您必须在 CA 上配置证书模板。证书模板是 CA 生成的证书的基础。

前提条件

完成安装并配置 Windows Server 2012 R2 证书颁发机构中介绍的步骤。

过程

  1. 创建新的通用安全组。
    创建此组允许您创建单个安全组,以便您能够向该组分配代表用户颁发证书所需的权限。安装了 VMware 注册服务器的所有计算机都可以通过成为该组的成员来继承这些权限。
    1. 单击开始,然后键入 dsa.msc
      此时会显示“Active Directory 用户和计算机”窗口。
    2. 在树中,右键单击域控制器的用户文件夹,然后选择新建 > 组
      此时会显示“新建对象 - 组”窗口。
    3. 组名称字段中,输入新组的名称。例如,“TrueSSO 注册服务器”。
    4. 设置以下值。
      设置
      组范围 通用
      组类型 安全
    5. 单击确定
      新组会出现在“Active Directory 用户和计算机”窗口内的树中。
    6. 右键单击该组,然后选择属性
    7. 在“属于”选项卡中,添加将要安装注册服务器的每台计算机,然后单击确定
    8. 重新启动将要安装注册服务器的每台计算机。
  2. 配置证书模板。
    1. 选择控制面板 > 管理工具 > 证书颁发机构
    2. 在树中,展开本地 CA 名称。
    3. 右键单击“证书模板”文件夹,然后选择管理
      此时会显示证书模板控制台。
    4. 右键单击“智能卡登录”模板,然后选择复制模板
      此时会显示“新模板的属性”窗口。
    5. 按照以下所述在该窗口的选项卡中输入相应信息。
      选项卡 设置
      兼容性
      • 选中显示产生的变化复选框。
      • 证书颁发机构 - Windows Server 2008 R2
      • 证书接收人 - Windows 7 / Server 2008 R2
      常规
      • 模板显示名称 - 您选择的名称。例如,“True SSO 模板”。
      • 模板名称 - 您选择的名称。例如,“True SSO 模板”。
      • 有效期 - 1 小时
      • 续订期 - 0 周
      请求处理
      • 用途 - 签名和智能卡登录
      • 选中对于智能卡证书的自动续订...复选框
      • 选中注册时提示用户单选按钮
      加密
      • 提供程序类别 - 密钥存储提供程序
      • 算法名称 - RSA
      • 最小密钥大小 - 2048
      • 选中请求可以使用...可用的任何提供程序单选按钮
      • 请求哈希 - SHA256
      使用者名称
      • 选中用 Active Directory 中的信息生成单选按钮。
      • 使用者名称格式 - 完全可分辨名称
      • 选中用户主体名称(UPN) 复选框。
      服务器 选中不在 CA 数据库中存储证书和请求复选框
      颁发要求
      • 要注册,要求下列项目 - 选择授权签名的数量,然后输入 1
      • 签名中要求的策略类型 - 应用程序策略
      • 应用程序策略 - 证书申请代理
      • 要注册,要求下列项目 - 有效的现存证书
      安全 在该选项卡的上面部分,选择您所创建的新组。然后,在该选项卡的下面部分,为“读取”和“注册”权限选择允许
    6. 单击确定
  3. 颁发用于 True SSO 的模板。
    1. 再次右键单击“证书模板”文件夹,然后选择新建 > 要颁发的证书模板
      此时会显示“启用证书模板”窗口。
    2. 选择“TrueSsoTemplate”,然后单击确定
  4. 颁发注册代理模板。
    1. 再次右键单击“证书模板”文件夹,然后选择新建 > 要颁发的证书模板
      此时会显示“启用证书模板”窗口。
    2. 选择“注册代理计算机”,然后单击确定
      注: 此模板的安全设置必须与在上一步骤中颁发的模板的安全设置相同。
    此时已设置 CA 并为其配置了适用于 True SSO 的证书模板。
  5. 按照下载 Horizon Cloud 配对包中的步骤下载 Horizon Cloud 配对包。