VMware Horizon サーバに対して TLS サーバ証明書を設定するには、高度な複数のタスクを実行する必要があります。
複製された Connection Server インスタンスのポッドでは、ポッド内のすべてのインスタンスに対してこれらのタスクを実行する必要があります。
これらのタスクを実行する手順は、この概要の後のトピックで説明します。
- 認証局 (CA) から新しい署名付き TLS 証明書を取得する必要があるかどうかを判断します。
組織がすでに有効な TLS サーバ証明書を所有している場合、Connection Server で提供されるデフォルトの TLS サーバ証明書をその証明書に置き換えることができます。既存の証明書を使用するには、それに対応するプライベート キーも必要です。
現在の状況 アクション 有効な TLS サーバ証明書が組織から提供されている。 直接、手順 2 に進みます。 TLS サーバ証明書がない。 認証局 (CA) から署名された TLS サーバ証明書を入手します。 - VMware Horizon サーバ ホスト上の Windows ローカル コンピュータの証明書ストアに TLS 証明書をインポートします。
- Connection Server インスタンスの場合は、証明書のフレンドリ名を vdm に変更します。
フレンドリ名 vdm を、各 VMware Horizon サーバ ホストの 1 つの証明書のみに割り当てます。
- Connection Server コンピュータ上で、ルート証明書が Windows Server ホストに信頼されていない場合は、ルート証明書を Windows ローカル コンピュータの証明書ストアにインポートします。
さらに、Connection Server インスタンスが vCenter Server ホスト用に構成された TLS サーバ証明書のルート証明書を信頼していない場合にも、これらのルート証明書をインポートする必要があります。これらの手順は、Connection Server インスタンスでのみ実行します。vCenter Server ホストにルート証明書をインポートする必要はありません。
- サーバ証明書が中間 CA によって署名されている場合は、中間証明書を Windows ローカル コンピュータの証明書ストアにインポートします。
クライアント構成を簡素化するには、証明書チェーン全体を Windows ローカル コンピュータの証明書ストアにインポートします。中間証明書が VMware Horizon サーバから欠落している場合、クライアントおよび Horizon Console を起動するコンピュータ用に中間証明書を構成する必要があります。
- CA が不明な場合は、ルート証明書および中間証明書を信頼するようにクライアントを構成します。
さらに、Horizon Console を起動するコンピュータがルート証明書および中間証明書を信頼するようにします。
- 証明書失効チェックを再構成するかどうかを決定します。
Connection Server は、VMware Horizon サーバと vCenter Server 上で証明書失効チェックを実行します。CA によって署名された大部分の証明書には、証明書失効情報が含まれています。CA にこの情報が含まれていない場合は、証明書失効チェックを実行しないようにサーバを構成できます。
SAML 認証システムが Connection Server インスタンスで使用されるように構成されている場合は、Connection Server は SAML サーバ証明書上でも証明書失効チェックを実行します。
