{"id":978,"date":"2014-05-19T08:08:49","date_gmt":"2014-05-19T06:08:49","guid":{"rendered":"http:\/\/vm.piszki.pl\/horizon-workspace-manualna-analiza-%c5%82a%c5%84cucha-certyfikat%c3%b3w"},"modified":"2014-11-04T08:37:35","modified_gmt":"2014-11-04T07:37:35","slug":"horizon-workspace-manualna-analiza-%c5%82a%c5%84cucha-certyfikat%c3%b3w","status":"publish","type":"post","link":"https:\/\/vm.piszki.pl\/?p=978","title":{"rendered":"Horizon Workspace: Manualna analiza \u0142a\u0144cucha certyfikat\u00f3w"},"content":{"rendered":"

Nadszed\u0142 dzie\u0144 w kt\u00f3rym postanowi\u0142em wystawi\u0107 na \u015bwiat nasz\u0105 laboratoryjn\u0105 instalacj\u0119 Horizon Workspace. Zaopatrzy\u0142em si\u0119 w certyfikat typu wildcard wystawiony przez Rapid SSL (GeoTrust), stworzy\u0142em odpowiedni plik \u201cchain\u201d i przyst\u0105pi\u0142em do dzia\u0142ania. Oczywi\u015bcie w przypadku Horizon Workspace nic nie jest proste, je\u015bli chodzi o zmian\u0119 FQDN<\/a> i wgranie nowych certyfikat\u00f3w SSL dla gateway-va. Ju\u017c na wst\u0119pie zderzy\u0142em si\u0119 z b\u0142\u0119dem \u201cCertificate does not chain up to root\u201d.<\/p>\n

\"ssl1\"<\/a><\/p>\n

Zagl\u0105damy zatem do logu configurator-va:\/opt\/vmware\/horizon\/configuratorinstance\/logs\/configurator.log<\/p>\n

\"ssl2\"<\/a><\/p>\n

Do weryfikacji certyfikatu u\u017cyty jest skrypt verifyCert.hzn, a po jego przejrzeniu okazuje si\u0119, \u017ce u\u017cyta zostaje komenda OpenSSL:<\/p>\n

openssl verify -purpose sslserver -CApath \/dev\/null \u2013CAfile ho.pl ho.pl (plik ho.pl to m\u00f3j chain wgrany do katalog temp).<\/p>\n

Rozszerzamy polecenie o tryb verbose i sprawdzamy rezultat:<\/p>\n

\"ssl3\"<\/a><\/p>\n

Wychodzi na to, \u017ce \u017ale jest skonstruowany \u0142a\u0144cuch certyfikat\u00f3w, certyfikat po\u015brednicz\u0105cy jest z\u0142y, zamiast Rapid SSL CA, wstawi\u0142em Geotrust SSL CA. Poprawiam \u0142a\u0144cuch i sprawdzam ponownie:<\/p>\n

\"ssl4\"<\/a><\/p>\n

\"ssl5\"<\/a><\/p>\n

Dostajemy komunikat \u201cerror 2 at 1 depth lookup:unable to get issuer certificate\u201d co przek\u0142ada si\u0119 na \u201cError validating custom certificate\u201d. Wychodzi na to, \u017ce brakuje kolejnego certyfikatu, ale jak to mo\u017cliwe? \u0141a\u0144cuch odpowiada dok\u0142adnie tej \u015bcie\u017cce:<\/p>\n

\"ssl7\"<\/a><\/p>\n

Po chwili zastanowienia, sprawdzam certyfikat GeoTrust Global CA i wychodzi na to, \u017ce to te\u017c jest certyfikat po\u015brednicz\u0105cy! Jego \u0142a\u0144cuch przedstawia si\u0119 nast\u0119puj\u0105co:<\/p>\n

\"ssl8\"<\/a><\/p>\n

Dodaj\u0119 certyfikat GeoTrust (Equifax Secure CA) do pliku \u0142a\u0144cucha certyfikat\u00f3w i sprawdzam ponownie:<\/p>\n

\"ssl6\"<\/a><\/p>\n

Dzia\u0142a! A wi\u0119c prawid\u0142owy \u0142a\u0144cuch dla certyfikatu wystawionego w Rapid SLL to:<\/p>\n

4. *.pulab.pl<\/p>\n

3. RapidSSL CA<\/p>\n

2. GeoTrust Global CA<\/p>\n

1. GeoTrust<\/p>\n

Pierwszy raz spotka\u0142em si\u0119 z sytuacj\u0105 w kt\u00f3rej system Windows podaje niekompletn\u0105 \u015bcie\u017ck\u0119 certyfikatu, najwyra\u017aniej GeoTrust Global CA ma w Microsofcie bardzo du\u017cy poziom zaufania.<\/p>\n

Przypominam, \u017ce prawid\u0142owa konstrukcja pliku \u0142a\u0144cucha certyfikat\u00f3w przedstawia si\u0119 nast\u0119puj\u0105co:<\/p>\n

—–BEGIN CERTIFICATE—–
\nThumbprint Server Certificate
\n—–END CERTIFICATE—–
\n—–BEGIN CERTIFICATE—–
\nThumbprint Intermediate(2) CA Server
\n—–END CERTIFICATE—–
\n—–BEGIN CERTIFICATE—–
\nThumbprint Intermediate(1) CA Server
\n—–END CERTIFICATE—–
\n—–BEGIN CERTIFICATE—–
\nThumbprint Root CA Server
\n—–END CERTIFICATE—–<\/p>\n

English<\/a><\/p>\n

<\/div>","protected":false},"excerpt":{"rendered":"

Nadszed\u0142 dzie\u0144 w kt\u00f3rym postanowi\u0142em wystawi\u0107 na \u015bwiat nasz\u0105 laboratoryjn\u0105 instalacj\u0119 Horizon Workspace. Zaopatrzy\u0142em si\u0119 w certyfikat typu wildcard wystawiony przez Rapid SSL (GeoTrust), stworzy\u0142em odpowiedni plik \u201cchain\u201d i przyst\u0105pi\u0142em do dzia\u0142ania. Oczywi\u015bcie w przypadku Horizon Workspace nic nie jest … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":1461,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"yasr_overall_rating":0,"yasr_post_is_review":"","yasr_auto_insert_disabled":"","yasr_review_type":"Other","footnotes":""},"categories":[36],"tags":[5,41],"class_list":["post-978","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-analiza","tag-horizon-workspace","tag-ssl"],"yasr_visitor_votes":{"stars_attributes":{"read_only":false,"span_bottom":false},"number_of_votes":0,"sum_votes":0},"_links":{"self":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/978"}],"collection":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=978"}],"version-history":[{"count":8,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/978\/revisions"}],"predecessor-version":[{"id":1093,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/posts\/978\/revisions\/1093"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=\/wp\/v2\/media\/1461"}],"wp:attachment":[{"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=978"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=978"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vm.piszki.pl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=978"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}