアドレスをサブジェクトの別名(SAN)として指定します。ただし,このやり方では問題が生じる場合もあります。
秘密キファルの作成
ワクロドバランス仮想アプラアンスで,次の手順を実行します:
次のコマンドを実行して,秘密キ,ファ,ルを作成します。
Openssl genrsa -des3 -out privatekey。Pem 2048パスワ,ドを削除します:
Openssl rsa -in privatekey。输出privatekey.nop.pem
注:
不正なパスワードを入力すると,ユーザーインターフェイスエラーが発生したという内容のメッセージが表示されることがあります。このメッセ,ジは無視して構いません。そのままコマンドを実行して秘密キファルを作成します。
証明書署名要求の作成
ワクロドバランス仮想アプラアンスで,次の手順を実行します:
秘密キ,を使用して証明書署名要求を作成します:
Openssl req -new -key privatekey.nop.pem out CSR画面のメッセ,ジに従って以下の情報を入力し,証明書署名要求を生成します。
国家名称:tls証明書の国コドを入力します。日本の国コ,ドは“jp”です。国コドの一覧にいては,ンタネット上を検索して入手できます。
州或省姓名(全称):プ,ルが動作する場所の都道府県名を入力します。たとえば,東京の場合は“东京”と入力します。
地点名称:プ,ルが動作する場所の市区町村名を入力します。
组织名称:所属組織または会社の名前を入力します。
组织单位名称:部門や部署の名前を入力します。この情報は入力しなくても構いません。
共同的名字:ワクロドバランス仮想アプラアンスのfqdnを入力します。この値は,プールでワークロードバランス仮想アプライアンスに接続するときに使用した名前と一致する必要があります。詳しくは,”証明書の一般名にいてを参照してください。
电子邮件地址:証明書に含めるメ,ルアドレスを入力します。
任意の属性を指定するか,输入キ,を押して次のステップに進みます。
現在のディレクトリに証明書署名要求が生成され,”
企业社会责任という名前で保存されます。ワークロードバランスのアプライアンスコンソールで次のコマンドを実行して,コンソールウィンドウにCSRを表示します:
猫CSRcsrの全内容をコピ,し,この情報を使用して,証明機関に証明書を要求します。
新しい証明書の指定と適用
この手順では,ワ,クロ,ドバランスで,認証局からの証明書を使用するように指定します。この手順により、ル、ト証明書と中間証明書(該当する場合)が、ンスト、ルされます。
新しい証明書を指定するには,次の手順を実行します:
証明機関から,署名入り証明書,ルート証明書,および中間証明書(証明機関により提供される場合)をダウンロードします。
証明書をワークロードバランス仮想アプライアンスに直接ダウンロードしなかった場合は,次のいずれかの方法で証明書をコピーします:
Windowsコンピュタから,WinSCPまたは別のコピユティリティを使用します。
この場合,ホスト名としてipアドレスを指定して,デフォルトのポ,トを使用します。ユザ名およびパスワードは、通常rootアカウントのものを使用します(ワークロードバランス仮想アプライアンスの設定時に指定したもの)。
Linuxコンピューターからワークロードバランスアプライアンスに,セキュアコピープロトコルまたは別のコピーユーティリティを使用します。例:
scp root_ca。pem root@wlb-ip:/path_on_your_WLB
ワークロードバランス仮想アプライアンス,ですべての証明書(ルート証明書,中間証明書(インストールされている場合),および署名入り証明書)の内容を統合して1つのファイルにします。次のコマンドを使用します:
猫signed_cert。pem intermediate_ca。pem root_ca。Pem >服务器。pem < !——NeedCopy >次の移動コマンドを実行して,既存の証明書およびキ,の名前を変更します:
mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.Pem_orig mv /etc/ssl/certs/server. pem。关键/etc/ssl/certs/server.key_orig < !——NeedCopy >次のコマンドを実行して,統合した証明書をコピ,します。
mv服务器。pem /etc/ssl/certs/server.pem < !——NeedCopy >次のコマンドを実行して,先ほど作成した秘密キ,をコピ,します:
