如果安装连接服务器的 Windows Server 主机不信任 TLS 服务器签名证书的根证书,则必须将根证书导入 Windows 本地计算机证书存储区。此外,如果连接服务器主机不信任为 vCenter Server 主机配置的 TLS 服务器证书的根证书,也必须导入这些根证书。
如果连接服务器和 vCenter Server 证书由连接服务器主机信任的已知根 CA 签发,且您的证书链中没有中间证书,则可以跳过此任务。常用的证书颁发机构都可能受主机信任。
您必须在一个容器中的所有连接服务器副本实例上导入不受信任的根证书。
注: 您无需将根证书导入 vCenter Server 主机。
如果服务器证书是由中间 CA 签发,还必须导入证书链中的每个中间证书。要简化客户端配置,请将整个中间链导入 vCenter Server 主机以及连接服务器主机。如果连接服务器主机缺少中间证书,则必须为客户端和启动 Horizon Console 的计算机配置这些中间证书。如果 vCenter Server 主机缺少中间证书,则必须为每个连接服务器实例配置这些中间证书。
如果您已确认整个证书链都已导入 Windows 本地计算机证书存储区,则可以跳过此任务。
注: 如果配置了 SAML 身份验证器以供连接服务器实例使用,则同样的准则也适用于 SAML 2.0 身份验证器。如果连接服务器主机不信任为 SAML 身份验证器配置的根证书,或者 SAML 服务器证书由中间 CA 签发,则必须确保将证书链导入到 Windows 本地计算机证书存储区中。
过程
- 在 Windows Server 主机上的 MMC 控制台中,展开证书 (本地计算机) 节点并转到 文件夹。
- 如果您的根证书位于此文件夹,且证书链中没有中间证书,则跳至步骤 7。
- 如果您的根证书不在此文件夹,则执行步骤 2。
- 右键单击 文件夹,然后单击 。
- 在证书导入向导中,单击下一步并浏览至存储根 CA 证书的位置。
- 选择根 CA 证书文件并单击打开。
- 连续单击下一步,然后单击完成。
- 如果您的服务器证书由中间 CA 签发,请将证书链中的所有中间证书导入 Windows 本地计算机证书存储区。
- 转到 文件夹。
- 针对每个必须导入的中间证书重复执行步骤 3 到步骤 6。
- 重新启动连接服务器服务或 vCenter Server 服务以使所做的更改生效。