View-5.2安全服務(wù)器和連接服務(wù)器的SSL配置-精講_第1頁
View-5.2安全服務(wù)器和連接服務(wù)器的SSL配置-精講_第2頁
View-5.2安全服務(wù)器和連接服務(wù)器的SSL配置-精講_第3頁
View-5.2安全服務(wù)器和連接服務(wù)器的SSL配置-精講_第4頁
View-5.2安全服務(wù)器和連接服務(wù)器的SSL配置-精講_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、View 5.2 連接服務(wù)器和安全服務(wù)器的SSL配置作者 :macroEmail: HYPERLINK mailto:macro macro日期 :2012.6.5宋曉東(修改) HYPERLINK mailto:songxiaodong songxiaodong2014.02.10目錄 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 配置環(huán)境 : 2 HYPERLINK l bookmark4 o Current Document 在 server 上用 keytool 生成 pkcs12 密鑰文件 4 HYPERLINK l b

2、ookmark6 o Current Document 發(fā)送到 CA申請 WEB服務(wù)器證書 5 HYPERLINK l bookmark8 o Current Document 將申請好的證書轉(zhuǎn)換為 PKCS#12格式 7 HYPERLINK l bookmark12 o Current Document 導(dǎo)入簽名證書到密鑰文件 10 HYPERLINK l bookmark14 o Current Document 在 View server 安裝路徑 sslgatewayconf 下建立 perties 文件中 10 HYPERLINK l bookmark16 o Current Doc

3、ument 把 keys.p12 導(dǎo)入到本地計算機(jī)證書 11 HYPERLINK l bookmark26 o Current Document 修改證書友好名稱 ,導(dǎo)入根 CA信任 14 HYPERLINK l bookmark28 o Current Document 重啟 connection server 服務(wù)器或服務(wù) 15 HYPERLINK l bookmark30 o Current Document 測試 15 HYPERLINK l bookmark32 o Current Document 關(guān)于為什么一定要勾選 ”標(biāo)志此米要為可導(dǎo)出的密鑰 ” ! 16此文是在作者 macr

4、o 的“ view_5.1_connection_server 的 SSL配置“的文檔基礎(chǔ)上改編。其主要核心部分還是 macro 的,我主要是根據(jù)自己實踐后的結(jié)果,對部分步驟加以補(bǔ)充。使實施者能夠最方便的看懂此文檔。同時在此 感謝 macro.注意問題 *CA本身是區(qū)分大小寫的。*CA 可以配置基于主機(jī)名、完整 FQDN名、 IP 地址進(jìn)行證書分配,但最好是在前期規(guī) 劃的服務(wù)器域名要和公網(wǎng)要分配的主機(jī)名一致,同時在連接服務(wù)器 IE 配置頁面服務(wù) 器配置要使用完整的 FQDN名稱。否則會出現(xiàn)使用 VIEWc lient 連接時正常,但是進(jìn)入 connection 連接服務(wù)器配置頁面會發(fā)現(xiàn)安全服務(wù)

5、器還是處于不可信任狀態(tài)。安全服務(wù)器一般部署到 DMZ區(qū)域,所以不能將安全服務(wù)器加入到域中,要想成功安裝 安全服務(wù)器的 SSL證書,則首先要保證安全服務(wù)器本身安裝了 CA的根證書。*CONNECTION Security server DNS必須將兩個網(wǎng)卡的 DNS設(shè)置成 AD 的地址。否 則可能出現(xiàn)解析域名的問題。配置環(huán)境 :Connection server -windows server 2008r2 entripse 微軟企業(yè)根 CA -windows server 2008r2 entripse CA 服務(wù)器要求:IISCertification Authority( 證書頒發(fā)機(jī)構(gòu)單位

6、 )Certification Authority Web Enrollment( 證書頒發(fā)機(jī)構(gòu)單位 Web 注冊 ) 如下圖:connection server, CA 搭建就不表了一般直接將此目錄填入 PATH變量*Keytool 路徑在 view server 安裝目錄下 /jr/bin 中),如下圖:* 建議證書的路徑放在同一目錄操作注意一下操作都是基于以下目錄操作:1.在 server 上用 keytool 生成 pkcs12密鑰文件keytool -genkey -keyalg RSA -keystore keys.p12 -storetype pkcs12 -validity36

7、0keytool 來創(chuàng)建 CSRkeys.p12keytool -certreq -keyalg RSA -file certificate.csr -keystore-storetype pkcs12 storepass 123abc用記事本打開 certificate.csr2.發(fā)送到 CA申請 WEB 服務(wù)器證書用記事本打開 certificate.csr, 如上圖然后用瀏覽器打開 CA地址 一般是 https;/CA IP 地址 /certsrv申請證書高級證書申請base64使用 base64 編碼的 CMC 或 PKCS #10 文件提交 一個證書申請,或使用 編碼的 PKCS #

