如果尚未设置证书颁发机构,则必须将 Active Directory 证书服务 (Active Directory Certificate Service, AD CS) 角色添加到 Windows 服务器,并将该服务器配置为企业 CA。
如果尚未设置企业 CA,请确认您使用的是此过程中所述的设置。
您必须至少拥有一个企业 CA,VMware 建议您拥有两个企业 CA 以用于故障切换和负载平衡。要为 True SSO 创建的注册服务器将与该企业 CA 进行通信。如果将注册服务器配置为使用多个企业 CA,则注册服务器将交替与可用的 CA 通信。如果将注册服务器安装在托管企业 CA 的同一台计算机上,则可以将注册服务器配置为首选使用本地 CA。建议使用此配置以获取最佳性能。
此过程包括启用非永久证书处理。默认情况下,证书处理包括在 CA 数据库中存储每个证书请求和已颁发证书的记录。持续大量的请求会提高 CA 数据库的增长率,如果不加以监视,可能会消耗所有可用的磁盘空间。启用非永久证书处理可以帮助降低 CA 数据库的增长率以及数据库管理任务的频率。
前提条件
- 创建 Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2016 或 Windows Server 2019 虚拟机。
- 确认虚拟机是 Horizon 7 部署的 Active Directory 域的一部分。
- 确认您使用的是 IPv4 环境。IPv6 环境当前不支持此功能。
- 确认系统具有静态 IP 地址。
过程
- 以管理员身份登录到虚拟机操作系统,并启动服务器管理器。
- 选择用于添加角色的设置。
| 操作系统 |
选择项 |
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
|
- 选择添加角色和功能。
- 在“选择安装类型”页面上,选择基于角色或基于功能的安装。
- 在“选择目标服务器”页面上,选择一个服务器。
|
| Windows Server 2008 R2 |
- 在导航树中选择角色。
- 单击添加角色启动添加角色向导。
|
- 在“选择服务器角色”页面上,选择 Active Directory 证书服务。
- 在“添加角色和功能”向导中,单击添加功能,并保留选中包括管理工具复选框。
- 在“选择功能”页面上,接受默认值。
- 在“选择角色服务”页面上,选择证书颁发机构。
- 按照提示完成安装。
- 安装完成后,在“安装进度”页面上,单击在目标服务器上配置 Active Directory 证书服务链接以打开“AD CS 配置”向导。
- 在“凭据”页面上,单击下一步,然后按照下表中所述的内容完成“AD CS 配置”向导页面。
- 在“确认”页面上,单击配置,当向导报告配置成功时,关闭该向导。
- 打开命令提示符,然后输入以下命令以针对非永久证书处理配置 CA:
certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS
- 输入以下命令以忽略 CA 上的脱机 CRL(证书吊销列表)错误:
certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
之所以需要此标记,是因为 True SSO 使用的根证书通常处于脱机状态,因此吊销检查将失败,这是预期的结果。
- 输入以下命令以重新启动该服务:
sc stop certsvc
sc start certsvc
