Configurar endpoints do cliente para confiar em certificados raiz e intermediários

Se um certificado de servidor VMware Horizon 8 for assinado por uma autoridade de certificação que não seja confiável para computadores cliente e computadores cliente que acessam Horizon Console, você poderá configurar todos os sistemas cliente Windows em um domínio para confiar nos certificados raiz e intermediários. Para fazer isso, você deve adicionar a chave pública do certificado raiz à política de grupo Autoridades de Certificação Raiz Confiáveis em Active Directory e adicionar o certificado raiz ao repositório Enterprise NTAuth.

Por exemplo, talvez você precise executar essas etapas se sua organização usar um serviço de certificado interno.

Você não precisará executar essas etapas se o controlador de domínio Windows agir como a autoridade de certificação raiz ou se seus certificados forem assinados por uma autoridade de certificação conhecida. Para CAs conhecidas, os fornecedores do sistema operacional pré-instalam o certificado raiz nos sistemas clientes.

Se os certificados do seu servidor forem assinados por uma CA intermediária pouco conhecida, você deverá adicionar o certificado intermediário à política de grupo Autoridades de Certificação Intermediárias em Active Directory.

Para dispositivos cliente que usam outros sistemas operacionais além de Windows, consulte as instruções a seguir para distribuir certificados raiz e intermediários que os usuários podem instalar:

Para Horizon Client para Mac, consulte Configurar Horizon Client para Mac para confiar em certificados raiz e intermediários.
Para Horizon Client para iOS, consulte Configurar o Horizon Client para iOS para confiar em certificados raiz e intermediários.
Para o Horizon Client para Android, consulte a documentação no site do Google Web, como o Manual do usuário do Android
Para Horizon Client para Linux, consulte a documentação do Ubuntu

Pré-requisitos

Verifique se o certificado do servidor foi gerado com um valor de KeyLength de 1024 ou maior. Os endpoints do cliente não validarão um certificado em um servidor que foi gerado com um KeyLength abaixo de 1024, e os clientes não conseguirão se conectar ao servidor.

Procedimento

No servidor Active Directory, use o comando certutil para publicar o certificado no repositório Enterprise NTAuth.
Por exemplo: certutil -dspublish -f path_to_root_CA_cert NTAuthCA
No servidor Active Directory, navegue até o plug-in Gerenciamento de Política de Grupo e conclua as seguintes etapas:
1. Selecione Iniciar (Start) > Ferramentas Administrativas (Administrative Tools) > Gerenciamento de Política de Grupo (Group Policy Management).
2. Expanda seu domínio, clique com o botão direito do mouse em Default Domain Policy e clique em Edit.
Expanda a seção e vá para Windows > Configurações (Security Settings) > Configurações de segurança (Public Key Policies)Políticas de chave pública.

Importe o certificado.

Opção	Descrição
Certificado raiz	Clique com o botão direito do mouse em Trusted Root Certification Authorities e selecione Import. Siga os prompts do assistente para importar o certificado raiz (por exemplo, rootCA.cer) e clique em OK.
Certificado intermediário	Clique com o botão direito do mouse em Autoridades de certificação intermediárias (Intermediate Certification Authorities) e selecione Importar (Import). Siga os prompts do assistente para importar o certificado intermediário (por exemplo, intermediateCA.cer) e clique em OK.

Feche a janela Política de Grupo.

Resultados

Todos os sistemas no domínio agora têm informações de certificado em seus repositórios de certificados raiz confiáveis e repositórios de certificados intermediários que permitem que eles confiem nos certificados raiz e intermediários.