Pour configurer des certificats de serveur TLS pour des serveurs Horizon 7, vous devez effectuer plusieurs tâches de haut niveau.

Dans un espace d'instances du Serveur de connexion répliquées, vous devez effectuer les tâches suivantes sur toutes les instances de l'espace.

Les procédures pour réaliser ces tâches sont décrites dans les rubriques qui suivent cette présentation.

  1. Déterminez si vous avez besoin d'obtenir un nouveau certificat TLS signé auprès d'une autorité de certification.

    Si votre entreprise possède déjà un certificat de serveur TLS valide, vous pouvez l'utiliser pour remplacer le certificat de serveur TLS par défaut fourni avec le Serveur de connexion, le serveur de sécurité ou View Composer. Pour utiliser un certificat existant, vous avez également besoin de la clé privée qui l'accompagne.

    Point de départ Action
    Votre entreprise vous a fourni un certificat de serveur TLS valide. Passez directement à l'étape 2.
    Vous n'avez pas de certificat de serveur TLS. Obtenez un certificat de serveur TLS signé auprès d'une autorité de certification.
  2. Importez le certificat TLS dans le magasin de certificats de l'ordinateur local Windows sur l'hôte du serveur Horizon 7.
  3. Pour les instances du Serveur de connexion et les serveurs de sécurité, remplacez le nom convivial du certificat en le renommant vdm.

    Attribuez le nom convivial vdm à un seul certificat sur chaque hôte du serveur Horizon 7.

  4. Sur les ordinateurs Serveur de connexion, si le certificat racine n'est pas approuvé par l'hôte Windows Server, importez-le dans le magasin de certificats de l'ordinateur local Windows.

    En outre, si les instances du Serveur de connexion n'approuvent pas les certificats racines des certificats de serveur TLS configurés pour les hôtes du serveur de sécurité, de View Composer et de vCenter Server, vous devez également importer ces certificats racines. Effectuez ces étapes uniquement pour les instances du Serveur de connexion. Vous n'avez pas à importer le certificat racine dans les hôtes de View Composer, de vCenter Server ou du serveur de sécurité.

  5. Si votre certificat de serveur a été signé par une autorité de certification intermédiaire, importez les certificats intermédiaires dans le magasin de certificats de l'ordinateur local Windows.

    Pour simplifier la configuration client, importez la chaîne de certificats complète dans le magasin de certificats de l'ordinateur local Windows. S'il manque des certificats intermédiaires dans le serveur Horizon 7, ils doivent être configurés pour les clients et les ordinateurs qui lancent Horizon Administrator.

  6. Pour les instances de View Composer, effectuez l'une de ces étapes :
    • Si vous importez le certificat dans le magasin de certificats de l'ordinateur local Windows avant d'installer View Composer, vous pouvez sélectionner votre certificat lors de l'installation de View Composer.
    • Si vous prévoyez de remplacer un certificat existant ou le certificat auto-signé par défaut par un nouveau certificat après avoir installé View Composer, exécutez l'utilitaire SviConfig ReplaceCertificate pour lier le nouveau certificat au port utilisé par View Composer.
  7. Si votre autorité de certification n'est pas reconnue, configurez les clients pour qu'ils approuvent les certificats racine et intermédiaires.

    Vérifiez également que les ordinateurs sur lesquels vous lancez Horizon Administrator approuvent les certificats racines et intermédiaires.

  8. Déterminez si vous voulez reconfigurer la vérification de la révocation des certificats.

    Le Serveur de connexion effectue la vérification de la révocation des certificats sur les serveurs Horizon 7, View Composer et vCenter Server. La plupart des certificats signés par une autorité de certification incluent des informations de révocation des certificats. Si votre autorité de certification n'inclut pas ces informations, vous pouvez configurer le serveur pour qu'il ne vérifie pas les certificats pour révocation.

    Si un authentificateur SAML est configuré pour être utilisé avec une instance du Serveur de connexion, celui-ci effectue également la vérification de la révocation de certificat sur le certificat du serveur SAML.