要为 VMware Horizon Server 设置 TLS 服务器证书,必须执行多项高级任务。
在连接服务器副本实例容器中,您必须对容器中的所有实例执行这些任务。
执行这些任务的步骤在本概述随后的主题中有具体介绍。
- 确定是否需要从 CA 获取新的 TLS 签名证书。
如果您的组织已经拥有有效的 TLS 服务器证书,您可以使用该证书替换随连接服务器提供的默认 TLS 服务器证书。要使用现有证书,您还需要用到附带的私钥。
出发点 操作 您的组织为您提供了一个有效的 TLS 服务器证书。 直接转至步骤 2。 您没有 TLS 服务器证书。 从 CA 获取签发的 TLS 服务器证书。 - 将 TLS 证书导入 VMware Horizon Server 主机上的 Windows 本地计算机证书存储区。
- 对于连接服务器实例,请将证书的友好名称修改为 vdm。
只能为每个 VMware Horizon Server 主机上的一个证书分配友好名称 vdm。
- 在连接服务器计算机上,如果根证书不受 Windows Server 主机信任,请将根证书导入 Windows 本地计算机证书存储区。
此外,如果连接服务器实例不信任为 vCenter Server 主机配置的 TLS 服务器证书的根证书,也必须导入这些根证书。应仅对连接服务器实例执行这些步骤。您无需将根证书导入 vCenter Server 主机。
- 如果您的服务器证书由中间 CA 签发,请将中间证书导入 Windows 本地计算机证书存储区。
要简化客户端配置,请将整个证书链导入 Windows 本地计算机证书存储区。如果 VMware Horizon Server 缺少中间证书,则必须为客户端和启动 Horizon Console 的计算机配置这些中间证书。
- 如果您的 CA 不是公认 CA,请对客户端进行配置,使其信任根证书和中间证书。
另外还需要确保启动 Horizon Console 的计算机信任根证书和中间证书。
- 确定是否要重新配置证书撤消检查。
连接服务器会在 VMware Horizon Server 和 vCenter Server 上执行证书撤消检查。CA 签发的大多数证书都包含证书撤消信息。如果您的 CA 不包含此信息,则可以对服务器进行配置,使其不执行证书撤消检查。
如果配置了 SAML 身份验证器以用于连接服务器实例,连接服务器也会对 SAML 服务器证书执行证书撤消检查。