Product Documentation

Installer un certificat manuellement à l'aide de Simple License Service

Sep 02, 2014

Créer un certificat

L'installation d'un certificat comprend trois étapes :

  1. Obtenez un fichier .pfx qui contient le certificat et la clé privée. Pour ce faire, vous pouvez utiliser l'une des deux méthodes suivantes.
  2. Extrayez le certificat et la clé privée du fichier .pfx.
  3. Installez le certificat et la clé privée sur le serveur de licences.

Étape 1, méthode 1 : obtenez le fichier .pfx au moyen d'un certificat de domaine.

Connectez-vous à un serveur du domaine, ouvrez la console MMC et procédez comme suit :

  1. Créez un répertoire c:\ls_cert devant contenir le fichier .pfx exporté.
  2. Ajoutez le module enfichable pour les certificats en sélectionnant Fichier > Ajouter/supprimer un composant logiciel enfichable > Certificats > Compte d'ordinateur > Ordinateur local.
  3. Dans le panneau de gauche sous Certificats, cliquez avec le bouton droit sur Personnel et choisissez Toutes les tâches > Demander un nouveau certificat, puis cliquez sur Suivant.
  4. Dans l'assistant Stratégie d'inscription de certificats, choisissez Stratégie d'inscription à Active Directory, cliquez sur Suivant, puis sélectionnez la case à cocher en regard de Ordinateur et sélectionnez Détails sur la droite.
  5. Sélectionnez Propriétés et, dans l'onglet Général, entrez un nom convivial et une description.
  6. Sur l'onglet Objet, sous Nom du sujet, choisissez Nom courant dans le menu déroulant Type, entrez un nom convivial dans la zone de texte et cliquez sur Ajouter, puis sur Appliquer.
  7. Sur l'onglet Extensions, choisissez Utilisation de la clé dans le menu déroulant, ajoutez les options Signature numérique et Chiffrement de la clé à la zone Sélectionnées.
  8. Dans le menu déroulant Utilisation de la clé étendue, ajoutez les options Authentification du serveur et Authentification du client à la zone Sélectionnées. .
  9. Sur l'onglet Clé privée et sous le menu déroulant des options de clé, assurez-vous que la taille de clé est 2048 et sélectionnez la case à cocher Clé exportable, puis cliquez sur Appliquer.
  10. Sur l'onglet Autorité de certification, vérifiez que la case à cocher CA est sélectionnée et cliquez sur OK > Inscription > Terminer.
  11. Dans la console Certificats, sélectionnez Personnel > Certificats, cliquez sur le certificat que vous avez créé, sélectionnez Toutes les tâches > Exporter > Suivant et sélectionnez le bouton radio Oui, exporter la clé privée et Suivant.
  12. Sous Échange d'informations personnelles – PKCS #12 (.pfx), sélectionnez la case à cocher permettant d'inclure tous les certificats, cliquez sur Suivant, créez un mot de passe et cliquez sur Suivant.
  13. Cliquez sur Parcourir, accédez à C:\ls_cert et tapez server.PFX, puis suivez les instructions de l'assistant pour terminer.

Étape 1, méthode 2 : obtenez le fichier .pfx en envoyant une demande à une autorité de certification (CA).

Ces étapes varient en fonction de votre autorité de certification.

  1. Ouvrez une session sur le serveur de licences, ouvrez la console MMC et suivez cette procédure :
    1. Ajoutez le module enfichable Certificat en sélectionnant Fichier > Ajouter/supprimer un composant logiciel enfichable > Certificats > Compte d'ordinateur > Ordinateur local.
    2. Dans le panneau de gauche sous Certificats, cliquez avec le bouton droit sur Personnel et choisissez Toutes les tâches > Opérations avancées > Créer une demande personnalisée, puis cliquez sur Suivant.
    3. Sur l'écran Demande personnalisée, choisissez (Aucun modèle) Clé CNG dans le menu déroulant et PKCS#10 pour le format de la demande, puis cliquez sur Suivant.
    4. Sur l'écran Informations sur le certificat, sélectionnez Détails et Propriétés.
    5. Sur l'onglet Général, entrez un nom convivial et une description.
    6. Sur l'onglet Objet, sous Nom du sujet, sélectionnez Nom commun et entrez une valeur dans la zone de texte.
    7. Sur l'onglet Extensions, choisissez Utilisation de la clé dans le menu déroulant, ajoutez Signature numérique et Chiffrement de la clé.
    8. Sur l'onglet Extensions, choisissez Utilisation de la clé étendue dans le menu déroulant et ajoutez Authentification du serveur et Authentification du client.
    9. Sur l'onglet Clé privée, sélectionnez RSA, Microsoft Software Key Storage Provider (valeur par défaut) et dans le menu déroulant, sélectionnez Options de clé et 2048 pour la taille de la clé et Permettre l'exportation de la clé privée.
    10. Enregistrez le fichier en tant que fichier .req. Ensuite, soumettez le fichier .req à une autorité de certification (CA) et enregistrez le fichier .cer.
  2. Dans la console MMC, sélectionnez Certificats > Personnel > Certificats et cliquez avec le bouton droit sur Toutes les tâches > Importer. Dans l'assistant d'importation, sélectionnez le fichier .cer.
  3. Créez un répertoire c:\ls_cert devant contenir le fichier .pfx exporté.
  4. Dans la console Certificats, sélectionnez Personnel > Certificats, cliquez sur le certificat que vous avez importé, sélectionnez Toutes les tâches > Exporter > Suivant et sélectionnez le bouton radio Oui, exporter la clé privée et Suivant.
  5. Sous Échange d'informations personnelles – PKCS #12 (.pfx), sélectionnez la case à cocher permettant d'inclure tous les certificats, cliquez sur Suivant, créez un mot de passe et cliquez sur Suivant.
  6. Cliquez sur Parcourir, accédez à C:\ls_cert et tapez server.PFX, puis suivez les instructions de l'assistant pour terminer.

Étape 2 : extrayez le certificat et la clé privée.

Cette étape requiert OpenSSL ou un autre outil permettant d'extraire le certificat et la clé privée d'un fichier .pfx.

Important : la version d'OpenSSL fournie avec le serveur de licence ne prend pas en charge l'extraction de certificats et de clés privées. Vous pouvez télécharger OpenSSL pour Windows à l'adresse https://www.openssl.org/related/binaries.html. Citrix recommande d'installer OpenSSL sur un poste de travail distinct pour effectuer cette procédure :
  1. Accédez au dossier <répertoire openssl>\bin.
  2. Exécutez openssl pkcs12 -in C:\ls_cert\server.pfx -out server.crt -nokeys
    Remarque : le serveur de licences utilise uniquement le format de certificat .crt.
  3. Entrez le mot de passe créé durant le processus d'exportation (password).
  4. Exécutez openssl pkcs12 -in C:\ls_cert\server.pfx -out server.key -nocerts –nodes
  5. Entrez le mot de passe créé durant le processus d'exportation (password).

Étape 3 : installez les fichiers .crt et .key sur le serveur de licences.

  1. Copiez les fichiers server.crt et server.key créés plus haut dans cd \program files (x86)\citrix\licensing\WebServicesForLicensing\Apache\conf\
  2. Redémarrez Simple License Service.