所属する組織から TLS サーバ証明書が提供されていない場合は、認証局 (CA) によって署名された新しい証明書を要求する必要があります。
いくつかの方法を使用して、新しい署名付き証明書を取得できます。たとえば、Microsoft certreq ユーティリティを使用して、証明書署名要求 (CSR) を生成し、CA に証明書要求を送信できます。
この作業を certreq で行う方法を示す例については、『Horizon 統合』ドキュメントを参照してください。
テスト用として、信頼されていないルートによる一時的な証明書を多数の CA から無償で入手できます。
重要: 認証局 (CA) から署名入り TLS 証明書を取得するとき、特定のルールと指針に従う必要があります。
- 証明書要求を生成するときに、[互換性] タブで [Windows Server 2008] が選択されている証明書テンプレートを選択するか、[登録ポリシーなしで続行する] を選択し、[テンプレート] の [(テンプレートなし)レガシー キー] を選択します。これを行わないと、証明書 MMC スナップインにプライベート キーが存在することが示されていても、Horizon 8 はプライベート キーを検出できません。
- VMware セキュリティ推奨事項に準拠するために、クライアント デバイスがホストへの接続に使用する完全修飾ドメイン名(FQDN)を使用します。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは使用しないでください。
- サーバの証明書を生成するときは、1,024 未満の KeyLength 値を使用しないでください。クライアント エンドポイントは、1024 未満の KeyLength で生成されたサーバ上の証明書は検証しません。この場合、クライアントはサーバへの接続に失敗します。Connection Server によって実行される証明書検証も失敗し、影響を受けるサーバが Horizon Console のダッシュボードで赤色に表示されます。
証明書取得に関する一般的な情報については、MMC への証明書スナップインにある Microsoft オンライン ヘルプを参照してください。証明書スナップインがコンピュータにインストールされていない場合は、証明書スナップインを MMC に追加するを参照してください。