将证书从 PFX 格式转换为 PEM 格式
SSL 证书用于 SSL 负载平衡虚拟服务器和 Citrix Gateway 虚拟服务器。PEM 证书是 Base64 编码的 ASCII 文件。PEM 证书可以在文本编辑器/记事本中打开,您会发现它们包含“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”语句。
要获得安全的可信访问,必须在 Citrix Gateway 服务器上安装 SSL 服务器证书。上传的证书文件必须具有以下特征:
-
服务器证书必须由最终用户信任的证书颁发机构 (CA) 颁发。为了获得最佳效果,请使用商业 CA,例如 VeriSign、Thawte 或 GeoTrust。
-
证书必须采用隐私增强邮件 (PEM) 格式,这是一种基于文本的格式,是二进制可分辨编码规则 (DER) 格式的 Base64 编码。
-
证书文件必须包含私钥,且私钥不得加密。使用 PEM 文件不需要密码。
-
任何必要的中间证书还必须附加到 PEM 文件的末尾。
完成以下过程之一,将 PFX 证书转换为 PEM 格式以便与 Citrix Gateway 一起使用:
Citrix Gateway 向导 完成以下过程,以使用 Citrix Gateway 向导将 PFX 证书转换为 PEM 格式:
-
导航到流量管理,选择 SSL 节点。
-
单击导入 PKCS #12 链接。
-
在“输出文件名”字段中为 PEM 证书指定所需的文件名。
-
单击浏览并选择要转换为 PEM 格式的 PFX 证书。有些用户喜欢将证书上传到 /ncsonfig/SSL 目录并从该目录使用。如果 PFX 证书存储在 Citrix Gateway 上,则选择选项设备,如果它存储在工作站上,则使用本地。
-
指定导入密码。
-
单击确定。
-
如果文件已编码,则选择 DES 或 3DES 作为编码格式:
-
指定 PEM 密码和验证 PEM 密码。
-
单击管理证书/密钥/CSR 链接以查看转换后的 PEM 证书文件。
-
您可以使用转换后的 PEM 文件查看上传的 PFX 文件。
-
展开 SSL 节点。
-
选择证书节点。
-
单击 Install(安装)。
-
在“安装证书”向导中指定证书密钥对名称。
-
浏览到 PEM 文件以获取证书文件名和私钥文件名。
-
指定密码。
-
单击 Install(安装)。
OpenSSL 实用程序
如果您已使用 Internet 信息服务 (IIS) 证书向导请求并将证书安装到 Windows 服务器上,则可以将该证书及其私钥导出到个人信息交换 (PFX) 文件。要将此证书导入 Citrix Gateway,必须将 PFX 文件转换为未加密的 PEM 格式。
您可以使用开源实用程序 OpenSSL 执行从 PFX 到 PEM 的转换。从 Win32 OpenSSL 下载 OpenSSL 的一个 Win32 发行版。
如果您想使用 OpenSSL,您可能还需要 C++ 可再发行文件。从 Microsoft Visual C++ 2008 Redistributable Package (x86) 下载。
要将 PFX 文件转换为 PEM 文件,请在 Windows 计算机上完成以下步骤:
-
从 Win32 OpenSSL 下载并安装 Win32 OpenSSL 软件包。
-
创建一个文件夹 c:certs 并将文件复制到 c:certs 文件夹中。
-
打开命令提示符并更改到 OpenSSL\bin 目录:cd %homedrive%\OpenSSL\bin
-
运行以下命令将 PFX 文件转换为未加密的 PEM 文件(全部在一行中):openssl pkcs12 -in c:\certs\yourcert.pfx -out c:\certs\cag.pem –nodes
-
当提示输入密码时,输入您在将证书导出到 PFX 文件时使用的密码。您应该收到一条消息,显示 MAC 验证确定。
-
将浏览器指向 Citrix Gateway 管理门户或 HTTPS 端口 9001:
https://netscaler-gateway-server:9001。 -
以 root 身份登录。默认密码是根管理员。
-
单击页面顶部的维护链接。
-
单击上传私钥 + 证书 (.pem) 字段旁边的浏览按钮。浏览到 c:certscag.pem 文件,然后单击上传。
-
重新启动 Citrix Gateway 以便应用新 SSL 证书。