Zertifikate für den Workload-Balancing

Dieser Abschnitt enthält Informationen zu zwei optionalen Aufgaben zum Sichern von Zertifikaten:

  • Konfigurieren von Citrix Hypervisor zum Überprüfen eines Zertifikats von einer vertrauenswürdigen Behörde

  • Konfigurieren von Citrix Hypervisor zum Überprüfen des selbstsignierten Citrix WLB-Standardzertifikats

Übersicht

Citrix Hypervisor und Workload Balancing kommunizieren über HTTPS. Folglich erstellt der Assistent während der Konfiguration des Workload Balancing automatisch ein selbstsigniertes Testzertifikat. Mit diesem selbstsignierten Testzertifikat kann Workload Balancing eine SSL-Verbindung mit Citrix Hypervisor hergestellt werden.

Hinweis:

Das selbstsignierte Zertifikat ist ein Platzhalter zur Erleichterung der HTTPS-Kommunikation und stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle. Für zusätzliche Sicherheit empfehlen wir die Verwendung eines Zertifikats, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde.

Standardmäßig erstellt Workload Balancing diese SSL-Verbindung mit Citrix Hypervisor automatisch. Sie müssen während oder nach der Konfiguration keine Zertifikatkonfigurationen durchführen, damit der Workload Balancing diese SSL-Verbindung erstellt werden kann.

Wenn Sie jedoch ein Zertifikat einer anderen Zertifizierungsstelle verwenden möchten, z. B. ein signiertes Zertifikat einer kommerziellen Behörde, müssen Sie den Workload Balancing und Citrix Hypervisor so konfigurieren, dass es verwendet wird.

Unabhängig davon, welches Zertifikat Workload Balancing verwendet, überprüft Citrix Hypervisor die Identität des Zertifikats standardmäßig nicht, bevor eine Verbindung zum Workload Balancing hergestellt wird. Um Citrix Hypervisor für die Überprüfung nach einem bestimmten Zertifikat zu konfigurieren, müssen Sie das Stammzertifikat exportieren, das zum Signieren des Zertifikats verwendet wurde, in Citrix Hypervisor kopieren und Citrix Hypervisor so konfigurieren, dass es überprüft wird, wenn eine Verbindung zum Workload Balancing hergestellt wird. In diesem Szenario fungiert Citrix Hypervisor als Client und Workload Balancing fungiert als Server.

 In dieser Abbildung wird gezeigt, wie Citrix Hypervisor überprüft, ob ein bestimmtes Zertifikat vorhanden ist, bevor die virtuelle Workload Balancing-Appliance eine Verbindung mit dem Zertifikat über SSL herstellen kann. In diesem Fall befindet sich das echte Zertifikat (das Zertifikat mit dem privaten Schlüssel) auf dem Workload Balancing-Server und das Zertifikat, mit dem es signiert wurde, auf dem Citrix Hypervisor Poolmaster.

Abhängig von Ihren Sicherheitszielen können Sie entweder:

Konfigurieren von Citrix Hypervisor zum Überprüfen des selbstsignierten Zertifikats

Sie können Citrix Hypervisor so konfigurieren, dass das selbstsignierte Citrix WLB-Zertifikat authentisch ist, bevor Citrix Hypervisor Workload Balancing eine Verbindung zulässt.

Wichtig:

Um das selbstsignierte Citrix WLB-Zertifikat zu überprüfen, müssen Sie mithilfe des Hostnamens eine Verbindung zum Workload Balancing herstellen. Führen Sie denhostname Befehl auf der virtuellen Appliance aus, um den Hostnamen des Arbeitslastausgleichs zu suchen.

Wenn Sie den Workload Balancing so konfigurieren möchten, dass das selbstsignierte Citrix WLB-Zertifikat überprüft wird, führen Sie die Schritte im folgenden Verfahren aus.

So konfigurieren Sie Citrix HypervisorSo überprüfen Sie das selbstsignierte Zertifikat:

  1. Kopieren Sie das selbstsignierte Zertifikat von der virtuellen Workload Balancing-Appliance in den Poolmaster. Das selbstsignierte Citrix WLB-Zertifikat wird unter /etc/ssl/certs/server.pemgespeichert. Führen Sie Folgendes auf dem Poolmaster aus, um das Zertifikat zu kopieren:

    scp root@wlb-ip:/etc/ssl/certs/server.pem .
    
