Bei der Installation generiert Horizon Connection Server ein selbstsigniertes Registrierungsdienst-Clientzertifikat. Sie können dieses selbstsignierte Zertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat ersetzen.

Das Registrierungsdienst-Clientzertifikat wird zur Sicherung der Kommunikation zwischen dem Verbindungsserver und dem Registrierungsserver verwendet. Wenn Sie dieses Zertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat ersetzen, sollte das neue Zertifikat auf den Registrierungsserver importiert und das Root-CA-Zertifikat zum Speicher der vertrauenswürdigen Stammzertifizierungsstellen auf dem Registrierungsserver hinzugefügt werden. Weitere Informationen finden Sie im Abschnitt „Einrichten von True SSO“ im Dokument Horizon-Verwaltung.

Prozedur

  1. Generieren Sie ein von einer Zertifizierungsstelle signiertes Zertifikat, das die unten aufgeführten Anforderungen erfüllt.
    Hinweis: Das Stammzertifikat, das zum Generieren des Clientzertifikats verwendet wird, sollte dem Speicher vertrauenswürdiger Stammzertifizierungsstellen auf allen Verbindungsservern im POD hinzugefügt werden.
    • Name des Subjekts: Cluster-GUID
      Hinweis: Sie finden die Cluster-GUID mithilfe des Befehls vdmadmin -C oder durch Navigieren zu Connection Server Cluster GUID unter HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Node Manager.
    • SAN: Cluster-GUID des Horizon-Pods als DNSName
    • EKU: Serverauthentifizierung, Client-Authentifizierung
    • Anzeigenamen festlegen: vdm.ec.new
    • Der private Schlüssel muss als exportierbar markiert sein.
    • Zertifikat muss zu Zertifikate (Lokaler Computer) > VMware Horizon View-Zertifikate > Zertifikate hinzugefügt werden.
    • Zu verwendender Signaturalgorithmus: SHA384/SHA512
  2. Importieren Sie die Zertifikatskette in die entsprechenden Ordner.
  3. Löschen Sie das vorhandene Clusterzertifikat mit dem Anzeigenamen vdm.ec.
  4. Starten Sie den Verbindungsserver-Dienst neu.

Ergebnisse

Wenn der Verbindungsserver das neue Zertifikat akzeptiert hat, ändert sich der Anzeigename des Zertifikats von vdm.ec.new in vdm.ec. Wenn das Zertifikat aus irgendeinem Grund nicht akzeptiert wird, wird das alte Zertifikat von LDAP in den Windows-Zertifikatspeicher verschoben. Die anderen Server im Cluster übernehmen dieses Zertifikat aus LDAP.