Wenn Ihre Organisation Ihnen kein TLS-Serverzertifikat zur Verfügung stellt, müssen Sie ein neues Zertifikat anfordern, das von einer Zertifizierungsstelle signiert ist.

Sie haben mehrere Möglichkeiten, ein neues signiertes Zertifikat zu beziehen. Beispielsweise können Sie das Microsoft-Dienstprogramm certreq verwenden, um eine CSR-Anfrage (Certificate Signing Request) zu generieren und eine Zertifikatanfrage an eine Zertifizierungsstelle zu senden.

Im Dokument Szenarien zum Einrichten von TLS-Zertifikaten für Horizon 7 ist ein Beispiel enthalten, das zeigt, wie Sie diese Aufgabe mit Certreq ausführen können.

Zu Testzwecken stellen CA-Anbieter ein kostenloses temporäres Zertifikat zur Verfügung, das auf einem nicht vertrauenswürdigen Stamm basiert.

Wichtig: Beim Beziehen signierter TLS-Zertifikate von einer Zertifizierungsstelle müssen Sie bestimmte Regeln und Richtlinien einhalten.
  • Stellen Sie beim Generieren einer Zertifikatanfrage auf einem Computer sicher, dass auch ein privater Schlüssel generiert wird. Wenn Sie das TLS-Serverzertifikat beziehen und es in den Zertifikatspeicher des lokalen Windows-Computers importieren, muss ein zugehöriger privater Schlüssel vorhanden sein, der dem Zertifikat entspricht.
  • Verwenden Sie zur Einhaltung der VMware-Sicherheitsempfehlungen den vollqualifizierten Domänennamen (FQDN), mit dem Clientgeräte eine Verbindung mit dem Host herstellen. Verwenden Sie selbst für die Kommunikation innerhalb Ihrer internen Domäne keinen einfachen Servernamen bzw. keine einfache IP-Adresse.
  • Erstellen Sie Zertifikate für Server nicht mithilfe einer Zertifikatvorlage, die nur mit einer Unternehmenszertifizierungsstelle unter Windows Server 2008 oder höher kompatibel ist.
  • Generieren Sie Zertifikate für Server nicht mithilfe eines KeyLength-Wertes unter 1024. Client-Endpunkte validieren auf Servern keine Zertifikate, die mit einem KeyLength-Wert unter 1024 generiert wurden, und die Clients können keine Verbindung mit dem Server herstellen. Auch vom Verbindungsserver durchgeführte Zertifikatüberprüfungen schlagen fehl, sodass die betreffenden Server im Horizon Administrator-Dashboard in rot angezeigt werden.

Allgemeine Informationen zum Beziehen von Zertifikaten finden Sie in der Microsoft-Onlinehilfe für das MMC-Snap-In „Zertifikate“. Wenn das Snap-In „Zertifikate“ noch nicht auf Ihrem Computer installiert ist, lesen Sie Hinzufügen des Zertifikat-Snap-Ins zu MMC.