所属する組織から TLS サーバ証明書が提供されていない場合は、認証局 (CA) によって署名された新しい証明書を要求する必要があります。
いくつかの方法を使用して、新しい署名付き証明書を取得できます。たとえば、Microsoft certreq ユーティリティを使用して、証明書署名要求 (CSR) を生成し、CA に証明書要求を送信できます。
certreq でこの操作を行う方法については、Horizon 7 の TLS 証明書設定のシナリオドキュメントを参照してください。
テスト用として、信頼されていないルートによる一時的な証明書を多数の CA から無償で入手できます。
重要: 認証局 (CA) から署名入り TLS 証明書を取得するとき、特定のルールと指針に従う必要があります。
- コンピュータ上で証明書要求を作成するときは、必ずプライベート キーも作成するようにします。TLS サーバ証明書を取得し、それを Windows ローカル コンピュータの証明書ストアにインポートするときは、証明書に対応するプライベート キーが必要です。
- VMware セキュリティ推奨事項に準拠するために、クライアント デバイスがホストへの接続に使用する完全修飾ドメイン名(FQDN)を使用します。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは使用しないでください。
- Windows Server 2008 enterprise CA 以降のみと互換性のある証明書テンプレートを使用して、サーバの証明書を作成しないでください。
- 1024 未満の KeyLength 値を使用して、サーバ用の証明書を作成しないでください。クライアント エンドポイントは、1024 未満の KeyLength 値を使用して作成されたサーバ用の証明書を検証せず、クライアントはサーバとの接続に失敗します。Connection Server によって実行される証明書検証も失敗し、影響を受けるサーバが Horizon Administrator のダッシュボードで赤色に表示されます。
証明書取得に関する一般的な情報については、MMC への証明書スナップインにある Microsoft オンライン ヘルプを参照してください。証明書スナップインがコンピュータにインストールされていない場合は、証明書スナップインを MMC に追加するを参照してください。