  2. Wenn Sie eine Meldung erhalten, dass die Authentizität vonwlb-ip nicht hergestellt werden kann, geben Sie ein,yes um fortzufahren.

  3. Geben Sie das Stammkennwort für die virtuelle Appliance Workload Balancing ein, wenn Sie dazu aufgefordert werden. Das Zertifikat wird in das aktuelle Verzeichnis kopiert.

  4. Installieren Sie das Zertifikat. Führen Sie denpool-certificate-install Befehl aus dem Verzeichnis aus, in das Sie das Zertifikat kopiert haben. Zum Beispiel:

    xe pool-certificate-install filename=server.pem
    
  5. Überprüfen Sie, ob das Zertifikat ordnungsgemäß installiert wurde, indem Sie denpool-certificate-list Befehl auf dem Poolmaster ausführen:

    xe pool-certificate-list
    

    Wenn Sie das Zertifikat ordnungsgemäß installiert haben, enthält die Ausgabe dieses Befehls das exportierte Stammzertifikat (z. B. server.pem). Wenn Sie diesen Befehl ausführen, werden alle installierten SSL-Zertifikate aufgelistet, einschließlich des soeben installierten Zertifikats.

  6. Synchronisieren Sie das Zertifikat vom Master mit allen Hosts im Pool, indem Sie denpool-certificate-sync Befehl auf dem Poolmaster ausführen:

    xe pool-certificate-sync
    

    Wennpool-certificate-sync Sie den Befehl auf dem Master ausführen, werden die Zertifikat- und Zertifikatsperrlisten auf allen Poolservern mit dem Master synchronisiert. Dadurch wird sichergestellt, dass alle Hosts im Pool dieselben Zertifikate verwenden.

    Es gibt keine Ausgabe von diesem Befehl. Der nächste Schritt funktioniert jedoch nicht, wenn dieser nicht erfolgreich funktioniert hat.

  7. Weisen Sie Citrix Hypervisor an, das Zertifikat zu überprüfen, bevor Sie eine Verbindung mit der virtuellen Workload Balancing-Appliance herstellen. Führen Sie den folgenden Befehl auf dem Poolmaster aus:

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Tipp:

    Durch Drücken der Tabulatortaste wird automatisch die UUID des Pools aufgefüllt.

  8. (Optional) Führen Sie die folgenden Schritte aus, um zu überprüfen, ob dieses Verfahren erfolgreich funktioniert hat:

    1. Führen Sie denpool-certificate-list Befehl auf diesen Hosts aus, um zu testen, ob das Zertifikat mit den anderen Hosts im Pool synchronisiert wurde.

    2. Um zu testen, ob Citrix Hypervisor zum Überprüfen des Zertifikats festgelegt wurde, führen Sie denpool-param-get Befehl mit dem Parameterparam-name =wlb-verify-cert aus. Zum Beispiel:

      xe pool-param-get param-name=wlb-verify-cert uuid=uuid_of_pool
      

Konfigurieren von Citrix Hypervisor zum Überprüfen eines Zertifikatzertifikats

Sie können Citrix Hypervisor so konfigurieren, dass ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat überprüft wird.

Für vertrauenswürdige Autoritätszertifikate benötigt Citrix Hypervisor ein exportiertes Zertifikat oder eine Zertifikatkette (das Zwischen- und Stammzertifikat) im PEM-Format, das den öffentlichen Schlüssel enthält.

Wenn der Workload Balancing ein Zertifikat der vertrauenswürdigen Autorität verwenden soll, gehen Sie folgendermaßen vor:

  1. Beziehen Sie ein signiertes Zertifikat von der Zertifizierungsstelle. Siehe Aufgabe 1: Beschaffung eines Zertifikatszertifikats.

  2. Befolgen Sie die Anweisungen unterAufgabe 2: Angeben des neuen Zertifikats, um das neue Zertifikat anzugeben und anzuwenden.

  3. Installieren Sie die erhaltenen Zertifikate und aktivieren Sie die Zertifikatüberprüfung auf dem Poolmaster. Siehe Aufgabe 3: Importieren der Zertifikatkette in den Pool.

Bevor Sie mit diesen Tasks beginnen, stellen Sie sicher:

  • Sie kennen die IP-Adresse für den Citrix Hypervisor Poolmaster.

