기본적으로 Horizon Agent for Linux 설치 관리자는 Blast 디스플레이 프로토콜을 사용하여 클라이언트와의 통신을 처리하는 VMwareBlastServer 데몬에 대해 자체 서명된 인증서를 생성합니다. 산업 또는 보안 규정을 준수하기 위해 VMwareBlastServer에 대한 자체 서명된 인증서를 CA(인증 기관)에서 서명한 인증서로 교체할 수 있습니다.
- Horizon Connection Server에서 Blast 보안 게이트웨이를 사용하지 않도록 설정한 경우에는 VMwareBlastServer에서 HTML Access를 사용하여 Linux 데스크톱에 연결하는 브라우저에 기본 자체 서명된 인증서를 제공합니다.
- Horizon Connection Server에서 Blast 보안 게이트웨이를 사용하도록 설정한 경우에는 Blast 보안 게이트웨이가 브라우저에 인증서를 제공합니다.
VMwareBlastServer에 대한 기본 자체 서명 인증서를 CA 서명 인증서로 교체하려면 다음 방법 중 하나를 사용할 수 있습니다.
- BCFKS 키 저장소: 이 방법을 사용하면
DeployBlastCert.sh
배포 스크립트를 사용하여 인증서와 개인 키를 /etc/vmware/ssl 디렉토리의 암호화된 BCFKS(Bouncy Castle FIPS 키 저장소)에 저장합니다. - 암호화되지 않은 스토리지: 이 방법을 사용하면 암호화 없이 인증서와 개인 키를 수동으로 /etc/vmware/ssl 디렉토리의 루트 수준으로 복사합니다.
VMwareBlastServer 데몬은 먼저 Linux 키 지정에서 BCFKS 키 저장소의 인증서 및 개인 키를 찾습니다. BCFKS 키 저장소를 찾지 못하면 /etc/vmware/ssl의 루트 수준에 저장된 인증서 및 개인 키를 읽습니다.
ACLS 키 저장소에 VMwareBlastServer CA 인증서 배포
참고: 이 배포 방법은
Horizon Agent 2209.x, 버전 2209.1 이상에서만 지원됩니다.
Horizon Agent 2209.0에서는 지원되지 않습니다.
DeployBlastCert.sh
배포 스크립트는 /etc/vmware/ssl 디렉토리에 vmwareblast.bcfks라는 새 BCFKS 키 저장소를 생성하고 인증서 및 개인 키를 이 키 저장소에 저장합니다. 그런 다음 키 저장소의 정보가 Linux 키 지정에 추가됩니다.
- SSLCertName 및 SSLKeyName 구성 옵션을 사용하여 Linux 키 지정에 표시될 인증서 이름과 개인 키 이름을 각각 사용자 지정합니다. 자세한 내용은 /etc/vmware/viewagent-custom.conf의 구성 옵션 항목을 참조하십시오.
- 다음 예제와 같이
DeployBlastCert.sh
배포 스크립트를 실행합니다.sudo /usr/lib/vmware/viewagent/bin/DeployBlastCert.sh -c /root/rui.cert -k /root/rui.key
배포 스크립트에 대해 다음 매개 변수 플래그를 사용합니다.
매개 변수 플래그 설명 -c CA 서명된 인증서 파일을 지정합니다. -k 개인 키 파일을 지정합니다.
암호화되지 않은 스토리지에 VMwareBlastServer CA 인증서 배포
- 개인 키와 CA 서명된 인증서를 /etc/vmware/ssl에 추가합니다.
- 개인 키의 이름을 rui.key로 변경하고 인증서의 이름을 rui.crt로 변경합니다.
- /etc/vmware/ssl에서 읽기 및 실행 사용 권한을 설정합니다.
sudo chmod 550 /etc/vmware/ssl
- rui.key 및 rui.crt를 /etc/vmware/ssl로 복사합니다.
- /etc/vmware/ssl에서 실행 사용 권한을 제거합니다.
chmod 440 /etc/vmware/ssl
- Linux OS 인증 기관 저장소에 루트 및 중간 CA 인증서를 설치합니다.
CA 인증서 체인을 지원하도록 변경해야 하는 다른 시스템 설정에 대한 자세한 내용은 Linux 배포에 대한 설명서를 참조하십시오.