在为 Horizon Cloud 配置 SSO 时,必须执行以下相应任务,具体取决于您的 VMware 证书颁发机构 (CA) 配置的详细信息。

后续过程摘要

创建 SSO 包时,可以使用 PowerShell 脚本将该包发布到为其创建包的林。此操作可确保 SSO 适用于包所在的林。

要使 SSO 能够在其他信任林中使用,必须按如下方式将 VMware CA 证书路径中的根证书和中间证书发布到信任林。

  • 必须将根 CA 证书发布到信任林。
  • 必须将中间 CA 证书发布到信任林。
  • 必须将根 CA 证书发布到 NTAuth 存储。
  • 整个证书链必须始终可以通过 HTTP 使用吊销信息。

将根证书添加到受信任的根证书颁发机构

必须将终止 VMware CA 证书路径的根证书添加到 Active Directory 中的“受信任的根证书颁发机构”组策略。

过程

  1. 在信任配置中的所有 Active Directory 林上,将根证书添加到受信任的根证书颁发机构。
    1. 选择开始 > 管理工具 > 组策略管理
    2. 展开您的域,右键单击默认域策略并单击编辑
  2. 展开计算机配置区域,然后打开 Windows 设置\安全性设置\公钥
  3. 右键单击受信任的根证书颁发机构,然后选择导入
  4. 按照向导中的提示导入根证书(如 rootCA.cer)并单击确定
  5. 关闭“组策略”窗口。

结果

此时,域中的所有系统在其信任的根存储中都有一个根证书的副本。

下一步做什么

如果中间证书颁发机构 (CA) 为您颁发了智能卡登录或域控制器证书,请将此中间证书添加到 Active Directory 中的中间证书颁发机构组策略中。请参阅将中间证书添加到中间证书颁发机构

将中间证书添加到中间证书颁发机构

必须将来自 VMware CA 证书路径的所有临时证书添加到 Active Directory 中的中间证书颁发机构组策略中。

过程

  1. 在信任配置中的所有 Active Directory 林上,将 VMware CA 证书链中的所有中间证书添加到中间证书颁发机构。在 Active Directory 服务器上,导航到“组策略管理”插件,并完成以下步骤:
    1. 选择开始 > 管理工具 > 组策略管理
    2. 展开您的域,右键单击默认域策略并单击编辑
  2. 展开计算机配置区域,然后打开 Windows 设置\安全性设置\公钥策略。
  3. 右键单击中间证书颁发机构,然后选择导入
  4. 按照向导中的提示导入中间证书(如 intermediateCA.cer)并单击确定
  5. 关闭“组策略”窗口。

结果

此时,域中的所有系统在其中间证书颁发机构存储区中都有一个中间证书的副本。

将根证书添加到 Enterprise NTAuth 存储

终止 VMware CA 证书路径的根证书必须添加到 Active Directory 中的 Enterprise NTAuth 存储。

过程

  • 在 Active Directory 服务器上使用 certutil 命令,将证书发布到 Enterprise NTAuth 存储区中。
    例如: certutil -dspublish -f path_to_root_CA_cert NTAuthCA

结果

此时该 CA 即为颁发此类证书的受信任机构。