En la instalación, Horizon Connection Server genera un certificado de cliente de servicio de inscripción autofirmado. Puede reemplazar este certificado autofirmado por un certificado firmado por una CA.

El certificado de cliente del servicio de inscripción se utiliza para proteger la comunicación entre Connection Server y el servidor de inscripciones. Si va a reemplazar este certificado por un certificado firmado por una CA, el nuevo certificado deberá importarse al servidor de inscripciones, y el certificado de CA raíz deberá agregarse al almacén de entidades de certificación raíz de confianza en el servidor de inscripciones. Para obtener más información, consulte la sección "Configurar True SSO" en el documento Administración de Horizon 8.

Procedimiento

  1. Genere un certificado firmado por una CA que cumpla los siguientes requisitos.
    Nota: El certificado raíz utilizado para generar el certificado de cliente debe agregarse al almacén de entidades de certificación raíz de confianza en todas las instancias de Connection Server del POD.
    • Nombre del asunto: GUID del clúster
      Nota: Para encontrar el GUID del clúster, utilice el comando vdmadmin -C o vaya a Connection Server Cluster GUID en HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Node Manager.
    • SAN: GUID de clúster del pod de Horizon como DNSName
    • EKU: autenticación del servidor, autenticación del cliente
    • Establecer nombre descriptivo: vdm.ec.new
    • La clave privada debe estar marcada como exportable.
    • El certificado debe agregarse a Certificados (equipo local) > Certificados de VMware Horizon View > Certificados.
    • Algoritmo de firma que se utilizará: SHA384/SHA512
  2. Importe la cadena de certificados a las carpetas correspondientes.
  3. Elimine el certificado de clúster existente con el nombre descriptivo vdm.ec.
  4. Reinicie el servicio de Connection Server.

Resultados

Cuando Connection Server haya aceptado el nuevo certificado, el nombre descriptivo del certificado cambiará de vdm.ec.new a vdm.ec. Si el certificado no se acepta por algún motivo, el certificado anterior se moverá de LDAP al almacén de certificados de Windows. Los otros servidores del clúster recuperarán dicho certificado del LDAP.