Bonsoir Citrixiens et Citrixiennes en herbe,
Citrix, il y a peu, a sorti une nouvelle version ; Citrix XenServer 7.0. C’est pour moi l’occasion de re-préciser de changer de certificat ssl. Par défaut, à chaque installation un certificat ssl est généré. L’idéal est de changer de certificat ssl pour sécuriser la connexion entre Citrix XenDesktop et Citrix XenServer. Ainsi toutes les instructions demandées via la console d’administration Citrix Studio, arriveront en mode sécurisé.
J’entends déjà certain me dire “mais il y a encore du Citrix XenServer sur le marché ??!!”
Bien sur et heureusement 😉 Pour info même Amazon propose ses services de machine à la demande sous Xen donc faut pas me dire que c’est pas robuste 😉
Changer le certificat ssl de votre Citrix XenServer
1. Générez un certificat serveur pour Citrix XenServer. Dans ce post, j’utiliserai une autorité de certification Microsoft Windows 2012R2 Stand Alone (parce que c’est rapide à mettre en place).
D’abord le contenu CSR s’effectue sur le Citrix XenServer via une commande OpenSSL :
l’option /CN= doit se poursuivre du nom FQDN de votre Citrix XenServer.
2. Récupérez le nouveau fichier .req sur votre Citrix XenServer via winscp et soumettez son contenu à votre autorité de certification ;
3. Cliquez sur Request a certificate. Puis Advanced certificate request.
4. Copiez le contenu de votre fichier .req et cliquez sur Submit.
5. Cliquez sur Submit a certificate request by using a base-64-encoded CMC or PKCS #10…
6. Ouvrez l’outil de gestion de certificat ssl de l’autorité de certification. Validez la nouvelle requête de création de certificat
7. Récupérez votre nouveau certificat au format .pem (Base 64 encoded) en cliquant sur View the status of a pending certificate request. Cliquez sur Saved-Request Certificate…
8. Poussez le nouveau certificat sur votre XenServer. Renommez l’ancien certificat via putty
9. Fusionnez votre nouveau certificat avec votre clé.
10. Copiez le nouveau certificat au bon emplacement (la où vous avez renommé l’ancien certificat). Puis changez le niveau de permission.
11. Relancez le service ssl de Citrix XenServer ; xapi-ssl
12. La console d’administration Citrix XenCenter indique que le certificat a changé.
Configurer Citrix XenDesktop Controller
A ce stade, il vous faut récupérer le certificat racine de l’autorité de certification à partir duquel vous avez généré votre nouveau certificat serveur (voir section précédente).
1. Installez le certificat racine dans le magasin local ordinateur de votre Citrix XenDesktop Controller.
2. Ouvrez votre console d’administration Citrix Studio (qui pilote votre Citrix XenDesktop Controller). Allez dans le noeud Configuration \ Host et configurez votre connexion à l’hyperviseur Citrix XenServer en https.
Note : Citrix XenDesktop 7.x et Citrix XenApp 7.x sont le même produit d’un point de vue technologie. C’est dans certaines fonctions que la différence s’opère. Il est possible de les faire travailler avec Microsoft Hyper-V, VMWare esx, Citrix XenServer, Amazon, Azure, KVM, etc…
A bientôt.
Patrice Jacques-gustave
source : www.citrix.com
Immajg Consult
FullVirtualization.net
One thought on “Citrix XenServer 6.5 – Changer de certificat ssl”