Product Documentation

Manually install a certificate used by the Simple License Service

Sep 02, 2014

Создание сертификата

Чтобы установить сертификат, следует выполнить три шага.

  1. Получите PFX-файл, который содержит сертификат и закрытый ключ. Для этого можно воспользоваться одним из двух способов.
  2. Извлеките из PFX-файла сертификат и закрытый ключ.
  3. Установите сертификат и закрытый ключ на сервере лицензий.

Шаг 1, способ 1: получение PFX-файла при помощи сертификата домена

Войдите на сервер в домене, откройте консоль управления MMC и выполните следующие шаги.

  1. Создайте каталог c:\ls_cert для хранения экспортированного PFX-файла.
  2. Добавьте оснастку сертификата, последовательно выбрав File > Add/Remove Snap-in > Certificates > Computer account > Local computer (Файл > Добавить или удалить оснастку > Сертификаты > Учетная запись компьютера > Локальный компьютер).
  3. На левой панели в разделе Certificates (Сертификаты) щелкните правой кнопкой мыши элемент Personal (Личные), последовательно выберите элементы All Tasks > Request New Certificate (Все задачи > Запросить новый сертификат), а затем нажмите кнопку Next (Далее).
  4. В мастере Certificate Enrollment Policy (мастер политики регистрации сертификатов) выберите элемент Active Directory Enrollment Policy (политика регистрации Active Directory), нажмите кнопку Next (Далее), а затем установите флажок Computer (Компьютер) и выберите элемент Details (Сведения) справа.
  5. Выберите элемент Properties (Свойства) и на вкладке General (Общие) укажите понятные имя и описание.
  6. На вкладке Subject (Субъект) в разделе Subject Type (Тип субъекта) выберите пункт Common name (Обычное имя) в раскрывающемся меню Type (Тип), введите понятное имя в текстовом поле, нажмите кнопку Add (Добавить), а затем — кнопку Apply (Применить).
  7. Откройте вкладку Extensions (Расширения) и в раскрывающемся меню выберите пункт Key usage (Использование ключа), а также добавьте параметры Digital signature (Цифровая подпись) и Key encipherment (Шифрование ключей) в окно выбранных параметров.
  8. В раскрывающемся меню Extended Key Usage (Расширенное использование ключа) добавьте параметры Server Authentication (Проверка подлинности сервера) и Client Authentication (Проверка подлинности клиента) в окно выбранных параметров. .
  9. На вкладке Private Key (Закрытый ключ) и в раскрывающемся меню Key options (Параметры ключа) убедитесь, что размер ключа составляет 2048, установите флажок Key Exportable (Экспортируемый ключ), а затем нажмите кнопку Apply (Применить).
  10. Откройте вкладку Certification Authority (Центр сертификации) и установите флажок CA, а затем последовательно нажмите кнопки OK > Enroll > Finish (ОК > Регистрация > Готово).
  11. В консоли Certificates (Сертификаты) выберите элементы Personal > Certificates (Личные > Сертификаты), щелкните созданный сертификат и последовательно выберите элементы All Tasks > Export > Next (Все задачи > Экспорт > Далее), а затем установите для переключателя значение Yes, Export the Private Key (Да, экспортировать закрытый ключ) и нажмите кнопку Next (Далее).
  12. Для параметра Personal Information Exchange — PKCS #12(.PFX) (Файл обмена личной информацией — PKCS #12 (.PFX)) установите флажок, предполагающий включение всех сертификатов, и нажмите кнопку Next (Далее), а затем создайте пароль и снова нажмите кнопку Next (Далее).
  13. Щелкните элемент Browse (Обзор), перейдите в расположение C:\ls_cert, введите слова server.PFX и следуйте указаниям мастера, пока он не завершит работу.

Шаг 1, способ 2: отправка запроса в центр сертификации для получения PFX-файла

В зависимости от центра сертификации возможны разные действия.