  • Citrix Hypervisor kann den Hostnamen des Workload Balancing auflösen. (Sie können beispielsweise versuchen, den FQDN „Workload Balancing“ über die Citrix Hypervisor Konsole für den Poolmaster zu pingen.)

Wichtig:

Wenn Sie eine IP-Adresse zum Herstellen einer Verbindung mit dem Workload Balancing verwenden möchten, müssen Sie diese IP-Adresse als alternativen Antragstellernamen (Subject Alternative Name, SAN) angeben, wenn Sie das Zertifikat erstellen.

Aufgabe 1: Beschaffung eines Zertifikatszertifikats

Um ein Zertifikat von einer Zertifizierungsstelle zu erhalten, müssen Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) generieren. Das Generieren einer CSR für die virtuelle Appliance „Workload Balancing“ ist ein zweistufiger Prozess. Sie müssen (1) einen privaten Schlüssel erstellen und (2) diesen privaten Schlüssel verwenden, um die CSR zu generieren. Beide Verfahren müssen auf der virtuellen Appliance „Workload Balancing“ ausgeführt werden.

Richtlinien für die Angabe des allgemeinen Namens

Der Common Name (CN), den Sie beim Erstellen einer CSR angeben, muss genau mit dem FQDN Ihrer virtuellen Workload Balancing-Appliance und dem FQDN oder der IP-Adresse übereinstimmen, die Sie im Dialogfeld Mit WLB-Server verbinden im Feld Adresse angegeben haben.

Um sicherzustellen, dass der Name übereinstimmt, geben Sie den allgemeinen Namen mit einer der folgenden Richtlinien an:

  • Geben Sie dieselben Informationen für den allgemeinen Namen des Zertifikats an, wie Sie im Dialogfeld Mit WLB-Server verbinden angegeben haben. Wenn Ihre virtuelle Workload-Balancing-Appliance beispielsweise benannt istwlb-vpx.yourdomain, geben Siewlb-vpx.yourdomainim Bereich Verbindung mit WLB-Server an und gebenwlb-vpx.yourdomainSie beim Erstellen der CSR den allgemeinen Namen an.

  • Wenn Sie Ihren Pool über eine IP-Adresse mit dem Workload Balancing verbunden haben, verwenden Sie den FQDN als Common Name, und geben Sie die IP-Adresse als Subject Alternative Name (SAN) an. Dies funktioniert jedoch möglicherweise nicht in allen Situationen.

Hinweis:

Die Zertifikatüberprüfung ist eine Sicherheitsmaßnahme, um unerwünschte Verbindungen zu verhindern. Daher müssen Workload Balancing-Zertifikate strenge Anforderungen erfüllen, da sonst die Zertifikatüberprüfung nicht erfolgreich ist und Citrix Hypervisor die Verbindung nicht zulässt. Ebenso müssen Sie die Zertifikate an den bestimmten Speicherorten speichern, an denen Citrix Hypervisor erwartet, dass die Zertifikate gefunden werden.

So erstellen Sie eine private Schlüsseldatei:

  1. Erstellen Sie eine private Schlüsseldatei:

    openssl genrsa -des3 -out privatekey.pem 2048
    
  2. Entfernen Sie das Kennwort:

    openssl rsa -in privatekey.pem -out privatekey.nop.pem
    

Hinweis:

Wenn Sie das Kennwort falsch oder inkonsistent eingeben, erhalten Sie möglicherweise einige Meldungen, die darauf hinweisen, dass ein Benutzerschnittstellenfehler vorliegt. Sie können die Nachricht ignorieren und den Befehl einfach erneut ausführen, um die private Schlüsseldatei zu erstellen.

So generieren Sie die CSR:

  1. Erstellen Sie die CSR:

    1. Erstellen Sie die CSR mit dem privaten Schlüssel:

      openssl req -new -key privatekey.nop.pem -out csr
      
    2. Folgen Sie den Anweisungen, um die Informationen bereitzustellen, die für die Erstellung der CSR erforderlich sind:

      Name des Landes. Geben Sie die Ländercodes des SSL-Zertifikats für Ihr Land ein. Beispiel: CA für Kanada oder JM für Jamaika. Eine Liste der Ländercodes des SSL-Zertifikats finden Sie im Internet.

      Name des Bundesstaates oder der Provinz (vollständiger Name). Geben Sie den Bundesstaat oder die Provinz ein, in der sich der Pool befindet. Zum Beispiel Massachusetts oder Alberta.

