Microsoft certreq 实用程序使用配置文件生成 CSR。您必须先创建配置文件,然后才能生成请求。可在托管将使用该证书的 Horizon 8 Server 的 Windows Server 计算机上创建配置文件并生成 CSR。
前提条件
收集填写配置文件所需的信息。您必须知道 Horizon 8 Server 的 FQDN、组织单位、组织、城市、州和国家/地区,才能填写主体名称。
过程
- 打开文本编辑器,将以下文本(包括开始标记和结束标记)粘贴到文件中。
;----------------- request.inf -----------------
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=View_Server_FQDN, OU=Organizational_Unit, O=Organization, L=City, S=State, C=Country"
; Replace View_Server_FQDN with the FQDN of the Horizon server.
; Replace the remaining Subject attributes.
KeySpec = 1
KeyLength = 2048
; KeyLength is usually chosen from 2048, 3072, or 4096. A KeyLength
; of 1024 is also supported, but it is not recommended.
HashAlgorithm = SHA256
; Algorithms earlier than SHA-2 are insufficiently secure and are not recommended.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft Strong Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication
;-----------------------------------------------
如果复制和粘贴文本时在
Subject = 行中添加了额外的换行 (CR/LF) 符,请将换行符删除。
- 使用您的 Horizon 8 Server 和部署的相应值更新 Subject 属性。
例如:
CN=dept.company.com
为了遵循 VMware 安全建议,请使用客户端设备在连接主机时使用的完全限定域名 (FQDN)。不要使用简单的服务器名称或 IP 地址,即使内部域中的通信也是如此。
某些 CA 不允许为 state 属性使用缩写形式。
- (可选) 更新 Keylength 属性。
除非您确实需要一个不同的
KeyLength 大小,否则默认值 2048 就已足够。许多 CA 要求最小值为 2048。较大的密钥大小会更安全,但对性能的影响会比较大。
虽然也支持值为 1024 的 KeyLength,但是国家标准与技术研究院 (National Institute of Standards and Technology, NIST) 不建议使用此大小的密钥,因为计算机越来越强大,很可能能够破解更强大的加密。
重要说明: 请勿生成小于 1024 的
KeyLength 值。适用于 Windows 的
Horizon Client 将不对
Horizon 8 Server 上生成的、
KeyLength 值小于 1024 的证书进行验证,
Horizon Client 设备将无法连接到
Horizon 8。连接服务器执行的证书验证也会失败,进而导致受影响的
Horizon 8 Server 在控制台仪表板中显示为红色。
- 将文件另存为 request.inf。
