認証局 (CA) からの署名付き TLS 証明書の取得

所属する組織から TLS サーバ証明書が提供されていない場合は、認証局 (CA) によって署名された新しい証明書を要求する必要があります。

いくつかの方法を使用して、新しい署名付き証明書を取得できます。たとえば、Microsoft certreq ユーティリティを使用して、証明書署名要求 (CSR) を生成し、CA に証明書要求を送信できます。

この作業を certreq で行う方法を示す例については、『Horizon 統合』ドキュメントを参照してください。

テスト用として、信頼されていないルートによる一時的な証明書を多数の CA から無償で入手できます。

重要：認証局 (CA) から署名入り TLS 証明書を取得するとき、特定のルールと指針に従う必要があります。

証明書要求を生成するときに、[互換性] タブで [Windows Server 2008] が選択されている証明書テンプレートを選択するか、[登録ポリシーなしで続行する] を選択し、[テンプレート] の [（テンプレートなし）レガシーキー] を選択します。これを行わないと、証明書 MMC スナップインにプライベートキーが存在することが示されていても、Horizon 8 はプライベートキーを検出できません。
VMware セキュリティ推奨事項に準拠するために、クライアントデバイスがホストへの接続に使用する完全修飾ドメイン名（FQDN）を使用します。内部ドメインの範囲内の通信にも、シンプルなサーバ名や IP アドレスは使用しないでください。
サーバの証明書を生成するときは、1,024 未満の KeyLength 値を使用しないでください。クライアントエンドポイントは、1024 未満の KeyLength で生成されたサーバ上の証明書は検証しません。この場合、クライアントはサーバへの接続に失敗します。Connection Server によって実行される証明書検証も失敗し、影響を受けるサーバが Horizon Console のダッシュボードで赤色に表示されます。

証明書取得に関する一般的な情報については、MMC への証明書スナップインにある Microsoft オンラインヘルプを参照してください。証明書スナップインがコンピュータにインストールされていない場合は、証明書スナップインを MMC に追加するを参照してください。