Für erhöhte Sicherheit können Sie ein benutzerdefiniertes, von einer Zertifizierungsstelle signiertes Zertifikat für die virtuelle Horizon Cloud Connector-Appliance konfigurieren.

Voraussetzungen

  • Stellen Sie sicher, dass die gesamte Zertifikatskette im PEM-Format verfügbar ist.
  • Stellen Sie sicher, dass die PEM-Datei mit dem privaten Schlüssel anstelle der Passphrase generiert wird.
  • Stellen Sie sicher, dass der FQDN und der alternative Antragstellername im ausgestellten Zertifikat enthalten sind.

Prozedur

  1. Öffnen Sie eine SSH-Sitzung mit der bereitgestellten virtuellen Horizon Cloud Connector-Appliance.
  2. Kopieren Sie das von einer Zertifizierungsstelle signierte Zertifikat in das Verzeichnis /root/server.crt.
  3. Kopieren Sie den von einer Zertifizierungsstelle signierten Schlüssel in das Verzeichnis /root/server.key.
  4. Sichern Sie das vorhandene Zertifikat.
    • (Horizon Cloud Connector-Version 1.4 oder höher) Verwenden Sie den folgenden Befehl:
      cp /opt/container-data/certs/hze-nginx/server.crt /opt/container-data/certs/hze-nginx/server.crt.orig
    • (Horizon Cloud Connector-Version 1.3 oder früher) Verwenden Sie den folgenden Befehl:
      cp /etc/nginx/ssl/server.crt /etc/nginx/ssl/server.crt.orig
  5. Sichern Sie den vorhandenen Schlüssel.
    • (Horizon Cloud Connector-Version 1.4 oder höher) Verwenden Sie den folgenden Befehl:
      cp /opt/container-data/certs/hze-nginx/server.key /opt/container-data/certs/hze-nginx/server.key.orig
    • (Horizon Cloud Connector-Version 1.3 oder früher) Verwenden Sie den folgenden Befehl:
      cp /etc/nginx/ssl/server.key /etc/nginx/ssl/server.key.orig
  6. Kopieren Sie die vorhandene nginx conf-Datei.
    • (Horizon Cloud Connector-Version 1.4 oder höher) Verwenden Sie den folgenden Befehl:
      cp /opt/container-data/conf/hze-nginx/nginx.conf /opt/container-data/conf/hze-nginx/nginx.conf.orig
    • (Horizon Cloud Connector-Version 1.3 oder früher) Verwenden Sie den folgenden Befehl:
      cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.orig
  7. Kopieren Sie das Zertifizierungsstellenzertifikat in das entsprechende Verzeichnis für die Version Ihrer virtuellen Appliance.
    • (Horizon Cloud Connector-Version 1.4 oder höher) Verwenden Sie den folgenden Befehl:
      cp /root/server.crt /opt/container-data/certs/hze-nginx/server.crt
    • (Horizon Cloud Connector-Version 1.3 oder früher) Verwenden Sie den folgenden Befehl:
      cp /root/server.crt /etc/nginx/ssl/server.crt
  8. Kopieren Sie die Schlüsseldatei des Zertifizierungsstellenzertifikats in das entsprechende Verzeichnis für die Version Ihrer virtuellen Appliance.
    • (Horizon Cloud Connector-Version 1.4 oder höher) Verwenden Sie den folgenden Befehl:
      cp /root/server.key /opt/container-data/certs/hze-nginx/server.key
    • (Horizon Cloud Connector-Version 1.3 oder früher) Verwenden Sie den folgenden Befehl:
      cp /root/server.key /etc/nginx/ssl/server.key
  9. Verifizieren Sie den Besitzer und die Berechtigungen für das Zertifikat und die Schlüsseldatei.
    • (Horizon Cloud Connector-Version 1.4 oder höher) Verwenden Sie die folgenden Befehle:
      chown -R hze-nginx:hze-nginx /opt/container-data/certs/hze-nginx 
      chmod 644 /opt/container-data/certs/hze-nginx/server.crt 
      chmod 600 /opt/container-data/certs/hze-nginx/server.key
    • (Horizon Cloud Connector-Version 1.3 oder früher) Verwenden Sie die folgenden Befehle:
      chown -R root:root /etc/nginx/ssl
      chmod -R 600 /etc/nginx/ssl
  10. Stellen Sie sicher, dass der ausgestellte FQDN im Zertifikat mit der Servernamendirektive im Server-Listen-Block 443 in der nginx-Konfigurationsdatei übereinstimmt.
    • (Horizon Cloud Connector-Version 1.4 oder höher) Die nginx-Konfigurationsdatei befindet sich unter /opt/container-data/conf/hze-nginx/nginx.conf.
    • (Horizon Cloud Connector-Version 1.3 oder früher) Die nginx-Konfigurationsdatei befindet sich unter /etc/nginx/nginx.conf.
  11. Verifizieren und starten Sie nginx neu.
    • (Horizon Cloud Connector-Version 2.0 oder höher) Verwenden Sie den folgenden Befehl:
      kubectl rollout restart daemonset hze-nginx -n hze-system
    • (Horizon Cloud Connector-Version 1.4 bis 1.10) Verwenden Sie die folgenden Befehle:
      docker exec -i hze-nginx sudo nginx -t 
      systemctl restart hze-nginx
    • (Horizon Cloud Connector-Version 1.3 oder früher) Verwenden Sie die folgenden Befehle:
      nginx -t
      systemctl restart nginx
  12. Aktualisieren Sie die SSL-Fingerabdrücke auf dem Begrüßungsbildschirm.
    • (Horizon Cloud Connector-Version 2.0 oder höher) Verwenden Sie die folgenden Befehle:
      /opt/vmware/bin/configure-welcome-screen.py
      /usr/bin/killall --quiet vami_login
    • (Horizon Cloud Connector-Version 1.4 bis 1.10) Verwenden Sie die folgenden Befehle:
      docker exec -i hze-core sudo /opt/vmware/bin/configure-welcome-screen.py 
      /usr/bin/killall --quiet vami_login
  13. Testen Sie das neue Zertifikat, indem Sie die URL der Horizon Cloud Connector-Benutzeroberfläche in einem Webbrowser neu laden.
  14. (Optional) Wenn das Zertifikat ordnungsgemäß funktioniert, entfernen Sie die gesicherten Dateien.
    • (Horizon Cloud Connector-Version 1.4 oder höher) Verwenden Sie die folgenden Befehle:
      rm /opt/container-data/certs/hze-nginx/server.crt.orig 
      rm /opt/container-data/certs/hze-nginx/server.key.orig 
      rm /opt/container-data/conf/hze-nginx/nginx.conf.orig
    • (Horizon Cloud Connector-Version 1.3 oder früher) Verwenden Sie die folgenden Befehle:
      rm /etc/nginx/ssl/server.crt.orig
      rm /etc/nginx/ssl/server.key.orig
      rm /etc/nginx/nginx.conf.orig
  15. Entfernen Sie die kopierten Zertifizierungsstellenzertifikate und Schlüsseldateien im Stammverzeichnis.
    Verwenden Sie die folgenden Befehle:
    rm /root/server.crt
     rm /root/server.key