View_5.2安全服务器和连接服务器SSL配置------精讲.docVIP

View 5.2 连接服务器和安全服务器的SSL配置 作者:macro 宋晓东（修改） Email: 日期:2012.6.5 2014.02.10 目录 TOC \o 1-3 \h \z \u HYPERLINK -keystore keys.p12 -storetype pkcs12 -validity 360 keytool来创建CSR keytool -certreq -keyalg RSA - -keystore keys.p12 -storetype pkcs12 –storepass 123@abc 用记事本打开certificate.csr 2.发送到CA申请WEB服务器证书 用记事本打开certificate.csr,如上图 然后用浏览器打开CA地址 一般是https;//CA IP地址/certsrv 申请证书 高级证书申请 使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请 下载证书 (使用Base64编码) 下载回来的证书 3.将申请好的证书转换为PKCS#12格式 双击上个步骤中下载的证书 点击详细信息?复制到文件 导出为PKCS#7格式,包含证书路径中所有的证书 导出文件名为certnew.p7b 4.导入签名证书到密钥文件 keytool -importcert -keystore keys.p12 -storetype pkcs12 -storepass 密码 -keyalg RSA -trustcacerts -file 刚才导出的文件 然后出现... 是不可信的。 还是要安装回复？ [否]：的提示 输入y 回车 5.在View server安装路径\sslgateway\conf下建立perties 文件中 内容如下 key keypass=密码 storetype=pkcs12 6.把keys.p12导入到本地计算机证书 开始-运行-MMC-添加/删除管理单元 添加证书 –选择计算机帐户—本地计算机 导入keys.p12 一定要勾选”标志此密钥为可导出的密钥”!!!!! 7.修改证书友好名称,导入根CA信任 下图第一个证书是根CA信任证书,第二个是通过CA申请到的SSL证书,第三个是view自签名证书 首先把根CA拖拉到受信任的根证书颁发机构 view自签名证书的友好名称为vdm, 把他改为其他名字 通过CA申请到的SSL证书的友好名称改为vdm 8.重启connection server服务器或服务 Net stop wsbroker Net start wsbroker 9.测试 443端口起来了 访问view connection server控制台 查看是否正常 10.关于为什么一定要勾选”标志此米要为可导出的密钥”!!!!! 之前测试的时候,443端口一直起不来,也就无法访问控制台,dump log如下: 2012-06-05T16:54:50.565+08:00 INFO (0C7C-0D64) Thread-1 [u] The Secure Gateway Server is checking for connection attempts on http://*:80 2012-06-05T16:54:50.596+08:00 INFO (0C7C-0D64) Thread-1 [u] The Secure Gateway Server is using SSL certificate store of type KeyVault 2012-06-05T16:54:51.205+08:00 ERROR (0C7C-0D64) Thread-1 [u] Couldnt create SSL socket factory com.vmware.vdi.ice.server.u.a(Source) java.lang.NullPointerException: invalid null input at java.security.KeyStore$PrivateKeyEntry.init(KeyStore.java:361) at com.vmware.vdi.ice.server.KeyVaultKeyStore.engineGetEntry(Source) at java.security.KeyStore.getEntry(KeyStore.java:1261) at com.vmware.vdi.ice.server.u.a(Source) at com.vmware.vdi.ice.server.u.a(Source) at c