インストール時に、Horizon Connection Server は自己署名登録サービス クライアント証明書を生成します。この自己署名証明書を CA 署名付き証明書に置き換えることができます。

登録サービス クライアント証明書は、Connection Server と登録サーバ間の通信を保護するために使用されます。この証明書を CA 署名付き証明書に置き換える場合は、新しい証明書を登録サーバにインポートし、ルート CA 証明書を登録サーバの信頼済みルート認証局ストアに追加する必要があります。詳細については、『Horizon 8 の管理』ドキュメントの「True SSO の設定」セクションを参照してください。

手順

  1. 以下の要件を満たす CA 署名付き証明書を生成します。
    注: クライアント証明書の生成に使用されるルート証明書は、ポッドのすべての Connection Server の信頼済みルート証明機関ストアに追加する必要があります。
    • サブジェクト名:クラスタ GUID
      注: クラスタ GUID を確認するには、 vdmadmin -C コマンドを使用するか、 HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware VDM\Node ManagerConnection Server Cluster GUID に移動します。
    • SAN:DNSName としての Horizon ポッドのクラスタ GUID
    • EKU:サーバ認証、クライアント認証
    • フレンドリ名の設定:vdm.ec.new
    • プライベート キーはエクスポート可能とマークする必要があります。
    • [証明書(ローカル コンピュータ)] > [VMware Horizon View 証明書] > [証明書] に追加する必要があります。
    • 使用する署名アルゴリズム:SHA384/SHA512
  2. 対応するフォルダに証明書チェーンをインポートします。
  3. フレンドリ名が vdm.ec の既存のクラスタ証明書を削除します。
  4. Connection Server サービスを再起動します。

結果

Connection Server が新しい証明書を受け入れると、証明書のフレンドリ名が vdm.ec.new から vdm.ec に変更されます。何らかの理由で証明書が受け入れられない場合、古い証明書は LDAP から Windows 証明書ストアに移動します。クラスタ内の他のサーバは、LDAP からこの証明書を取得します。