Citrix Hypervisor

Zertifikate für den Arbeitslastausgleich

Dieser Abschnitt enthält Informationen zu zwei optionalen Aufgaben zum Sichern von Zertifikaten:

  • Konfigurieren von Citrix Hypervisor zum Überprüfen eines Zertifikats von einer vertrauenswürdigen Zertifizierungsstelle

  • Konfigurieren von Citrix Hypervisor zum Überprüfen des selbstsignierten Citrix WLB-Standardzertifikats

Übersicht

Citrix Hypervisor und Workload Balancing kommunizieren über HTTPS. Folglich erstellt der Assistent während der Workloadausgleichskonfiguration automatisch ein selbstsigniertes Testzertifikat. Mit diesem selbstsignierten Testzertifikat können Workload Balancing eine TLS-Verbindung zu Citrix Hypervisor herstellen.

Hinweis:

Das selbstsignierte Zertifikat ist ein Platzhalter zur Erleichterung der HTTPS-Kommunikation und stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle. Für zusätzliche Sicherheit wird empfohlen, ein Zertifikat zu verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde.

Standardmäßig erstellt der Workload Balancing diese TLS-Verbindung mit Citrix Hypervisor automatisch. Sie müssen keine Zertifikatkonfigurationen während oder nach der Konfiguration für Workload Balancing durchführen, um diese TLS-Verbindung zu erstellen.

Wenn Sie jedoch ein Zertifikat von einer anderen Zertifizierungsstelle verwenden möchten, z. B. eine signierte Zertifizierungsstelle von einer kommerziellen Behörde, müssen Sie Workload Balancing und Citrix Hypervisor für die Verwendung konfigurieren.

Unabhängig davon, welches Zertifikat Workload Balancing verwendet, überprüft Citrix Hypervisor standardmäßig die Identität des Zertifikats nicht, bevor die Verbindung zum Workload Balancing hergestellt wird. Um Citrix Hypervisor für die Suche nach einem bestimmten Zertifikat zu konfigurieren, müssen Sie das Stammzertifikat exportieren, das zum Signieren des Zertifikats verwendet wurde, in Citrix Hypervisor kopieren und Citrix Hypervisor so konfigurieren, dass es überprüft wird, wenn eine Verbindung zum Arbeitslastausgleich hergestellt wird. In diesem Szenario fungiert Citrix Hypervisor als Client, und der Arbeitslastausgleich fungiert als Server.

 Diese Abbildung zeigt, wie Citrix Hypervisor überprüft, ob ein bestimmtes Zertifikat vorhanden ist, bevor die virtuelle Appliance für den Arbeitslastausgleich über TLS eine Verbindung zu diesem Zertifikat herstellen kann. In diesem Fall befindet sich das echte Zertifikat (das Zertifikat mit dem privaten Schlüssel) auf dem Workload Balancing-Server, und das Zertifikat, mit dem es signiert wurde, befindet sich auf dem Citrix Hypervisor Poolmaster.

Abhängig von Ihren Sicherheitszielen können Sie entweder:

Konfigurieren von Citrix Hypervisor zum Überprüfen des selbstsignierten Zertifikats

Sie können Citrix Hypervisor so konfigurieren, dass das selbstsignierte Citrix WLB-Zertifikat authentisch ist, bevor Citrix Hypervisor die Verbindung mit Workload Balancing zulässt.

Wichtig:

Um das selbstsignierte Citrix WLB-Zertifikat zu überprüfen, müssen Sie mithilfe des Hostnamens eine Verbindung zu Workload Balancing herstellen. Führen Sie den Befehl hostname auf der virtuellen Appliance aus, um den Hostnamen des Workloadausgleichs zu finden.

Wenn Sie Workload Balancing so konfigurieren möchten, dass das selbstsignierte Citrix WLB-Zertifikat überprüft wird, führen Sie die Schritte im folgenden Verfahren aus.

So konfigurieren Sie Citrix Hypervisor, um das selbstsignierte Zertifikat zu überprüfen:

  1. Kopieren Sie das selbstsignierte Zertifikat von der virtuellen Workload Balancing-Appliance in den Poolmaster. Das selbstsignierte Citrix WLB-Zertifikat wird unter /etc/ssl/certs/server.pemgespeichert. Führen Sie Folgendes auf dem Poolmaster aus, um das Zertifikat zu kopieren:

    scp root@wlb-ip:/etc/ssl/certs/server.pem .
    
