您需要在可信证书过期之前对其进行更新,以确保客户端可继续访问 Horizon FLEX 服务器。
注: 从
Horizon FLEX 1.10 开始,无法将
Horizon FLEX 服务器根 CA 签名证书更改为自签名证书。
Horizon FLEX Client会检测将服务器上的证书从根 CA 签名证书更改为自签名证书的情况。检测到这种情况后,客户端会终止到服务器的连接尝试。
Horizon FLEX 支持以下类型的服务器证书更改。
| 从 | 到 |
|---|---|
| 自签名证书 | 自签名证书 |
| 自签名证书 | 根 CA 签名证书 |
| 根 CA 签名证书 | 根 CA 签名证书 |
在证书过期之前,您可以将新证书作为第二个证书添加到 Horizon FLEX 策略服务器 中的可信证书列表中。
将新证书添加到可信证书列表后,所有 Horizon FLEX 虚拟机都可以下载该新证书。之后,当证书更换时,收到新证书列表的所有 Horizon FLEX 虚拟机都可以连接到 Horizon FLEX 服务器,而您可以从证书列表中移除旧的可信证书。
要在 Horizon FLEX 管理控制台中导入、导出或删除证书,请单击常规系统设置图标并选择证书。
小心: 在更新证书时,请先验证更新的证书是否有效,然后再使用策略更新将其传播至虚拟机实例。如果您在
Horizon FLEX 管理控制台中安装无效的证书,则具有嵌入式证书的虚拟机会继承此无效证书。这将导致这些虚拟机无法连接到
Horizon FLEX 服务器。
在更新证书时,您应该遵循以下准则:
- 在现有证书过期之前更新证书。
- 导入到 Horizon FLEX 服务器中的证书应为根证书,而不是叶证书。但是,如果导入自签名证书,则您应该直接导入。
- 从 Horizon FLEX 管理控制台中添加新证书。确保可信证书列表(包含旧证书和新证书)能够同步到客户端。请参见为 Horizon FLEX 服务器配置系统证书存储。
旧证书和新证书现在都可以用于虚拟机策略。如果 Horizon FLEX 服务器同时部署这两种证书,则客户端应该可以继续访问服务器。
- 在将新证书添加到虚拟机策略之后,请从 IIS 管理器中更改服务器,以将新证书绑定到 Mirage 管理网站。有关详细信息,请参见为 Horizon FLEX 服务器配置 IIS SSL 服务器证书。
在新证书绑定到 Mirage 管理网站后,客户端可以继续访问服务器。
