Si desea configurar certificados de servidor TLS para servidores de Horizon 7, debe realizar varias tareas generales.
En un pod de instancias replicadas del servidor de conexión, debe realizar estas tareas en todas las instancias del pod.
En los temas siguientes se describen los procedimientos para realizar estas tareas.
- Determine si debe obtener un nuevo certificado TLS firmado de una CA.
Si su organización ya tiene un certificado de servidor TLS válido, puede utilizarlo para sustituir el certificado predeterminado que se proporciona con el servidor de conexión, el servidor de seguridad o View Composer. Si desea utilizar un certificado existente, también necesita su clave privada.
Punto de partida Acción Su organización le proporcionó un certificado de servidor TLS válido. Vaya directamente al paso 2. No tiene un certificado de servidor TLS. Obtenga un certificado de servidor TLS firmado de una CA. - Importe el certificado TLS al almacén de certificados del equipo local Windows en el host del servidor de Horizon 7.
- Si se trata de instancias del servidor de conexión y servidores de seguridad, cambie el Nombre descriptivo del certificado a vdm.
Asigne el Nombre descriptivo vdm solo a un certificado de cada host del servidor de Horizon 7.
- Si el host de Windows Server no confía en el certificado raíz de un equipo del servidor de conexión, impórtelo al almacén de certificados del equipo local Windows.
Además, si las instancias del servidor de conexión no confían en los certificados raíz de los certificados del servidor TLS configurados para los hosts del servidor de seguridad, de vCenter Server y de View Composer, también debe importar dichos certificados raíz. Siga estos pasos solo para las instancias del servidor de conexión. No es necesario que importe el certificado raíz a los hosts del servidor de seguridad, de vCenter Server o de View Composer.
- Si el certificado del servidor lo firmó una CA intermedia, importe los certificados intermedios al almacén de certificados del equipo local Windows.
Para simplificar la configuración cliente, importe la cadena de certificados completa al almacén de certificados del equipo local Windows. Si en el servidor de Horizon 7 no hay certificados intermedios, deben estar configurados para clientes y equipos que inicien Horizon Administrator.
- Para las instancias de View Composer, siga uno de estos pasos:
- Si importa el certificado al almacén de certificados del equipo local Windows antes de instalar View Composer, puede seleccionar su certificado durante la instalación de View Composer.
- Si piensa reemplazar un certificado existente o el certificado autofirmado predeterminado por uno nuevo después de instalar View Composer, ejecute la utilidad SviConfig ReplaceCertificate para enlazar el nuevo certificado al puerto que View Composer utiliza.
- Si su CA no es muy conocida, configure los clientes para que confíen en los certificados raíz e intermedios.
Asegúrese también de que los equipos en los que inicia Horizon Administrator confíen en los certificados raíz e intermedios.
- Determine si desea volver a configurar la comprobación de revocación de certificados.
El servidor de conexión lleva a cabo la comprobación de revocación de certificados en los servidores de Horizon 7, View Composer y vCenter Server. La mayoría de los certificados firmados por una CA incluyen información de revocación de certificados. Si su CA no incluye esta información, puede configurar el servidor para que no compruebe la revocación de certificados.
Si el autenticador SAML está configurado para que se utilice con una instancia del servidor de conexión, dicho servidor también realiza la comprobación de la revocación del certificado en el certificado del servidor SAML.