Para proporcionar a los usuarios finales acceso de inicio de sesión único (SSO) a sus escritorios y aplicaciones con VMware Certificate Authority (CA), utilice la instancia de VMware CA a fin de emitir certificados de tarjeta inteligente de corta duración para SSO. Por motivos de transparencia y seguridad, el proceso incluye un script de PowerShell que usa utilidades establecidas de Microsoft.

La siguiente lista proporciona información sobre la configuración de VMware CA. Cuando configure SSO, como se describe en los temas que aparecen a continuación, encontrará muchos de estos mismos detalles en contexto. Por ejemplo, Agregar una configuración de SSO a Horizon Cloud Service - next-gen para una VMware CA proporciona instrucciones para descargar el paquete de VMware CA. Este paquete contiene el script de VMware PowerShell que se ejecutará para configurar SSO tal como se indica en Publicar el paquete de SSO de VMware CA en el bosque de Active Directory.

  • Para habilitar la funcionalidad requerida por SSO con VMware CA, se debe aplicar cualquiera de las siguientes situaciones a su bosque Active Directory:
    • El bosque de Active Directory tiene configurada al menos una CA empresarial de Microsoft en línea, en cuyo caso se producen los siguientes resultados.
      • La CA empresarial de Microsoft publica automáticamente sus certificados de CA y sus listas de revocación de certificados (CRL) en el bosque.
      • Los controladores de dominio se inscriben automáticamente para certificados.
    • El bosque de Active Directory utiliza una CA de terceros o una CA de Microsoft independiente, en cuyo caso se debe aplicar lo siguiente.
      • Todos los certificados de CA deben publicarse manualmente en el bosque mediante una utilidad como certutil.
      • La información de revocación siempre debe estar disponible a través de HTTP.
      • Los controladores de dominio deben emitirse con certificados que permitan la autenticación de cliente, la autenticación del servidor, el inicio de sesión con tarjeta inteligente y la autenticación KDC.
  • Puede configurar VMware CA como una CA raíz o una CA intermedia. Sin embargo, la práctica recomendada para la infraestructura de clave pública (PKI) es seleccionar una entidad de certificación intermedia.
  • Si utiliza una CA raíz, el certificado de VMware CA es válido durante 5 años.
  • Si utiliza una CA intermedia, la CA emisora determina el período de validez del certificado de VMware CA.
  • Si utiliza una CA intermedia. El certificado de VMware CA puede estar firmado por una CA de Microsoft o cualquier entidad de certificación externa.
  • Si utiliza una CA de terceros, asegúrese de que las máquinas miembro del dominio tengan acceso a todos los certificados y la información de revocación necesaria para validar el certificado de VMware CA.
  • Para que VMware CA sea de confianza, debe publicar el paquete de VMware CA en varias ubicaciones del bosque de Active Directory.
  • Si desea publicar el paquete de VMware CA, ejecute el script de VMware PowerShell como administrador con los permisos adecuados en una máquina miembro del dominio.
  • Solo tiene que ejecutar el script de VMware PowerShell una vez. Active Directory replica los datos de PKI publicados en todos los escritorios y controladores de dominio de todos los dominios del bosque de Active Directory. Puede usar una utilidad como Repadmin en implementaciones de Active Directory complejas para garantizar la replicación oportuna del contexto de nomenclatura de configuración entre controladores de dominio en diferentes dominios o sitios antes de intentar un SSO.
  • El script de PowerShell utiliza las utilidades de Microsoft certreq y certutil para una transparencia completa. Antes de ejecutar el script de PowerShell, puede leer el script para ver exactamente lo que hace.