Linux マシンへの VMwareBlastServer の CA 署名付き証明書のインストール

デフォルトでは、Horizon Agent for Linux インストーラは、Blast 表示プロトコルを使用してクライアントとの通信を処理する VMwareBlastServer デーモンの自己署名証明書を生成します。業界またはセキュリティの規制に準拠するために、VMwareBlastServer の自己署名証明書に代わって認証局 (CA) が署名した証明書を使用できます。

Blast Security Gateway が Horizon Connection Server で有効になっていない場合、VMwareBlastServer は、デフォルトの自己署名証明書を HTML Access を使用するブラウザに提示して Linux デスクトップに接続します。
Blast Security Gateway が Horizon Connection Server で有効になっているとき、Blast Security Gateway はこの証明書をブラウザに提示します。

VMwareBlastServer のデフォルトの自己署名証明書を CA 署名付き証明書に置き換えるには、次のいずれかの方法を使用します。

[BCFKS キーストア]：この方法では、DeployBlastCert.sh 展開スクリプトを使用して、証明書とプライベートキーを /etc/vmware/ssl ディレクトリにある暗号化された Bouncy Castle FIPS キーストア (BCFKS) に保存します。
[暗号化されていないストレージ]：この方法では、証明書とプライベートキーを手動でコピーし、暗号化せずに /etc/vmware/ssl ディレクトリのルートレベルにコピーします。

VMwareBlastServer デーモンは、まず、Linux キーリングで BCFKS キーストアの証明書とプライベートキーを探します。BCFKS キーストアが見つからない場合は、/etc/vmware/ssl のルートレベルに保存されている証明書とプライベートキーを読み取ります。

BCFKS キーストアへの VMwareBlastServer CA 証明書の展開

DeployBlastCert.sh 展開スクリプトは、/etc/vmware/ssl ディレクトリに vmwareblast.bcfks という名前の新しい BCFKS キーストアを作成し、このキーストアに証明書とプライベートキーを保存します。次に、キーストア内の情報が Linux キーリングに追加されます。

[SSLCertName] および [SSLKeyName] 構成オプションを使用して、Linux キーリングに表示される証明書名とプライベートキー名をカスタマイズします。詳細については、「/etc/vmware/viewagent-custom.conf の構成オプション」を参照してください。

次の例のように、DeployBlastCert.sh 展開スクリプトを実行します。

sudo /usr/lib/vmware/viewagent/bin/DeployBlastCert.sh -c /root/rui.cert -k /root/rui.key

展開スクリプトで次のパラメータフラグを使用します。


パラメータフラグ	説明
-c	CA 署名付き証明書ファイルを指定します。
-k	プライベートキーファイルを指定します。

暗号化されていないストレージへの VMwareBlastServer CA 証明書の展開

プライベートキーと CA 署名付き証明書を /etc/vmware/ssl に追加します。
1. プライベートキーの名前を [rui.key] に変更し、証明書の名前を [rui.crt] に変更します。
2. /etc/vmware/ssl に読み取り権限と実行権限を設定します。
```
sudo chmod 550 /etc/vmware/ssl
```
3. [rui.key] と [rui.crt] を /etc/vmware/ssl にコピーします。
4. /etc/vmware/ssl の実行権限を削除します。
```
sudo chmod 440 /etc/vmware/ssl
```
ルート CA 証明書と中間 CA 証明書を Linux OS の認証局ストアにインストールします。
CA 証明書チェーンをサポートするために変更が必要な他のシステム設定については、Linux ディストリビューションのドキュメンテーションを参照してください。