Konfigurieren von Client-Endpunkten, um Stamm- und Zwischenzertifikate als vertrauenswürdig einzustufen

Wenn ein Horizon 7-Serverzertifikat von einer Zertifizierungsstelle signiert ist, die von Clientcomputern und Clientcomputern, die auf Horizon Administrator zugreifen, nicht als vertrauenswürdig eingestuft wird, können Sie alle Windows-Clientsysteme in einer Domäne so konfigurieren, dass Stamm- und Zwischenzertifikate als vertrauenswürdig eingestuft werden. Dazu müssen Sie den öffentlichen Schlüssel für das Stammzertifikat zur Gruppenrichtlinie „Vertrauenswürdige Stammzertifizierungsstellen“ in Active Directory und das Stammzertifikat zum Enterprise NTAuth-Speicher hinzufügen.

Sie müssen diese Maßnahme z. B. möglicherweise ergreifen, wenn Ihre Organisation einen internen Zertifikatsdienst verwendet.

Diese Schritte müssen nicht ausgeführt werden, wenn der Windows-Domänencontroller als Stammzertifizierungsstelle fungiert oder wenn Ihre Zertifikate von einer bekannten Zertifizierungsstelle signiert wurden. Bei bekannten Zertifizierungsstellen installiert der Betriebssystem-Hersteller das Stammzertifikat bereits vorab auf den Clientsystemen.

Wenn Ihre Serverzertifikate von einer wenig bekannten Zwischenzertifizierungsstelle signiert wurden, müssen Sie das Zwischenzertifikat der Gruppenrichtlinie „Zwischenzertifizierungsstellen“ in Active Directory hinzufügen.

Für Clientgeräte, die andere Betriebssysteme als Windows verwenden, gelten die folgenden Anleitungen für das Verteilen von Stamm- und Zwischenzertifikaten, die von Benutzern installiert werden können:

Horizon Client für Mac: Konfigurieren von Horizon Client für Mac, um Stamm- und Zwischenzertifikate als vertrauenswürdig einzustufen.
Horizon Client für iOS: Konfigurieren von Horizon Client für iOS, um Stamm- und Zwischenzertifikate als vertrauenswürdig einzustufen.
Horizon Client für Android: Dokumentation auf der Google-Website, z. B. das Benutzerhandbuch für Android 3.0.
Horizon Client für Linux: Dokumentation zu Ubuntu.

Voraussetzungen

Stellen Sie sicher, dass das Serverzertifikat mit einem KeyLength-Wert von mindestens 1024 generiert wurde. Client-Endpunkte validieren auf Servern keine Zertifikate, die mit einem KeyLength-Wert unter 1024 generiert wurden, und die Clients können keine Verbindung mit dem Server herstellen.

Prozedur

Verwenden Sie auf dem Active Directory-Server den Befehl certutil, um das Zertifikat im Enterprise NTAuth-Speicher zu veröffentlichen.
Beispiel: certutil -dspublish -f Pfad_zum_Zertifikat_der_Stammzertifizierungsstelle NTAuthCA

Navigieren Sie auf dem Active Directory-Server zum Plug-In „Gruppenrichtlinienmanagement“.

AD-Version	Navigationspfad
Windows 2003	Wählen Sie Start > Alle Programme > Verwaltung > Active Directory-Benutzer und -Computer. Klicken Sie mit der rechten Maustaste auf Ihre Domäne und wählen Sie Eigenschaften aus. Klicken Sie auf der Registerkarte Gruppenrichtlinie auf Öffnen, um das Plug-In Gruppenrichtlinienverwaltung zu öffnen. Klicken Sie mit der rechten Maustaste auf Standard-Domänenrichtlinie und klicken Sie anschließend auf Bearbeiten.
Windows 2008	Wählen Sie Start > Administrative Tools > Gruppenrichtlinienverwaltung. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf Standard-Domänenrichtlinie und klicken Sie anschließend auf Bearbeiten.
Windows 2012 R2	Wählen Sie Start > Administrative Tools > Gruppenrichtlinienverwaltung. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf Standard-Domänenrichtlinie und klicken Sie anschließend auf Bearbeiten.
Windows 2016	Wählen Sie Start > Administrative Tools > Gruppenrichtlinienverwaltung. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf Standard-Domänenrichtlinie und klicken Sie anschließend auf Bearbeiten.

Erweitern Sie den Abschnitt Computerkonfiguration und wechseln Sie zu Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien öffentlicher Schlüssel.

Importieren Sie das Zertifikat.

Option	Beschreibung
Stammzertifikat	Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen und wählen Sie Importieren. Folgen Sie den Anweisungen des Assistenten, um das Stammzertifikat (z.B. rootCA.cer) zu importieren. Klicken Sie anschließend auf OK.
Zwischenzertifikat	Klicken Sie mit der rechten Maustaste auf Zwischenzertifizierungsstellen und wählen Sie Importieren. Folgen Sie den Anweisungen des Assistenten, um das Zwischenzertifikat (z.B. intermediateCA.cer) zu importieren. Klicken Sie anschließend auf OK.

Schließen Sie denGruppenrichtlinienverwaltungs-Editor.

Ergebnisse

Sämtliche Systeme in der Domäne verfügen nun über Zertifikatinformationen in ihren Speichern für vertrauenswürdige Stammzertifikate und Zwischenzertifikate, durch die sie diese Zertifikate als vertrauenswürdig einstufen können.