Configurar endpoints cliente para confiar en el certificado raíz y los intermedios

Si un certificado de un servidor de VMware Horizon 8 está firmado por una CA en la que no confían los equipos cliente ni los equipos cliente que acceden a Horizon Console, puede configurar todos los sistemas cliente Windows en un dominio para confiar en el certificado raíz y en los intermedios. Para ello, debe agregar la clave pública del certificado raíz en la directiva de grupo Entidades de certificación raíz de confianza en Active Directory y agregar el certificado raíz en el almacén Enterprise NTAuth.

Por ejemplo, es posible que deba realizar estos pasos si su organización usa un servicio de certificados interno.

No tiene que seguir estos pasos si el controlador de dominio de Windows actúa como la CA raíz o si una CA conocida firmó los certificados. Para las CA conocidas, los proveedores de los sistemas operativos preinstalan el certificado raíz en los sistemas cliente.

Si los certificados del servidor están firmados por una CA que no es muy conocida, debe agregar el certificado intermedio a la directiva de grupo Entidades de certificación intermedias en Active Directory.

Para los dispositivos cliente que usen otros sistemas operativos que no sean Windows, consulte las siguientes instrucciones para distribuir el certificado raíz y los intermedios que los usuarios pueden instalar:

Para Horizon Client para Mac, consulte Configurar Horizon Client para Mac para confiar en el certificado raíz y los intermedios.
Para Horizon Client para iOS, consulte Configurar Horizon Client para iOS para confiar en el certificado raíz y los intermedios.
Para Horizon Client para Android, consulte la documentación en el sitio web de Google, como la Guía de usuario de Android
Para Horizon Client para Linux, consulte la documentación de Ubuntu.

Requisitos previos

Compruebe que el certificado del servidor se generó con un valor de KeyLength que sea 1024 o superior. Los endpoints cliente no validarán certificados de un servidor generado con un valor KeyLength inferior a 1024 y los clientes no podrán conectarse al servidor.

Procedimiento

En el servidor de Active Directory, use el comando certutil para publicar el certificado en el almacén Enterprise NTAuth.
Por ejemplo: certutil -dspublish -f path_to_root_CA_cert NTAuthCA
En el servidor de Active Directory, desplácese hasta el complemento de administración de directivas de grupo y realice los siguientes pasos:
1. Seleccione Inicio > Herramientas administrativas > Administración de directivas de grupo.
2. Expanda el dominio, haga clic con el botón secundario en Directiva predeterminada de dominio y, a continuación, en Editar.
Expanda la sección Configuración del equipo y diríjase a Configuración de Windows > Configuración de seguridad > Directivas de clave pública.

Importe el certificado.

Opción	Descripción
Certificado raíz	Haga clic con el botón secundario en Entidades de certificación raíz de confianza y seleccione Importar. Siga las instrucciones del asistente para importar el certificado intermedio (por ejemplo, rootCA.cer) y haga clic en Aceptar.
Certificado intermedio	Haga clic con el botón secundario en Entidades de certificación intermedias y seleccione Importar. Siga las instrucciones del asistente para importar el certificado intermedio (por ejemplo, intermediateCA.cer) y haga clic en Aceptar.

Cierre la ventana Directiva de grupo.

Resultados

Todos los sistemas del dominio ya tienen la información del certificado en los almacenes del certificado raíz y de los intermedios que permiten que confíen en los certificados raíz e intermedios.