Zertifikate für den Workload Balancing

Dieser Abschnitt enthält Informationen zu zwei optionalen Aufgaben zum Sichern von Zertifikaten:

  • Konfigurieren von HASH (0x2c1a078) zum Überprüfen eines Zertifikats von einer vertrauenswürdigen Behörde

  • Konfigurieren von HASH (0x2c1a078) zum Überprüfen des selbstsignierten Citrix WLB-Standardzertifikats

Übersicht

HASH (0x2c1a078) und Workload Balancing kommunizieren über HTTPS. Folglich erstellt der Assistent während der Konfiguration des Arbeitslastenausgleichs automatisch ein selbstsigniertes Testzertifikat. Mit diesem selbstsignierten Testzertifikat können Workload Balancing eine SSL-Verbindung zu HASH (0x2c1a078) herstellen.

Hinweis:

Das selbstsignierte Zertifikat ist ein Platzhalter zur Erleichterung der HTTPS-Kommunikation und stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle. Für zusätzliche Sicherheit empfehlen wir, ein Zertifikat zu verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde.

Standardmäßig erstellt Workload Balancing diese SSL-Verbindung mit HASH (0x2c1a078) automatisch. Sie müssen keine Zertifikatkonfigurationen während oder nach der Konfiguration für den Workload Balancing durchführen, um diese SSL-Verbindung zu erstellen.

Um jedoch ein Zertifikat von einer anderen Zertifizierungsstelle zu verwenden, z. B. ein signiertes Zertifikat von einer kommerziellen Behörde, müssen Sie Workload Balancing und HASH (0x2c1a078) konfigurieren, um es zu verwenden.

Unabhängig davon, welches Zertifikat Workload Balancing verwendet, überprüft HASH (0x2c1a078) standardmäßig die Identität des Zertifikats nicht, bevor die Verbindung zum Workload Balancing hergestellt wird. Um HASH (0x2c1a078) so zu konfigurieren, dass nach einem bestimmten Zertifikat überprüft wird, müssen Sie das Stammzertifikat exportieren, das zum Signieren des Zertifikats verwendet wurde, in HASH (0x2c1a078) kopieren und HASH (0x2c1a078) so konfigurieren, dass es überprüft wird, wenn eine Verbindung zum Workload Balancing hergestellt wird. In diesem Szenario fungiert HASH (0x2c1a078) als Client und Arbeitslastenausgleich als Server.

 Diese Abbildung zeigt, wie HASH (0x2c1a078) überprüft, ob ein bestimmtes Zertifikat vorhanden ist, bevor die virtuelle Appliance für den Workload Balancing über SSL eine Verbindung zu ihr herstellen kann. In diesem Fall befindet sich das echte Zertifikat (das Zertifikat mit dem privaten Schlüssel) auf dem Arbeitslastenausgleichsserver und das Zertifikat, das zum Signieren verwendet wurde, befindet sich im HASH-Poolmaster (0x2c1a078).

Abhängig von Ihren Sicherheitszielen haben Sie folgende Möglichkeiten:

Konfigurieren Sie HASH (0x2c1a078), um das selbstsignierte Zertifikat zu überprüfen

Sie können HASH (0x2c1a078) konfigurieren, um sicherzustellen, dass das selbstsignierte Citrix WLB-Zertifikat authentisch ist, bevor HASH (0x2c1a078) die Verbindung zwischen Workload Balancing ermöglicht.

Wichtig:

Um das selbstsignierte Citrix WLB-Zertifikat zu überprüfen, müssen Sie mithilfe des Hostnamens eine Verbindung zum Workload Balancing herstellen. Um den Hostnamen des Workload Balancing zu finden, führen Sie denhostname Befehl auf der virtuellen Appliance aus.

Wenn Sie den Workload Balancing konfigurieren möchten, um das selbstsignierte HASH (0x2e6cb58) WLB-Zertifikat zu überprüfen, führen Sie die Schritte im folgenden Verfahren aus.

So konfigurieren Sie HASH (0x2c1a078), um das selbstsignierte Zertifikat zu überprüfen:

  1. Kopieren Sie das selbstsignierte Zertifikat von der virtuellen Appliance Workload Balancing in den Poolmaster. Das selbstsignierte Citrix WLB-Zertifikat wird unter /etc/ssl/certs/server.pemgespeichert. Führen Sie auf dem Poolmaster Folgendes aus, um das Zertifikat zu kopieren:

    scp root@wlb-ip:/etc/ssl/certs/server.pem .
    
