Microsoft の certreq ユーティリティは、構成ファイルを使用して CSR を生成します。要求を生成する前に、構成ファイルを作成する必要があります。証明書を使用する Horizon サーバをホストする Windows Server コンピュータで、ファイルを作成し、CSR を生成します。

前提条件

構成ファイルの設定に必要な情報を収集します。サブジェクト名を完成させるため、Horizon サーバの FQDN と、組織単位、組織、市区町村、都道府県、および国を把握しておく必要があります。

手順

  1. テキスト エディタを開いて次のテキスト(開始タグと終了タグを含む)をファイルに貼り付けます。
    ;----------------- request.inf ----------------- 
    
    [Version] 
    
    Signature="$Windows NT$" 
    
    [NewRequest]
    
    Subject = "CN=View_Server_FQDN, OU=Organizational_Unit, O=Organization, L=City, S=State, C=Country" 
    ; Replace View_Server_FQDN with the FQDN of the Horizon server.
    ; Replace the remaining Subject attributes.  
    KeySpec = 1 
    KeyLength = 2048 
    ; KeyLength is usually chosen from 2048, 3072, or 4096. A KeyLength
    ; of 1024 is also supported, but it is not recommended. 
    HashAlgorithm = SHA256
    ; Algorithms earlier than SHA-2 are insufficiently secure and are not recommended.
    Exportable = TRUE 
    MachineKeySet = TRUE 
    SMIME = False 
    PrivateKeyArchive = FALSE 
    UserProtected = FALSE 
    UseExistingKeySet = FALSE 
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider" 
    ProviderType = 12
    RequestType = PKCS10 
    KeyUsage = 0xa0 
    
    [EnhancedKeyUsageExtension] 
    
    OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication 
    
    ;-----------------------------------------------
    
    
    テキストをコピーして貼り付けるときに Subject = 行に余分な改行文字が追加された場合は、それらの改行文字を削除します。
  2. Subject 属性を Horizon サーバと導入環境に適切な値に変更します。
    例: CN=dept.company.com
    VMware セキュリティ推奨事項に準拠するために、クライアント デバイスがホストへの接続に使用する完全修飾ドメイン名(FQDN)を使用します。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは使用しないでください。

    一部の認証局 (CA) は、state 属性での略語の使用を許可しません。

  3. (オプション) Keylength 属性を更新します。
    KeyLength に特定のサイズを指定する必要がない限り、デフォルト値の 2048 が適正です。多くの認証局で必要とされる最小値は 2048 です。キー サイズは大きい方が安全ですが、これを増やすとパフォーマンスに大きく影響します。

    KeyLength には 1024 も使用できますが、National Institute of Standards and Technology (NIST) はこのサイズを推奨していません。コンピュータの性能が高まるにつれ、強固な暗号が解読されるおそれが出て来るためです。

    重要: 1024 未満の KeyLength 値は生成しないでください。 Horizon Client for Windows は、1024 未満の KeyLength で生成された Horizon Server 上の証明書は検証しません。この場合、 Horizon Client デバイスは Horizon への接続に失敗します。Connection Server によって実行される証明書検証も失敗し、影響を受ける Horizon Server が Horizon Console のダッシュボードで赤色に表示されます。
  4. ファイルを request.inf として保存します。

次のタスク

構成ファイルから CSR を生成します。