要使用 VMware Certificate Authority (CA) 为最终用户提供对其桌面和应用程序的单点登录 (SSO) 访问,请使用 VMware CA 为 SSO 颁发短期智能卡证书。为了实现透明度和安全性,该过程包含一个使用已构建的 Microsoft 实用程序的 PowerShell 脚本。
以下列表提供有关配置 VMware CA 的信息。在按后续主题中所述配置 SSO 时,您将在上下文中遇到许多相同的详细信息。例如,为 VMware CA 将 SSO 配置添加到 Horizon Cloud Service - next-gen提供了有关下载 VMware CA 包的说明。该包中包含 VMware PowerShell 脚本,您将按照将 VMware SSO CA 包发布到 Active Directory 林中的说明运行此脚本来配置 SSO。
- 要使用 VMware CA 启用 SSO 所需的功能,以下任一情况必须适用于 Active Directory 域:
- Active Directory 林中至少配置了一个联机 Microsoft Enterprise CA,在这种情况下,会出现以下结果。
- Microsoft Enterprise CA 自动将其 CA 证书和证书吊销列表 (Certificate Revocation List, CRL) 发布到林。
- 域控制器自动注册证书。
- Active Directory 域使用第三方 CA 或独立 Microsoft CA,在这种情况下,必须满足以下条件。
- 必须使用 certutil 等实用程序手动将所有 CA 证书发布到林。
- 吊销信息必须始终通过 HTTP 发布。
- 必须为域控制器颁发允许进行客户端身份验证、服务器身份验证、智能卡登录和 KDC 身份验证的证书。
- Active Directory 林中至少配置了一个联机 Microsoft Enterprise CA,在这种情况下,会出现以下结果。
- 您可以将 VMware CA 配置为根 CA 或中间 CA。但是,公钥基础架构 (Public Key Infrastructure, PKI) 最佳做法是选择中间 CA。
- 如果使用根 CA,则 VMware CA 证书的有效期为 5 年。
- 如果使用中间 CA,则颁发 CA 将确定 VMware CA 证书的有效期。
- 如果使用中间 CA,则 VMware CA 证书可以由 Microsoft CA 或任何第三方 CA 签名。
- 如果使用第三方 CA,请确保域成员计算机有权访问验证 VMware CA 证书所需的所有证书和吊销信息。
- 为了使 VMware CA 受信任,您必须将 VMware CA 包发布到 Active Directory 林中的不同位置。
- 在域成员计算机上,以具有适当权限的管理员身份运行 VMware PowerShell 脚本以发布 VMware CA 包。
- 只需运行 VMware PowerShell 脚本一次。Active Directory 会将发布的 PKI 数据复制到 Active Directory 域中所有域中的所有域控制器和桌面。您可以在复杂的 Active Directory 部署中使用 Repadmin 等实用程序,以确保在尝试使用 SSO 之前,及时在不同域或站点中的域控制器之间复制配置命名上下文。
- PowerShell 脚本使用 Microsoft 实用程序 certreq 和 certutil 来实现完全透明。在运行 PowerShell 脚本之前,您可以阅读该脚本以精确查看该脚本的功能。