将证书从 PFX 格式转换为 PEM 格式
SSL 证书用于 SSL 负载平衡虚拟服务器和 Citrix Gateway 虚拟服务器。PEM 证书是 Base64 编码的 ASCII 文件。PEM 证书可以在文本编辑器/记事本中打开,您会发现它们包含“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”语句。
要获得安全、受信任的访问,必须在 Citrix Gateway 服务器上安装 SSL 服务器证书。上载的证书文件必须具有以下特征:
-
最终用户信任的证书颁发机构 (CA) 必须颁发服务器证书。为获得最佳效果,请使用商业 CA,例如威瑞信、Thawte 或 GeoTrust。
-
证书必须为隐私增强型邮件 (PEM) 格式,这是一种基于文本的格式,是二进制区分编码规则 (DER) 格式的 Base64 编码。
-
证书文件必须包含私钥,且不得对私钥进行加密。使用 PEM 文件不能需要任何密码。
-
必须将任何必要的中间证书附加到 PEM 文件的末尾。
完成以下过程,使用 Citrix Gateway 向导将 PFX 证书转换为 PEM 格式:
-
导航到 流量管理,选择 SSL 节点。
-
单击 导入 PKCS #12 链接。
-
在 输出文件名字段中为 PEM 证书指定所需的文件名 。
-
单击 浏览 并选择要转换为 PEM 格式的 PFX 证书。一些用户更喜欢将证书上载到 /ncsonfig/SSL 目录并从那里使用它。如果 PFX 证书存储在 Citrix Gateway 上,则选择选项 设备, 如果它存储在工作站上,则使用本地。
-
指定导入密码。
-
如果文件已编码,则选择 DES 或 3DES 作为编码格式:
-
单击确定。
-
指定 PEM 密码短语和验证 PEM 密码短语。
-
单击 管理证书/密钥/CSR 链接 以查看转换后的 PEM 证书文件。
-
您可以使用转换后的 PEM 文件查看上载的 PFX 文件。
-
展开 SSL 节点。
-
选择“证书”节点。
-
单击安装。
-
在 安装证书向导中指定证书 密钥对名称。
-
浏览到 PEM 文件以获取证书文件名和私钥文件名。
-
指定密码。
-
单击安装。
OpenSSL utility
如果您已使用 Internet 信息服务 (IIS) 证书向导请求证书并将其安装到 Windows 服务器上,则可以将该证书及其私钥导出到个人信息交换 (PFX) 文件中。要将此证书导入 Citrix Gateway,必须将 PFX 文件转换为未加密的 PEM 格式。
您可以使用开源实用程序 OpenSSL
执行从 PFX 到 PEM 的转换。从 Win32 OpenSSL
下载 OpenSSL
的 Win32 发行版。
如果您想使用,您可能还需要 C ++ 可再发行文件 OpenSSL
。从 Microsoft Visual C++ 2008 可再发行包 (x86) 下载此软件包。
要将 PFX 文件转换为 PEM 文件,请在 Windows 计算机上完成以下步骤:
-
从 Win32
OpenSSL
下载并安装 Win32OpenSSL
软件包。 -
创建一个文件夹 c:\certs,然后将文件 yourcert.pfx 复制到 c:\certs 文件夹中。
-
打开命令提示符并进入
OpenSSL
\ bin 目录:cd %homedrive%\OpenSSL\bin
-
运行以下命令将 PFX 文件转换为未加密的 PEM 文件(全部集中在一行中):
OpenSSL
pkcs12 -in c:\certs\yourcert.pfx -out c:\certs\cag.pem –nodes -
当系统提示输入密码时,请输入将证书导出到 PFX 文件时使用的密码。您必须收到一条消息,提示 MAC 验证正常。
-
将浏览器指向 Citrix Gateway 管理门户或 HTTPS 端口 9001:
https://netscaler-gateway-server:9001
。 -
以 root 用户身份登录。默认密码为
rootadmin
。 -
单击页面顶部的“维护”链接。
-
单击上 传私钥 + 证书 (.pem) 字段旁边的 浏览 按钮。浏览至 c:\certs\cag.pem 文件,然后单击 上载。
-
重新启动 Citrix Gateway 以应用要应用的新 SSL 证书。