  2. Wenn Sie eine Meldung erhalten, die besagt, dass die Authentizität vonwlb-ip nicht hergestellt werden kann, geben Sie ein,yes um fortzufahren.

  3. Geben Sie bei Aufforderung zum Workload Balancing Virtual Appliance Root-Kennwort ein. Das Zertifikat wird in das aktuelle Verzeichnis kopiert.

  4. Installieren Sie das Zertifikat. Führen Sie denpool-certificate-install Befehl aus dem Verzeichnis aus, in das Sie das Zertifikat kopiert haben. Beispiel:

    xe pool-certificate-install filename=server.pem
    
  5. Überprüfen Sie, ob das Zertifikat ordnungsgemäß installiert wurde, indem Sie denpool-certificate-list Befehl auf dem Poolmaster ausführen:

    xe pool-certificate-list
    

    Wenn Sie das Zertifikat korrekt installiert haben, enthält die Ausgabe dieses Befehls das exportierte Stammzertifikat (z. B. server.pem). Wenn Sie diesen Befehl ausführen, werden alle installierten SSL-Zertifikate aufgelistet, einschließlich des gerade installierten Zertifikats.

  6. Synchronisieren Sie das Zertifikat vom Master mit allen Hosts im Pool, indem Sie denpool-certificate-sync Befehl auf dem Poolmaster ausführen:

    xe pool-certificate-sync
    

    Wennpool-certificate-sync Sie den Befehl auf dem Master ausführen, werden die Zertifikat- und Zertifikatsperrlisten auf allen Poolservern mit dem Master synchronisiert. Dadurch wird sichergestellt, dass alle Hosts im Pool dieselben Zertifikate verwenden.

    Es gibt keine Ausgabe von diesem Befehl. Der nächste Schritt funktioniert jedoch nicht, wenn dieser nicht erfolgreich funktioniert hat.

  7. Weisen Sie HASH (0x2c1a078) an, das Zertifikat zu überprüfen, bevor Sie eine Verbindung mit der virtuellen Appliance für den Workload Balancing herstellen. Führen Sie den folgenden Befehl auf dem Poolmaster aus:

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Tipp:

    Durch Drücken der Tabulatortaste wird automatisch die UUID des Pools aufgefüllt.

  8. (Optional) Führen Sie die folgenden Schritte aus, um zu überprüfen, ob dieses Verfahren erfolgreich funktioniert hat:

    1. Um zu testen, ob das Zertifikat mit den anderen Hosts im Pool synchronisiert wurde, führen Sie denpool-certificate-list Befehl auf diesen Hosts aus.

    2. Um zu testen, ob HASH (0x2c1a078) für die Überprüfung des Zertifikats festgelegt wurde, führen Sie denpool-param-get Befehl mit dem Parameterparam-name = wlb-verify-cert aus. Beispiel:

      xe pool-param-get param-name=wlb-verify-cert uuid=uuid_of_pool
      

Konfigurieren von HASH (0x2c1a078) zum Überprüfen eines Zertifikatautoritätszertifikats

Sie können HASH (0x2c1a078) konfigurieren, um ein Zertifikat zu überprüfen, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde.

Für Zertifikate vertrauenswürdiger Stellen erfordert HASH (0x2c1a078) ein exportiertes Zertifikat oder eine Zertifikatkette (Zwischen- und Stammzertifikate) im PEM-Format, das den öffentlichen Schlüssel enthält.

Wenn Sie möchten, dass der Workload Balancing ein Zertifikat für vertrauenswürdige Autorität verwendet, gehen Sie wie folgt vor:

  1. Beziehen Sie ein signiertes Zertifikat von der Zertifizierungsstelle. Siehe Aufgabe 1: Beschaffung eines Zertifikatstellenzertifikats.

  2. Befolgen Sie die Anweisungen unterAufgabe 2: Neues Zertifikat angeben, um das neue Zertifikat anzugeben und anzuwenden.

  3. Installieren Sie die erhaltenen Zertifikate und aktivieren Sie die Zertifikatüberprüfung auf dem Poolmaster. Siehe Aufgabe 3: Importieren der Zertifikatkette in den Pool.

Stellen Sie vor Beginn dieser Aufgaben Folgendes sicher:

  • Sie kennen die IP-Adresse für den HASH (0x2c1a078) Poolmaster.