  2. Wenn Sie eine Meldung erhalten, die besagt, dass die Authentizität von wlb-ip nicht hergestellt werden kann, geben Sie ein, yes um fortzufahren.

  3. Geben Sie das Root-Kennwort für den Workload Balancing der virtuellen Appliance ein, wenn Sie dazu aufgefordert werden. Das Zertifikat wird in das aktuelle Verzeichnis kopiert.

  4. Installieren Sie das Zertifikat. Führen Sie den Befehl pool-certificate-install aus dem Verzeichnis aus, in das Sie das Zertifikat kopiert haben. Beispiel:

    xe pool-certificate-install filename=server.pem
    
  5. Überprüfen Sie, ob das Zertifikat korrekt installiert wurde, indem Sie den Befehl pool-certificate-list auf dem Poolmaster ausführen:

    xe pool-certificate-list
    

    Wenn Sie das Zertifikat korrekt installiert haben, enthält die Ausgabe dieses Befehls das exportierte Stammzertifikat (z. B. server.pem). Wenn Sie diesen Befehl ausführen, werden alle installierten TLS-Zertifikate aufgelistet, einschließlich des soeben installierten Zertifikats.

  6. Synchronisieren Sie das Zertifikat vom Master mit allen Hosts im Pool, indem Sie den Befehl pool-certificate-sync auf dem Poolmaster ausführen:

    xe pool-certificate-sync
    

    Durch Ausführen des Befehls pool-certificate-sync auf dem Master werden die Zertifikatsperrlisten und Zertifikatsperrlisten auf allen Poolservern mit dem Master synchronisiert. Dadurch wird sichergestellt, dass alle Hosts im Pool dieselben Zertifikate verwenden.

    Es gibt keine Ausgabe von diesem Befehl. Der nächste Schritt funktioniert jedoch nicht, wenn dieser nicht erfolgreich funktioniert hat.

  7. Weisen Sie Citrix Hypervisor an, das Zertifikat zu überprüfen, bevor Sie eine Verbindung mit der virtuellen Workload Balancing-Appliance herstellen. Führen Sie den folgenden Befehl auf dem Poolmaster aus:

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Tipp:

    Durch Drücken der Tabulatortaste wird die UUID des Pools automatisch aufgefüllt.

  8. (Optional) Führen Sie die folgenden Schritte aus, um zu überprüfen, ob dieses Verfahren erfolgreich funktioniert hat:

    1. Um zu testen, ob das Zertifikat mit den anderen Hosts im Pool synchronisiert wurde, führen Sie den Befehl pool-certificate-list auf diesen Hosts aus.

    2. Um zu testen, ob Citrix Hypervisor für die Überprüfung des Zertifikats festgelegt wurde, führen Sie den Befehl pool-param-get mit dem Parameter param-name=wlb-verify-cert aus. Beispiel:

      xe pool-param-get param-name=wlb-verify-cert uuid=uuid_of_pool
      

Konfigurieren von Citrix Hypervisor zum Überprüfen eines Zertifikats der Zertifizierungsstelle

Sie können Citrix Hypervisor so konfigurieren, dass ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat überprüft wird.

Für vertrauenswürdige Autoritätszertifikate benötigt Citrix Hypervisor ein exportiertes Zertifikat oder eine Zertifikatkette (Zwischen- und Stammzertifikate) im PEM-Format, das den öffentlichen Schlüssel enthält.

Gehen Sie wie folgt vor, wenn der Arbeitslastenausgleich ein vertrauenswürdiges Autoritätszertifikat verwenden soll:

  1. Beziehen Sie ein signiertes Zertifikat von der Zertifizierungsstelle. Siehe Aufgabe 1: Abrufen eines Zertifikats der Zertifizierungsstelle.

  2. Befolgen Sie die Anweisungen unter Aufgabe 2: Angeben des neuen Zertifikats, um das neue Zertifikat anzugeben und anzuwenden.

  3. Installieren Sie die erhaltenen Zertifikate und aktivieren Sie die Zertifikatüberprüfung auf dem Poolmaster. Siehe Aufgabe 3: Importieren der Zertifikatskette in den Pool.

Bevor Sie mit diesen Aufgaben beginnen, müssen Sie Folgendes sicherstellen:

  • Sie kennen die IP-Adresse für den Citrix Hypervisor Poolmaster.

