Um TLS-Serverzertifikate für Horizon 7-Server einzurichten, müssen Sie mehrere allgemeine Aufgaben durchführen.
In einem Pod mit replizierten Verbindungsserver-Instanzen müssen Sie diese Aufgaben auf allen Instanzen im Pod ausführen.
Die Verfahren für die Durchführung dieser Aufgaben werden in den Themen nach dieser Übersicht beschrieben.
- Ermitteln Sie, ob Sie ein neues signiertes TLS-Zertifikat von einer Zertifizierungsstelle beziehen müssen.
Wenn Ihre Organisation bereits über ein gültiges TLS-Serverzertifikat verfügt, können Sie damit das standardmäßige TLS-Serverzertifikat ersetzen, das mit dem Verbindungsserver oder Sicherheitsserver oder in View Composer bereitgestellt wird. Zur Verwendung eines vorhandenen Zertifikats benötigen Sie auch den zugehörigen privaten Schlüssel.
Ausgangssituation Aktion Ihre Organisation hat Ihnen ein gültiges TLS-Serverzertifikat zur Verfügung gestellt. Fahren Sie direkt mit Schritt 2 fort. Sie verfügen über kein TLS-Serverzertifikat. Beziehen Sie ein signiertes TLS-Serverzertifikat von einer Zertifizierungsstelle. - Importieren Sie das TLS-Zertifikat in den Zertifikatspeicher des lokalen Windows-Computers auf dem Horizon 7 Server-Host.
- Verbindungsserver-Instanzen und Sicherheitsserver: Ändern Sie den Anzeigenamen des Zertifikats in vdm.
Geben Sie pro Horizon 7-Serverhost nur einem Zertifikat den Anzeigenamen vdm.
- Computer mit Verbindungsservern: Wenn der Windows Server-Host das Stammzertifikat nicht als vertrauenswürdig einstuft, importieren Sie das Stammzertifikat in den Zertifikatspeicher des lokalen Windows-Computers.
Wenn die Verbindungsserver-Instanzen den Stammzertifikaten der TLS-Serverzertifikate nicht vertrauen, die für die Sicherheitsserver-, View Composer- und vCenter Server-Hosts konfiguriert sind, müssen Sie auch diese Stammzertifikate importieren. Führen Sie diese Schritte nur für Verbindungsserver-Instanzen aus. Sie müssen das Stammzertifikat nicht auf Hosts mit View Composer, vCenter Server oder Sicherheitsservern importieren.
- Wenn Ihr Serverzertifikat von einer Zwischenzertifizierungsstelle signiert wurde, importieren Sie die Zwischenzertifikate in den Zertifikatspeicher des lokalen Windows-Computers.
Um die Clientkonfiguration zu vereinfachen, importieren Sie die gesamte Zertifikatkette in den Zertifikatspeicher des lokalen Windows-Computers. Wenn auf dem Horizon 7-Server Zwischenzertifikate fehlen, müssen sie für Clients und Computer konfiguriert werden, auf denen Horizon Administrator gestartet wird.
- View Composer-Instanzen: Führen Sie einen der folgenden Schritte aus:
- Wenn Sie Ihr Zertifikat in den Zertifikatspeicher des lokalen Windows-Computers importieren, bevor Sie View Composer installieren, können Sie es während der View Composer-Installation auswählen.
- Wenn Sie ein vorhandenes Zertifikat oder das selbst signierte Standardzertifikat nach der Installation von View Composer durch ein neues Zertifikat ersetzen möchten, führen Sie das Dienstprogramm SviConfig ReplaceCertificate aus, um das neue Zertifikat an den von View Composer verwendeten Port zu binden.
- Wenn Ihre Zertifizierungsstelle nicht bekannt ist, konfigurieren Sie Clients so, dass sie dem Stammzertifikat und den Zwischenzertifikaten vertrauen.
Stellen Sie außerdem sicher, dass die Computer, auf denen Sie Horizon Administrator starten, dem Stammzertifikat und den Zwischenzertifikaten vertrauen.
- Ermitteln Sie, ob Sie die Zertifikatsperrüberprüfung neu konfigurieren müssen.
Der Verbindungsserver führt die Zertifikatsperrüberprüfung für Horizon 7-Server, View Composer und vCenter Server durch. Die meisten von einer Zertifizierungsstelle signierten Zertifikate enthalten Informationen zur Zertifikatsperrung. Wenn Ihre Zertifizierungsstelle diese Informationen nicht einschließt, können Sie den Server so konfigurieren, dass er Zertifikate nicht auf Sperrung überprüft.
Wenn ein SAML-Authentifikator zur Verwendung mit einer Verbindungsserver-Instanz konfiguriert ist, führt der Verbindungsserver auch die Zertifikatsperrüberprüfung für das SAML-Serverzertifikat durch.
