Um elemento obrigatório para usar o recurso True SSO é uma autoridade de certificação (CA) da Microsoft. Se não tiver uma autoridade de certificação (CA) configurada, você deverá adicionar a função de serviços de certificados do Active Directory (AD CS) a um servidor Microsoft Windows e configurar o servidor como uma autoridade de certificação corporativa. Você pode usar o assistente do Service Manager para executar esse procedimento.

Estas são as etapas padrão para configurar uma autoridade de certificação da Microsoft. Elas são detalhadas neste tópico em um formato simples adequado para utilização em um ambiente de laboratório, mas, para um sistema de produção real, é recomendável que você siga as práticas recomendadas do setor para a configuração da autoridade de certificação.

Se você precisar de mais orientações sobre como configurar uma autoridade de certificação, consulte as referências técnicas padrão da Microsoft: Guia Passo a Passo dos Serviços de Certificados do Windows Server Active Directory e Instalar uma Autoridade de Certificação Raiz.

Observação: Para ilustrar o processo, as etapas específicas neste tópico são baseadas no uso do Windows Server 2012 R2. Etapas muito semelhantes podem ser seguidas em outros sistemas de servidor Windows. Se você quiser instalar o Servidor de Registro no mesmo sistema que hospeda essa autoridade de certificação, use uma das versões do Windows Server compatíveis com o Servidor de Registro. Consulte Horizon Cloud de primeira geração - True SSO: configurar o Servidor de Inscrição.

Procedimento

  1. No Painel do Gerenciador de Servidores, clique em Adicionar Funções e Recursos para abrir o assistente e clique em Avançar.
  2. Na página Selecionar Tipo de Instalação, selecione Instalação baseada em função ou recurso e clique em Avançar.
  3. Na página Seleção de Servidor, mantenha os padrões e clique em Avançar.
  4. Na página Funções de Servidor:
    1. Selecione Serviços de Certificados do Active Directory.
    2. Na caixa de diálogo, selecione Incluir ferramenta de gerenciamento (se aplicável) e clique em Adicionar Recursos.
    3. Clique em Avançar.
  5. Na página Recursos, clique em Avançar.
  6. Na página AD CS, clique em Avançar.
  7. Na página Serviços de Função, selecione Autoridade de Certificação e clique em Avançar.
  8. Na página Confirmação, selecione Reiniciar cada servidor de destino automaticamente, se necessário e clique em Instalar.
    É exibido o Progresso da Instalação. Quando a instalação estiver concluída, um link de URL será exibido, permitindo que você configure a autoridade de certificação recém-instalada como "Configurar Serviços de Certificados do Active Directory" no servidor de destino.
  9. Clique no link de configuração para iniciar o assistente de configuração.
  10. Na página Credenciais, insira as credenciais do usuário do grupo Admin Corporativo e clique em Avançar.
  11. Na página Serviços de Função, selecione CA e clique em Avançar.
  12. Na página Tipo de Instalação, selecione CA Corporativa e clique em Avançar.
  13. Na página Tipo de CA, selecione CA Raiz ou Subordinada conforme apropriado (neste exemplo, é uma CA Raiz) e clique em Avançar.
  14. Na página Chave Privada, selecione Criar uma nova chave privada e clique em Avançar.
  15. Na página Criptografia, insira as seguintes informações.
    Campo Descrição
    Provedor de Criptografia RSA#Provedor do Armazenamento de Chaves do Software Microsoft
    Comprimento da Chave 4096 (ou outro prazo se preferir)
    Algoritmo de Hash SHA256 (ou outro algoritmo SHA se preferir)
  16. Na página Nome da Autoridade de Certificação, configure como desejar ou aceite os padrões e clique em Avançar.
  17. Na página Período de Validade, configure como desejar e clique em Avançar.
  18. Na página Bancos de Dados de Certificados, clique em Avançar.
  19. Na página Confirmação, revise as informações e clique em Configurar.
  20. Conclua o processo de configuração realizando as seguintes tarefas (execute todos os comandos no prompt de comando).
    1. Configurar a autoridade de certificação para processamento de certificado não persistente 
      certutil –setreg DBFlags 
+DBFLAGS_ENABLEVOLATILEREQUESTS
    2. Configurar a autoridade de certificação para ignorar erros de CRL offline 
      certutil –setreg ca\CRLFlags 
+CRLF_REVCHECK_IGNORE_OFFLINE
    3. Reiniciar o serviço da autoridade de certificação 
      net stop certsvc
net start certsvc
  21. Configure um modelo de certificado na autoridade de certificação seguindo as etapas em Horizon Cloud - True SSO: configuração de um modelo de certificado na autoridade de certificação.