  • Citrix Hypervisor kann den Hostnamen des Workloadausgleichs auflösen. (Sie können z. B. versuchen, den FQDN des Workloadausgleichs über die Citrix Hypervisor Konsole für den Poolmaster zu pingen.)

Wichtig:

Wenn Sie eine IP-Adresse für die Verbindung mit Workload Balancing verwenden möchten, müssen Sie diese IP-Adresse beim Erstellen des Zertifikats als alternativen Subject Name (SAN) angeben.

Aufgabe 1: Abrufen eines Zertifikats der Zertifizierungsstelle

Um ein Zertifikat von einer Zertifizierungsstelle zu erhalten, müssen Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) generieren. Das Generieren einer CSR für die virtuelle Workloadausgleich-Appliance ist zwei Aufgaben. Sie müssen (1) einen privaten Schlüssel erstellen und (2) diesen privaten Schlüssel verwenden, um die CSR zu generieren. Sie müssen beide Verfahren auf der virtuellen Appliance für den Arbeitslastausgleich ausführen.

Richtlinien für die Angabe des allgemeinen Namens

Der Common Name (CN), den Sie beim Erstellen einer CSR angeben, muss genau mit dem FQDN Ihrer virtuellen Workload Balancing-Appliance und dem FQDN oder der IP-Adresse übereinstimmen, die Sie im Feld Adresse im Dialogfeld Mit WLB-Server verbinden angegeben haben.

Um sicherzustellen, dass der Name übereinstimmt, geben Sie den allgemeinen Namen an, indem Sie eine der folgenden Richtlinien verwenden:

  • Geben Sie dieselben Informationen für den allgemeinen Namen des Zertifikats an, wie Sie im Dialogfeld Verbindung mit WLB Server herstellen angegeben haben. Wenn Ihre virtuelle Workload Balancing-Appliance beispielsweise den Namen lautet wlb-vpx.yourdomain, geben Sie wlb-vpx.yourdomain im Feld Connect to WLB Server an und geben Sie beim Erstellen der CSR wlb-vpx.yourdomain als Common Name ein.

  • Wenn Sie Ihren Pool über eine IP-Adresse mit Workload Balancing verbunden haben, verwenden Sie den FQDN als Common Name, und geben Sie die IP-Adresse als Subject Alternative Name (SAN) an. Dies funktioniert jedoch möglicherweise nicht in allen Situationen.

Hinweis:

Die Zertifikatüberprüfung ist eine Sicherheitsmaßnahme, um unerwünschte Verbindungen zu verhindern. Daher müssen Arbeitslastausgleichszertifikate strenge Anforderungen erfüllen, da die Zertifikatüberprüfung nicht erfolgreich ist und Citrix Hypervisor die Verbindung nicht zulässt. Damit die Zertifikatüberprüfung erfolgreich ist, müssen Sie die Zertifikate an den bestimmten Speicherorten speichern, an denen Citrix Hypervisor die Zertifikate findet.

So erstellen Sie eine private Schlüsseldatei:

  1. Erstellen Sie eine private Schlüsseldatei:

    openssl genrsa -des3 -out privatekey.pem 2048
    
  2. Entfernen Sie das Kennwort:

    openssl rsa -in privatekey.pem -out privatekey.nop.pem
    

Hinweis:

Wenn Sie das Kennwort falsch oder inkonsistent eingeben, erhalten Sie möglicherweise einige Meldungen, die darauf hinweisen, dass ein Fehler der Benutzeroberfläche vorliegt. Sie können die Nachricht ignorieren und einfach den Befehl erneut ausführen, um die private Schlüsseldatei zu erstellen.

So generieren Sie die CSR:

  1. Generieren Sie die CSR:

    1. Erstellen Sie die CSR mit dem privaten Schlüssel:

      openssl req -new -key privatekey.nop.pem -out csr
      
    2. Befolgen Sie die Anweisungen, um die Informationen bereitzustellen, die zum Generieren der CSR erforderlich sind:

      Name des Landes. Geben Sie die Ländercodes des TLS-Zertifikats für Ihr Land ein. Beispiel: CA für Kanada oder JM für Jamaika. Eine Liste der Ländercodes des TLS-Zertifikats finden Sie im Web.

      Bundes- oder Provinzname (vollständiger Name). Geben Sie das Bundesland oder die Provinz ein, in der sich der Pool befindet. Zum Beispiel Massachusetts oder Alberta.

      Name des Orts. Der Name der Stadt, in der sich der Pool befindet.

