デフォルトでは、Horizon Agent for Linux インストーラは、Blast 表示プロトコルを使用してクライアントとの通信を処理する VMwareBlastServer デーモンの自己署名証明書を生成します。業界またはセキュリティの規制に準拠するために、VMwareBlastServer の自己署名証明書に代わって認証局 (CA) が署名した証明書を使用できます。
- Blast Security Gateway が Horizon Connection Server で有効になっていない場合、VMwareBlastServer は、デフォルトの自己署名証明書を HTML Access を使用するブラウザに提示して Linux デスクトップに接続します。
- Blast Security Gateway が Horizon Connection Server で有効になっているとき、Blast Security Gateway はこの証明書をブラウザに提示します。
VMwareBlastServer のデフォルトの自己署名証明書を CA 署名付き証明書に置き換えるには、次のいずれかの方法を使用します。
- [BCFKS キーストア]:この方法では、
DeployBlastCert.sh展開スクリプトを使用して、証明書とプライベート キーを /etc/vmware/ssl ディレクトリにある暗号化された Bouncy Castle FIPS キーストア (BCFKS) に保存します。 - [暗号化されていないストレージ]:この方法では、証明書とプライベート キーを手動でコピーし、暗号化せずに /etc/vmware/ssl ディレクトリのルート レベルにコピーします。
VMwareBlastServer デーモンは、まず、Linux キーリングで BCFKS キーストアの証明書とプライベート キーを探します。BCFKS キーストアが見つからない場合は、/etc/vmware/ssl のルート レベルに保存されている証明書とプライベート キーを読み取ります。
BCFKS キーストアへの VMwareBlastServer CA 証明書の展開
DeployBlastCert.sh 展開スクリプトは、/etc/vmware/ssl ディレクトリに vmwareblast.bcfks という名前の新しい BCFKS キーストアを作成し、このキーストアに証明書とプライベート キーを保存します。次に、キーストア内の情報が Linux キーリングに追加されます。
- [SSLCertName] および [SSLKeyName] 構成オプションを使用して、Linux キーリングに表示される証明書名とプライベート キー名をカスタマイズします。詳細については、「/etc/vmware/viewagent-custom.conf の構成オプション」を参照してください。
- 次の例のように、
DeployBlastCert.sh展開スクリプトを実行します。sudo /usr/lib/vmware/viewagent/bin/DeployBlastCert.sh -c /root/rui.cert -k /root/rui.key
展開スクリプトで次のパラメータ フラグを使用します。
パラメータ フラグ 説明 -c CA 署名付き証明書ファイルを指定します。 -k プライベート キー ファイルを指定します。
暗号化されていないストレージへの VMwareBlastServer CA 証明書の展開
- プライベート キーと CA 署名付き証明書を /etc/vmware/ssl に追加します。
- プライベート キーの名前を [rui.key] に変更し、証明書の名前を [rui.crt] に変更します。
- /etc/vmware/ssl に読み取り権限と実行権限を設定します。
sudo chmod 550 /etc/vmware/ssl
- [rui.key] と [rui.crt] を /etc/vmware/ssl にコピーします。
- /etc/vmware/ssl の実行権限を削除します。
sudo chmod 440 /etc/vmware/ssl
- ルート CA 証明書と中間 CA 証明書を Linux OS の認証局ストアにインストールします。
CA 証明書チェーンをサポートするために変更が必要な他のシステム設定については、Linux ディストリビューションのドキュメンテーションを参照してください。