8、7 文件續(xù)訂證書申請下載證書 ( 使用 Base64編碼 )下載回來的證書3.將申請好的證書轉(zhuǎn)換為 PKCS#12格式雙擊上個步驟中下載的證書點擊詳細(xì)信息 復(fù)制到文件導(dǎo)出為 PKCS#7格式, 包含證書路徑中所有的證書導(dǎo)出文件名為 certnew.p7b4.導(dǎo)入簽名證書到密鑰文件密碼剛才導(dǎo)出的文件keytool -importcert -keystore keys.p12 -storetype pkcs12 -storepass-keyalg RSA -trustcacerts -file然后出現(xiàn) . 是不可信的。 還是要安裝回復(fù)? 否 :的提示 輸入 y 回車5. 在 View server

9、 安裝路徑 sslgatewayconf 下建立 perties 文件中內(nèi)容如下keyfile=keys.p12 keypass=密碼storetype=pkcs126.把 keys.p12 導(dǎo)入到本地計算機(jī)證書開始-運行-MMC-添加/刪除管理單元添加證書 選擇計算機(jī)帳戶 本地計算機(jī)導(dǎo)入 keys.p12一定要勾選 ”標(biāo)志此密鑰為可導(dǎo)出的密鑰 ”!證書導(dǎo)入向?qū)艽a為了保證安全,已用密碼保護(hù)私鑰。為私鑰鍵入密碼。密碼T):廠員矚棘麟。如果啟用這個迭項,毎次應(yīng)用程扇使用漱嗣,您都17標(biāo)志此密鑰為可導(dǎo)出的密鑰。這將允許您在稍后備份或傳輸密鞫他)。V包括所有擴(kuò)展屬性3)。了解保理曲的更多信息| 取消

10、 |7.修改證書友好名稱 ,導(dǎo)入根 CA信任下圖第一個證書是根 CA信任證書 ,第二個是通過 CA申請到的 SSL證書 ,第三個是 view 自簽名證書首先把根 CA 拖拉到受信任的根證書頒發(fā)機(jī)構(gòu)view 自簽名證書的友好名稱為 vdm, 把他改為其他名字 通過 CA 申請到的 SSL證書的友好名稱改為 vdm.重啟 connection server服務(wù)器或服務(wù)Net stop wsbrokerNet start wsbroker9.測試443 端口起來了訪問 view connection server 控制臺 查看是否正常10.關(guān)于為什么一定要勾選”標(biāo)志此米要為可導(dǎo)出的密鑰”!之前測試的

11、時候 ,443端口一直起不來 ,也就無法訪問控制臺 ,dump log 如下: 2012-06-05T16:54:50.565+08:00 INFO (0C7C-0D64) u The Secure Gateway Server is checking for connection attempts on http:/*:802012-06-05T16:54:50.596+08:00 INFO (0C7C-0D64) u The Secure Gateway Server is using SSL certificate store of type KeyVault2012-06-05T16:

12、54:51.205+08:00 ERROR (0C7C-0D64) u Couldnt create SSL socket factory com.vmware.vdi.ice.server.u.a(SourceFile:529)java.lang.NullPointerException: invalid null inputat java.security.KeyStore$PrivateKeyEntry.(KeyStore.java:361)at com.vmware.vdi.ice.server.KeyVaultKeyStore.engineGetEntry(SourceFile:24

13、1)at java.security.KeyStore.getEntry(KeyStore.java:1261)at com.vmware.vdi.ice.server.u.a(SourceFile:578)at com.vmware.vdi.ice.server.u.a(SourceFile:525)at com.vmware.vdi.ice.server.u.b(SourceFile:210)at com.vmware.vdi.ice.server.e.a(SourceFile:77)at com.vmware.vdi.ice.server.Ice.startServer(SourceFi

14、le:1061)at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)at java.lang.reflect.Method.invoke(Method.java:597)at com.sun.