      Name der Organisation. Der Name Ihres Unternehmens oder Ihrer Organisation.

      Name der Organisationseinheit. Geben Sie den Abteilungsnamen ein. Dieses Feld ist optional.

      Common Name: Geben Sie den FQDN Ihres Workload Balancing-Servers ein. Dies muss mit dem Namen übereinstimmen, den der Pool für die Verbindung mit dem Workload Balancing verwendet.

      E-Mail-Adresse: Diese E-Mail-Adresse ist beim Generieren im Zertifikat enthalten.

    3. Geben Sie optionale Attribute ein, oder klicken Sie auf die Eingabetaste, um die Bereitstellung dieser Informationen zu überspringen.

      Die CSR-Anforderung wird im aktuellen Verzeichnis gespeichert und trägt den Namen csr.

  2. Zeigen Sie die CSR im Konsolenfenster an, indem Sie die folgenden Befehle in der Workload Balancing-Appliance-Konsole ausführen:

    cat csr
    
  3. Kopieren Sie die gesamte Zertifikatsanforderung, und verwenden Sie die CSR, um das Zertifikat von der Zertifizierungsstelle anzufordern.

Aufgabe 2: Angeben des neuen Zertifikats

Gehen Sie wie folgt vor, um den Arbeitslastausgleich mit einem Zertifikat einer Zertifizierungsstelle anzugeben. Mit diesem Verfahren werden die Stammzertifikate und (falls verfügbar) Zwischenzertifikate installiert.

So geben Sie ein neues Zertifikat an:

  1. Laden Sie das signierte Zertifikat, das Stammzertifikat und, falls die Zertifizierungsstelle eines besitzt, das Zwischenzertifikat von der Zertifizierungsstelle herunter.

  2. Wenn Sie die Zertifikate nicht auf die virtuelle Workload Balancing-Appliance heruntergeladen haben. Führen Sie einen der folgenden Schritte aus:

    1. Wenn Sie die Zertifikate von einem Windows-Computer auf die Workload Balancing-Appliance kopieren, verwenden Sie WinSCP oder ein anderes Kopierprogramm, um die Dateien zu kopieren.

    Für den Hostnamen können Sie die IP-Adresse eingeben und den Port als Standardwert belassen. Der Benutzername und das Kennwort sind in der Regel root und das Kennwort, das Sie während der Konfiguration festgelegt haben.

    1. Wenn Sie die Zertifikate von einem Linux-Computer auf die Workload Balancing-Appliance kopieren, verwenden Sie SCP oder ein anderes Kopierprogramm, um die Dateien in das Verzeichnis Ihrer Wahl auf der Workload Balancing-Appliance zu kopieren. Beispiel:

      scp root_ca.pem root@wlb-ip:/path_on_your_WLB
      
  3. Führen Sie auf der virtuellen Workload Balancing-Appliance den Inhalt aller Zertifikate (Stammzertifikat, Zwischenzertifikat (falls vorhanden) und signiertes Zertifikat) in einer Datei zusammen. Beispiel:

    cat signed_cert.pem intermediate_ca.pem root_ca.pem > server.pem
    
  4. Benennen Sie das vorhandene Zertifikat und den Schlüssel mit dem Befehl move um:

    mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.pem_orig
    mv /etc/ssl/certs/server.key /etc/ssl/certs/server.key_orig
    
  5. Kopieren Sie das zusammengeführte Zertifikat:

    mv server.pem /etc/ssl/certs/server.pem
    
  6. Kopieren Sie den zuvor erstellten privaten Schlüssel:

    mv privatekey.nop.pem /etc/ssl/certs/server.key
    
  7. Machen Sie den privaten Schlüssel nur von root lesbar. Verwenden Sie den Befehl chmod, um Berechtigungen zu korrigieren.

    chmod 600 /etc/ssl/certs/server.key
    
  8. Neustart stunnel:

    killall stunnel
    stunnel
    

Aufgabe 3: Importieren der Zertifikatkette in den Pool

Nach dem Abrufen von Zertifikaten müssen Sie die Zertifikate in den Citrix Hypervisor Poolmaster importieren (installieren) und die Hosts im Pool synchronisieren, um diese Zertifikate zu verwenden. Anschließend können Sie Citrix Hypervisor so konfigurieren, dass die Identität und Gültigkeit des Zertifikats jedes Mal überprüft wird, wenn Workload Balancing eine Verbindung zu einem Host herstellt.

