認証局 (CA) 上で証明書テンプレートを構成する必要があります。証明書テンプレートは、認証局 (CA) によって生成される証明書の基本です。

前提条件

#GUID-C4E30369-4AF7-40DF-9FFC-E2BC4E9CC954で説明する手順を実行します。

手順

  1. 新しいユニバーサル セキュリティ グループを作成します。
    このグループを作成すると、ユーザーに代わって証明書を発行するために必要な権限を単一のセキュリティ グループに割り当てることができるようになります。VMware 登録サーバがインストールされているすべてのコンピュータは、このグループのメンバーになることによってそれらの権限を継承できます。
    1. [開始] をクリックし、dsa.mscと入力します。
      [Active Directory ユーザーとコンピュータ] ウィンドウが表示されます。
    2. ツリーで、ドメイン コントローラの [ユーザー] フォルダを右クリックし、[新規 > グループ] を選択します。
      [新規オブジェクト - グループ] ウィンドウが表示されます。
    3. [グループ名] フィールドで、新しいグループの名前を入力します。たとえば、TrueSSO Enrollment Servers などです。
    4. 次の値を設定します。
      設定
      グループのスコープ ユニバーサル
      グループ タイプ セキュリティ
    5. [OK] をクリックします。
      [Active Directory ユーザーとコンピュータ] ウィンドウのツリーに新しいグループが表示されます。
    6. グループを右クリックして、[プロパティ] を選択します。
    7. タブのメンバーで、登録サーバをインストールするすべてのコンピュータを追加し、[OK]をクリックします。
    8. 登録サーバをインストールするすべてのコンピュータを再起動します。
  2. 証明書テンプレートを構成します。
    1. [コントロール パネル > 管理ツール > 認証局] の順に選択します。
    2. ツリーで、ローカルの認証局 (CA) 名を展開します。
    3. [証明書テンプレート] フォルダを右クリックし、[管理] を選択します。
      証明書テンプレート コンソールが表示されます。
    4. [スマートカード ログイン] テンプレートを右クリックし、[テンプレートの複製] を選択します。
      [新規テンプレートのプロパティ] ウィンドウが表示されます。
    5. ウィンドウのタブに以下のように情報を入力します。
      タブ 設定
      [互換性]
      • [変更の結果を表示] チェック ボックスをオンにします。
      • [認証局] - [Windows Server 2008 R2]
      • [証明書の受信者] - [Windows 7 / Server 2008 R2]
      [全般]
      重要: True SSO テンプレートの名前には ASCII 文字のみを使用します。この既知の問題により、True SSO テンプレート名に 非 ASCII 文字または拡張 ASCII 文字が含まれていると Horizon Cloud 環境で True SSO を正しく設定できません。
      • [テンプレートの表示名] - 任意の名前。たとえば、「True SSO Template」などです。
      • [テンプレート名] - 任意の名前。たとえば、「True SSO Template」などです。
      • [有効期間] - 1 時間
      • [更新期間] - 0 週間
      [要求の処理]
      • [目的] - [署名とスマートカード ログイン]
      • [スマートカード証明書の自動更新の場合 . . .] チェック ボックスをオンにします。
      • [登録時にユーザーにプロンプトを表示] ラジオ ボタンをオンにします。
      [暗号化]
      • [プロバイダのカテゴリ] - [キー ストレージ プロバイダ]
      • [アルゴリズム名] - [RSA]
      • [キーの最小サイズ] - [2048]
      • [要求に使用可能な任意のプロバイダを使用できる...] ラジオ ボタンをオンにします。
      • [要求ハッシュ] - [SHA256]
      [サブジェクト名]
      • [この Active Directory 情報からビルド] ラジオ ボタンをオンにします。
      • [サブジェクト名の形式] - [完全識別名 (DN)]
      • [ユーザー プリンシパル名 (UPN)] チェック ボックスをオンにします。
      [サーバ] [CA データベース内に証明書および要求を保存しない] チェック ボックスをオンにします。
      [発行の要件]
      • [登録には以下が必要] - [認証された署名の数] を選択して 1 を入力。
      • [署名に必要なポリシー タイプ] - [アプリケーション ポリシー]
      • [アプリケーション ポリシー] - [証明書要求エージェント]
      • [登録には以下が必要] - [有効な既存の証明書]
      セキュリティ 上部のタブで、作成した新しいグループを選択します。次に、下部のタブでは、読み取りと登録権限に対して [許可] を選択します。
    6. [OK] をクリックします。
  3. True SSO のテンプレートを発行します。
    1. [証明書テンプレート] フォルダをもう一度右クリックし、[新規 > 発行する証明書テンプレート] を選択します。
      [証明書テンプレートを有効にする] ウィンドウが表示されます。
    2. [TrueSsoTemplate] を選択し、[OK] をクリックします。
  4. 登録エージェント テンプレートを発行します。
    1. [証明書テンプレート] フォルダをもう一度右クリックし、[新規 > 発行する証明書テンプレート] を選択します。
      [証明書テンプレートを有効にする] ウィンドウが表示されます。
    2. 登録エージェント コンピュータを選択し、[OK] をクリックします。
      注: このテンプレートには、前の手順で発行されたテンプレートと同じセキュリティ設定が必要です。
    これで、認証局 (CA) は True SSO で使用するための適切な証明書テンプレートを使用して設定および構成されました。
  5. #GUID-F414A3DE-EC64-4819-9E6E-D79D3D04CA01の手順に従って、Horizon Cloud ペアリング バンドルをダウンロードします。