默认情况下,Horizon Agent for Linux 安装程序会为 VMwareBlastServer 守护进程生成自签名证书,该守护进程使用 Blast 显示协议处理与客户端的通信。为了遵循行业或安全法规,您可以将 VMwareBlastServer 的自签名证书替换为由证书颁发机构 (Certificate Authority, CA) 签发的证书。

  • Horizon Connection Server 上未启用 Blast 安全网关时,VMwareBlastServer 会向使用 HTML Access 连接到 Linux 桌面的浏览器提供默认自签名证书。
  • Horizon Connection Server上启用 Blast 安全网关后,Blast 安全网关会将其证书提供给浏览器。

要将 VMwareBlastServer 的默认自签名证书替换为 CA 签名证书,可以使用以下方法之一。

  • BCFKS 密钥库:通过此方法,您可以使用 DeployBlastCert.sh 部署脚本将证书和私钥存储在 /etc/vmware/ssl 目录中的加密 Bouncy Castle FIPS 密钥库 (Bouncy Castle FIPS keystore, BCFKS) 中。
  • 未加密存储:通过此方法,您可以手动将证书和私钥(未加密)复制到 /etc/vmware/ssl 目录的根级别。

VMwareBlastServer 守护进程首先在 Linux 密钥环中查找 BCFCS 密钥库中的证书和私钥。如果找不到 BCFKS 密钥库,它会读取存储在 /etc/vmware/ssl 的根级别的证书和私钥。

将 VMwareBlastServer CA 证书部署到 BCFCS 密钥库

注:Horizon Agent 2209.x 的版本 2209.1 及更高版本支持此部署方法。 Horizon Agent 2209.0 则不支持。

DeployBlastCert.sh 部署脚本会在 /etc/vmware/ssl 目录中创建一个名为 vmwareblast.bcfks 的新 BCFKS 密钥库,并在此密钥库中存储该证书和私钥。密钥库中的信息随后会添加到 Linux 密钥环中。

  1. 分别使用 SSLCertNameSSLKeyName 配置选项自定义证书名称和私钥名称,它们将显示在 Linux 密钥环中。有关更多信息,请参阅/etc/vmware/viewagent-custom.conf 中的配置选项
  2. 运行 DeployBlastCert.sh 部署脚本,如以下示例中所示。
    sudo /usr/lib/vmware/viewagent/bin/DeployBlastCert.sh -c /root/rui.cert -k /root/rui.key

    对部署脚本使用以下参数标记:

    参数标记 说明
    -c 指定 CA 签名证书文件。
    -k 指定私钥文件。

将 VMwareBlastServer CA 证书部署到未加密存储

  1. 将私钥和 CA 签名证书添加到 /etc/vmware/ssl
    1. 将私钥重命名为 rui.key,将证书重命名为 rui.crt
    2. 设置对 /etc/vmware/ssl 的读取和可执行权限。
      sudo chmod 550 /etc/vmware/ssl
    3. rui.keyrui.crt 复制到 /etc/vmware/ssl
    4. 移除对 /etc/vmware/ssl 的可执行权限。
      chmod 440 /etc/vmware/ssl
  2. 将根和中间 CA 证书安装到 Linux 操作系统证书颁发机构存储中。

    有关为支持 CA 证书链而必须更改的其他系统设置的信息,请参阅适用于您所用 Linux 分发包的文档。