      Name des Ortes. Der Name der Stadt, in der sich der Pool befindet.

      Organisationsname. Der Name Ihres Unternehmens oder Ihrer Organisation.

      Name der Organisationseinheit. Geben Sie den Abteilungsnamen ein. Dieses Feld ist optional.

      Gemeinsamer Name. Geben Sie den FQDN Ihres Workload-Balancing-Servers ein. Dies muss mit dem Namen übereinstimmen, den der Pool für die Verbindung mit dem Workload Balancing verwendet.

      E-Mail-Adresse. Diese E-Mail-Adresse ist im Zertifikat enthalten, wenn Sie es generieren.

    3. Geben Sie optionale Attribute an, oder klicken Sie auf Eingabetaste, um die Bereitstellung dieser Informationen zu überspringen.

      Die CSR-Anforderung wird im aktuellen Verzeichnis gespeichert und trägt den Namencsr.

  2. Zeigen Sie die CSR im Konsolenfenster an, indem Sie die folgenden Befehle in der Workload Balancing-Appliance-Konsole ausführen:

    cat csr
    
  3. Kopieren Sie die gesamte Zertifikatsanforderung, und verwenden Sie die CSR, um das Zertifikat von der Zertifizierungsstelle anzufordern.

Aufgabe 2: Festlegen des neuen Zertifikats

Gehen Sie wie folgt vor, um anzugeben, dass der Workload Balancing ein Zertifikat von einer Zertifizierungsstelle verwendet. Diese Prozedur installiert die Stamm- und (falls verfügbar) Zwischenzertifikate.

So geben Sie ein neues Zertifikat an:

  1. Laden Sie das signierte Zertifikat, das Stammzertifikat und, falls die Zertifizierungsstelle eines besitzt, das Zwischenzertifikat von der Zertifizierungsstelle herunter.

  2. Wenn Sie die Zertifikate nicht auf die virtuelle Workload Balancing-Appliance heruntergeladen haben. Führen Sie einen der folgenden Schritte aus:

    1. Wenn Sie die Zertifikate von einem Windows Computer auf die Workload Balancing-Appliance kopieren, verwenden Sie WinSCP oder ein anderes Kopierdienstprogramm, um die Dateien zu kopieren.

    Für den Hostnamen können Sie die IP-Adresse eingeben und den Port standardmäßig belassen. Der Benutzername und das Kennwort sind in der Regel root und das Kennwort, das Sie während der Konfiguration festlegen.

    1. Wenn Sie die Zertifikate von einem Linux-Computer auf die Workload Balancing-Appliance kopieren, verwenden Sie SCP oder ein anderes Kopierdienstprogramm, um die Dateien in das Verzeichnis Ihrer Wahl auf der Workload Balancing-Appliance zu kopieren. Zum Beispiel:

      scp root_ca.pem root@wlb-ip:/path_on_your_WLB
      
  3. Verbinden Sie auf der virtuellen Appliance „Workload Balancing“ den Inhalt aller Zertifikate (Stammzertifikat, Zwischenzertifikat (falls vorhanden) und signiertes Zertifikat) in einer Datei. Zum Beispiel:

    cat signed_cert.pem intermediate_ca.pem root_ca.pem > server.pem
    
  4. Benennen Sie das vorhandene Zertifikat und den Schlüssel mit dem Befehl move um:

    mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.pem_orig
    mv /etc/ssl/certs/server.key /etc/ssl/certs/server.key_orig
    
  5. Kopieren Sie das zusammengeführte Zertifikat:

    mv server.pem /etc/ssl/certs/server.pem
    
  6. Kopieren Sie den zuvor erstellten privaten Schlüssel:

    mv privatekey.nop.pem /etc/ssl/certs/server.key
    
  7. Machen Sie den privaten Schlüssel nur durch root lesbar. Verwenden Siechmod den Befehl, um Berechtigungen zu beheben.

    chmod 600 /etc/ssl/certs/server.key
    
  8. Neustartstunnel:

    killall stunnel
    stunnel
    

Aufgabe 3: Importieren der Zertifikatkette in den Pool

Nach dem Abrufen von Zertifikaten müssen Sie die Zertifikate auf den Citrix Hypervisor Poolmaster importieren (installieren) und die Hosts im Pool synchronisieren, um diese Zertifikate zu verwenden. Anschließend können Sie Citrix Hypervisor so konfigurieren, dass die Identität und Gültigkeit des Zertifikats jedes Mal überprüft wird, wenn der Workload Balancing eine Verbindung mit einem Host herstellt.

