VMware Certificate Authority (CA) を使用してエンド ユーザーにデスクトップおよびアプリケーションへのシングル サインオン (SSO) アクセスを提供するには、VMware CA を使用して、SSO の一時的なスマートカード証明書を発行します。透明性とセキュリティを確保するため、このプロセスには確立された Microsoft ユーティリティを使用する PowerShell スクリプトが含まれています。

次のリストには、VMware CA の構成に関する情報が記載されています。SSO を構成する場合は、以下のトピックで説明するように、コンテキストの中で同じ詳細情報の多くが表示されます。たとえば、Horizon Cloud Service - next-gen への VMware CA 向けの SSO 構成の追加には VMware CA バンドルをダウンロードする手順が記載されています。このバンドルには、Active Directory フォレストへの VMware SSO CA バンドルの公開の指示に従って SSO を構成するために実行する VMware PowerShell スクリプトが含まれています。

• VMware CA で SSO に必要な機能を有効にするには、次のいずれかの状況が Active Directory フォレストに適用される必要があります。
  • Active Directory フォレストに少なくとも 1 つのオンライン Microsoft Enterprise CA が構成されている。この場合、次の結果が発生します。
    • Microsoft Enterprise CA は、その CA 証明書と証明書失効リスト (CRL) をフォレストに自動的に公開する。
    • ドメイン コントローラが証明書の登録を自動的に実行する。
  • Active Directory フォレストがサードパーティの CA またはスタンドアローンの Microsoft CA を使用する。この場合、次の状況が適用される必要があります。
    • すべての CA 証明書を、certutil などのユーティリティを使用してフォレストに手動で公開する必要がある。
    • 失効情報は HTTP 経由で常に使用できる必要がある。
    • ドメイン コントローラは、クライアント認証、サーバ認証、スマート カード ログイン、および KDC 認証を許可する証明書を使用して発行する必要がある。
• VMware CA は、ルート CA または中間 CA として構成できます。ただし、公開鍵基盤 (PKI) のベスト プラクティスは、中間 CA を選択することです。
• ルート CA を使用する場合、VMware CA 証明書は 5 年間有効です。
• 中間 CA を使用する場合、発行元の CA によって VMware CA 証明書の有効期間が決まります。
• 中間 CA を使用する場合、VMware CA 証明書は Microsoft CA または任意のサードパーティ CA によって署名できます。
• サードパーティ CA を使用する場合は、ドメイン メンバー マシンが、VMware CA 証明書を検証するために必要なすべての証明書と失効情報にアクセスできることを確認します。
• VMware CA を信頼するには、Active Directory フォレストのさまざまな場所に VMware CA バンドルを公開する必要があります。
• VMware CA バンドルを公開するには、ドメイン メンバー マシンの適切な権限を持つ管理者として VMware PowerShell スクリプトを実行します。
• VMware PowerShell スクリプトは 1 回のみ実行する必要があります。Active Directory は公開された PKI データを、Active Directory フォレスト内のすべてのドメインのすべてのドメイン コントローラおよびデスクトップにレプリケートします。複雑な Active Directory 環境で Repadmin などのユーティリティを使用すると、SSO を試行する前に、異なるドメインまたはサイト内のドメイン コントローラ間で構成の名前付けコンテキストをタイムリーにレプリケートできます。
• PowerShell スクリプトは、完全な透明性のために Microsoft ユーティリティ certreq と certutil を使用します。PowerShell スクリプトを実行する前に、スクリプトを読んで、その動作を正確に確認できます。