默认情况下,Horizon Agent for Linux 安装程序会为 VMwareBlastServer 守护进程生成自签名证书,该守护进程使用 Blast 显示协议处理与客户端的通信。为了遵循行业或安全法规,您可以将 VMwareBlastServer 的自签名证书替换为由证书颁发机构 (Certificate Authority, CA) 签发的证书。
- 在 Horizon Connection Server 上未启用 Blast 安全网关时,VMwareBlastServer 会向使用 HTML Access 连接到 Linux 桌面的浏览器提供默认自签名证书。
- 在 Horizon Connection Server上启用 Blast 安全网关后,Blast 安全网关会将其证书提供给浏览器。
要将 VMwareBlastServer 的默认自签名证书替换为 CA 签名证书,可以使用以下方法之一。
- BCFKS 密钥库:通过此方法,您可以使用
DeployBlastCert.sh
部署脚本将证书和私钥存储在 /etc/vmware/ssl 目录中的加密 Bouncy Castle FIPS 密钥库 (Bouncy Castle FIPS keystore, BCFKS) 中。 - 未加密存储:通过此方法,您可以手动将证书和私钥(未加密)复制到 /etc/vmware/ssl 目录的根级别。
VMwareBlastServer 守护进程首先在 Linux 密钥环中查找 BCFCS 密钥库中的证书和私钥。如果找不到 BCFKS 密钥库,它会读取存储在 /etc/vmware/ssl 的根级别的证书和私钥。
将 VMwareBlastServer CA 证书部署到 BCFCS 密钥库
注: 仅
Horizon Agent 2209.x 的版本 2209.1 及更高版本支持此部署方法。
Horizon Agent 2209.0 则不支持。
DeployBlastCert.sh
部署脚本会在 /etc/vmware/ssl 目录中创建一个名为 vmwareblast.bcfks 的新 BCFKS 密钥库,并在此密钥库中存储该证书和私钥。密钥库中的信息随后会添加到 Linux 密钥环中。
- 分别使用 SSLCertName 和 SSLKeyName 配置选项自定义证书名称和私钥名称,它们将显示在 Linux 密钥环中。有关更多信息,请参阅/etc/vmware/viewagent-custom.conf 中的配置选项。
- 运行
DeployBlastCert.sh
部署脚本,如以下示例中所示。sudo /usr/lib/vmware/viewagent/bin/DeployBlastCert.sh -c /root/rui.cert -k /root/rui.key
对部署脚本使用以下参数标记:
参数标记 说明 -c 指定 CA 签名证书文件。 -k 指定私钥文件。
将 VMwareBlastServer CA 证书部署到未加密存储
- 将私钥和 CA 签名证书添加到 /etc/vmware/ssl。
- 将私钥重命名为 rui.key,将证书重命名为 rui.crt。
- 设置对 /etc/vmware/ssl 的读取和可执行权限。
sudo chmod 550 /etc/vmware/ssl
- 将 rui.key 和 rui.crt 复制到 /etc/vmware/ssl。
- 移除对 /etc/vmware/ssl 的可执行权限。
chmod 440 /etc/vmware/ssl
- 将根和中间 CA 证书安装到 Linux 操作系统证书颁发机构存储中。
有关为支持 CA 证书链而必须更改的其他系统设置的信息,请参阅适用于您所用 Linux 分发包的文档。