如果 Horizon 7 Server 证书是由访问 Horizon Administrator 的客户端计算机不信任的 CA 签发,您可以配置域中的所有 Windows 客户端系统以信任根证书和中间证书。为此,您必须将根证书的公钥添加到 Active Directory 中的“受信任的根证书颁发机构”组策略,并将根证书添加到 Enterprise NTAuth 存储区。

例如,如果您的组织使用内部证书服务,您可能需要采取下述步骤。

如果 Windows 域控制器充当根 CA,或您的证书由公认的 CA 签名,则无需采取下述步骤。对于众所周知的 CA,操作系统供应商会在客户端系统上预先安装根证书。

如果服务器证书是由一个非公认的中间 CA 签发,则必须将该中间证书添加到 Active Directory 的“中间证书颁发机构”组策略中。

对于使用 Windows 之外的其他操作系统的客户端设备,请参阅以下针对用户可安装的根证书和中间证书的分发说明:

前提条件

确认生成的服务器证书的 KeyLength 值为 1024 或更大值。客户端端点将不对服务器上生成的、KeyLength 值小于 1024 的证书进行验证,客户端将无法连接到服务器。

过程

  1. 在 Active Directory 服务器上使用 certutil 命令,将证书发布到 Enterprise NTAuth 存储区中。
    例如: certutil -dspublish -f CA 根证书路径 NTAuthCA
  2. 在 Active Directory 服务器上,导航至组策略管理插件。
    AD 版本 导航路径
    Windows 2003
    1. 选择开始 > 所有程序 > 管理工具 > Active Directory 用户和计算机
    2. 右键单击域,然后单击属性
    3. 组策略选项卡上,单击打开以打开组策略管理插件。
    4. 右键单击默认域策略并单击编辑
    Windows 2008
    1. 选择开始 > 管理工具 > 组策略管理
    2. 展开您的域,右键单击默认域策略并单击编辑
    Windows 2012 R2
    1. 选择开始 > 管理工具 > 组策略管理
    2. 展开您的域,右键单击默认域策略并单击编辑
    Windows 2016
    1. 选择开始 > 管理工具 > 组策略管理
    2. 展开您的域,右键单击默认域策略并单击编辑
  3. 展开计算机配置部分,然后转到 Windows 设置 > 安全性设置 > 公钥策略
  4. 导入证书。
    选项 说明
    根证书
    1. 右键单击受信任的根证书颁发机构,然后选择导入
    2. 按照向导中的提示导入根证书(如 rootCA.cer)并单击确定
    中间证书
    1. 右键单击中间证书颁发机构,然后选择导入
    2. 按照向导中的提示导入中间证书(如 intermediateCA.cer)并单击确定
  5. 关闭组策略窗口。

结果

现在域中所有系统的受信任根证书存储区和中间证书存储区中都已具备证书信息,可以信任根证书和中间证书。