L'utilitaire Microsoft certreq utilise un fichier de configuration pour générer une demande de signature de certificat (CSR). Vous devez créer un fichier de configuration pour pouvoir générer la demande. Créez le fichier, puis générez la CSR sur l'ordinateur Windows Server qui héberge le serveur Horizon 8 qui utilisera le certificat.
Conditions préalables
Collectez les informations requises pour remplir le fichier de configuration. Vous devez connaître le nom de domaine complet (FQDN) du serveur Horizon 8, ainsi que l'unité d'organisation, l'organisation, la ville, l'État et le pays pour terminer le nom du sujet.
Procédure
- Ouvrez un éditeur de texte et collez le texte suivant, y compris les balises de début et de fin, dans le fichier.
;----------------- request.inf -----------------
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=View_Server_FQDN, OU=Organizational_Unit, O=Organization, L=City, S=State, C=Country"
; Replace View_Server_FQDN with the FQDN of the Horizon server.
; Replace the remaining Subject attributes.
KeySpec = 1
KeyLength = 2048
; KeyLength is usually chosen from 2048, 3072, or 4096. A KeyLength
; of 1024 is also supported, but it is not recommended.
HashAlgorithm = SHA256
; Algorithms earlier than SHA-2 are insufficiently secure and are not recommended.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft Strong Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication
;-----------------------------------------------
Si un caractère de retour chariot/saut de ligne supplémentaire est ajouté à la ligne
Subject = lorsque vous copiez et collez le texte, supprimez-le.
- Mettez à jour les attributs de Subject avec les valeurs appropriées pour votre serveur Horizon 8 et le déploiement.
Par exemple :
CN=dept.company.com
Pour vous conformer aux recommandations de sécurité VMware, utilisez le nom de domaine complet que les périphériques clients utilisent pour se connecter à l'hôte. N'utilisez pas un nom de serveur simple ou une adresse IP, même pour les communications effectuées à l'intérieur de votre domaine interne.
Certaines autorités de certification ne permettent pas d'utiliser des abréviations pour l'attribut d'état.
- (Facultatif) Mettez à jour l'attribut Keylength.
La valeur par défaut, 2 048, convient, sauf si vous avez besoin d'une autre taille pour l'attribut
KeyLength. Plusieurs autorités de certification nécessitent une valeur minimale de 2 048. Les clés de grande taille sont plus sécurisées, mais dégradent plus les performances.
Un attribut KeyLength de 1 024 est également pris en charge, bien que le National Institute of Standards and Technology (NIST) déconseille les clés de cette taille, car les ordinateurs gagnent en puissance et peuvent parvenir à déchiffrer un chiffrement renforcé.
Important : Ne générez pas une valeur inférieure à 1 024 pour l'attribut
KeyLength.
Horizon Client pour Windows ne validera pas un certificat généré avec un attribut
KeyLength inférieur à 1 024 sur un serveur
Horizon 8. Les périphériques
Horizon Client ne pourront donc pas se connecter à
Horizon 8. Les validations de certificats exécutées par le serveur de connexion échoueront également ; les serveurs
Horizon 8 affectés s'afficheront alors en rouge dans le tableau de bord de la console.
- Enregistrez le fichier sous la forme request.inf.
Que faire ensuite
Générez une CSR à partir du fichier de configuration.