Certificats pour l’équilibrage de la charge de travail
Citrix Hypervisor et Workload Balancing communiquent via HTTPS. Lors de la configuration de l’équilibrage de la charge de travail, l’Assistant crée automatiquement un certificat de test auto-signé. Ce certificat de test auto-signé permet à Workload Balancing d’établir une connexion TLS à Citrix Hypervisor. Par défaut, l’équilibrage de la charge de travail crée automatiquement cette connexion TLS avec Citrix Hypervisor. Vous n’avez pas besoin d’effectuer de configurations de certificat pendant ou après la configuration de l’équilibrage de la charge de travail pour créer cette connexion TLS.
Remarque :
Le certificat auto-signé est un espace réservé pour faciliter la communication HTTPS et ne provient pas d’une autorité de certification de confiance. Pour plus de sécurité, nous vous recommandons d’utiliser un certificat signé par une autorité de certification de confiance.
Pour utiliser un certificat d’une autre autorité de certification, tel qu’un certificat signé d’une autorité commerciale, vous devez configurer l’équilibrage de la charge de travail et Citrix Hypervisor pour l’utiliser.
Par défaut, Citrix Hypervisor ne valide pas l’identité du certificat avant d’établir une connexion à Workload Balancing. Pour configurer Citrix Hypervisor afin de rechercher un certificat spécifique, exportez le certificat racine qui a été utilisé pour signer le certificat. Copiez le certificat dans Citrix Hypervisor et configurez Citrix Hypervisor pour qu’il soit vérifié lorsqu’une connexion à l’équilibrage de charge de travail est établie. Dans ce scénario, Citrix Hypervisor agit en tant que client et Workload Balancing agit en tant que serveur.
En fonction de vos objectifs de sécurité, vous pouvez soit :
-
Configurer Citrix Hypervisor pour vérifier le certificat auto-signé.
-
Configurer Citrix Hypervisor pour vérifier un certificat d’autorité de certification.
Remarque :
La vérification des certificats est une mesure de sécurité conçue pour empêcher les connexions indésirables. Les certificats d’équilibrage de la charge de travail doivent répondre à des exigences strictes, sinon la vérification du certificat échoue. Lorsque la vérification du certificat échoue, Citrix Hypervisor n’autorise pas la connexion.
Pour que la vérification des certificats réussisse, vous devez stocker les certificats dans les emplacements spécifiques où Citrix Hypervisor s’attend à trouver les certificats.
Configurer Citrix Hypervisor pour vérifier le certificat auto-signé
Vous pouvez configurer Citrix Hypervisor pour vérifier que le certificat auto-signé Citrix Workload Balancing est authentique avant que Citrix Hypervisor n’autorise la connexion à Workload Balancement.
Important :
Pour vérifier le certificat auto-signé Citrix Workload Balancelanc, vous devez vous connecter à Workload Balancing à l’aide de son nom d’hôte. Pour trouver le nom d’hôte de l’équilibrage de la charge de travail, exécutez le
nom d’hôte
sur l’appliance virtuelle.
Pour configurer Citrix Hypervisor afin de vérifier le certificat auto-signé, procédez comme suit :
-
Copiez le certificat auto-signé du dispositif virtuel d’équilibrage de la charge de travail vers le maître de pool. Le certificat auto-signé Citrix Workload Balancing est stocké à l’adresse
/etc/ssl/certs/serveur.pem
. Exécutez la commande suivante sur le maître de pool :scp root@<wlb-ip>:/etc/ssl/certs/server.pem wlb.pem <!--NeedCopy-->
-
Si vous recevez un message indiquant que l’authenticité de
WLB-IP
ne peut pas être établi, typeoui
pour continuer. -
Entrez le mot de passe root du dispositif virtuel Balancing Workload Balancing lorsque vous y êtes invité. Le certificat est copié dans le répertoire courant.
-
Installer le certificat. Exécutez la commande suivante dans le répertoire où vous avez copié le certificat :
xe pool-certificate-install filename=wlb.pem <!--NeedCopy-->
-
Vérifiez que le certificat a été correctement installé en exécutant la commande suivante sur le maître de pool :
xe pool-certificate-list <!--NeedCopy-->
Si vous avez correctement installé le certificat, le résultat de cette commande inclut le certificat racine exporté. L’exécution de cette commande répertorie tous les certificats TLS installés, y compris le certificat que vous avez installé.
