クライアントが Horizon FLEX サーバに継続してアクセスできるようにするには、信頼される証明書の期限が切れる前に更新する必要があります。
注: :
Horizon FLEX 1.10 以降では、
Horizon FLEX サーバ ルート CA の署名済み証明書を自己署名証明書に変更することはできません。
Horizon FLEX Client では、サーバ上の証明書がルート CA の署名済み証明書から自己署名証明書に変更されたことを検出します。続いて、クライアントはサーバへの接続の試行を終了します。
Horizon FLEX は、以下のタイプのサーバ証明書の変更をサポートします。
| 変更元 | 変更先 |
|---|---|
| 自己署名証明書 | 自己署名証明書 |
| 自己署名証明書 | ルート CA の署名済み証明書 |
| ルート CA の署名済み証明書 | ルート CA の署名済み証明書 |
証明書の期限が切れる前に、Horizon FLEX ポリシー サーバ で、信頼される証明書リストに新しい証明書を第 2 証明書として追加できます。
信頼される証明書リストに新しい証明書を追加すると、すべての Horizon FLEX 仮想マシンがこの新しい証明書をダウンロードできるようになります。その後、証明書の切り替えが発生する場合、証明書の新しいリストを受け取ったすべての Horizon FLEX 仮想マシンが Horizon FLEX サーバに接続でき、信頼される古い証明書は証明書リストから削除できます。
Horizon FLEX 管理コンソールで証明書をインポート、エクスポート、または削除するには、[システム全般設定] アイコンをクリックして、[証明書] を選択します。
注意: : 証明書を更新するときには、ポリシー更新を使用して、仮想マシン インスタンスに証明書を適用する前に、証明書が有効であることを検証します。
Horizon FLEX 管理コンソールに無効な証明書をインストールすると、証明書が組み込まれる仮想マシンは、無効な証明書を継承します。その結果、これらの仮想マシンは
Horizon FLEX サーバに接続できなくなります。
証明書を更新するときには、次のガイドラインに従う必要があります。
- 既存の証明書の期限が切れる前に、証明書を更新します。
- Horizon FLEX サーバにインポートする証明書は、リーフ証明書ではなく、ルート証明書にする必要があります。ただし、自己署名の証明書をインポートする場合は、自己署名の証明書を直接インポートする必要があります。
- Horizon FLEX 管理コンソールから新しい証明書を追加します。古い証明書と新しい証明書が含まれる信頼される証明書リストをクライアントと同期できることを確認します。 Horizon FLEX サーバのシステム証明書ストアの構成を参照してください。
古い証明書と新しい証明書の両方が、仮想マシン ポリシーで利用可能になります。 Horizon FLEX サーバが両方の証明書をデプロイする場合、クライアントはサーバに引き続きアクセスできます。
- 新しい証明書が仮想マシン ポリシーに追加されたら、新しい証明書が Mirage 管理 Web サイトにバインドされるように、IIS マネージャのサーバを変更します。詳細については、Horizon FLEX サーバ の IIS SSL サーバ証明書の構成を参照してください。
新しい証明書が Mirage 管理 Web サイトにバインドされたら、クライアントは、サーバに引き続きアクセスできるようになります。
