如果贵组织未提供 TLS 服务器证书,则您必须请求由 CA 签发的新证书。
您可以通过多种方法获取新的签名证书。例如,您可以使用 Microsoft certreq 实用程序生成证书签发请求 (CSR) 并提交至 CA。
有关说明如何使用 certreq 来完成此任务的示例,请参阅《Horizon 集成指南》文档。
出于测试目的,您可以基于不受信任的根从许多 CA 获取免费的临时证书。
重要说明: 从 CA 获取 TLS 签名证书时,必须遵循特定的规则和准则。
- 生成证书请求时,请选择在“兼容性”选项卡中选定 Windows Server 2008 的证书模板,或者选择不使用注册策略继续,并为模板选择 (无模板)旧密钥。如果不这样做,Horizon 8 将无法检测到私钥,即使证书 MMC 管理单元指示该私钥存在也是如此。
- 为了遵循 VMware 安全建议,请使用客户端设备在连接主机时使用的完全限定域名 (FQDN)。不要使用简单的服务器名称或 IP 地址,即使内部域中的通信也是如此。
- 不要使用低于 1024 的 KeyLength 值为服务器生成证书。客户端端点将不对服务器上生成的、KeyLength 值小于 1024 的证书进行验证,客户端将无法连接到服务器。连接服务器执行的证书验证也会失败,进而导致受影响的服务器在 Horizon Console 仪表板中显示为红色。
有关获取证书的一般信息,请查询 MMC 证书插件中提供的 Microsoft 联机帮助。如果您的计算机上未安装证书插件,请参阅将证书管理单元添加到 MMC。
