Um Ihren Endbenutzern einen Single Sign-On(SSO)-Zugriff auf ihre Desktops und Anwendungen mit einer VMware-Zertifizierungsstelle (CA) zu ermöglichen, müssen Sie eine VMware-Zertifizierungsstelle (CA) verwenden, um kurzfristige Smartcard-Zertifikate für SSO auszustellen. Aus Gründen der Transparenz und Sicherheit umfasst der Prozess ein PowerShell-Skript, das bewährte Microsoft-Dienstprogramme verwendet.
Die folgende Liste enthält Informationen zur Konfiguration der VMware CA. Wenn Sie SSO konfigurieren, wie in den folgenden Themen beschrieben, werden Sie viele dieser Details im Kontext wiederfinden. Beispielsweise bietet Hinzufügen einer SSO-Konfiguration zum Horizon Cloud Service – next-gen für eine VMware CA Anweisungen zum Herunterladen des VMware CA-Pakets. Dieses Paket enthält das VMware PowerShell-Skript, das Sie zum Konfigurieren von SSO ausführen, wie in Veröffentlichen des VMware SSO-CA-Pakets in der Active Directory-Gesamtstruktur beschrieben.
- Um die für SSO erforderliche Funktionalität mit einer VMware CA zu aktivieren, muss eine der folgenden Situationen auf Ihre Active Directory-Gesamtstruktur zutreffen:
- In der Active Directory-Gesamtstruktur ist mindestens eine Online-Microsoft Enterprise-Zertifizierungsstelle konfiguriert; in diesem Fall treten die folgenden Ergebnisse auf.
- Die Microsoft Enterprise-Zertifizierungsstelle veröffentlicht automatisch ihre CA-Zertifikate und Zertifikatssperrlisten (CRLs) in der Gesamtstruktur.
- Die Domänencontroller werden automatisch für Zertifikate registriert.
- Die Active Directory-Gesamtstruktur verwendet eine Drittanbieter-Zertifizierungsstelle oder eine eigenständige Microsoft-Zertifizierungsstelle. In diesem Fall muss Folgendes zutreffen.
- Alle CA-Zertifikate müssen mithilfe eines Dienstprogramms wie certutil manuell in der Gesamtstruktur veröffentlicht werden.
- Sperrinformationen müssen immer über HTTP verfügbar sein.
- Domänencontroller müssen mit Zertifikaten ausgestellt werden, die die Clientauthentifizierung, die Serverauthentifizierung, die Smartcard-Anmeldung und die KDC-Authentifizierung ermöglichen.
- In der Active Directory-Gesamtstruktur ist mindestens eine Online-Microsoft Enterprise-Zertifizierungsstelle konfiguriert; in diesem Fall treten die folgenden Ergebnisse auf.
- Sie können die VMware CA als Stammzertifizierungsstelle oder als Zwischenzertifizierungsstelle konfigurieren. Als Best Practice für die Public Key Infrastructure (PKI) empfiehlt sich jedoch die Auswahl einer Zwischenzertifizierungsstelle.
- Wenn Sie eine Stammzertifizierungsstelle verwenden, ist das VMware CA-Zertifikat 5 Jahre lang gültig.
- Wenn Sie eine Zwischenzertifizierungsstelle verwenden, bestimmt die ausstellende Zertifizierungsstelle die Gültigkeitsdauer des VMware CA-Zertifikats.
- Wenn Sie eine Zwischenzertifizierungsstelle verwenden, kann das VMware CA-Zertifikat von einer Microsoft-Zertifizierungsstelle oder einer Drittanbieter-Zertifizierungsstelle signiert werden.
- Wenn Sie eine Drittanbieter-Zertifizierungsstelle verwenden, stellen Sie sicher, dass die Domänenmitglieder Zugriff auf alle Zertifikate und Sperrinformationen haben, die zur Validierung des VMware-CA-Zertifikats erforderlich sind.
- Damit die VMware CA vertrauenswürdig ist, müssen Sie das VMware CA-Paket an verschiedenen Speicherorten in der Active Directory-Gesamtstruktur veröffentlichen.
- Veröffentlichen Sie das VMware CA-Paket, indem Sie das VMware PowerShell-Skript als Administrator mit entsprechenden Berechtigungen auf einem Domänenmitgliedscomputer ausführen.
- Sie müssen das VMware PowerShell-Skript nur einmal ausführen. Active Directory repliziert die veröffentlichten PKI-Daten auf alle Domänencontroller und Desktops in allen Domänen in der Active Directory-Gesamtstruktur. Sie können ein Dienstprogramm wie Repadmin in komplexen Active Directory-Bereitstellungen verwenden, um die rechtzeitige Replizierung des Konfigurationsbenennungskontexts zwischen Domänencontrollern in verschiedenen Domänen oder Sites sicherzustellen, bevor SSO versucht wird.
- Das PowerShell-Skript verwendet die Microsoft-Dienstprogramme certreq und certutil für vollständige Transparenz. Bevor Sie das PowerShell-Skript ausführen, können Sie das Skript lesen, um genau zu sehen, was es tut.