Microsoft certreq 实用程序使用配置文件生成 CSR。您必须先创建配置文件,然后才能生成请求。可在托管将使用该证书的 Horizon Server 的 Windows Server 计算机上创建配置文件并生成 CSR。

前提条件

收集填写配置文件所需的信息。您必须知道 Horizon Server 的 FQDN、组织单位、组织、城市、州和国家/地区,才能填写主体名称。

过程

  1. 打开文本编辑器,将以下文本(包括开始标记和结束标记)粘贴到文件中。
    ;----------------- request.inf ----------------- 
    
    [Version] 
    
    Signature="$Windows NT$" 
    
    [NewRequest]
    
    Subject = "CN=View_Server_FQDN, OU=Organizational_Unit, O=Organization, L=City, S=State, C=Country" 
    ; Replace View_Server_FQDN with the FQDN of the Horizon server.
    ; Replace the remaining Subject attributes.  
    KeySpec = 1 
    KeyLength = 2048 
    ; KeyLength is usually chosen from 2048, 3072, or 4096. A KeyLength
    ; of 1024 is also supported, but it is not recommended. 
    HashAlgorithm = SHA256
    ; Algorithms earlier than SHA-2 are insufficiently secure and are not recommended.
    Exportable = TRUE 
    MachineKeySet = TRUE 
    SMIME = False 
    PrivateKeyArchive = FALSE 
    UserProtected = FALSE 
    UseExistingKeySet = FALSE 
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider" 
    ProviderType = 12
    RequestType = PKCS10 
    KeyUsage = 0xa0 
    
    [EnhancedKeyUsageExtension] 
    
    OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication 
    
    ;-----------------------------------------------
    
    
    如果复制和粘贴文本时在 Subject = 行中添加了额外的换行 (CR/LF) 符,请将换行符删除。
  2. 使用您的 Horizon Server 和部署的相应值更新 Subject 属性。
    例如: CN=dept.company.com
    为了遵循 VMware 安全建议,请使用客户端设备在连接主机时使用的完全限定域名 (FQDN)。不要使用简单的服务器名称或 IP 地址,即使内部域中的通信也是如此。

    某些 CA 不允许为 state 属性使用缩写形式。

  3. (可选) 更新 Keylength 属性。
    除非您确实需要一个不同的 KeyLength 大小,否则默认值 2048 就已足够。许多 CA 要求最小值为 2048。较大的密钥大小会更安全,但对性能的影响会比较大。

    虽然也支持值为 1024 的 KeyLength,但是国家标准与技术研究院 (National Institute of Standards and Technology, NIST) 不建议使用此大小的密钥,因为计算机越来越强大,很可能能够破解更强大的加密。

    重要事项: 请勿生成小于 1024 的 KeyLength 值。适用于 Windows 的 Horizon Client 将不对 Horizon Server 上生成的、 KeyLength 值小于 1024 的证书进行验证, Horizon Client 设备将无法连接到 Horizon。连接服务器执行的证书验证也会失败,进而导致受影响的 Horizon Server 在 Horizon Console 仪表板中显示为红色。
  4. 将文件另存为 request.inf

下一步做什么

从配置文件生成 CSR。