Product Documentation

Verwalten von SSL-Zertifikaten

Sep 18, 2015

SSL-Zertifikate sind für die Kommunikation über HTTPS erforderlich. SSL-Zertifikate können selbstsigniert oder von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert sein.

VDI-in-a-Box enthält ein selbstsigniertes Zertifikat. Selbstsignierte Zertifikate sind zwar kostenfrei, die folgenden Punkte gibt es jedoch zu bedenken:
  • Sie müssen sie auf allen Endgeräten installieren, damit andere Geräte ihnen vertrauen. Dies ist zwar eine praktische Lösung für kleine Bereitstellungen, aber weniger effektiv für Bereitstellungen auf Unternehmensebene.
  • Browser benötigen ein vertrauenswürdiges Zertifikat. Im Falle eines selbstsignierten Zertifikats wird jedes Mal im Browser eine Warnmeldung ausgegeben, wenn Sie eine Verbindung zu einem virtuellen Desktop oder mit der VDI Manager-Konsole herstellen.
  • Falls sich Benutzer über StoreFront anmelden, wird ein vertrauenswürdiges Zertifikat benötigt.
VDI-in-a-Box stellt einen Assistenten zur Verfügung, mit dessen Hilfe Sie Folgendes tun können:
  • Erstellen einer neuen Zertifikatsignieranforderung (CSR) und Installieren eines von einer Zertifizierungsstelle ausgestellten SSL-Zertifikats
  • Erstellen und Installieren eines selbstsignierten SSL-Zertifikats für einen vollqualifizierten Domänennamen (FQDN)
  • Hochladen eines vorhandenen SSL-Zertifikats im PKCS12-Format
  • Verteilen von Zertifikaten an alle Server im Raster

So erstellen Sie eine neue Zertifikatsignieranforderung

  1. Klicken Sie in der VDI Manager-Konsole auf die Registerkarte Admin.
  2. Klicken Sie auf Manage SSL Certificate.

  3. Klicken Sie auf Create CSR.

  4. Geben Sie die Anforderungsdetails ein und klicken Sie auf Create.

    Sie können mehrere FQDNs angeben. Beispielsweise können Sie ein Zertifikat haben, das einen NetScaler Gateway-Server, die IP-Adresse des Rasters und alle Server im Raster abdeckt. Wählen Sie hierzu Specify multiple host names aus und geben Sie die Namen der zusätzlichen Server getrennt durch Semikolons ein. Sie können IP-Adressen oder normale DNS-Hostnamen verwenden.

    Eine Bestätigungsmeldung mit dem Namen der Anforderungsdatei wird angezeigt.

  5. Klicken Sie auf Download. Die Anforderungsdatei wird auf Ihren Computer heruntergeladen.

Senden Sie die Anforderungsdatei an eine Zertifizierungsstelle (CA). Die Zertifizierungsstelle (CA) verifiziert, dass die Zertifikatsignieranforderung (CSR) gültig und authentisch ist, und stellt anschließend ein von der Zertifizierungsstelle signiertes Zertifikat mit den in der Anforderungsdatei enthaltenen Informationen aus. Dieses Zertifikat erhalten Sie dann mit den Stamm- und Zwischenzertifikaten.

Falls Sie beim Senden der Datei oder beim Herunterladen des Zertifikats aufgefordert werden, einen Servertyp anzugeben, geben Sie "tomcat" an.

So installieren Sie vertrauenswürdige SSL-Zertifikate

Sobald Sie die entsprechenden Zertifikate von der Zertifizierungsstelle erhalten haben, können Sie sie auf dem Server installieren.
  1. Setzen Sie das Raster in den Wartungsmodus: Klicken Sie in der VDI Manager-Konsole auf die Registerkarte Admin, dann auf Grid Maintenance und anschließend auf OK.
  2. Klicken Sie auf der Registerkarte Admin auf Manage SSL Certificate.
  3. Klicken Sie auf Install Cert.
  4. Klicken Sie auf Browse und navigieren Sie zum Speicherort der Zertifikate.
  5. Sie müssen die Zertifikate in der korrekten Reihenfolge hochladen – vom Stammzertifikat über die erforderlichen Zwischenzertifikate zum ausgegebenen, von der Zertifizierungsstelle signierten Zertifikat –, da sonst der Upload fehlschlägt.

    Um eine Datei hochzuladen, wählen Sie sie aus und klicken Sie auf Choose.

