Na instalação, o Horizon Connection Server gera um certificado de cliente do serviço de inscrição autoassinado. Você pode substituir esse certificado autoassinado por um certificado assinado por uma CA.

O certificado de cliente do serviço de inscrição é usado para proteger a comunicação entre o Servidor de Conexão e o servidor de inscrição. Se você estiver substituindo esse certificado por um certificado assinado pela CA, o novo certificado deverá ser importado para o servidor de inscrição e o certificado da CA Raiz deverá ser adicionado ao repositório Autoridades de Certificação Raiz Confiáveis no servidor de inscrição. Para obter mais informações, consulte a seção "Configurando o True SSO" no documento Administração do Horizon 8.

Procedimento

  1. Gere um certificado assinado pela CA que atenda aos requisitos abaixo.
    Observação: O certificado raiz usado para gerar o certificado do cliente deve ser adicionado ao repositório Autoridades de Certificação Raiz Confiáveis em todos os Servidores de Conexão no POD.
    • Nome do assunto: GUID do cluster
      Observação: Você pode encontrar o GUID do cluster usando o vdmadmin -Ccomando ou navegando para Connection Server Cluster GUID em HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Node Manager.
    • SAN: GUID de cluster do pod do Horizon como DNSName
    • EKU: autenticação do servidor, autenticação do cliente
    • Definir nome amigável: vdm.ec.new
    • A chave privada deve ser marcada como exportável.
    • O certificado deve ser adicionado a Certificados (Computador Local) > VMware Horizon View Certificados > Certificados (Certificates).
    • Algoritmo de assinatura a ser usado: SHA384/SHA512
  2. Importe a cadeia de certificados para as pastas correspondentes.
  3. Exclua o certificado de cluster existente com o nome amigável vdm.ec.
  4. Reinicie o serviço do Servidor de Conexão.

Resultados

Quando o Servidor de Conexão aceitar o novo certificado, o nome amigável do certificado será alterado de vdm.ec.new para vdm.ec. Se o certificado não for aceito por qualquer motivo, o certificado antigo será movido do LDAP para o repositório de certificados Windows. Os outros servidores no cluster buscarão esse certificado do LDAP.