Product Documentation

替换默认的 XenServer SSL 证书

Sep 15, 2015

Citrix 建议使用 HTTPS 来保护 XenDesktop 与 XenServer 之间通信的安全。要使用 HTTPS,必须将与 XenServer 一起安装的默认 SSL 证书替换为由可信证书颁发机构颁发的证书:

  1. 按照下列步骤修改 /etc/pki/tls/openssl.cnf:
    1. 通过取消以下一行内容的注释来请求扩展:
      req_extensions = v3_req
    2. 修改适用于请求部分的部分,使其如下所示:
      [v3_req]basicConstraints = CA:FALSEkeyUsage = keyEnciphermentextendedKeyUsage = serverAuth
  2. 生成证书请求:openssl genrsa -out [servername].private 2048openssl req -new -outform PEM -out [servername].request -keyform PEM -key [servername].private -days 365其中 [servername] 是 XenServer 主机的名称。这将在名为 [servername].request 的文件中生成请求,请求颁发期限为 1 年(365 天)的证书。
  3. 将 [server name].request 中包含的证书请求交由证书颁发机构进行签署。 证书颁发机构可以是商业证书颁发机构,也可以是内部公司证书颁发机构(例如 Microsoft Certificate Services)。
  4. 新证书通过签署后,移动现有证书:mv/etc/xensource/xapi -ssl.pem/etc/xensource/xapi -ssl.pem_orig
  5. 将新签署的证书添加到 XenServer 主机并强化访问权限:cat [servername].public [servername].private > [servername].peminstall -m 0400 [servername].pem/etc/xensource/xapi-ssl.pem
  6. 使用以下行编辑文件 /etc/init.d/xapissl:PEMFILE=“/etc/ssl/certs/[servername].pem”
  7. 通过输入以下命令重新启动 XenServer 通信服务:/etc/init.d/xapissl restart
如果您使用的是私有证书颁发机构,可能需要在控制器上安装根证书。

在控制器上安装证书

  1. 在 Windows 资源管理器中找到根证书文件。
  2. 在根证书文件上单击鼠标右键并选择安装证书。 系统将显示证书管理器安装向导。
  3. 欢迎页面上,单击下一步
  4. 证书存储页面上,选择将所有证书置于以下存储中
  5. 单击浏览
  6. 选择显示物理存储
  7. 选择本地计算机
  8. 单击确定
  9. 按照向导中的说明完成安装。