Para configurar SSO para Horizon Cloud, debe realizar las tareas adecuadas que se indican a continuación, según los detalles de la configuración de la entidad de certificación (CA) de VMware.

Resumen de los procedimientos que se indican a continuación

Cuando se crea un paquete de SSO, se utiliza el script de PowerShell para publicar el paquete en el bosque para el que se creó el paquete. Esta acción garantiza que SSO funcione para el bosque del paquete.

Para que SSO funcione con bosques de confianza adicionales, los certificados raíz e intermedios de la ruta de certificación de VMware CA deben publicarse en el bosque de confianza de la siguiente manera.

  • Los certificados de CA raíz deben publicarse en el bosque de confianza.
  • Los certificados de CA intermedios deben publicarse en el bosque de confianza.
  • Los certificados de CA raíz deben publicarse en el almacén NTAuth.
  • La información de revocación siempre debe estar disponible a través de HTTP para toda la cadena de certificados.

Agregar el certificado raíz a las entidades de certificación raíz de confianza

El certificado raíz que finaliza la ruta de certificación de VMware CA debe agregarse a la directiva de grupo Entidades de certificación raíz de confianza en Active Directory.

Procedimiento

  1. En todos los bosques de Active Directory que forman parte de la configuración de confianza, agregue el certificado raíz a las entidades de certificación raíz de confianza.
    1. Seleccione Inicio > Herramientas administrativas > Administración de directivas de grupo.
    2. Expanda el dominio, haga clic con el botón secundario en Directiva predeterminada de dominio y, a continuación, en Editar.
  2. Expanda la sección Configuración del equipo y abra Configuración de Windows\Configuración de seguridad\Clave pública.
  3. Haga clic con el botón secundario en Entidades de certificación raíz de confianza y seleccione Importar.
  4. Siga las instrucciones del asistente para importar el certificado intermedio (por ejemplo, rootCA.cer) y haga clic en Aceptar.
  5. Cierre la ventana Directiva de grupo.

Resultados

Todos los sistemas del dominio ahora tienen una copia del certificado raíz en su almacén raíz de confianza.

Qué hacer a continuación

Si una entidad de certificación intermedia (CA) expide certificados del controlador de dominio o de inicio de sesión de tarjetas inteligentes, agregue el certificado intermedio a la directiva de grupo Entidades de certificación en Active Directory. Consulte Agregar un certificado intermedio a las entidades de certificación intermedias.

Agregar un certificado intermedio a las entidades de certificación intermedias

Todos los certificados provisionales de la ruta de certificación de VMware CA deben agregarse a la directiva de grupo Entidades de certificación intermedias en Active Directory.

Procedimiento

  1. En todos los bosques de Active Directory que forman parte de la configuración de confianza, agregue todos los certificados intermedios que forman parte de la cadena de certificados de VMware CA a las entidades de certificación intermedias. En el servidor de Active Directory, desplácese hasta el complemento de administración de directivas de grupo y realice los siguientes pasos:
    1. Seleccione Inicio > Herramientas administrativas > Administración de directivas de grupo.
    2. Expanda el dominio, haga clic con el botón secundario en Directiva predeterminada de dominio y, a continuación, en Editar.
  2. Expanda la sección Configuración del equipo y abra la directiva de Configuración de Windows\Configuración de seguridad\Clave pública.
  3. Haga clic con el botón secundario en Entidades de certificación intermedias y seleccione Importar.
  4. Siga las instrucciones del asistente para importar el certificado intermedio (por ejemplo, intermediateCA.cer) y haga clic en Aceptar.
  5. Cierre la ventana Directiva de grupo.

Resultados

Todos los sistemas que se encuentren en el dominio contarán con una copia del certificado intermedio en el almacén de entidades de certificación intermedias.

Agregar el certificado raíz al almacén Enterprise NTAuth

El certificado raíz que termina la ruta de certificación de VMware CA debe agregarse al almacén Enterprise NTAuth en Active Directory.

Procedimiento

  • En el servidor de Active Directory, use el comando certutil para publicar el certificado en el almacén Enterprise NTAuth.
    Por ejemplo: certutil -dspublish -f path_to_root_CA_cert NTAuthCA

Resultados

Ahora, la CA es de confianza para expedir certificados de este tipo.