  1. Войдите на сервер лицензий, откройте консоль управления MMC и выполните следующие шаги.
    1. Добавьте оснастку Certificate (Сертификат), последовательно выбрав элементы File > Add/Remove Snap-in > Certificates > Computer account > Local computer (Файл > Добавить или удалить оснастку > Сертификаты > Учетная запись компьютера > Локальный компьютер).
    2. На левой панели в разделе Certificates (Сертификаты), щелкните правой кнопкой мыши элемент Personal (Личные), последовательно выберите элементы All Tasks > Advance Operations > Create Custom Request (Все задачи > Расширенные операции > Создать настраиваемый запрос) и нажмите кнопку Next (Далее).
    3. На экране Custom request (Пользовательский запрос) выберите пункт (No template) CNG key (Ключ CNG (без шаблона)) в раскрывающемся меню и элемент PKCS#10 в качестве формата запроса, а затем нажмите кнопку Next (Далее).
    4. На экране Certificate Information (Сведения о сертификате) выберите Details (Подробности) и щелкните Properties (Свойства).
    5. На вкладке General (общие) укажите понятное имя и описание.
    6. На вкладке Subject (Субъект) в разделе Subject name (Имя субъекта) выберите вариант Common name (Общее имя) и введите значение в текстовом поле.
    7. На вкладке Extensions (Расширения) выберите элемент Key usage (Использование ключа) в раскрывающемся меню и добавьте элементы Digital signature (Цифровая подпись) и Key encipherment (Шифрование ключей).
    8. На вкладке Extensions (Расширения) выберите элемент Enhanced Key usage (Расширенное использование ключа) в раскрывающемся меню и добавьте элементы Server Authentication (Проверка подлинности сервера) и Client Authentication (Проверка подлинности клиента).
    9. На вкладке Private Key (Закрытый ключ) выберите RSA, Microsoft Software Key Storage Provider (значение по умолчанию), а в раскрывающемся меню выберите Key options (Параметры ключа) и укажите значение 2048 для параметра Key size (Размер ключа), а затем выберите команду Make private key exportable (Сделать закрытый ключ экспортируемым).
    10. Сохраните файл в формате REQ, отправьте REQ-файл в центр сертификации и сохраните CER-файл.
  2. В консоли управления (MMC), выберите Certificates > Personal > Certificates (Сертификаты > Личные > Сертификаты) и щелкните правой кнопкой мыши All Tasks > Import (Все задачи > Импорт). Выберите CER-файл в мастере импорта.
  3. Создайте каталог c:\ls_cert для хранения экспортированного PFX-файла.
  4. В консоли Certificates (Сертификаты) последовательно выберите элементы Personal > Certificates (Личные > Сертификаты), щелкните импортированный сертификат, выберите элементы All Tasks > Export > Next (Все задачи > Экспорт > Далее), задайте для переключателя значение Yes, Export the Private Key (Да, экспортировать закрытый ключ) и нажмите кнопку Next (Далее).
  5. Для параметра Personal Information Exchange – PKCS #12(.PFX) (Файл обмена личной информацией — PKCS #12 (.PFX)) установите флажок для включения всех сертификатов, нажмите кнопку Next (Далее), создайте пароль и снова нажмите кнопку Next (Далее).
  6. Щелкните элемент Browse (Обзор), перейдите в расположение C:\ls_cert, введите слова server.PFX и следуйте указаниям мастера, пока он не завершит работу.

Шаг 2: извлечение сертификата и закрытого ключа

Для выполнения этого шага требуется OpenSSL или другое средство, которое позволяет извлечь сертификат и закрытый ключ из PFX-файла.

Внимание! Версия OpenSSL, поставляемая с сервером лицензий, не поддерживает извлечение сертификатов и закрытых ключей. Загрузить OpenSSL для Windows можно здесь: https://www.openssl.org/related/binaries.html. Компания Citrix рекомендует устанавливать OpenSSL на отдельной рабочей станции для выполнения этих шагов.
  1. Перейдите в папку <openssl directory>\bin.
  2. Запустите команду openssl pkcs12 -in C:\ls_cert\server.pfx -out server.crt -nokeys
    Примечание. В качества формата сертификатов сервер лицензий использует формат CRT.
  3. Введите пароль, созданный во время экспорта (пароль).
  4. Запустите команду openssl pkcs12 -in C:\ls_cert\server.pfx -out server.key -nocerts –nodes
  5. Введите пароль, созданный во время экспорта (пароль).

Шаг 3: установка CRT- и KEY-файлов на сервере лицензий.

  1. Скопируйте файлы server.crt и server.key, созданные при выполнении действий, описанных выше, в папку cd \program files (x86)\citrix\licensing\WebServicesForLicensing\Apache\conf\
  2. Перезапустите Simple License Service.