Si aún no tiene una entidad de certificación configurada, debe agregar la función Servicios de certificados de Active Directory (AD CS) a un servidor Windows y configurar el servidor para que sea una CA empresarial.

Si ya tiene una CA empresarial establecida, compruebe que esté utilizando la configuración descrita en este procedimiento.

Debe tener al menos una CA empresarial y VMware recomienda que tenga dos para el equilibrio de carga y para los errores por conmutación. El servidor de inscripciones que cree para True SSO se comunica con la CA empresarial. Si configura el servidor de inscripciones para que utilice varias CA empresariales, el servidor de inscripciones se alternará entre las CA que estén disponibles. Si instala el servidor de inscripciones en el mismo equipo que aloja la CA empresarial, puede configurar el servidor de inscripciones para que prefiera usar la CA local. Se recomienda utilizar esta configuración para obtener un mejor rendimiento.

Parte de este procedimiento incluye habilitar el proceso del certificado no persistente. De forma predeterminada, el proceso del certificado incluye el almacenamiento de un registro de cada solicitud del certificado y expide un certificado en la base de datos de CA. Un volumen elevado y constante de solicitudes aumenta la tasa del crecimiento de la base de datos de CA y puede consumir todo el espacio de disco disponible si no se supervisan. Habilitar el proceso del certificado no persistente puede ayudar a reducir la velocidad de crecimiento de la base de datos y la frecuencia de las tareas de administración de la misma.

Requisitos previos

  • Cree una máquina virtual Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016 o Windows Server 2019.
  • Compruebe que la máquina virtual sea parte del dominio de Active Directory para la implementación de Horizon 7.
  • Compruebe que esté utilizando un entorno IPv4. En este momento, esta función no se admite en un entorno IPv6.
  • Compruebe que el sistema tenga una dirección IP estática.

Procedimiento

  1. Inicie sesión en el sistema operativo de la máquina virtual como administrador e inicie Server Manager.
  2. Seleccione la configuración para agregar funciones.
    Sistema operativo Selecciones
    • Windows Server 2012 R2
    • Windows Server 2016
    • Windows Server 2019
    1. Seleccione Agregar roles y características.
    2. En la página Seleccionar tipo de instalación, seleccione Instalación basada en características o en roles.
    3. En la página Seleccionar servidor de destino, seleccione un servidor.
    Windows Server 2008 R2
    1. Seleccione Funciones en el árbol de navegación.
    2. Haga clic en Agregar funciones para iniciar el asistente Agregar función.
  3. En la página Seleccionar funciones de servidor, seleccione Servicios de certificados de Active Directory.
  4. En el asistente Agregar roles y características, haga clic en Agregar funciones y deje la casilla Incluir herramientas de administración seleccionada.
  5. En la página Seleccionar características, acepte los valores predeterminados.
  6. En la página Seleccionar servicios de función, seleccione Entidad de certificación.
  7. Siga los pasos que se le indican y finalice la instalación.
  8. Cuando se complete la instalación, en la página Progreso de la instalación, haga clic en el vínculo Configurar Servicios de certificados de Active Directory en el servidor de destino para abrir el asistente Configuración de AD CS.
  9. En la página Credenciales, haga clic en Siguiente y complete las páginas del asistente Configuración AD CS como se describe en la siguiente tabla.
    Opción Acción
    Servicios de función Seleccione Entidad de certificación y haga clic en Siguiente (en lugar de Configurar).
    Tipo de instalación Seleccione CA empresarial.
    Tipo de CA Seleccione CA raíz o CA subordinada. Algunas empresas prefieren una implementación PKI de dos niveles. Si desea obtener más información, consulte el documento http://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspx.
    Clave privada Seleccione Crear una nueva clave privada.
    Criptografía de CA Para un algoritmo hash, puede seleccionar SHA1, SHA256, SHA384 o SHA512. Para la longitud de la clave, puede seleccionar 1024, 2048, 3072 o 4096.

    VMware recomienda un mínimo de SHA256 y una clave 2048.

    Nombre de CA Acepte el nombre predeterminado o cámbielo.
    Periodo de validez Acepte el valor predeterminado de 5 años.
    Base de datos del certificado Acepte los valores predeterminados.
  10. En la página Confirmación, haga clic en Configurar y cuando el asistente informe sobre una configuración correcta, ciérrelo.
  11. Abra una ventana de símbolo de sistema e introduzca el siguiente comando para configurar la CA del proceso del certificado no persistente:
    certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS
  12. Introduzca el siguiente comando para ignorar los errores de la CRL (lista de revocación de certificados) sin conexión de la CA: 
    certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
    Esta marca es obligatoria ya que el certificado raíz que True SSO utiliza suele estar sin conexión y, por lo tanto, se producirá un error en la comprobación de la revocación, comportamiento que es el esperado.
  13. Introduzca los siguientes comandos para reiniciar el servicio: 
    sc stop certsvc
sc start certsvc

Qué hacer a continuación

Cree una plantilla de certificado. Consulte Crear plantillas de certificado para usarlas con True SSO.