Das Microsoft-Dienstprogramm Certreq verwendet eine Konfigurationsdatei zum Generieren einer Zertifikatsignieranforderung (Certificate Signing Request, CSR). Sie müssen eine Konfigurationsdatei erstellen, bevor Sie die Anforderung generieren können. Erstellen Sie die Datei und generieren Sie die CSR auf dem Windows Server-Computer, der den Horizon 7 Server hostet, der das Zertifikat verwenden soll.
Voraussetzungen
Holen Sie die Informationen ein, die Sie für die Konfigurationsdatei benötigen. Sie müssen den vollqualifizierten Domänennamen (FQDN) des Horizon 7 Server und die Organisationseinheit, die Organisation, den Ort, das Bundesland und das Land zur Vervollständigung des Antragstellernamens kennen.
Prozedur
- Öffnen Sie einen Texteditor und fügen Sie den folgenden Text, einschließlich der Anfangs- und Ende-Tags, in die Datei ein.
;----------------- request.inf -----------------
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=View Server-FQDN, OU=Organisationseinheit, O=Organisation, L=Stadt, S=Bundesland, C=Land"
; Replace View Server-FQDN with the FQDN of the Horizon 7 server.
; Replace the remaining Subject attributes.
KeySpec = 1
KeyLength = 2048
; KeyLength is usually chosen from 2048, 3072, or 4096. A KeyLength
; of 1024 is also supported, but it is not recommended.
HashAlgorithm = SHA256
; Algorithms earlier than SHA-2 are insufficiently secure and are not recommended.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication
;-----------------------------------------------
Wenn beim Kopieren und Einfügen des Textes ein zusätzliches CR/LF-Zeichen (manueller Zeilenumbruch) in der Zeile
Subject = hinzufügt wird, löschen Sie es.
- Aktualisieren Sie die Subject-Attribute durch die entsprechenden Werte für Ihren Horizon 7 Server und Ihre Bereitstellung.
Beispiel:
CN=dept.company.com
Verwenden Sie zur Einhaltung der VMware-Sicherheitsempfehlungen den vollqualifizierten Domänennamen (FQDN), mit dem Clientgeräte eine Verbindung mit dem Host herstellen. Verwenden Sie selbst für die Kommunikation innerhalb Ihrer internen Domäne keinen einfachen Servernamen bzw. keine einfache IP-Adresse.
Einige Zertifizierungsstellen lassen die Verwendung von Abkürzungen für das Statusattribut nicht zu.
- (Optional) Aktualisieren Sie das Attribut KeyLength.
Der Standardwert 2048 ist geeignet, wenn Sie nicht ausdrücklich eine andere
KeyLength-Größe benötigen. Viele Zertifizierungsstellen erfordern den Mindestwert 2048. Größere Schlüssel sind sicherer, jedoch haben sie eine größere Auswirkung auf die Leistung.
Ein KeyLength-Wert von 1024 wird auch unterstützt, obwohl das „National Institute of Standards and Technology“ (NIST) Schlüssel dieser Größe nicht empfiehlt. Computer werden immer leistungsstärker, sodass die Wahrscheinlichkeit steigt, dass auch stärkere Verschlüsselungen in Zukunft entschlüsselt werden können.
Wichtig: Generieren Sie keine
KeyLength-Werte unter 1024.
Horizon Client für Windows validiert keine Zertifikate auf einem
Horizon 7 Server, die mit einem
KeyLength-Wert unter 1024 generiert wurden. Die Verbindung der
Horizon Client-Geräte mit
Horizon 7 wird dann fehlschlagen. Auch vom Verbindungsserver durchgeführte Zertifikatüberprüfungen schlagen fehl, sodass die betreffenden
Horizon 7-Server im Horizon Administrator-Dashboard in rot angezeigt werden.
- Speichern Sie die Datei als request.inf.
Nächste Maßnahme
Generieren Sie eine Zertifikatsignieranforderung aus der Konfigurationsdatei.