Horizon 7 サーバに対して TLS サーバ証明書を設定するには、高度な複数のタスクを実行する必要があります。
複製された Connection Server インスタンスのポッドでは、ポッド内のすべてのインスタンスに対してこれらのタスクを実行する必要があります。
これらのタスクを実行する手順は、この概要の後のトピックで説明します。
- 認証局 (CA) から新しい署名付き TLS 証明書を取得する必要があるかどうかを判断します。
組織がすでに有効な TLS サーバ証明書を所有している場合、Connection Server、セキュリティ サーバ、View Composer で提供されるデフォルトの TLS サーバ証明書をその証明書に置き換えることができます。既存の証明書を使用するには、それに対応するプライベート キーも必要です。
現在の状況 アクション 有効な TLS サーバ証明書が組織から提供されている。 直接、手順 2 に進みます。 TLS サーバ証明書がない。 認証局 (CA) から署名された TLS サーバ証明書を入手します。 - Horizon 7 サーバ ホスト上の Windows ローカル コンピュータの証明書ストアに TLS 証明書をインポートします。
- Connection Server インスタンスとセキュリティ サーバの場合は、証明書のフレンドリ名を vdm に変更します。
フレンドリ名 vdm を、各 Horizon 7 サーバ ホストの 1 つの証明書のみに割り当てます。
- Connection Server コンピュータ上で、ルート証明書が Windows Server ホストに信頼されていない場合は、ルート証明書を Windows ローカル コンピュータの証明書ストアにインポートします。
さらに、Connection Server インスタンスがセキュリティ サーバ、View Composer、vCenter Server ホスト用に構成された TLS サーバ証明書のルート証明書を信頼していない場合にも、これらのルート証明書をインポートする必要があります。これらの手順は、Connection Server インスタンスでのみ実行します。View Composer、vCenter Server、またはセキュリティ サーバ ホストにルート証明書をインポートする必要はありません。
- サーバ証明書が中間 CA によって署名されている場合は、中間証明書を Windows ローカル コンピュータの証明書ストアにインポートします。
クライアント構成を簡素化するには、証明書チェーン全体を Windows ローカル コンピュータの証明書ストアにインポートします。中間証明書が Horizon 7 サーバから欠落している場合、クライアントおよび Horizon Administrator を起動するコンピュータ用に中間証明書を構成する必要があります。
- View Composer インスタンスの場合は、次の手順の 1 つを実行します。
- View Composer をインストールする前に、Windows ローカル コンピュータの証明書ストアに証明書をインポートした場合は、View Composer のインストール中にこの証明書を選択できます。
- View Composer のインストール後に、既存の証明書またはデフォルトの自己署名証明書を新しい証明書と置換する場合は、SviConfig ReplaceCertificate ユーティリティを使用して、新しい証明書を View Composer が使用するポートにバインドします。
- CA が不明な場合は、ルート証明書および中間証明書を信頼するようにクライアントを構成します。
さらに、Horizon Administrator を起動するコンピュータがルート証明書および中間証明書を信頼するようにします。
- 証明書失効チェックを再構成するかどうかを決定します。
Connection Server は、Horizon 7 サーバ、View Composer、および vCenter Server 上で証明書失効チェックを実行します。CA によって署名された大部分の証明書には、証明書失効情報が含まれています。CA にこの情報が含まれていない場合は、証明書失効チェックを実行しないようにサーバを構成できます。
SAML 認証システムが Connection Server インスタンスで使用されるように構成されている場合は、Connection Server は SAML サーバ証明書上でも証明書失効チェックを実行します。