Für die Installation eines PFX-Zertifikates gibt es bei Citrix ein schönes HowTo. Leider funktioniert dies mit XenServer ab Version 7.x nicht mehr.

In dieser Anleitung von Citrix wird beschrieben, wie mit OpenSSL eine PFX in ein PEM-Zertifikat konvertiert wird: https://support.citrix.com/article/CTX136444

openssl pkcs12 -in c:\OpenSSL\bin\Wildcard.Leveling.ms_Intern.PFX -out C:\OpenSSL\bin\Wildcard.Leveling.ms.pem -nodes

Abbildung 1, CMD OpenSSL PEM generate

Dabei kommt dann folgendes Format raus:

Abbildung 2, PEM-Zertifikat

Das Zertifikat wurde wie beschrieben auf dem Xenserver in /etc/XenSource abgelegt und der Toolstack neu gestartet. Leider funktioniert der XAPI-Restart aus der Konsole nicht mehr. Dazu gibt es im Supportforum auch einen Eintrag.

http://discussions.citrix.com/topic/378916-xenserver-7-etcinitdxapissl-restart-doesnt-exist/

XenCenter hat sich wieder verbunden und kam direkt mit einer Zertifikatswarnung hoch. Auf dem XenServer gab es eine Datei xapi-ssl.pem.pem und eine xapi-ssl.pem. Offensichtlich hat der XenServer das eben importierte Zertifikat ignoriert und ein neues angelegt.

Mir ist nun eingefallen, dass  Unidesk ein PEM-Zertifikat benötigt, aber nicht mit einem PEM-Key, sondern mit einem RSA-Key. Ich habe also ein RSA-Key mit OpenSSL erstellt.

openssl rsa -in Wildcard.Leveling.ms.pem -out wildcard.leveling.ms.rsa

Mit einem Texteditor wurde dann das Zertifikat angepasst – oben kommt der RSA-Key rein, darunter direkt das Zertifikat, sodass es  dann so ausehen sollte:

Abbildung 3, Zertifikat mit RSA-Key

Dann das Zertifikat wieder mit WinSCP auf den XenServer hochladen, umbenannt und die Rechte auf 0400 gesetzt werden.

Abbildung 4, xapi-ssl.pem mit Rechten

Xapi-toolstack neu starten.

Abbildung 5, Toolstack restart

XenCenter ist dann ohne SSL-Warnung gestartet – ein gutes Zeichen. Der Browser zeigt, dass auch hier alles passt.

Abbildung 6, Browser, SSL-Zertifikat

Alles ok und fertig.