-
Pour synchroniser le certificat du maître sur tous les serveurs du pool, exécutez la commande suivante sur le maître du pool :
xe pool-certificate-sync <!--NeedCopy-->
L’exécution de la commande
pool-certificate-sync
sur le maître synchronise les listes de certificats et de révocation de certificats sur tous les serveurs du pool avec le maître. Cette action garantit que tous les serveurs du pool utilisent les mêmes certificats.Il n’y a pas de sortie de cette commande. Cependant, l’étape suivante ne fonctionne pas si celle-ci n’a pas fonctionné avec succès.
-
Demandez à Citrix Hypervisor de vérifier le certificat avant de se connecter à l’appliance virtuelle d’équilibrage de la charge de travail. Exécutez la commande suivante sur le maître de pool :
xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool <!--NeedCopy-->
Conseil :
En appuyant sur le Onglet renseigne automatiquement l’UUID du pool.
-
(Facultatif) Pour vérifier que cette procédure a fonctionné correctement, effectuez les opérations suivantes :
-
Pour vérifier si le certificat a été synchronisé avec les autres serveurs du pool, exécutez la commande
liste-de-certificats-pool
sur ces serveurs. -
Pour vérifier si Citrix Hypervisor a été configuré pour vérifier le certificat, exécutez le
pool-param-get
avec la commandenom_param
=wlb-verify-cert. Par exemple :xe pool-param-get param-name=wlb-verify-cert uuid=uuid_of_pool <!--NeedCopy-->
-
Configurer Citrix Hypervisor pour vérifier un certificat d’autorité de certification
Vous pouvez configurer Citrix Hypervisor pour vérifier un certificat signé par une autorité de certification approuvée.
Pour les certificats d’autorité de confiance, Citrix Hypervisor nécessite un certificat exporté ou une chaîne de certificats (les certificats intermédiaires et racines) dans .Pem
qui contient la clé publique.
Si vous souhaitez que l’équilibrage de la charge de travail utilise un certificat d’autorité approuvé, effectuez les tâches suivantes :
Avant de commencer ces tâches, assurez-vous que :
-
Vous connaissez l’adresse IP du maître de pool Citrix Hypervisor.
-
Citrix Hypervisor peut résoudre le nom d’hôte d’équilibrage de la charge de travail. (Par exemple, vous pouvez essayer d’envoyer une commande ping au nom de domaine complet d’équilibrage de la charge de travail à partir de la console Citrix Hypervisor pour le maître de pool.)
Obtenir un certificat signé de l’autorité de certification
Pour obtenir un certificat d’une autorité de certification, vous devez générer une demande de signature de certificat (CSR). Sur le dispositif virtuel d’équilibrage de la charge de travail, créez une clé privée et utilisez-la pour générer la CSR.
Lignes directrices pour la spécification du nom usuel
Le nom commun (CN) que vous spécifiez lors de la création d’une CSR doit correspondre exactement au nom de domaine complet de votre appliance virtuelle d’équilibrage de la charge de travail. Il doit également correspondre au nom de domaine complet ou à l’adresse IP que vous avez spécifié dans la section Adresse dans la boîte Se connecter au serveur WLB boîte de dialogue.
Pour vous assurer que le nom correspond, spécifiez le nom usuel à l’aide de l’une des instructions suivantes :
-
Spécifiez les mêmes informations pour le nom commun du certificat que celles que vous avez spécifiées dans la section Se connecter au serveur WLB dialogue.
Par exemple, si votre dispositif virtuel d’équilibrage de la charge de travail est nommé
wlb-vpx.votredomaine
spécifierwlb-vpx.votredomaine
dans le Se connecter au serveur WLB et fournirwlb-vpx.votredomaine
comme nom usuel lors de la création du CSR. -
Si vous avez connecté votre pool à l’équilibrage de la charge de travail par adresse IP, utilisez le nom de domaine complet comme nom commun et l’adresse IP comme autre nom de l’objet (SAN). Cependant, cette approche peut ne pas fonctionner dans toutes les situations.
