최종 사용자에게 데스크톱 및 애플리케이션에 대한 SSO(Single Sign-On) 액세스 권한을 제공하려면 VMware CA를 사용하여 SSO를 위한 단기 스마트 카드 인증서를 발급해야 합니다. 투명성과 보안을 위해 프로세스에는 설정된 Microsoft 유틸리티를 사용하는 PowerShell 스크립트가 포함됩니다.
다음 목록은 VMware CA 구성에 대한 정보를 제공합니다. 다음 항목에 설명된 대로 SSO를 구성할 때 컨텍스트에서 이와 동일한 세부 정보를 다양하게 접하게 됩니다. 예를 들어 VMware CA에 대한 Horizon Cloud Service - next-gen에 SSO 구성 추가에서는 VMware CA 번들을 다운로드하기 위한 지침을 제공합니다. 이 번들에는 VMware SSO CA 번들을 Active Directory 포리스트에 게시에 설명된 대로 SSO를 구성하기 위해 실행할 VMware PowerShell 스크립트가 포함되어 있습니다.
- VMware CA를 사용하는 SSO에 필요한 기능을 사용하도록 설정하려면 다음 상황 중 하나가 Active Directory 포리스트에 적용되어야 합니다.
- Active Directory 포리스트에 하나 이상의 온라인 Microsoft Enterprise CA가 구성되어 있으며 이 경우 다음과 같은 결과가 발생합니다.
- Microsoft Enterprise CA가 해당 CA 인증서 및 CRL(인증서 해지 목록)을 포리스트에 자동으로 게시합니다.
- 도메인 컨트롤러가 인증서를 자동으로 등록합니다.
- Active Directory 포리스트가 타사 CA 또는 독립형 Microsoft CA를 사용하며 이 경우 다음을 적용해야 합니다.
- certutil과 같은 유틸리티를 사용하여 모든 CA 인증서를 포리스트에 수동으로 게시해야 합니다.
- 해지 정보는 항상 HTTP를 통해 사용할 수 있어야 합니다.
- 도메인 컨트롤러는 클라이언트 인증, 서버 인증, 스마트 카드 로그온 및 KDC 인증을 허용하는 인증서로 발급되어야 합니다.
- Active Directory 포리스트에 하나 이상의 온라인 Microsoft Enterprise CA가 구성되어 있으며 이 경우 다음과 같은 결과가 발생합니다.
- VMware CA를 루트 CA 또는 중간 CA로 구성할 수 있습니다. 그러나 PKI(공용 키 인프라) 모범 사례는 중간 CA를 선택하는 것입니다.
- 루트 CA를 사용하는 경우 VMware CA 인증서는 5년 동안 유효합니다.
- 중간 CA를 사용하는 경우 발급한 CA가 VMware CA 인증서의 유효 기간을 결정합니다.
- 중간 CA를 사용하는 경우 Microsoft CA 또는 타사 CA에서 VMware CA 인증서에 서명할 수 있습니다.
- 타사 CA를 사용하는 경우 도메인 멤버 시스템이 VMware CA 인증서를 검증하는 데 필요한 모든 인증서 및 해지 정보에 액세스할 수 있는지 확인합니다.
- VMware CA를 신뢰하려면 VMware CA 번들을 Active Directory 포리스트의 다양한 위치에 게시해야 합니다.
- 도메인 멤버 시스템에서 적절한 사용 권한이 있는 관리자 권한으로 VMware PowerShell 스크립트를 실행하여 VMware CA 번들을 게시합니다.
- VMware PowerShell 스크립트는 한 번만 실행하면 됩니다. Active Directory는 게시된 PKI 데이터를 Active Directory 포리스트의 모든 도메인에 있는 모든 도메인 컨트롤러 및 데스크톱에 복제합니다. 복잡한 Active Directory 배포에서 Repadmin과 같은 유틸리티를 사용하여 SSO를 시도하기 전에 서로 다른 도메인 또는 사이트의 도메인 컨트롤러 간에 구성 이름 지정 컨텍스트를 적시에 복제할 수 있습니다.
- PowerShell 스크립트는 완전한 투명성을 위해 Microsoft 유틸리티 certreq 및 certutil을 사용합니다. PowerShell 스크립트를 실행하기 전에 스크립트를 읽고 스크립트가 수행하는 작업을 정확하게 확인할 수 있습니다.
