如果贵组织未提供 TLS 服务器证书,则您必须请求由 CA 签发的新证书。
您可以通过多种方法获取新的签名证书。例如,您可以使用 Microsoft certreq 实用程序生成证书签发请求 (CSR) 并提交至 CA。
有关如何使用 certreq 来完成此任务的信息,请参阅《为 Horizon 设置 TLS 证书的方案》文档中的示例。
出于测试目的,您可以基于不受信任的根从许多 CA 获取免费的临时证书。
重要说明: 从 CA 获取 TLS 签名证书时,必须遵循特定的规则和准则。
- 在计算机上生成证书请求时,请确保同时生成一个私钥。获取 TLS 服务器证书并将其导入 Windows 本地计算机证书存储区时,必须有一个与证书对应的附带私钥。
- 为了遵循 VMware 安全建议,请使用客户端设备在连接主机时使用的完全限定域名 (FQDN)。不要使用简单的服务器名称或 IP 地址,即使内部域中的通信也是如此。
- 请勿使用小于 1024 的 KeyLength 值为服务器生成证书。客户端终端无法验证服务器上生成的 KeyLength 小于 1024 的证书,继而客户端将无法连接到服务器。连接服务器执行的证书验证也会失败,进而导致受影响的服务器在 Horizon Console 仪表板中显示为红色。
有关获取证书的一般信息,请查询 MMC 证书插件中提供的 Microsoft 联机帮助。如果您的计算机上未安装证书插件,请参阅将证书管理单元添加到 MMC。