  • HASH (0x2c1a078) kann den Hostnamen des Workload Balancing auflösen. (Sie können beispielsweise versuchen, den Workload Balancing FQDN über die HASH-Konsole (0x2c1a078) für den Poolmaster zu pingeln.)

Wichtig:

Wenn Sie eine IP-Adresse zum Herstellen einer Verbindung mit dem Workload Balancing verwenden möchten, müssen Sie diese IP-Adresse beim Erstellen des Zertifikats als alternativer Antragstellername (Subject Alternative Name, SAN) angeben.

Aufgabe 1: Beschaffung eines Zertifikatstellenzertifikats

Um ein Zertifikat von einer Zertifizierungsstelle zu erhalten, müssen Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) generieren. Das Generieren einer CSR für die virtuelle Appliance Workload Balancing ist ein Prozess mit zwei Aufgaben. Sie müssen (1) einen privaten Schlüssel erstellen und (2) diesen privaten Schlüssel verwenden, um die CSR zu generieren. Sie müssen beide Verfahren auf der virtuellen Appliance „Workload Balancing“ ausführen.

Richtlinien für die Angabe des allgemeinen Namens

Der Common Name (CN), den Sie beim Erstellen einer CSR angeben, muss exakt mit dem FQDN Ihrer virtuellen Workload Balancing-Appliance und dem FQDN oder der IP-Adresse übereinstimmen, die Sie im Dialogfeld Mit WLB-Server verbinden im Feld Adresse angegeben haben.

Um sicherzustellen, dass der Name übereinstimmt, geben Sie den allgemeinen Namen anhand einer der folgenden Richtlinien an:

  • Geben Sie dieselben Informationen für den allgemeinen Namen des Zertifikats an, wie Sie im Dialogfeld Verbindung mit WLB-Server herstellen angegeben haben. Wenn Ihre virtuelle Appliance zum Beispiel den Namen „Workload Balancing“ trägtwlb-vpx.yourdomain, geben Siewlb-vpx.yourdomainim Feld „Verbindung zum WLB-Server herstellen“ an und geben Sie beim Erstellen des CSRwlb-vpx.yourdomainals allgemeinen Namen an.

  • Wenn Sie Ihren Pool mit Workload Balancing über eine IP-Adresse verbunden haben, verwenden Sie den FQDN als allgemeinen Namen, und geben Sie die IP-Adresse als alternativen Antragstellernamen (Subject Alternative Name, SAN) an. Dies funktioniert jedoch möglicherweise nicht in allen Situationen.

Hinweis:

Die Zertifikatüberprüfung ist eine Sicherheitsmaßnahme, die unerwünschte Verbindungen verhindert. Daher müssen Workload Balancing-Zertifikate strenge Anforderungen erfüllen, da die Zertifikatüberprüfung nicht erfolgreich ist und HASH (0x2c1a078) die Verbindung nicht zulässt. Damit die Zertifikatüberprüfung erfolgreich ausgeführt wird, müssen Sie die Zertifikate an den spezifischen Speicherorten speichern, an denen HASH (0x2c1a078) die Zertifikate findet.

So erstellen Sie eine Datei mit einem privaten Schlüssel:

  1. Erstellen Sie eine private Schlüsseldatei:

    openssl genrsa -des3 -out privatekey.pem 2048
    
  2. Entfernen Sie das Passwort:

    openssl rsa -in privatekey.pem -out privatekey.nop.pem
    

Hinweis:

Wenn Sie das Kennwort falsch oder inkonsistent eingeben, erhalten Sie möglicherweise einige Meldungen, die darauf hinweisen, dass ein Fehler bei der Benutzeroberfläche vorliegt. Sie können die Nachricht ignorieren und den Befehl einfach erneut ausführen, um die private Schlüsseldatei zu erstellen.

So generieren Sie die CSR:

  1. CSR generieren:

    1. Erstellen Sie den CSR mit dem privaten Schlüssel:

      openssl req -new -key privatekey.nop.pem -out csr
      
    2. Befolgen Sie die Anweisungen, um die Informationen anzugeben, die für die Generierung des CSR erforderlich sind:

      Ländername. Geben Sie die Ländercodes des SSL-Zertifikats für Ihr Land ein. Beispielsweise CA für Kanada oder JM für Jamaika. Eine Liste der Ländercodes des SSL-Zertifikats finden Sie im Internet.

      Landes- oder Provinzname (vollständiger Name). Geben Sie das Bundesland oder die Provinz ein, in dem sich der Pool befindet. Zum Beispiel Massachusetts oder Alberta.