  1. Kopieren Sie das signierte Zertifikat, das Stammzertifikat und, falls die Zertifizierungsstelle über eines verfügt, das Zwischenzertifikat von der Zertifizierungsstelle auf den Citrix Hypervisor Poolmaster.

  2. Installieren Sie das Stammzertifikat auf dem Poolmaster:

    xe pool-certificate-install filename=root_ca.pem
    
  3. Installieren Sie gegebenenfalls das Zwischenzertifikat auf dem Poolmaster:

    xe pool-certificate-install filename=intermediate_ca.pem
    
  4. Überprüfen Sie die beiden ordnungsgemäß installierten Zertifikate, indem Sie diesen Befehl auf dem Poolmaster ausführen:

    xe pool-certificate-list
    

    Durch Ausführen dieses Befehls werden alle installierten TLS-Zertifikate aufgelistet. Wenn die Zertifikate erfolgreich installiert wurden, werden sie in dieser Liste angezeigt.

  5. Synchronisieren Sie das Zertifikat auf dem Poolmaster mit allen Hosts im Pool:

    xe pool-certificate-sync
    

    Durch Ausführen des Befehls pool-certificate-sync auf dem Master werden die Zertifikate und Zertifikatsperrlisten auf allen Poolservern mit dem Poolmaster synchronisiert. Dadurch wird sichergestellt, dass alle Hosts im Pool dieselben Zertifikate verwenden.

  6. Weisen Sie Citrix Hypervisor an, ein Zertifikat zu überprüfen, bevor Sie eine Verbindung mit der virtuellen Workload Balancing-Appliance herstellen. Führen Sie den folgenden Befehl auf dem Poolmaster aus:

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Tipp:

    Durch Drücken der Tabulatortaste wird die UUID des Pools automatisch aufgefüllt.

  7. Wenn Sie vor der Aktivierung der Zertifikatüberprüfung im Dialogfeld Mit WLB verbinden eine IP-Adresse angegeben haben, werden Sie möglicherweise aufgefordert, den Pool erneut mit Workload Balancing zu verbinden.

    Geben Sie in diesem Fall den vollqualifizierten Domänennamen für die Workload Balancing-Appliance im Feld Adresse im Dialogfeld Mit WLB verbinden genau so an, wie er im Common Name (CN) des Zertifikats angezeigt wird. (Sie müssen den vollqualifizierten Domänennamen eingeben, da der allgemeine Name und der Name, den Citrix Hypervisor für die Verbindung verwendet, übereinstimmen müssen.)

Tipps zur Problembehandlung

  • Wenn der Pool nach der Konfiguration der Zertifikatüberprüfung keine Verbindung zum Workload Balancing herstellen kann, überprüfen Sie, ob der Pool eine Verbindung herstellen kann, wenn Sie die Zertifikatüberprüfung deaktivieren (durch Ausführen xe pool-param-set wlb-verify-cert=false uuid=uuid_of_pool). Wenn eine Verbindung hergestellt werden kann, wenn die Überprüfung deaktiviert ist, liegt das Problem in Ihrer Zertifikatkonfiguration. Wenn keine Verbindung hergestellt werden kann, liegt das Problem entweder in den Anmeldeinformationen für den Arbeitslastausgleich oder in der Netzwerkverbindung.

  • Einige kommerzielle Zertifizierungsstellen stellen Tools bereit, um zu überprüfen, dass das Zertifikat ordnungsgemäß installiert ist. Erwägen Sie, diese Tools auszuführen, wenn diese Verfahren nicht helfen, das Problem zu isolieren. Wenn für diese Tools ein TLS-Port angegeben werden muss, geben Sie Port 8012 oder einen beliebigen Port an, den Sie während der Workloadausgleichskonfiguration festlegen.

  • Wenn nach dem Befolgen dieser Verfahren auf der Registerkarte WLB eine Fehlermeldung angezeigt wird, die besagt: “Beim Herstellen einer Verbindung zum WLB-Server ist ein Fehler aufgetreten”, besteht möglicherweise ein Konflikt zwischen dem allgemeinen Namen im Zertifikat und dem Namen der virtuellen Appliance für den Arbeitslastausgleich. Der Name der virtuellen Appliance für den Workload Balancing und der allgemeine Name des Zertifikats müssen exakt übereinstimmen.

Zertifikate für den Arbeitslastausgleich