Mv privatekey.nop.pem /etc/ssl/certs/server. pem关键< !——NeedCopy >ル,トユ,ザ,だけが秘密キ,を読み取れるようにします。権限を修正するには,
修改文件权限コマンドを実行します。Chmod 600 /etc/ssl/certs/server. sh关键< !——NeedCopy >stunnelを再起動します:击杀绝杀
プルへの証明書チェンのンポト
証明書を取得したら,Citrix Hypervisorのプルコディネタにンポトします。これらの証明書を使用するには,プ,ル内のサ,バ,を同期させます。その後で,ワークロードバランスからサーバーへの接続のたびに証明書が検証されるように,Citrix Hypervisorを設定します。
署名入り証明書,ルート証明書,および中間証明書(証明機関により提供される場合)をCitrix Hypervisorのプールコーディネーターにコピーします。
次のコマンドを実行して,ルト証明書をプルコディネタにンストルします:
Xe pool-certificate-install filename=root_ca. exepem < !——NeedCopy >中間証明書を使用する場合は,それもプルコディネタにンストルします:
Xe pool-certificate-install filename=intermediate_ca. exepem < !——NeedCopy >証明書が正しく▪▪ンスト▪▪ルされたことを確認します。これを行うには,プ,ルコ,ディネ,タ,で次のコマンドを実行します:
Xe pool-certificate-listこのコマンドにより,。ンスト,ルした証明書がこの一覧に含まれていることを確認します。
次のコマンドを実行して,プールコーディネーター上の証明書をプール内のすべてのサーバーに同期させます:
Xe pool-certificate-syncプ,ルコ,ディネ,タ,上で
pool-certificate-syncコマンドを実行すると,証明書および証明書失効一覧がプ,ル内で同期されます。この操作により,プ,ル内のすべてのサ,バ,で同じ証明書が使用されるようになります。ワークロードバランス仮想アプライアンスとの接続を確立する前に証明書を検証するように,Citrix Hypervisorに指示します。これを行うには,プ,ルコ,ディネ,タ,で次のコマンドを実行します:
Xe pool-param-set wlb-verify-cert=true uuid=uuid_of_poolヒント:
プ,ルのUUIDは,Tabキ,を押すと自動で入力されます。
証明書の検証を有効化する前に,[wlbへの接続]ダイアログボックスでIPアドレスを指定している場合は,プールとワークロードバランスを再接続するように求められることがあります。
[wlbサ,バ,への接続]ダ@ @アログボックスの[アドレス]ボックスに,ワークロードバランス仮想アプライアンスの完全修飾ドメイン名(証明書のCNと同じもの)を入力します完全修飾ドメイン名を入力して,CNが,Citrix Hypervisorで接続に使用される名前と一致していることを確認します。
トラブルシュ,ティング
証明書の検証の設定後にプールからワークロードバランスに接続できなくなった場合は,証明書の検証を無効化し,接続できるか確認してください。
Xe pool-param-set wlb-verify-cert=false uuid=uuid_of_poolコマンドを使用して証明書の検証を無効にすることができます。証明書の検証を無効にして接続できる場合は、証明書の設定に問題があります。証明書の検証を無効にしても接続できない場合は、ワークロードバランス仮想アプライアンスの資格情報またはネットワーク接続の問題が考えられます。一部の証明機関では,証明書のンストルを確認するためのルが提供されています。ここで説明したタスクで問題が生じた場合は,これらのルを使用して問題を特定してください。これらのツールでTLSポートを指定する必要がある場合は,ポート8012またはワークロードバランス仮想アプライアンスの設定時に指定したポート番号を使用します。
(WLB)タブに接続エラーが表示される場合は,証明書のCNとワークロードバランス仮想アプライアンスの名前が競合している可能性があります。ワクロドバランス仮想アプラアンス名と証明書のcnは完全に一致する必要があります。
詳しくは,”トラブルシュ,ティングを参照してください。