Créer un fichier de clé privée
Sur le dispositif virtuel d’équilibrage de la charge de travail, procédez comme suit :
-
Créez un fichier de clé privée :
openssl genrsa -des3 -out privatekey.pem 2048 <!--NeedCopy-->
-
Supprimer le mot de passe :
openssl rsa -in privatekey.pem -out privatekey.nop.pem <!--NeedCopy-->
Remarque :
Si vous entrez le mot de passe de manière incorrecte ou incohérente, vous pouvez recevoir des messages indiquant qu’il y a une erreur d’interface utilisateur. Vous pouvez ignorer le message et réexécuter la commande pour créer le fichier de clé privée.
Générer la demande de signature de certificat
Sur le dispositif virtuel d’équilibrage de la charge de travail, procédez comme suit :
-
Créez la demande de signature de certificat (CSR) à l’aide de la clé privée :
openssl req -new -key privatekey.nop.pem -out csr <!--NeedCopy-->
-
Suivez les instructions pour fournir les informations nécessaires à la génération du CSR :
Nom du pays. Entrez les codes de pays du certificat TLS pour votre pays. Par exemple, CA pour le Canada ou JM pour la Jamaïque. Vous pouvez trouver une liste des codes de pays des certificats TLS sur le Web.
Nom de l’État ou de la province (nom complet). Entrez l’état ou la province où se trouve la piscine. Par exemple, le Massachusetts ou l’Alberta.
Nom de la localité. Le nom de la ville où se trouve la piscine.
Nom de l’organisation. Le nom de votre entreprise ou organisation.
Nom de l’unité organisationnelle. Entrez le nom du département. Ce champ est facultatif.
Nom commun. Entrez le nom de domaine complet de votre serveur d’équilibrage de la charge de travail. Cette valeur doit correspondre au nom que le pool utilise pour se connecter à l’équilibrage de la charge de travail. Pour plus d’informations, consultez Lignes directrices pour la spécification du nom usuel.
Adresse courriel. Cette adresse e-mail est incluse dans le certificat lorsque vous le générez.
-
Fournissez des attributs facultatifs ou cliquez sur Entrée pour ne pas fournir ces informations.
La demande de CSR est enregistrée dans le répertoire courant et est nommée
Rse
. -
Affichez la CSR dans la fenêtre de la console en exécutant les commandes suivantes dans la console de l’appliance d’équilibrage de la charge de travail :
cat csr <!--NeedCopy-->
-
Copiez l’intégralité du CSR et utilisez-le pour demander le certificat à l’autorité de certification.
Spécifier et appliquer le nouveau certificat
Cette procédure permet de spécifier l’équilibrage de la charge de travail à l’aide d’un certificat d’une autorité de certification. Cette procédure installe les certificats racine et (le cas échéant) intermédiaires.
Pour spécifier un nouveau certificat, procédez comme suit :
-
Téléchargez le certificat signé, le certificat racine et, si l’autorité de certification en possède un, le certificat intermédiaire de l’autorité de certification.
-
Si vous n’avez pas téléchargé les certificats directement sur le dispositif virtuel d’équilibrage de la charge de travail, copiez-les à l’aide de l’une des méthodes suivantes :
-
À partir d’un ordinateur Windows, utilisez WinSCP ou un autre utilitaire de copie.
Pour le nom d’hôte, vous pouvez entrer l’adresse IP et laisser le port par défaut. Le nom d’utilisateur et le mot de passe sont généralement root, quel que soit le mot de passe que vous avez défini lors de la configuration.
-
À partir d’un ordinateur Linux ou du dispositif d’équilibrage de la charge de travail, utilisez SCP ou un autre utilitaire de copie. Par exemple :
scp root_ca.pem root@wlb-ip:/path_on_your_WLB <!--NeedCopy-->
-
-
Sur le dispositif virtuel d’équilibrage de la charge de travail, fusionnez le contenu de tous les certificats (certificat racine, certificat intermédiaire, s’il existe et certificat signé) dans un seul fichier. Vous pouvez utiliser la commande suivante :
cat signed_cert.pem intermediate_ca.pem root_ca.pem > server.pem <!--NeedCopy-->
-
Renommez le certificat et la clé existants à l’aide de la commande move :
mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.pem_orig mv /etc/ssl/certs/server.key /etc/ssl/certs/server.key_orig <!--NeedCopy-->
-
Copiez le certificat fusionné :
mv server.pem /etc/ssl/certs/server.pem <!--NeedCopy-->
-
Copiez la clé privée créée précédemment :
mv privatekey.nop.pem /etc/ssl/certs/server.key <!--NeedCopy-->
-
Rendez la clé privée lisible uniquement par root. Utilisez le
chmod
pour corriger les autorisations.chmod 600 /etc/ssl/certs/server.key <!--NeedCopy-->
-
Redémarrer
stunnel
:killall stunnel stunnel <!--NeedCopy-->
Importer la chaîne de certificats dans le pool
Une fois que vous avez obtenu les certificats, importez-les dans le maître de pool Citrix Hypervisor. Synchronisez les serveurs du pool pour utiliser ces certificats. Ensuite, vous pouvez configurer Citrix Hypervisor pour vérifier l’identité et la validité du certificat chaque fois que Workload Balancing se connecte à un serveur.
