Konvertieren eines Zertifikats vom PFX-Format in das PEM-Format
SSL-Zertifikate werden für den SSL-Lastausgleich virtueller Server und virtuelle Citrix Gateway-Server verwendet. Die PEM-Zertifikate sind Base64-codierte ASCII-Dateien. Die PEM-Zertifikate können im Texteditor/Notepad geöffnet werden und Sie stellen fest, dass sie die Anweisungen “—BEGIN CERTIFICATE—” und “—END CERTIFICATE—” enthalten.
Für einen sicheren, vertrauenswürdigen Zugriff müssen Sie ein SSL-Serverzertifikat auf dem Citrix Gateway-Server installieren. Die hochgeladene Zertifikatsdatei muss die folgenden Eigenschaften aufweisen:
-
Die Zertifizierungsstelle (CA), der Endbenutzer vertrauen, muss das Serverzertifikat ausstellen. Verwenden Sie für beste Ergebnisse eine kommerzielle CA wie Verisign, Thawte oder GeoTrust.
-
Das Zertifikat muss im Privacy Enhanced Mail (PEM) -Format vorliegen, einem textbasierten Format, das eine Base64-Kodierung des binären Formats für Distinguished Encoding Rules (DER) ist.
-
Die Zertifikatsdatei muss einen privaten Schlüssel enthalten und der private Schlüssel darf nicht verschlüsselt werden. Für die Verwendung der PEM-Datei darf kein Kennwort erforderlich sein.
-
Alle erforderlichen Zwischenzertifikate müssen an das Ende der PEM-Datei angehängt werden.
Führen Sie das folgende Verfahren aus, um ein PFX-Zertifikat mithilfe des Citrix Gateway-Assistenten in das PEM-Format zu konvertieren:
-
Navigieren Sie zu Traffic Management, wählen Sie den SSL-Knoten.
-
Klicken Sie auf den Link PKCS importieren #12.
-
Geben Sie im Feld Ausgabedateiname einen gewünschten Dateinamen für das PEM-Zertifikat an.
-
Klicken Sie auf Durchsuchen und wählen Sie das PFX-Zertifikat aus, das Sie in das PEM-Format konvertieren möchten. Einige Benutzer ziehen es vor, das Zertifikat in das Verzeichnis /ncsonfig/ssl hochzuladen und von dort aus zu verwenden. Wenn das PFX-Zertifikat auf Citrix Gateway gespeichert ist, wählen Sie die Option Appliance, und wenn es auf Ihrer Arbeitsstation gespeichert ist, verwendet es Local.
-
Geben Sie das Importkennwort an.
-
Wenn die Datei codiert ist, wählen Sie DES oder 3DES als Kodierungsformat:
-
Klicken Sie auf OK.
-
Geben Sie die PEM-Passphrase und die PEM-Passphrase überprüfen an.
-
Klicken Sie auf den Link Zertifikate/Schlüssel/CSRs verwalten, um die konvertierten PEM-Zertifikatdateien anzuzeigen.
-
Sie können die hochgeladene PFX-Datei mit der konvertierten PEM-Datei anzeigen.
-
Erweitern Sie den SSL-Knoten.
-
Wählen Sie den Knoten Certificates.
-
Klicken Sie auf Installieren.
-
Geben Sie im Assistenten zum Installieren des Zertifikats einen Zertifikatschlüsselpaarnamen an.
-
Navigieren Sie zur PEM-Datei, um sowohl den Zertifikatsdateinamen als auch den Namen der privaten Schlüsseldatei zu erhalten.
-
Geben Sie das Kennwort an.
-
Klicken Sie auf Installieren.
OpenSSL utility
Wenn Sie mithilfe des Zertifikatassistenten für den Internetinformationsdienst (IIS) ein Zertifikat auf einem Windows-Server angefordert und installiert haben, können Sie dieses Zertifikat mit seinem privaten Schlüssel in eine Personal Information Exchange (PFX) -Datei exportieren. Um dieses Zertifikat in Citrix Gateway zu importieren, müssen Sie die PFX-Datei in das unverschlüsselte PEM-Format konvertieren.
Sie können das Open Source-Dienstprogramm verwenden OpenSSL
, um die Konvertierung von PFX nach PEM durchzuführen. Laden Sie eine Win32-Distribution von OpenSSL
von Win32 OpenSSL
herunter.
Möglicherweise benötigen Sie auch weiterverteilbare C++-Dateien, wenn Sie verwenden möchten OpenSSL
. Laden Sie dies aus dem Microsoft Visual C++ 2008 Redistributable Package (x86) herunter.
Führen Sie die folgenden Schritte auf einem Windows-Computer aus, um eine PFX-Datei in eine PEM-Datei zu konvertieren:
-
Laden Sie das
OpenSSL
Win32-Paket von Win32 herunter und installieren Sie esOpenSSL
. -
Erstellen Sie einen Ordner c:\certs und kopieren Sie die Datei yourcert.pfx in den Ordner c:\certs.
-
Öffnen Sie die Eingabeaufforderung und wechseln Sie in das Verzeichnis
OpenSSL
\ bin:cd %homedrive%\OpenSSL\bin
-
Führen Sie den folgenden Befehl aus, um die PFX-Datei in eine unverschlüsselte PEM-Datei zu konvertieren (alles in einer Zeile):
OpenSSL
pkcs12 -in c:\certs\yourcert.pfx out c:\certs\cag.pem —nodes -
Wenn Sie zur Eingabe des Importkennworts aufgefordert werden, geben Sie das Kennwort ein, das Sie beim Exportieren des Zertifikats in eine PFX-Datei verwendet haben. Sie müssen eine Meldung erhalten, die besagt, dass MAC OK bestätigt hat.
-
Verweisen Sie einen Browser auf das Citrix Gateway-Verwaltungsportal oder den HTTPS-Port 9001:
https://netscaler-gateway-server:9001
. -
Melden Sie sich als root an. Das Standardkennwort lautet
rootadmin
. -
Klicken Sie oben auf der Seite auf den Link Wartung.
-
Klicken Sie auf die Schaltfläche Durchsuchen neben dem Feld Privaten Schlüssel+Zertifikat hochladen (.pem). Wechseln Sie zur Datei c:\certs\cag.pem und klicken Sie auf Hochladen.
-
Starten Sie Citrix Gateway neu, damit das neue SSL-Zertifikat angewendet wird.