  1. Kopieren Sie das signierte Zertifikat, das Stammzertifikat und, falls die Zertifizierungsstelle eines besitzt, das Zwischenzertifikat von der Zertifizierungsstelle auf den Citrix Hypervisor Poolmaster.

  2. Installieren Sie das Stammzertifikat auf dem Poolmaster:

    xe pool-certificate-install filename=root_ca.pem
    
  3. Installieren Sie ggf. das Zwischenzertifikat auf dem Poolmaster:

    xe pool-certificate-install filename=intermediate_ca.pem
    
  4. Überprüfen Sie sowohl die Zertifikate ordnungsgemäß installiert, indem Sie diesen Befehl auf dem Poolmaster ausführen:

    xe pool-certificate-list
    

    Wenn Sie diesen Befehl ausführen, werden alle installierten SSL-Zertifikate aufgelistet. Wenn die Zertifikate erfolgreich installiert wurden, werden sie in dieser Liste angezeigt.

  5. Synchronisieren Sie das Zertifikat auf dem Poolmaster mit allen Hosts im Pool:

    xe pool-certificate-sync
    

    Wennpool-certificate-sync Sie den Befehl auf dem Master ausführen, werden die Zertifikate und Zertifikatsperrlisten auf allen Poolservern mit dem Poolmaster synchronisiert. Dadurch wird sichergestellt, dass alle Hosts im Pool dieselben Zertifikate verwenden.

  6. Weisen Sie Citrix Hypervisor an, ein Zertifikat zu überprüfen, bevor Sie eine Verbindung mit der virtuellen Workload Balancing-Appliance herstellen. Führen Sie den folgenden Befehl auf dem Poolmaster aus:

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Tipp:

    Durch Drücken der Tabulatortaste wird automatisch die UUID des Pools aufgefüllt.

  7. Wenn Sie vor der Aktivierung der Zertifikatüberprüfung im Dialogfeld Mit WLB verbinden eine IP-Adresse angegeben haben, werden Sie möglicherweise aufgefordert, den Pool erneut mit dem Workload Balancing zu verbinden.

    Geben Sie in diesem Fall den FQDN für die Workload Balancing-Appliance im Feld Adresse im Dialogfeld Mit WLB verbinden genau so an, wie er im Common Name (CN) des Zertifikats angezeigt wird . (Sie müssen den FQDN eingeben, da der allgemeine Name und der Name, den Citrix Hypervisor für die Verbindung verwendet, übereinstimmen müssen.)

Tipps zur Fehlerbehebung

  • Wenn der Pool nach der Konfiguration der Zertifikatüberprüfung keine Verbindung mit dem Workload Balancing herstellen kann, überprüfen Sie, ob der Pool eine Verbindung herstellen kann, wenn Sie die Zertifikatüberprüfung deaktivieren (durch Ausführenxe pool-param-set wlb-verify-cert=false uuid=uuid_of_pool). Wenn es eine Verbindung mit der Überprüfung aus herstellen kann, liegt das Problem in der Zertifikatkonfiguration. Wenn es keine Verbindung herstellen kann, liegt das Problem entweder in den Anmeldeinformationen für den Workload Balancing oder in der Netzwerkverbindung.

  • Einige kommerzielle Zertifizierungsstellen stellen stellen Tools zur Verfügung, um das ordnungsgemäß installierte Zertifikat zu überprüfen. Erwägen Sie, diese Tools auszuführen, wenn diese Prozeduren das Problem nicht isolieren können. Wenn für diese Tools ein SSL-Port angegeben werden muss, geben Sie Port 8012 oder einen beliebigen Port an, den Sie während der Konfiguration des Arbeitslastausgleichs festlegen.

  • Wenn nach diesen Verfahren eine Fehlermeldung auf der Registerkarte WLB angezeigt wird, die besagt: „Es ist ein Fehler beim Herstellen der Verbindung mit dem WLB-Server aufgetreten“, kann es zu einem Konflikt zwischen dem allgemeinen Namen im Zertifikat und dem Namen der virtuellen Workload-Balancing-Appliance kommen. Der Name der virtuellen Appliance Workload Balancing und der allgemeine Name des Zertifikats müssen genau übereinstimmen.