-
Copiez le certificat signé, le certificat racine et, si l’autorité de certification en possède un, le certificat intermédiaire de l’autorité de certification sur le maître de pool Citrix Hypervisor.
-
Installez le certificat racine sur le maître de pool :
xe pool-certificate-install filename=root_ca.pem <!--NeedCopy-->
-
Le cas échéant, installez le certificat intermédiaire sur le pool master :
xe pool-certificate-install filename=intermediate_ca.pem <!--NeedCopy-->
-
Vérifiez que les deux certificats sont correctement installés en exécutant cette commande sur le maître de pool :
xe pool-certificate-list <!--NeedCopy-->
L’exécution de cette commande répertorie tous les certificats TLS installés. Si les certificats ont été installés avec succès, ils apparaissent dans cette liste.
-
Synchronisez le certificat sur le maître de pool avec tous les serveurs du pool :
xe pool-certificate-sync <!--NeedCopy-->
L’exécution de la commande
pool-certificate-sync
sur le maître synchronise les certificats et les listes de révocation de certificats sur tous les serveurs du pool avec le maître du pool. Cette action garantit que tous les serveurs du pool utilisent les mêmes certificats. -
Demandez à Citrix Hypervisor de vérifier un certificat avant de se connecter à l’appliance virtuelle d’équilibrage de la charge de travail. Exécutez la commande suivante sur le maître de pool :
xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool <!--NeedCopy-->
Conseil :
Appuyez sur la touche Tab pour remplir automatiquement l’UUID du pool.
-
Si vous avez spécifié une adresse IP dans le Se connecter à WLB avant d’activer la vérification des certificats, vous êtes peut-être invité à reconnecter le pool à l’équilibrage de la charge de travail.
Spécifiez le nom de domaine complet de l’appliance d’équilibrage de la charge de travail dans Adresse dans le Se connecter à WLB exactement comme elle apparaît dans le nom commun du certificat. Entrez le nom de domaine complet pour vous assurer que le nom commun correspond au nom utilisé par Citrix Hypervisor pour se connecter.
Dépannage
-
Désactivez la vérification des certificats si votre pool ne peut pas se connecter à l’équilibrage de la charge de travail :
-
Obtenez l’UUID de la piscine :
xe pool-list <!--NeedCopy-->
-
Désactiver la vérification du certificat :
xe pool-param-set wlb-verify-cert=false uuid=uuid_of_pool <!--NeedCopy-->
Si votre pool peut se connecter à l’équilibrage de la charge de travail avec la vérification de certificat désactivée, le problème provient de la configuration de votre certificat. S’il ne peut pas se connecter, le problème provient de vos informations d’identification d’équilibrage de la charge de travail ou de votre connexion réseau. Contactez l’assistance ou consultez Résoudre les problèmes d’équilibrage de la charge de travail pour plus d’informations.
-
-
Certaines autorités de certification commerciales fournissent des outils pour vérifier que le certificat est correctement installé. Envisagez d’exécuter ces outils si ces procédures ne permettent pas d’isoler le problème. Si ces outils nécessitent la spécification d’un port TLS, spécifiez le port 8012 ou le port que vous avez défini lors de la configuration de l’équilibrage de la charge de travail.
-
Si l’icône WLB affiche une erreur de connexion, il peut y avoir un conflit entre le certificat Nom commun et le nom de l’appliance virtuelle d’équilibrage de la charge de travail. Le nom du dispositif virtuel d’équilibrage de la charge de travail et le nom commun du certificat doivent correspondre exactement.
Pour plus d’informations, consultez Dépannage.