Microsoft の certreq ユーティリティは、構成ファイルを使用して CSR を生成します。要求を生成する前に、構成ファイルを作成する必要があります。証明書を使用する Horizon サーバをホストする Windows Server コンピュータで、ファイルを作成し、CSR を生成します。
前提条件
構成ファイルの設定に必要な情報を収集します。サブジェクト名を完成させるため、Horizon サーバの FQDN と、組織単位、組織、市区町村、都道府県、および国を把握しておく必要があります。
手順
- テキスト エディタを開いて次のテキスト(開始タグと終了タグを含む)をファイルに貼り付けます。
;----------------- request.inf -----------------
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=View_Server_FQDN, OU=Organizational_Unit, O=Organization, L=City, S=State, C=Country"
; Replace View_Server_FQDN with the FQDN of the Horizon server.
; Replace the remaining Subject attributes.
KeySpec = 1
KeyLength = 2048
; KeyLength is usually chosen from 2048, 3072, or 4096. A KeyLength
; of 1024 is also supported, but it is not recommended.
HashAlgorithm = SHA256
; Algorithms earlier than SHA-2 are insufficiently secure and are not recommended.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication
;-----------------------------------------------
テキストをコピーして貼り付けるときに
Subject = 行に余分な改行文字が追加された場合は、それらの改行文字を削除します。
- Subject 属性を Horizon サーバと導入環境に適切な値に変更します。
例:
CN=dept.company.com
VMware セキュリティ推奨事項に準拠するために、クライアント デバイスがホストへの接続に使用する完全修飾ドメイン名(FQDN)を使用します。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは使用しないでください。
一部の認証局 (CA) は、state 属性での略語の使用を許可しません。
- (オプション) Keylength 属性を更新します。
KeyLength に特定のサイズを指定する必要がない限り、デフォルト値の 2048 が適正です。多くの認証局で必要とされる最小値は 2048 です。キー サイズは大きい方が安全ですが、これを増やすとパフォーマンスに大きく影響します。
KeyLength には 1024 も使用できますが、National Institute of Standards and Technology (NIST) はこのサイズを推奨していません。コンピュータの性能が高まるにつれ、強固な暗号が解読されるおそれが出て来るためです。
重要: 1024 未満の
KeyLength 値は生成しないでください。
Horizon Client for Windows は、1024 未満の
KeyLength で生成された
Horizon Server 上の証明書は検証しません。この場合、
Horizon Client デバイスは
Horizon への接続に失敗します。Connection Server によって実行される証明書検証も失敗し、影響を受ける
Horizon Server が Horizon Console のダッシュボードで赤色に表示されます。
- ファイルを request.inf として保存します。
次のタスク
構成ファイルから CSR を生成します。