要为 VMware Horizon Server 设置 TLS 服务器证书,必须执行多项高级任务。

在连接服务器副本实例容器中,您必须对容器中的所有实例执行这些任务。

执行这些任务的步骤在本概述随后的主题中有具体介绍。

  1. 确定是否需要从 CA 获取新的 TLS 签名证书。

    如果您的组织已经拥有有效的 TLS 服务器证书,您可以使用该证书替换随连接服务器提供的默认 TLS 服务器证书。要使用现有证书,您还需要用到附带的私钥。

    出发点 操作
    您的组织为您提供了一个有效的 TLS 服务器证书。 直接转至步骤 2。
    您没有 TLS 服务器证书。 从 CA 获取签发的 TLS 服务器证书。
  2. 将 TLS 证书导入 VMware Horizon Server 主机上的 Windows 本地计算机证书存储区。
  3. 对于连接服务器实例,请将证书的友好名称修改为 vdm

    只能为每个 VMware Horizon Server 主机上的一个证书分配友好名称 vdm

  4. 在连接服务器计算机上,如果根证书不受 Windows Server 主机信任,请将根证书导入 Windows 本地计算机证书存储区。

    此外,如果连接服务器实例不信任为 vCenter Server 主机配置的 TLS 服务器证书的根证书,也必须导入这些根证书。应仅对连接服务器实例执行这些步骤。您无需将根证书导入 vCenter Server 主机。

  5. 如果您的服务器证书由中间 CA 签发,请将中间证书导入 Windows 本地计算机证书存储区。

    要简化客户端配置,请将整个证书链导入 Windows 本地计算机证书存储区。如果 VMware Horizon Server 缺少中间证书,则必须为客户端和启动 Horizon Console 的计算机配置这些中间证书。

  6. 如果您的 CA 不是公认 CA,请对客户端进行配置,使其信任根证书和中间证书。

    另外还需要确保启动 Horizon Console 的计算机信任根证书和中间证书。

  7. 确定是否要重新配置证书撤消检查。

    连接服务器会在 VMware Horizon Server 和 vCenter Server 上执行证书撤消检查。CA 签发的大多数证书都包含证书撤消信息。如果您的 CA 不包含此信息,则可以对服务器进行配置,使其不执行证书撤消检查。

    如果配置了 SAML 身份验证器以用于连接服务器实例,连接服务器也会对 SAML 服务器证书执行证书撤消检查。