将证书从 PFX 格式转换为 PEM 格式

SSL 证书用于 SSL 负载平衡虚拟服务器和 Citrix Gateway 虚拟服务器。PEM 证书是 Base64 编码的 ASCII 文件。PEM 证书可以在文本编辑器/记事本中打开,您会发现它们包含“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”语句。

要获得安全的可信访问,必须在 Citrix Gateway 服务器上安装 SSL 服务器证书。上传的证书文件必须具有以下特征:

  • 服务器证书必须由最终用户信任的证书颁发机构 (CA) 颁发。为了获得最佳效果,请使用商业 CA,例如 VeriSign、Thawte 或 GeoTrust。

  • 证书必须采用隐私增强邮件 (PEM) 格式,这是一种基于文本的格式,是二进制可分辨编码规则 (DER) 格式的 Base64 编码。

  • 证书文件必须包含私钥,且私钥不得加密。使用 PEM 文件不需要密码。

  • 任何必要的中间证书还必须附加到 PEM 文件的末尾。

完成以下过程之一,将 PFX 证书转换为 PEM 格式以便与 Citrix Gateway 一起使用:

Citrix Gateway 向导 完成以下过程,以使用 Citrix Gateway 向导将 PFX 证书转换为 PEM 格式:

  1. 导航到流量管理,选择 SSL 节点。

  2. 单击导入 PKCS #12 链接。

    本地化后的图片

  3. 在“输出文件名”字段中为 PEM 证书指定所需的文件名。

  4. 单击浏览并选择要转换为 PEM 格式的 PFX 证书。有些用户喜欢将证书上传到 /ncsonfig/SSL 目录并从该目录使用。如果 PFX 证书存储在 Citrix Gateway 上,则选择选项设备,如果它存储在工作站上,则使用本地。

    本地化后的图片

  5. 指定导入密码。

  6. 单击确定。

    本地化后的图片

  7. 如果文件已编码,则选择 DES 或 3DES 作为编码格式:

    本地化后的图片

  8. 指定 PEM 密码和验证 PEM 密码。

  9. 单击管理证书/密钥/CSR 链接以查看转换后的 PEM 证书文件。

    本地化后的图片

  10. 您可以使用转换后的 PEM 文件查看上传的 PFX 文件。

    本地化后的图片

  11. 展开 SSL 节点。

  12. 选择证书节点。

  13. 单击 Install(安装)。

  14. 在“安装证书”向导中指定证书密钥对名称。

  15. 浏览到 PEM 文件以获取证书文件名和私钥文件名。

  16. 指定密码。

  17. 单击 Install(安装)。

    本地化后的图片

OpenSSL 实用程序

如果您已使用 Internet 信息服务 (IIS) 证书向导请求并将证书安装到 Windows 服务器上,则可以将该证书及其私钥导出到个人信息交换 (PFX) 文件。要将此证书导入 Citrix Gateway,必须将 PFX 文件转换为未加密的 PEM 格式。

您可以使用开源实用程序 OpenSSL 执行从 PFX 到 PEM 的转换。从 Win32 OpenSSL 下载 OpenSSL 的一个 Win32 发行版。

如果您想使用 OpenSSL,您可能还需要 C++ 可再发行文件。从 Microsoft Visual C++ 2008 Redistributable Package (x86) 下载。

要将 PFX 文件转换为 PEM 文件,请在 Windows 计算机上完成以下步骤:

  1. 从 Win32 OpenSSL 下载并安装 Win32 OpenSSL 软件包。

  2. 创建一个文件夹 c:certs 并将文件复制到 c:certs 文件夹中。

  3. 打开命令提示符并更改到 OpenSSL\bin 目录:cd %homedrive%\OpenSSL\bin

  4. 运行以下命令将 PFX 文件转换为未加密的 PEM 文件(全部在一行中):openssl pkcs12 -in c:\certs\yourcert.pfx -out c:\certs\cag.pem –nodes

    本地化后的图片

  5. 当提示输入密码时,输入您在将证书导出到 PFX 文件时使用的密码。您应该收到一条消息,显示 MAC 验证确定。

    本地化后的图片

  6. 将浏览器指向 Citrix Gateway 管理门户或 HTTPS 端口 9001:https://netscaler-gateway-server:9001

  7. 以 root 身份登录。默认密码是根管理员。

  8. 单击页面顶部的维护链接。

  9. 单击上传私钥 + 证书 (.pem) 字段旁边的浏览按钮。浏览到 c:certscag.pem 文件,然后单击上传。

  10. 重新启动 Citrix Gateway 以便应用新 SSL 证书。

将证书从 PFX 格式转换为 PEM 格式