要为 Horizon 7 Server 设置 TLS 服务器证书,必须执行多项高级任务。

在连接服务器副本实例容器中,您必须对容器中的所有实例执行这些任务。

执行这些任务的步骤在本概述随后的主题中有具体介绍。

  1. 确定是否需要从 CA 获取新的 TLS 签名证书。

    如果贵组织已经拥有有效的 TLS 服务器证书,您可以使用该证书替换随连接服务器、安全服务器或 View Composer 提供的默认 TLS 服务器证书。要使用现有证书,您还需要用到附带的私钥。

    出发点 操作
    您的组织为您提供了一个有效的 TLS 服务器证书。 直接转至步骤 2。
    您没有 TLS 服务器证书。 从 CA 获取签发的 TLS 服务器证书。
  2. 将 TLS 证书导入 Horizon 7 Server 主机上的 Windows 本地计算机证书存储区。
  3. 对于连接服务器实例和安全服务器,请将证书的友好名称修改为 vdm

    只能为每个 Horizon 7 Server 主机上的一个证书分配友好名称 vdm

  4. 在连接服务器计算机上,如果根证书不受 Windows Server 主机信任,请将根证书导入 Windows 本地计算机证书存储区。

    此外,如果连接服务器实例不信任为安全服务器、View Composer 和 vCenter Server 主机配置的 TLS 服务器证书的根证书,也必须导入这些根证书。应仅对连接服务器实例执行这些步骤。您无需将根证书导入 View Composer、vCenter Server 或安全服务器主机。

  5. 如果您的服务器证书由中间 CA 签发,请将中间证书导入 Windows 本地计算机证书存储区。

    要简化客户端配置,请将整个证书链导入 Windows 本地计算机证书存储区。如果 Horizon 7 Server 缺少中间证书,则必须为客户端和启动 Horizon Administrator 的计算机配置这些中间证书。

  6. 对于 View Composer 实例,请执行以下步骤之一:
    • 如果在安装 View Composer 前将证书导入 Windows 本地计算机证书存储区,则可以在安装 View Composer 过程中选择您的证书。
    • 如果在安装 View Composer 后想使用新证书替换现有证书或默认的自签名证书,必须运行 SviConfig ReplaceCertificate 实用程序,以将新证书与 View Composer 使用的端口绑定。
  7. 如果您的 CA 不是公认 CA,请对客户端进行配置,使其信任根证书和中间证书。

    另外还需要确保启动 Horizon Administrator 的计算机信任根证书和中间证书。

  8. 确定是否要重新配置证书撤消检查。

    连接服务器会针对 Horizon 7 Server、View Composer 和 vCenter Server 执行证书撤消检查。CA 签发的大多数证书都包含证书撤消信息。如果您的 CA 不包含此信息,则可以对服务器进行配置,使其不执行证书撤消检查。

    如果配置了 SAML 身份验证器以用于连接服务器实例,连接服务器也会对 SAML 服务器证书执行证书撤消检查。