Horizon Cloud に SSO を構成する場合は、VMware 認証局 (CA) の構成の詳細に応じて、後続の適切なタスクを実行する必要があります。
後続の手順の概要
SSO バンドルを作成する場合は、PowerShell スクリプトを使用して、バンドルが作成されたフォレストにバンドルを公開します。このアクションにより、SSO がバンドルのフォレストで確実に機能するようになります。
SSO を追加の信頼するフォレストと連携させるには、次のように、VMware CA の認証パスからのルート証明書と中間証明書を信頼するフォレストに公開する必要があります。
- ルート CA 証明書を信頼するフォレストに公開する必要があります。
- 中間 CA 証明書を信頼するフォレストに公開する必要があります。
- ルート CA 証明書を NTAuth ストアに公開する必要があります。
- 失効情報は、証明書チェーン全体で HTTP 経由で常に使用できる必要があります。
信頼されたルート証明機関にルート証明書を追加する
VMware CA 証明パスの終端にあるルート証明書は、Active Directory の信頼されたルート証明機関グループ ポリシーに追加する必要があります。
手順
- 信頼構成の一部であるすべての Active Directory フォレストで、信頼されたルート証明機関にルート証明書を追加します。
- の順に選択します。
- ドメインを展開し、[デフォルト ドメイン ポリシー] を右クリックして、[編集] をクリックします。
- [コンピュータの構成] セクションを展開し、[Windows 設定] > [セキュリティ設定] > [公開鍵] の順に開きます。
- [信頼されたルート証明機関] を右クリックして、[インポート] を選択します。
- ウィザードの指示に従ってルート証明書(rootCA.cer など)をインポートし、[OK] をクリックします。
- [グループ ポリシー] ウィンドウを閉じます。
結果
ドメイン内のすべてのシステムの信頼されたルート ストアに、ルート証明書がコピーされます。
次のタスク
中間証明機関(CA)がスマート カードのログイン証明書またはドメイン コントローラ証明書を発行する場合は、Active Directory で中間証明機関のグループ ポリシーに中間証明書を追加します。中間証明機関に中間証明書を追加するを参照してください。
中間証明機関に中間証明書を追加する
VMware CA 証明パスのすべての中間証明書は、Active Directory の中間証明機関グループ ポリシーに追加する必要があります。
手順
- 信頼構成の一部であるすべての Active Directory フォレストで、VMware CA 証明書チェーンに含まれるすべての中間証明書を中間証明機関に追加します。Active Directory サーバで、Group Policy Management プラグインに移動し、次の操作を行います。
- の順に選択します。
- ドメインを展開し、[デフォルト ドメイン ポリシー] を右クリックして、[編集] をクリックします。
- [コンピュータの構成] セクションを展開し、[Windows Settings\Security Settings\Public Key] のポリシーを開きます。
- [中間証明機関] を右クリックして、[インポート] を選択します。
- ウィザードの指示に従って中間証明書(intermediateCA.cer など)をインポートし、[OK] をクリックします。
- [グループ ポリシー] ウィンドウを閉じます。
結果
ドメイン内のすべてのシステムの中間証明機関ストアに、中間証明書がコピーされます。
Enterprise NTAuth ストアにルート証明書を追加する
VMware CA 証明パスの終端にあるルート証明書は、Active Directory の Enterprise NTAuth ストアに追加する必要があります。
手順
- ♦ Active Directory サーバで、certutil コマンドを使用して、証明書を Enterprise NTAuth ストアに発行します。
例: certutil -dspublish -f ルート CA 証明書へのパス NTAuthCA
結果
CA がこの種の証明書の発行元として信頼されるようになります。