O utilitário Microsoft certreq usa um arquivo de configuração para gerar uma CSR. Você deve criar um arquivo de configuração antes de gerar a solicitação. Crie o arquivo e gere a CSR no computador Windows Server que hospeda o servidor Horizon 8 que usará o certificado.
Pré-requisitos
Reúna as informações necessárias para preencher o arquivo de configuração. Você deve saber o FQDN do servidor Horizon 8 e a unidade organizacional, a organização, a cidade, o estado e o país para preencher o nome da entidade.
Procedimento
- Abra um editor de texto e cole o texto a seguir, incluindo as tags de início e fim, no arquivo.
;----------------- request.inf -----------------
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=View_Server_FQDN, OU=Organizational_Unit, O=Organization, L=City, S=State, C=Country"
; Replace View_Server_FQDN with the FQDN of the Horizon server.
; Replace the remaining Subject attributes.
KeySpec = 1
KeyLength = 2048
; KeyLength is usually chosen from 2048, 3072, or 4096. A KeyLength
; of 1024 is also supported, but it is not recommended.
HashAlgorithm = SHA256
; Algorithms earlier than SHA-2 are insufficiently secure and are not recommended.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft Strong Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication
;-----------------------------------------------
Se um caractere CR/LF extra for adicionado à linha
Assunto = quando você copiar e colar o texto, exclua o caractere CR/LF.
- Atualize os atributos do Assunto com os valores apropriados para o servidor e a implantação do Horizon 8.
Por exemplo:
CN=dept.company.com
Para cumprir as VMware recomendações de segurança, use o nome de domínio totalmente qualificado (FQDN) que os dispositivos cliente usam para se conectar ao host. Não use um nome de servidor ou endereço IP simples, mesmo para comunicações dentro do seu domínio interno.
Algumas CAs não permitem que você use abreviações para o atributo de estado.
- (Opcional) Atualize o atributo Keylength.
O valor padrão, 2048, é adequado, a menos que você precise especificamente de um tamanho diferente de
KeyLength. Muitas CAs exigem um valor mínimo de 2048. Tamanhos de chave maiores são mais seguros, mas têm um impacto maior no desempenho.
Também há suporte para um KeyLength de 1024, embora o Instituto Nacional de Padrões e Tecnologia (NIST) recomende chaves desse tamanho, pois os computadores continuam a se tornar mais poderosos e podem quebrar uma criptografia mais forte.
Importante: Não gere um valor de
KeyLength abaixo de 1024.
Horizon Client para Windows não validará um certificado em um servidor
Horizon 8 que foi gerado com um
KeyLength abaixo de 1024, e os dispositivos
Horizon Client falharão ao se conectar a
Horizon 8. As validações de certificado executadas pelo Servidor de Conexão também falharão, resultando nos servidores
Horizon 8 afetados sendo exibidos em vermelho no painel do console.
- Salve o arquivo como request.inf.
O que Fazer Depois
Gere uma CSR do arquivo de configuração.