ルート証明書と中間証明書を信頼するようにクライアントエンドポイントを構成する

VMware Horizon Server 証明書が、クライアントコンピュータと Horizon Console にアクセスするクライアントコンピュータによって信頼されていない CA によって署名されている場合、ドメイン内のすべての Windows クライアントシステムをルート証明書と中間証明書を信頼するように構成できます。そのためには、Active Directory の [信頼されたルート証明機関] グループポリシーにルート証明書のパブリックキーを追加して、ルート証明書を Enterprise NTAuth ストアに追加する必要があります。

たとえば、ユーザーの組織が内部の証明書サービスを使用している場合には、これらの手順を実行する必要がある場合があります。

Windows ドメインコントローラがルート CA として機能する場合、または証明書が既知の CA によって署名されている場合は、この手順を実行する必要はありません。既知の CA については、オペレーティングシステムのベンダーにより、クライアントシステムにルート証明書があらかじめインストールされます。

知名度がほとんどない中間 CA によってサーバ証明書が署名されている場合には、中間証明書を Active Directory の [中間証明書機関] グループポリシーに追加する必要があります。

Windows 以外のオペレーティングシステムを使用するクライアントデバイスについては、ユーザーがインストール可能なルート証明書と中間証明書の配布に関する次の手順を参照してください。

Horizon Client for Mac については、ルート証明書と中間証明書を信頼するように Horizon Client for Mac を構成を参照してください。
Horizon Client for iOS については、ルート証明書と中間証明書を信頼するように Horizon Client for iOS を構成するを参照してください。
Horizon Client for Android については、『Android ユーザーガイド』などの Google Web サイトにあるマニュアルを参照してください。
Horizon Client for Linux については、Ubuntu のマニュアルを参照してください。

前提条件

サーバ証明書が 1024 以上の KeyLength 値で生成されていることを確認します。クライアントエンドポイントは、1024 未満の KeyLength で生成されたサーバ上の証明書は検証しません。この場合、クライアントはサーバへの接続に失敗します。

手順

Active Directory サーバで、certutil コマンドを使用して、証明書を Enterprise NTAuth ストアに発行します。
例： certutil -dspublish -f ルート CA 証明書へのパス NTAuthCA
Active Directory サーバで、Group Policy Management プラグインに移動し、次の操作を行います。
1. [スタート] > [管理ツール] > [グループポリシーの管理] の順に選択します。
2. ドメインを展開し、[デフォルトドメインポリシー] を右クリックして、[編集] をクリックします。
[コンピュータの構成] セクションを展開し、[Windows 設定] > [セキュリティ設定] > [パブリックキーポリシー] に移動します。

証明書をインポートします。

オプション	説明
ルート証明書	[信頼されたルート証明機関] を右クリックして、[インポート] を選択します。ウィザードの指示に従ってルート証明書（rootCA.cer など）をインポートし、[OK] をクリックします。
中間証明書	[中間証明機関] を右クリックして、[インポート] を選択します。ウィザードの指示に従って中間証明書（intermediateCA.cer など）をインポートし、[OK] をクリックします。

[Group Policy（グループポリシー）] ウィンドウを閉じます。

結果

これで、ドメイン内のすべてのシステムの信頼されたルート証明機関のストアと中間証明機関のストアに、ルート証明書と中間証明書を信頼できるようにする証明書情報が追加されました。