Wenn Sie noch keine Zertifizierungsstelle eingerichtet haben, müssen Sie die Rolle der Active Directory-Zertifikatdienste (AD CS) einem Windows-Server hinzufügen und diesen als Unternehmenszertifizierungsstelle konfigurieren.

Wenn Sie bereits über eine eingerichtete Unternehmenszertifizierungsstelle verfügen, stellen Sie sicher, dass die in dieser Vorgehensweise beschriebenen Einstellungen verwendet werden.

Es muss mindestens eine Unternehmenszertifizierungsstelle vorhanden sein. VMware empfiehlt die Verwendung von zwei Registrierungsservern für Failover-Fälle und für den Lastausgleich. Der für die True SSO-Funktion erstellte Registrierungsserver kommuniziert mit der Unternehmenszertifizierungsstelle. Wenn Sie den Registrierungsserver für die Verwendung mehrerer Unternehmenszertifizierungsstellen konfigurieren, wird dieser die verfügbaren Zertifizierungsstellen abwechselnd verwenden. Wenn Sie den Registrierungsserver auf dem Computer installieren, auf dem die Unternehmenszertifizierungsstelle gehostet wird, können Sie den Registrierungsserver so konfigurieren, dass dieser die lokale Zertifizierungsstelle verwendet. Für eine optimale Leistung wird diese Konfiguration empfohlen.

Zu dieser Vorgehensweise gehört auch die Aktivierung einer nicht persistenten Zertifikatverarbeitung. Standardmäßig beinhaltet die Zertifikatverarbeitung das Speichern eines Datensatzes jeder Zertifikatanforderung und des ausgestellten Zertifikats in der Zertifizierungsstellendatenbank. Ein dauerhaft hohes Aufkommen an Anforderungen vergrößert die Zertifizierungsstellendatenbank und nimmt eventuell den gesamten verfügbaren Festplattenspeicher in Anspruch, wenn keine Überwachung stattfindet. Die Aktivierung einer nicht persistenten Zertifikatverarbeitung kann dabei helfen, die Größe der Zertifizierungsstellendatenbank und die Häufigkeit von Aufgaben der Datenbankverwaltung zu beschränken.

Voraussetzungen

  • Erstellen Sie eine virtuelle Maschine für Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016 oder Windows Server 2019.
  • Stellen Sie sicher, dass die virtuelle Maschine Teil der Active Directory-Domäne für die Horizon 7-Bereitstellung ist.
  • Stellen Sie sicher, dass eine IPv4-Umgebung verwendet wird. Diese Funktion wird aktuell nicht in einer IPv6-Umgebung unterstützt.
  • Stellen Sie sicher, dass das System über eine statische IP-Adresse verfügt.

Prozedur

  1. Melden Sie sich beim Betriebssystem der virtuellen Maschine als Administrator an und starten Sie Server Manager.
  2. Wählen Sie die Einstellungen für das Hinzufügen von Rollen aus.
    Betriebssystem Auswahl
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    1. Wählen Sie Rollen und Funktionen hinzufügen aus.
    2. Wählen Sie auf der Seite „Installationstyp auswählen“ Rollenbasierter oder funktionsbasierter Installationstyp aus.
    3. Wählen Sie auf der Seite „Zielserver auswählen“ einen Server aus.
    Windows Server 2008 R2
    1. Wählen Sie in der Navigationsstruktur Rollen aus.
    2. Klicken Sie auf Rollen hinzufügen, um den Assistenten Rolle hinzufügen zu starten.
  3. Wählen Sie auf der Seite „Serverrollen auswählen“ Active Directory-Zertifikatdienste aus.
  4. Klicken Sie im Assistenten „Rollen und Funktionen hinzufügen“ auf Funktionen hinzufügen und lassen Sie das Kontrollkästchen Verwaltungstools einschließen aktiviert.
  5. Bestätigen Sie auf der Seite „Funktionen auswählen“ die Standardeinstellungen.
  6. Wählen Sie auf der Seite „Rollendienste auswählen“ die Option Zertifizierungsstelle aus.
  7. Folgen Sie den Anweisungen und schließen Sie die Installation ab.
  8. Klicken Sie nach dem Abschluss der Installation auf der Seite „Installationsstatus“ auf den Link Active Directory-Zertifikatdienste auf dem Zielserver konfigurieren, um den Assistenten für die AD/CS-Konfiguration zu öffnen.
  9. Klicken Sie auf der Seite „Anmeldeinformationen“ auf Weiter und vervollständigen Sie die Seiten des Assistenten für die AD/CS-Konfiguration wie in der folgenden Tabelle beschrieben.
    Option Aktion
    Rollendienste Wählen Sie Zertifizierungsstelle aus, und klicken Sie auf Weiter (statt auf Konfigurieren).
    Installationstyp Wählen Sie Unternehmenszertifizierungsstelle aus.
    Zertifizierungsstellentyp Wählen Sie Stammzertifizierungsstelle oder Untergeordnete Zertifizierungsstelle aus. Einige Unternehmen bevorzugen eine PKI-Bereitstellung auf zwei Ebenen. Weitere Informationen finden Sie unter http://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspx.
    Privater Schlüssel Wählen Sie Neuen privaten Schlüssel erstellen aus.
    Kryptografie für Zertifizierungsstelle Für den Hashalgorithmus können Sie SHA1, SHA256, SHA384 oder SHA512 auswählen. Für die Schlüssellänge wählen Sie 1024, 2048, 3072 oder 4096 aus.

    VMware empfiehlt als Mindestwerte für den Schlüssel SHA256 und 2048.

    Zertifizierungsstellenname Übernehmen Sie den Standardnamen oder ändern Sie den Namen.
    Gültigkeitsdauer Übernehmen Sie den Standardwert von fünf Jahren.
    Zertifikatdatenbank Übernehmen Sie die Standardwerte.
  10. Klicken Sie auf der Seite „Bestätigung“ auf Konfigurieren. Wenn der Assistent eine erfolgreiche Konfiguration meldet, schließen Sie den Assistenten.
  11. Öffnen Sie eine Eingabeaufforderung und geben Sie den folgenden Befehl zur Konfiguration der Zertifizierungsstelle für eine nicht persistente Zertifikatverarbeitung ein.
    certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS
  12. Geben Sie den folgenden Befehl zum Ignorieren von Offline-Fehlern der Zertifikatswiderrufsliste der Zertifizierungsstelle ein. 
    certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
    Dieses Attribut ist erforderlich, da das von True SSO verwendete Stammzertifikat in der Regel offline ist und die Zertifikatsperrüberprüfung deshalb zwangsläufig scheitert.
  13. Geben Sie die folgenden Befehle zum Neustart des Dienstes ein: 
    sc stop certsvc
sc start certsvc

Nächste Maßnahme

Erstellen Sie eine Zertifikatvorlage. Siehe Erstellen von Zertifikatvorlagen für die Verwendung mit True SSO.