  6. Klicken Sie auf Install. (Beachten Sie, dass diese Schaltfläche so lange abgeblendet wird, bis Sie alle notwendigen Dateien hochgeladen haben.)
    Die Zertifikate werden installiert und eine Bestätigungsmeldung wird angezeigt.
    Hinweis: Durch das Installieren des SSL-Zertifikats wird der vdiManager-Dienst neu gestartet.
  7. Klicken Sie auf Close.
  8. Nehmen Sie das Raster aus dem Wartungsmodus. Klicken Sie auf der Registerkarte Admin auf Grid Maintenance und anschließend auf OK.

So erstellen und installieren Sie selbstsignierte SSL-Zertifikate

  1. Setzen Sie das Raster in den Wartungsmodus: Klicken Sie in der VDI Manager-Konsole auf die Registerkarte Admin, dann auf Grid Maintenance und anschließend auf OK.
  2. Klicken Sie auf der Registerkarte Admin auf Manage Certificate.
  3. Klicken Sie auf New self-signed certificate.

  4. Klicken Sie auf Generate.
  5. Geben Sie die Details ein und klicken Sie anschließend auf Create.
  6. Die Zertifikate werden installiert und eine Bestätigungsmeldung wird angezeigt.
    Hinweis: Durch das Installieren des SSL-Zertifikats wird der vdiManager-Dienst neu gestartet.
  7. Klicken Sie auf Close.
  8. Nehmen Sie das Raster aus dem Wartungsmodus. Klicken Sie auf der Registerkarte Admin auf Grid Maintenance und anschließend auf OK.
  9. Installieren Sie die Zertifikate auf allen Benutzergeräten, damit andere Geräte ihnen vertrauen.

So laden Sie vorhandene SSL-Zertifikate hoch

Sie können vorhandene SSL-Zertifikate hochladen, wenn sie sich in einem PKCS12-Container befinden. Der Container muss Folgendes umfassen:
  • Die vollständige Zertifikatkette (Stammzertifikat, Zwischenzertifikat(e) und das Serverzertifikat)
  • Den privaten Schlüssel für das Zertifikat
  • Das Kennwort
  1. Setzen Sie das Raster in den Wartungsmodus: Klicken Sie in der VDI Manager-Konsole auf die Registerkarte Admin, dann auf Grid Maintenance und anschließend auf OK.
  2. Klicken Sie auf der Registerkarte Admin auf Manage Certificate.
  3. Klicken Sie auf Existing certificate.

  4. Klicken Sie auf Upload Cert.
  5. Navigieren Sie zum Speicherort des Zertifikats, geben Sie das Kennwort ein und klicken Sie anschließend auf OK.
  6. Das Zertifikat wird hochgeladen und eine Bestätigungsmeldung wird angezeigt.
    Hinweis: Das Hochladen des Zertifikats löst einen Neustart des VDI Manager-Dienstes aus.
  7. Klicken Sie auf Close.
  8. Nehmen Sie das Raster aus dem Wartungsmodus. Klicken Sie auf der Registerkarte Admin auf Grid Maintenance und anschließend auf OK.

So verteilen Sie Zertifikate an alle Server im Raster

Nachdem Sie ein SSL-Zertifikat auf einem Server installiert haben, können Sie es an alle anderen Server im Raster verteilen. Verteilen Sie das SSL-Zertifikat, wenn alle Server über denselben Hostnamen adressiert werden (weil Sie die Raster-IP-Adresse verwenden oder weil sich ein Load Balancer vor den Servern im Raster befindet). Sie sind verantwortlich dafür, dass ein von einer Zertifizierungsstelle ausgestelltes Zertifikat legitim auf mehreren Hosts platziert werden kann.

  1. Setzen Sie das Raster in den Wartungsmodus: Klicken Sie in der VDI Manager-Konsole auf die Registerkarte Admin, dann auf Grid Maintenance und anschließend auf OK.
  2. Klicken Sie auf dem Server, auf dem das Zertifikat bereits installiert ist, auf die Registerkarte Admin und anschließend auf Manage Certificate.
  3. Klicken Sie auf Distribute. Wenn eine Bestätigungsmeldung angezeigt wird, die besagt, dass die Zertifikate verteilt wurden, klicken Sie auf Close.

    Durch das Verteilen des Zertifikats über das Raster werden alle empfangenden VDI Manager-Dienste neu gestartet. Warten Sie ungefähr fünf Minuten, bis die VDI Manager den Installationsvorgang abgeschlossen haben, bevor Sie Änderungen am Raster vorzunehmen.

  4. Nehmen Sie das Raster aus dem Wartungsmodus. Klicken Sie auf der Registerkarte Admin auf Grid Maintenance und anschließend auf OK.

Hinweis: Falls Sie einen neuen Server dem Raster hinzufügen, müssen Sie das SSL-Zertifikat neu verteilen, damit der neue Server auch das gleiche Rasterzertifikat erhält.