      Ortsname. Der Name der Stadt, in der sich der Pool befindet.

      Organisationsname. Der Name Ihres Unternehmens oder Ihrer Organisation.

      Name der Organisationseinheit. Geben Sie den Namen der Abteilung ein. Dieses Feld ist optional.

      Gemeinsamer Name. Geben Sie den FQDN Ihres Workload Balancing-Servers ein. Dies muss mit dem Namen übereinstimmen, den der Pool für die Verbindung mit dem Workload Balancing verwendet.

      E-Mail-Adresse. Diese E-Mail-Adresse ist im Zertifikat enthalten, wenn Sie es generieren.

    3. Geben Sie optionale Attribute an, oder klicken Sie auf Eingabetaste, um diese Informationen zu überspringen.

      Die CSR-Anforderung wird im aktuellen Verzeichnis gespeichert und benanntcsr.

  2. Zeigen Sie den CSR im Konsolenfenster an, indem Sie die folgenden Befehle in der Konsole der Workload Balancing Appliance ausführen:

    cat csr
    
  3. Kopieren Sie die gesamte Zertifikatsanforderung, und fordern Sie das Zertifikat mithilfe der CSR von der Zertifizierungsstelle an.

Aufgabe 2: Angeben des neuen Zertifikats

Gehen Sie wie folgt vor, um den Workload Balancing mithilfe eines Zertifikats von einer Zertifizierungsstelle anzugeben. Mit diesem Verfahren werden die Stamm- und (falls verfügbar) Zwischenzertifikate installiert.

So geben Sie ein neues Zertifikat an:

  1. Laden Sie das signierte Zertifikat, das Stammzertifikat und, falls die Zertifizierungsstelle über eines verfügt, das Zwischenzertifikat von der Zertifizierungsstelle herunter.

  2. Wenn Sie die Zertifikate nicht auf die virtuelle Appliance „Workload Balancing“ heruntergeladen haben. Führen Sie einen der folgenden Schritte aus:

    1. Wenn Sie die Zertifikate von einem Windows-Computer auf die Workload Balancing-Appliance kopieren, verwenden Sie WinSCP oder ein anderes Kopierdienstprogramm, um die Dateien zu kopieren.

    Für den Hostnamen können Sie die IP-Adresse eingeben und den Port standardmäßig belassen. Der Benutzername und das Kennwort sind in der Regel root und das Kennwort, das Sie während der Konfiguration festgelegt haben.

    1. Wenn Sie die Zertifikate von einem Linux-Computer auf die Workload Balancing-Appliance kopieren, verwenden Sie SCP oder ein anderes Kopierdienstprogramm, um die Dateien in das Verzeichnis Ihrer Wahl auf der Workload Balancing-Appliance zu kopieren. Beispiel:

      scp root_ca.pem root@wlb-ip:/path_on_your_WLB
      
  3. Führen Sie auf der virtuellen Appliance Workload Balancing den Inhalt aller Zertifikate (Stammzertifikat, Zwischenzertifikat (falls vorhanden) und signiertes Zertifikat) in einer Datei zusammen. Beispiel:

    cat signed_cert.pem intermediate_ca.pem root_ca.pem > server.pem
    
  4. Benennen Sie das vorhandene Zertifikat und den Schlüssel mit dem Befehl move um:

    mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.pem_orig
    mv /etc/ssl/certs/server.key /etc/ssl/certs/server.key_orig
    
  5. Kopieren Sie das zusammengeführte Zertifikat:

    mv server.pem /etc/ssl/certs/server.pem
    
  6. Kopieren Sie den zuvor erstellten privaten Schlüssel:

    mv privatekey.nop.pem /etc/ssl/certs/server.key
    
  7. Machen Sie den privaten Schlüssel nur durch root lesbar. Verwenden Siechmod den Befehl, um Berechtigungen zu korrigieren.

    chmod 600 /etc/ssl/certs/server.key
    
  8. Neustartstunnel:

    killall stunnel
    stunnel
    

Aufgabe 3: Importieren der Zertifikatkette in den Pool

Nachdem Sie Zertifikate erhalten haben, müssen Sie die Zertifikate in den HASH-Poolmaster (0x2c1a078) importieren (installieren) und die Hosts im Pool synchronisieren, um diese Zertifikate zu verwenden. Anschließend können Sie HASH (0x2c1a078) so konfigurieren, dass die Identität und Gültigkeit des Zertifikats jedes Mal überprüft wird, wenn der Workload Balancing eine Verbindung zu einem Host herstellt.

