Si l'hôte Windows Server sur lequel le Serveur de connexion est installé n'approuve pas le certificat racine pour le certificat de serveur TLS signé, vous devez importer le certificat racine dans le magasin de certificats de l'ordinateur local Windows. En outre, si l'hôte du Serveur de connexion n'approuve pas les certificats racine des certificats de serveur TLS configurés pour les hôtes de vCenter Server, vous devez également importer ces certificats racine.

Si les certificats du Serveur de connexion et de vCenter Server sont signés par une autorité de certification racine qui est connue et approuvée par l'hôte du Serveur de connexion, et que vos chaînes de certificats ne comportent aucun certificat intermédiaire, vous pouvez ignorer cette tâche. Les autorités de certification couramment utilisées sont susceptibles d'être approuvées par l'hôte.

Vous devez importer les certificats racines non approuvés dans toutes les instances du Serveur de connexion répliquées d'un espace.

Note : Il n'est pas nécessaire d'importer le certificat racine dans les hôtes de vCenter Server.

Si un certificat de serveur est signé par une autorité de certification intermédiaire, vous devez également importer chaque certificat intermédiaire dans la chaîne de certificats. Pour simplifier la configuration client, importez la chaîne intermédiaire entière vers les hôtes de vCenter Server ainsi que les hôtes du Serveur de connexion. S'il manque des certificats intermédiaires sur un hôte du Serveur de connexion, ils doivent être configurés pour les clients et les ordinateurs qui lancent Horizon Console. S'il manque des certificats intermédiaires sur un hôte de vCenter Server, ils doivent être configurés pour chaque instance du Serveur de connexion.

Si vous avez déjà vérifié que la chaîne de certificats complète est importée dans le magasin de certificats de l'ordinateur local Windows, vous pouvez ignorer cette tâche.

Note : Si un authentificateur SAML est configuré pour être utilisé par une instance du Serveur de connexion, les mêmes recommandations s'appliquent à l'authentificateur SAML 2.0. Si l'hôte du Serveur de connexion n'approuve pas le certificat racine configuré pour un authentificateur SAML, ou si le certificat de serveur SAML est signé par une autorité de certification intermédiaire, vous devez vérifier que la chaîne de certificats est importée dans le magasin de certificats de l'ordinateur local Windows.

Procédure

  1. Dans la console de gestion Microsoft (MMC) sur l'hôte Windows Server, développez le nœud Certificats (Ordinateur local), puis accédez au dossier Autorités de certification racines de confiance > Certificats.
    • Si votre certificat racine se trouve dans ce dossier, et qu'il n'y a pas de certificat intermédiaire dans votre chaîne de certificats, passez à l'étape 7.
    • Si votre certificat racine ne se trouve pas dans ce dossier, passez à l'étape 2.
  2. Cliquez avec le bouton droit sur le dossier Autorités de certification racines de confiance > Certificats et cliquez sur Toutes les tâches > Importer.
  3. Dans l'assistant Importation de certificat, cliquez sur Suivant et allez à l'emplacement de stockage du certificat de l'autorité de certification racine.
  4. Sélectionnez le fichier du certificat de l'autorité de certification racine et cliquez sur Ouvrir.
  5. Cliquez sur Suivant, Suivant et Terminer.
  6. Si votre certificat de serveur a été signé par une autorité de certification intermédiaire, importez tous les certificats intermédiaires se trouvant dans la chaîne de certificats dans le magasin de certificats de l'ordinateur local Windows.
    1. Allez dans le dossier Certificats (Ordinateur local) > Autorités de certification intermédiaires > Certificats.
    2. Répétez les étapes 3 à 6 pour chaque certificat intermédiaire devant être importé.
  7. Redémarrez le service Serveur de connexion ou le service vCenter Server pour que vos modifications prennent effet.