Wenn Sie SSO für Ihre Horizon Cloud konfigurieren, müssen Sie je nach der Konfiguration Ihrer VMware-Zertifizierungsstelle (CA) die folgenden Aufgaben durchführen.
Zusammenfassung der nachfolgenden Prozeduren
Wenn Sie ein SSO-Paket erstellen, verwenden Sie das PowerShell-Skript zur Veröffentlichung des Pakets in der Gesamtstruktur, für die das Paket erstellt wurde. Mit dieser Aktion wird sichergestellt, dass SSO für die Gesamtstruktur des Pakets funktionsfähig ist.
Damit SSO mit zusätzlichen vertrauenswürdigen Gesamtstrukturen funktioniert, müssen die Stamm- und Zwischenzertifikate aus dem Zertifizierungspfad der VMware CA wie folgt in der vertrauenswürdigen Gesamtstruktur veröffentlicht werden.
- Die Stamm-CA-Zertifikate müssen in der vertrauenswürdigen Gesamtstruktur veröffentlicht werden.
- Die Zwischen-CA-Zertifikate müssen in der vertrauenswürdigen Gesamtstruktur veröffentlicht werden.
- Die Stamm-CA-Zertifikate müssen im NTAuth-Speicher veröffentlicht werden.
- Sperrinformationen müssen immer über HTTP für die gesamte Zertifikatskette verfügbar sein.
Hinzufügen des Stammzertifikats zu den vertrauenswürdigen Stammzertifizierungsstellen
Das Stammzertifikat, das den VMware CA-Zertifizierungspfad abschließt, muss der Gruppenrichtlinie „Vertrauenswürdige Stammzertifizierungsstellen“ in Active Directory hinzugefügt werden.
Prozedur
- Fügen Sie in allen Active Directory-Gesamtstrukturen, die Teil der Vertrauenskonfiguration sind, das Stammzertifikat zu den vertrauenswürdigen Stammzertifizierungsstellen hinzu.
- Wählen Sie .
- Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf Standard-Domänenrichtlinie und klicken Sie anschließend auf Bearbeiten.
- Erweitern Sie den Abschnitt Computerkonfiguration und öffnen Sie Windows-Einstellungen\Sicherheitseinstellungen\Öffentlicher Schlüssel.
- Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen und wählen Sie Importieren.
- Folgen Sie den Anweisungen des Assistenten, um das Stammzertifikat (z. B. rootCA.cer) zu importieren. Klicken Sie anschließend auf OK.
- Schließen Sie das Fenster „Gruppenrichtlinie“.
Ergebnisse
Alle Systeme in der Domäne verfügen nun über eine Kopie des Stammzertifikats in ihrem vertrauenswürdigen Stammspeicher.
Nächste Maßnahme
Wenn Sie eine Zwischenzertifizierungsstelle verwenden, um Zertifikate für die Smartcard-Anmeldung oder für Domänencontroller auszugeben, müssen Sie das Zwischenzertifikat zur Gruppenrichtlinie „Zwischenzertifizierungsstellen“ in Active Directory hinzufügen. Siehe Hinzufügen eines Zwischenzertifikats zu Zwischenzertifizierungsstellen.
Hinzufügen eines Zwischenzertifikats zu Zwischenzertifizierungsstellen
Alle Zwischenzertifikate aus dem VMware CA-Zertifizierungspfad müssen der Gruppenrichtlinie „Zwischenzertifizierungsstellen“ in Active Directory hinzugefügt werden.
Prozedur
- Fügen Sie in allen Active Directory-Gesamtstrukturen, die Teil der Vertrauenskonfiguration sind, alle Zwischenzertifikate, die Teil der VMware CA-Zertifikatskette sind, zu den Zwischenzertifizierungsstellen hinzu. Navigieren Sie auf dem Active Directory-Server zum Plug-in „Gruppenrichtlinienverwaltung“ und führen Sie die folgenden Schritte aus:
- Wählen Sie .
- Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf Standard-Domänenrichtlinie und klicken Sie anschließend auf Bearbeiten.
- Erweitern Sie den Abschnitt Computerkonfiguration und öffnen Sie die Richtlinie für Windows-Einstellungen\Sicherheitseinstellungen\Öffentlicher Schlüssel.
- Klicken Sie mit der rechten Maustaste auf Zwischenzertifizierungsstellen und wählen Sie Importieren.
- Folgen Sie den Anweisungen des Assistenten, um das Zwischenzertifikat (z. B. intermediateCA.cer) zu importieren. Klicken Sie anschließend auf OK.
- Schließen Sie das Fenster „Gruppenrichtlinie“.
Ergebnisse
Alle Systeme in der Domäne verfügen nun über eine Kopie des Zwischenzertifikats in ihrem Zwischenzertifizierungsstellen-Speicher.
Hinzufügen des Stammzertifikats zum Enterprise NTAuth-Speicher
Das Stammzertifikat, das den VMware CA-Zertifizierungspfad abschließt, muss dem Enterprise NTAuth-Speicher in Active Directory hinzugefügt werden.
Prozedur
- ♦ Verwenden Sie auf dem Active Directory-Server den Befehl certutil, um das Zertifikat im Enterprise NTAuth-Speicher zu veröffentlichen.
Beispiel: certutil -dspublish -f path_to_root_CA_cert NTAuthCA
Ergebnisse
Die Zertifizierungsstelle wird jetzt als vertrauenswürdig eingestuft und kann Zertifikate dieses Typs ausstellen.