  1. Kopieren Sie das signierte Zertifikat, das Stammzertifikat und, falls die Zertifizierungsstelle über eines verfügt, das Zwischenzertifikat von der Zertifizierungsstelle auf den HASH-Poolmaster (0x2c1a078).

  2. Installieren Sie das Stammzertifikat auf dem Poolmaster:

    xe pool-certificate-install filename=root_ca.pem
    
  3. Installieren Sie ggf. das Zwischenzertifikat auf dem Poolmaster:

    xe pool-certificate-install filename=intermediate_ca.pem
    
  4. Überprüfen Sie beide ordnungsgemäß installierten Zertifikate, indem Sie diesen Befehl auf dem Poolmaster ausführen:

    xe pool-certificate-list
    

    Wenn Sie diesen Befehl ausführen, werden alle installierten SSL-Zertifikate aufgelistet. Wenn die Zertifikate erfolgreich installiert wurden, werden sie in dieser Liste angezeigt.

  5. Synchronisieren Sie das Zertifikat auf dem Poolmaster mit allen Hosts im Pool:

    xe pool-certificate-sync
    

    Wennpool-certificate-sync Sie den Befehl auf dem Master ausführen, werden die Zertifikate und Zertifikatsperrlisten auf allen Poolservern mit dem Poolmaster synchronisiert. Dadurch wird sichergestellt, dass alle Hosts im Pool dieselben Zertifikate verwenden.

  6. Weisen Sie HASH (0x2c1a078) an, ein Zertifikat zu überprüfen, bevor Sie eine Verbindung mit der virtuellen Appliance für den Workload Balancing herstellen. Führen Sie den folgenden Befehl auf dem Poolmaster aus:

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Tipp:

    Durch Drücken der Tabulatortaste wird automatisch die UUID des Pools aufgefüllt.

  7. Wenn Sie vor der Aktivierung der Zertifikatüberprüfung im Dialogfeld Mit WLB verbinden eine IP-Adresse angegeben haben, werden Sie möglicherweise aufgefordert, den Pool erneut mit dem Workload Balancing zu verbinden.

    Geben Sie in diesem Fall den FQDN für die Workload Balancing Appliance im Feld Adresse des Dialogfelds Mit WLB verbinden genau so an, wie er im Common Name (CN) des Zertifikats angezeigt wird . (Sie müssen den FQDN eingeben, da der allgemeine Name und der Name, den HASH (0x2c1a078) für die Verbindung verwendet, übereinstimmen müssen.)

Tipps zur Fehlerbehebung

  • Wenn der Pool nach der Konfiguration der Zertifikatüberprüfung keine Verbindung zum Workload Balancing herstellen kann, überprüfen Sie, ob der Pool eine Verbindung herstellen kann, wenn Sie die Zertifikatüberprüfung deaktivieren (indem Sie ausführenxe pool-param-set wlb-verify-cert=false uuid=uuid_of_pool). Wenn eine Verbindung mit der Überprüfung deaktiviert ist, liegt das Problem in Ihrer Zertifikatkonfiguration. Wenn keine Verbindung hergestellt werden kann, liegt das Problem entweder in den Anmeldeinformationen für den Arbeitslastenausgleich oder in der Netzwerkverbindung.

  • Einige kommerzielle Zertifizierungsstellen stellen stellen Tools bereit, um das korrekt installierte Zertifikat zu überprüfen. Erwägen Sie, diese Tools auszuführen, wenn diese Verfahren nicht helfen, das Problem zu isolieren. Wenn für diese Tools die Angabe eines SSL-Ports erforderlich ist, geben Sie Port 8012 oder den Port an, den Sie während der Konfiguration des Arbeitslastenausgleichs festgelegt haben.

  • Wenn nach Befolgen dieser Verfahren auf der Registerkarte WLB eine Fehlermeldung angezeigt wird, die besagt, dass die Verbindung mit dem WLB-Server ein Fehler aufgetreten ist, besteht möglicherweise ein Konflikt zwischen dem allgemeinen Namen im Zertifikat und dem Namen der virtuellen Appliance für den Workload Balancing. Der Name des Arbeitslastenausgleichs der virtuellen Appliance und der allgemeine Name des Zertifikats müssen exakt übereinstimmen.