Microsoft certreq 유틸리티는 구성 파일을 사용하여 CSR을 생성합니다. 요청을 생성하려면 먼저 구성 파일을 생성해야 합니다. 파일을 생성하고 인증서를 사용하는 Horizon 서버를 호스팅하는 Windows Server 컴퓨터에서 CSR을 생성합니다.

사전 요구 사항

구성 파일에 입력해야 하는 정보를 수집합니다. 대상 이름을 완성하려면 Horizon 서버의 FQDN과 조직 구성 단위, 조직, 구/군/시, 시/도 및 국가를 알고 있어야 합니다.

프로시저

  1. 텍스트 편집기를 열고 다음 텍스트를 시작 태그 및 끝 태그를 포함하여 파일에 붙여넣습니다.
    ;----------------- request.inf ----------------- 
    
    [Version] 
    
    Signature="$Windows NT$" 
    
    [NewRequest]
    
    Subject = "CN=View_Server_FQDN, OU=Organizational_Unit, O=Organization, L=City, S=State, C=Country" 
    ; Replace View_Server_FQDN with the FQDN of the Horizon server.
    ; Replace the remaining Subject attributes.  
    KeySpec = 1 
    KeyLength = 2048 
    ; KeyLength is usually chosen from 2048, 3072, or 4096. A KeyLength
    ; of 1024 is also supported, but it is not recommended. 
    HashAlgorithm = SHA256
    ; Algorithms earlier than SHA-2 are insufficiently secure and are not recommended.
    Exportable = TRUE 
    MachineKeySet = TRUE 
    SMIME = False 
    PrivateKeyArchive = FALSE 
    UserProtected = FALSE 
    UseExistingKeySet = FALSE 
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider" 
    ProviderType = 12
    RequestType = PKCS10 
    KeyUsage = 0xa0 
    
    [EnhancedKeyUsageExtension] 
    
    OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication 
    
    ;-----------------------------------------------
    
    
    이 텍스트를 복사한 후 붙여 넣을 때 추가 CR/LF 문자가 Subject = 줄에 추가될 경우 해당 CR/LF 문자를 삭제하십시오.
  2. Subject 특성을 Horizon 서버 및 배포에 대한 적절한 값으로 업데이트합니다.
    예: CN=dept.company.com
    VMware 보안 권장 사항을 준수하기 위해 클라이언트 디바이스가 호스트에 연결하는 데 사용하는 FQDN(정규화된 도메인 이름)을 사용하십시오. 내부 도메인에서의 통신에도 단순한 서버 이름이나 IP 주소를 사용하지 마십시오.

    일부 CA는 state 특성에 대해 약어를 사용하도록 허용하지 않습니다.

  3. (선택 사항) Keylength 특성을 업데이트합니다.
    다른 KeyLength 크기가 명시적으로 필요하지 않으면 기본값 2048이 적절합니다. 많은 수의 CA에서 최소값 2048을 요구합니다. 키 크기가 클수록 더 안전하지만 성능에 더 많은 영향을 미칩니다.

    컴퓨터가 계속해서 더 강력해지고 더 강력한 암호를 해독할 수 있게 되면서 NIST(National Institute of Standards and Technology)에서는 1024의 키 크기를 권장하지 않지만 1024의 KeyLength도 여전히 지원됩니다.

    중요: 1024 미만의 KeyLength 값은 생성하지 마십시오. Windows용 Horizon Client는 1024 미만의 KeyLength로 생성된 Horizon서버의 인증서 유효성을 검사하지 않으며 Horizon Client 디바이스는 Horizon에 연결되지 않습니다. 연결 서버에서 수행하는 인증서 유효성 검사도 실패하므로 영향을 받는 Horizon 서버가 Horizon Console 대시보드에 빨간색으로 나타납니다.
  4. 파일을 request.inf로 저장합니다.

다음에 수행할 작업

구성 파일에서 CSR을 생성합니다.