要为 Horizon 7 Server 设置 TLS 服务器证书,必须执行多项高级任务。
在连接服务器副本实例容器中,您必须对容器中的所有实例执行这些任务。
执行这些任务的步骤在本概述随后的主题中有具体介绍。
- 确定是否需要从 CA 获取新的 TLS 签名证书。
如果贵组织已经拥有有效的 TLS 服务器证书,您可以使用该证书替换随连接服务器、安全服务器或 View Composer 提供的默认 TLS 服务器证书。要使用现有证书,您还需要用到附带的私钥。
出发点 操作 您的组织为您提供了一个有效的 TLS 服务器证书。 直接转至步骤 2。 您没有 TLS 服务器证书。 从 CA 获取签发的 TLS 服务器证书。 - 将 TLS 证书导入 Horizon 7 Server 主机上的 Windows 本地计算机证书存储区。
- 对于连接服务器实例和安全服务器,请将证书的友好名称修改为 vdm。
只能为每个 Horizon 7 Server 主机上的一个证书分配友好名称 vdm。
- 在连接服务器计算机上,如果根证书不受 Windows Server 主机信任,请将根证书导入 Windows 本地计算机证书存储区。
此外,如果连接服务器实例不信任为安全服务器、View Composer 和 vCenter Server 主机配置的 TLS 服务器证书的根证书,也必须导入这些根证书。应仅对连接服务器实例执行这些步骤。您无需将根证书导入 View Composer、vCenter Server 或安全服务器主机。
- 如果您的服务器证书由中间 CA 签发,请将中间证书导入 Windows 本地计算机证书存储区。
要简化客户端配置,请将整个证书链导入 Windows 本地计算机证书存储区。如果 Horizon 7 Server 缺少中间证书,则必须为客户端和启动 Horizon Administrator 的计算机配置这些中间证书。
- 对于 View Composer 实例,请执行以下步骤之一:
- 如果在安装 View Composer 前将证书导入 Windows 本地计算机证书存储区,则可以在安装 View Composer 过程中选择您的证书。
- 如果在安装 View Composer 后想使用新证书替换现有证书或默认的自签名证书,必须运行 SviConfig ReplaceCertificate 实用程序,以将新证书与 View Composer 使用的端口绑定。
- 如果您的 CA 不是公认 CA,请对客户端进行配置,使其信任根证书和中间证书。
另外还需要确保启动 Horizon Administrator 的计算机信任根证书和中间证书。
- 确定是否要重新配置证书撤消检查。
连接服务器会针对 Horizon 7 Server、View Composer 和 vCenter Server 执行证书撤消检查。CA 签发的大多数证书都包含证书撤消信息。如果您的 CA 不包含此信息,则可以对服务器进行配置,使其不执行证书撤消检查。
如果配置了 SAML 身份验证器以用于连接服务器实例,连接服务器也会对 SAML 服务器证书执行证书撤消检查。