Das Microsoft-Dienstprogramm Certreq verwendet eine Konfigurationsdatei zum Generieren einer Zertifikatsignieranforderung (Certificate Signing Request, CSR). Sie müssen eine Konfigurationsdatei erstellen, bevor Sie die Anforderung generieren können. Erstellen Sie die Datei und generieren Sie die CSR auf dem Windows Server-Computer, der den Horizon Server hostet, der das Zertifikat verwenden soll.

Voraussetzungen

Holen Sie die Informationen ein, die Sie für die Konfigurationsdatei benötigen. Sie müssen den vollqualifizierten Domänennamen (FQDN) des Horizon Server und die Organisationseinheit, die Organisation, den Ort, das Bundesland und das Land zur Vervollständigung des Antragstellernamens kennen.

Prozedur

  1. Öffnen Sie einen Texteditor und fügen Sie den folgenden Text, einschließlich der Anfangs- und Ende-Tags, in die Datei ein. 
    ;----------------- request.inf ----------------- 

[Version] 

Signature="$Windows NT$" 

[NewRequest]

Subject = "CN=View Server-FQDN, OU=Organisationseinheit, O=Organisation, L=Stadt, S=Bundesland, C=Land" 
; Replace View Server-FQDN with the FQDN of the Horizon server.
; Replace the remaining Subject attributes.  
KeySpec = 1 
KeyLength = 2048 
; KeyLength is usually chosen from 2048, 3072, or 4096. A KeyLength
; of 1024 is also supported, but it is not recommended. 
HashAlgorithm = SHA256
; Algorithms earlier than SHA-2 are insufficiently secure and are not recommended.
Exportable = TRUE 
MachineKeySet = TRUE 
SMIME = False 
PrivateKeyArchive = FALSE 
UserProtected = FALSE 
UseExistingKeySet = FALSE 
ProviderName = "Microsoft RSA SChannel Cryptographic Provider" 
ProviderType = 12
RequestType = PKCS10 
KeyUsage = 0xa0 

[EnhancedKeyUsageExtension] 

OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication 

;-----------------------------------------------
    Wenn beim Kopieren und Einfügen des Textes ein zusätzliches CR/LF-Zeichen (manueller Zeilenumbruch) in der Zeile Subject = hinzufügt wird, löschen Sie es.
  2. Aktualisieren Sie die Subject-Attribute durch die entsprechenden Werte für Ihren Horizon Server und Ihre Bereitstellung.
    Beispiel: CN=dept.company.com
    Verwenden Sie zur Einhaltung der VMware-Sicherheitsempfehlungen den vollqualifizierten Domänennamen (FQDN), mit dem Clientgeräte eine Verbindung mit dem Host herstellen. Verwenden Sie selbst für die Kommunikation innerhalb Ihrer internen Domäne keinen einfachen Servernamen bzw. keine einfache IP-Adresse.

    Einige Zertifizierungsstellen lassen die Verwendung von Abkürzungen für das Statusattribut nicht zu.

  3. (Optional) Aktualisieren Sie das Attribut KeyLength.
    Der Standardwert 2048 ist geeignet, wenn Sie nicht ausdrücklich eine andere KeyLength-Größe benötigen. Viele Zertifizierungsstellen erfordern den Mindestwert 2048. Größere Schlüssel sind sicherer, jedoch haben sie eine größere Auswirkung auf die Leistung.

    Ein KeyLength-Wert von 1024 wird auch unterstützt, obwohl das „National Institute of Standards and Technology“ (NIST) Schlüssel dieser Größe nicht empfiehlt. Computer werden immer leistungsstärker, sodass die Wahrscheinlichkeit steigt, dass auch stärkere Verschlüsselungen in Zukunft entschlüsselt werden können.

    Wichtig: Generieren Sie keine KeyLength-Werte unter 1024. Horizon Client für Windows validiert keine Zertifikate auf einem Horizon Server, die mit einem KeyLength-Wert unter 1024 generiert wurden. Die Verbindung der Horizon Client-Geräte mit Horizon wird dann fehlschlagen. Auch vom Verbindungsserver durchgeführte Zertifikatsüberprüfungen schlagen fehl, sodass die betreffenden Horizon-Server im Horizon Console-Dashboard in Rot angezeigt werden.
  4. Speichern Sie die Datei als request.inf.

Nächste Maßnahme

Generieren Sie eine Zertifikatsignieranforderung aus der Konfigurationsdatei.