15、jmx.mbeanserver.StandardMBeanIntrospector.invokeM2(StandardMBeanIntrospector.java:93)at com.sun.jmx.mbeanserver.StandardMBeanIntrospector.invokeM2(StandardMBeanIntrospector.java:27)at com.sun.jmx.mbeanserver.MBeanIntrospector.invokeM(MBeanIntrospector.java:208)at com.sun.jmx.mbeanserver.PerInterface

16、.invoke(PerInterface.java:120)at com.sun.jmx.mbeanserver.MBeanSupport.invoke(MBeanSupport.java:262)at erceptor.DefaultMBeanServerInterceptor.invoke(DefaultMBeanServerInterceptor.java:836)at com.sun.jmx.mbeanserver.JmxMBeanServer.invoke(JmxMBeanServer.java:761)at com.vmware.vdi.ice.server.JMXServer.m

17、ain(SourceFile:195)at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)at java.lang.reflect.Method.invoke(Method.java:597)

18、at pero.workspace.windowsinfrastructure.tunnelservice.TunnelService.run(SourceFile:46)at java.lang.Thread.run(Thread.java:662)2012-06-05T16:54:51.205+08:00 FATAL (0C7C-0D64) Ice ICE start com.vmware.vdi.ice.server.Ice.startServer(SourceFile:1063)java.lang.IllegalArgumentException: socketFactory must

19、 be suppliedat com.vmware.vdi.ob.tunnelservice.bm.a(SourceFile:559)at com.vmware.vdi.ob.tunnelservice.bm.a(SourceFile:379)at com.vmware.vdi.ice.server.u.b(SourceFile:210)at com.vmware.vdi.ice.server.e.a(SourceFile:77)at com.vmware.vdi.ice.server.Ice.startServer(SourceFile:1061)at sun.reflect.NativeM

20、ethodAccessorImpl.invoke0(Native Method)at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)at java.lang.reflect.Method.invoke(Method.java:597)at com.sun.jmx.mbeanserver.StandardMBeanI

21、ntrospector.invokeM2(StandardMBeanIntrospector.java:93)at com.sun.jmx.mbeanserver.StandardMBeanIntrospector.invokeM2(StandardMBeanIntrospector.java:27)at com.sun.jmx.mbeanserver.MBeanIntrospector.invokeM(MBeanIntrospector.java:208)at com.sun.jmx.mbeanserver.PerInterface.invoke(PerInterface.java:120)

22、at com.sun.jmx.mbeanserver.MBeanSupport.invoke(MBeanSupport.java:262)at erceptor.DefaultMBeanServerInterceptor.invoke(DefaultMBeanServerInterceptor.java:836)at com.sun.jmx.mbeanserver.JmxMBeanServer.invoke(JmxMBeanServer.java:761)at com.vmware.vdi.ice.server.JMXServer.main(SourceFile:195)at sun.refl

23、ect.NativeMethodAccessorImpl.invoke0(Native Method)at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)at java.lang.reflect.Method.invoke(Method.java:597)at pero.workspace.windowsinfra

24、structure.tunnelservice.TunnelService.run(SourceFile:46)at java.lang.Thread.run(Thread.java:662)2012-06-05T16:54:51.236+08:00 FATAL (0C7C-0D64) JMXServer Could not start the Ice Server MBean com.vmware.vdi.ice.server.JMXServer.main(SourceFile:197)javax.management.MBeanException: java.lang.Exception:

25、 ICE Start: socketFactory must be suppliedat com.sun.jmx.mbeanserver.MBeanIntrospector.unwrapInvocationTargetException(MBeanIntrospector.java:283)at com.sun.jmx.mbeanserver.MBeanIntrospector.invokeM(MBeanIntrospector.java:210)at com.sun.jmx.mbeanserver.PerInterface.invoke(PerInterface.java:120)at co

26、m.sun.jmx.mbeanserver.MBeanSupport.invoke(MBeanSupport.java:262)at erceptor.DefaultMBeanServerInterceptor.invoke(DefaultMBeanServerInterceptor.java:836)at com.sun.jmx.mbeanserver.JmxMBeanServer.invoke(JmxMBeanServer.java:761)at com.vmware.vdi.ice.server.JMXServer.main(SourceFile:195)at sun.reflect.N

27、ativeMethodAccessorImpl.invoke0(Native Method)at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)at java.lang.reflect.Method.invoke(Method.java:597)at pero.workspace.windowsinfrastruc

28、ture.tunnelservice.TunnelService.run(SourceFile:46)at java.lang.Thread.run(Thread.java:662)Caused by: java.lang.Exception: ICE Start: socketFactory must be suppliedat com.vmware.vdi.ice.server.Ice.startServer(SourceFile:1064)at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)at sun.reflec

29、t.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)at java.lang.reflect.Method.invoke(Method.java:597)at com.sun.jmx.mbeanserver.StandardMBeanIntrospector.invokeM2(StandardMBeanIntrospector.java:93)at com.sun.jmx.mbeanserver.Standard

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論