要使用 VMware Certificate Authority (CA) 为最终用户提供对其桌面和应用程序的单点登录 (SSO) 访问，请使用 VMware CA 为 SSO 颁发短期智能卡证书。为了实现透明度和安全性，该过程包含一个使用已构建的 Microsoft 实用程序的 PowerShell 脚本。

以下列表提供有关配置 VMware CA 的信息。在按后续主题中所述配置 SSO 时，您将在上下文中遇到许多相同的详细信息。例如，为 VMware CA 将 SSO 配置添加到 Horizon Cloud Service - next-gen提供了有关下载 VMware CA 包的说明。该包中包含 VMware PowerShell 脚本，您将按照将 VMware SSO CA 包发布到 Active Directory 林中的说明运行此脚本来配置 SSO。

• 要使用 VMware CA 启用 SSO 所需的功能，以下任一情况必须适用于 Active Directory 域：
  • Active Directory 林中至少配置了一个联机 Microsoft Enterprise CA，在这种情况下，会出现以下结果。
    • Microsoft Enterprise CA 自动将其 CA 证书和证书吊销列表 (Certificate Revocation List, CRL) 发布到林。
    • 域控制器自动注册证书。
  • Active Directory 域使用第三方 CA 或独立 Microsoft CA，在这种情况下，必须满足以下条件。
    • 必须使用 certutil 等实用程序手动将所有 CA 证书发布到林。
    • 吊销信息必须始终通过 HTTP 发布。
    • 必须为域控制器颁发允许进行客户端身份验证、服务器身份验证、智能卡登录和 KDC 身份验证的证书。
• 您可以将 VMware CA 配置为根 CA 或中间 CA。但是，公钥基础架构 (Public Key Infrastructure, PKI) 最佳做法是选择中间 CA。
• 如果使用根 CA，则 VMware CA 证书的有效期为 5 年。
• 如果使用中间 CA，则颁发 CA 将确定 VMware CA 证书的有效期。
• 如果使用中间 CA，则 VMware CA 证书可以由 Microsoft CA 或任何第三方 CA 签名。
• 如果使用第三方 CA，请确保域成员计算机有权访问验证 VMware CA 证书所需的所有证书和吊销信息。
• 为了使 VMware CA 受信任，您必须将 VMware CA 包发布到 Active Directory 林中的不同位置。
• 在域成员计算机上，以具有适当权限的管理员身份运行 VMware PowerShell 脚本以发布 VMware CA 包。
• 只需运行 VMware PowerShell 脚本一次。Active Directory 会将发布的 PKI 数据复制到 Active Directory 域中所有域中的所有域控制器和桌面。您可以在复杂的 Active Directory 部署中使用 Repadmin 等实用程序，以确保在尝试使用 SSO 之前，及时在不同域或站点中的域控制器之间复制配置命名上下文。
• PowerShell 脚本使用 Microsoft 实用程序 certreq 和 certutil 来实现完全透明。在运行 PowerShell 脚本之前，您可以阅读该脚本以精确查看该脚本的功能。