Lors de l'installation, Horizon Connection Server génère un certificat client de service d'inscription auto-signé. Vous pouvez remplacer ce certificat auto-signé par un certificat signé par une autorité de certification.

Le certificat client du service d'inscription est utilisé pour sécuriser la communication entre le Serveur de connexion et le serveur d'inscription. Si vous remplacez ce certificat par un certificat signé par une autorité de certification, vous devez importer le nouveau certificat sur le serveur d'inscription et ajouter le certificat d'autorité de certification racine au magasin d'autorités de certification racines de confiance sur le serveur d'inscription. Pour plus d'informations, reportez-vous à la section « Configuration de True SSO » dans le document Administration d'Horizon 8.

Procédure

  1. Générez un certificat signé par une autorité de certification répondant aux exigences ci-dessous.
    Note : Vous devez ajouter le certificat racine utilisé pour générer le certificat client au magasin d'autorités de certification racines de confiance sur tous les Serveurs de connexion du POD.
    • Nom du sujet : GUID du cluster
      Note : Vous pouvez trouver le GUID du cluster à l'aide de la commande vdmadmin -C ou en accédant à Connection Server Cluster GUID sous HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Node Manager.
    • Réseau de stockage : GUID de cluster de l'espace Horizon en tant que DNSName
    • EKU : authentification du serveur, authentification du client
    • Définir le nom convivial : vdm.ec.new
    • La clé privée doit être marquée comme exportable.
    • Le certificat doit être ajouté à Certificats (ordinateur local) > Certificats de VMware Horizon View > Certificats.
    • Algorithme de signature à utiliser : SHA384/SHA512
  2. Importez la chaîne de certificats dans les dossiers correspondants.
  3. Supprimez le certificat de cluster existant avec le nom convivial vdm.ec.
  4. Redémarrez le service Serveur de connexion.

Résultats

Une fois que le Serveur de connexion a accepté le nouveau certificat, le nom convivial du certificat passe de vdm.ec.new à vdm.ec. Si le certificat n'est pas accepté pour une raison quelconque, l'ancien certificat sera déplacé de LDAP vers le magasin de certificats Windows. Les autres serveurs dans le cluster extrairont ce certificat depuis LDAP.