Para fornecer aos usuários finais acesso SSO (single sign-on) a seus desktops e aplicativos usando uma Autoridades de Certificação (CA) da VMware, use o VMware CA para emitir certificados de cartão inteligente de curta duração para SSO. Para transparência e segurança, o processo inclui um script PowerShell que usa utilitários estabelecidos da Microsoft.

A lista a seguir fornece informações sobre como configurar a VMware CA. Ao configurar o SSO, conforme descrito nos tópicos a seguir, você encontrará muitos desses mesmos detalhes no contexto. Por exemplo, Adicionar uma configuração de SSO ao Horizon Cloud Service - next-gen para uma VMware CA fornece instruções para baixar o pacote da CA da VMware. Esse pacote contém o script do VMware PowerShell que você executará para configurar o SSO conforme instruído em Publicar o pacote de CA do VMware SSO na floresta do Active Directory.

  • Para ativar a funcionalidade exigida pelo SSO com uma CA da VMware, qualquer uma das seguintes situações deve se aplicar à sua floresta do Active Directory:
    • O Active Directory tem pelo menos uma CA do Microsoft Enterprise online configurada e, nesse caso, ocorrem os resultados a seguir.
      • A Autoridade de Certificação Empresarial da Microsoft publica automaticamente seus certificados de CA e listas de certificados revogados (CRLs) na floresta.
      • Os controladores de domínio se inscrevem automaticamente para certificados.
    • A floresta do Active Directory usa uma autoridade de certificação de terceiros ou uma autoridade de certificação autônoma da Microsoft e, nesse caso, os itens a seguir devem ser aplicáveis.
      • Todos os certificados de CA devem ser publicados manualmente na floresta usando um utilitário como o certutil.
      • As informações de revogação devem estar sempre disponíveis sobre HTTP.
      • Controladores de Domínio devem ser emitidos com certificados que permitam a autenticação do cliente, a autenticação do servidor, o logon de cartão inteligente e a autenticação KDC.
  • Você pode configurar a CA da VMware como uma CA raiz ou uma CA intermediária. No entanto, a prática recomendada da Infraestrutura de Chave Pública (PKI) é selecionar uma CA intermediária.
  • Se você usar uma CA raiz, o certificado da CA da VMware será válido por cinco anos.
  • Se você usar uma CA intermediária, a CA de emissão determinará o período de validade do certificado da CA da VMware.
  • Se você usar uma autoridade de certificação intermediária, o certificado da CA da VMware poderá ser assinado por uma autoridade de certificação da Microsoft ou por qualquer CA de terceiros.
  • Se você usar uma CA de terceiros, certifique-se de que as máquinas membros do domínio tenham acesso a todos os certificados e informações de revogação necessários para validar o certificado da CA da VMware.
  • Para que a VMware CA seja confiável, você deve publicar o pacote da VMware CA em várias localizações na floresta do Active Directory local.
  • Publique o pacote da VMware CA executando o script VMware PowerShell como administrador com permissões adequadas em uma máquina membro do domínio.
  • Você só precisa executar o script VMware PowerShell uma vez. O Active Directory replica os dados de PKI publicados para todos os controladores de domínio e áreas de trabalho em todos os domínios no domínio do Active Directory. Você pode usar um utilitário como o Repadmin em implantações complexas do Active Directory para garantir a replicação oportuna do contexto de nomenclatura de configuração entre controladores de domínio em diferentes domínios ou sites antes de tentar o SSO.
  • O script do PowerShell usa os utilitários da Microsoft certreq e certutil para transparência completa. Antes de executar o script do PowerShell, você pode ler o script para ver exatamente o que ele faz.