如果組織未提供 TLS 伺服器憑證給您,則您必須要求 CA 簽署的新憑證。
您可以使用多種方法取得新簽署的憑證。例如,您可以使用 Microsoft certreq 公用程式產生憑證簽署要求 (CSR),並將憑證要求提交至 CA。
請參閱《用於設定 Horizon 7 之 TLS 憑證的案例》文件中的範例,以瞭解如何使用 certreq 來完成這項工作。
基於測試目的,您可以向許多 CA 取得以未受信任的根憑證為基礎的免費暫時憑證。
重要: 從 CA 取得簽署的 TLS 憑證時,您必須遵循特定規則和指導方針。
- 當您在電腦上產生憑證要求時,請確定也一併產生私密金鑰。當您取得 TLS 伺服器憑證並將其匯入至 Windows 本機電腦憑證存放區時,必須有與此憑證相對應的隨附私密金鑰。
- 若要符合 VMware 安全性建議,請使用用戶端裝置用於連線至主機的完整網域名稱 (FQDN)。請勿使用簡單伺服器名稱或 IP 位址,即使針對內部網域內的通訊。
- 不要使用僅與 Windows Server 2008 Enterprise CA 或更新版本相容的憑證範本來建立伺服器的憑證。
- 不要使用低於 1024 的 KeyLength 值,來產生伺服器的憑證。用戶端端點不會驗證在伺服器上以低於 1024 的 KeyLength 產生的憑證,而且用戶端將無法連線至伺服器。連線伺服器執行的憑證驗證也會失敗,導致受影響的伺服器在 Horizon Administrator 儀表板中顯示為紅色。
如需取得憑證的一般資訊,請參閱 MMC 的憑證嵌入式管理單元中提供的 Microsoft 線上說明。如果您的電腦尚未安裝憑證嵌入式管理單元,請參閱將憑證嵌入式管理單元新增到 MMC 中。
