若要為 Horizon 7 Server 設定 TLS 伺服器憑證,您必須執行數項高階工作。

在複寫的連線伺服器執行個體的網繭中,您必須在網繭中的所有執行個體上執行這些工作。

執行這些工作的程序會在此概觀後續的各主題中描述。

  1. 判斷您是否需要向 CA 取得新簽署的 TLS 憑證。

    如果您的組織已有有效的 TLS 伺服器憑證,您可以使用該憑證取代隨連線伺服器、安全伺服器或 View Composer 提供的預設 TLS 伺服器憑證。若要使用現有的憑證,您還需要隨附的私密金鑰。

    開始進行 動作
    組織已提供有效的 TLS 伺服器憑證給您。 直接移至步驟 2。
    您沒有 TLS 伺服器憑證。 向 CA 取得簽署的 TLS 伺服器憑證。
  2. 將 TLS 憑證匯入至 Horizon 7 Server 主機上的 Windows 本機電腦憑證存放區。
  3. 針對連線伺服器執行個體和安全伺服器,將憑證易記名稱修改為 vdm

    將易記名稱 vdm 僅指派給每個 Horizon 7 Server 主機上的一個憑證。

  4. 在連線伺服器電腦上,如果 Windows Server 主機不信任根憑證,請將根憑證匯入至 Windows 本機電腦憑證存放區。

    此外,如果連線伺服器執行個體不信任為安全伺服器、View Composer 和 vCenter Server 主機設定的 TLS 伺服器憑證的根憑證,則您也必須匯入這些根憑證。您僅需要針對連線伺服器執行個體採取這些步驟。您不必將根憑證匯入至 View Composer、vCenter Server 或安全伺服器主機。

  5. 如果您的伺服器憑證是由中繼 CA 所簽署,請將中繼憑證匯入至 Windows 本機電腦憑證存放區。

    若要簡化用戶端組態,請將整個憑證鏈結匯入至 Windows 本機電腦憑證存放區。如果 Horizon 7 Server 中缺少中繼憑證,則必須為啟動 Horizon Administrator 的用戶端和電腦設定這些憑證。

  6. 針對 View Composer 執行個體,請採取下列其中一個步驟:
    • 如果您在安裝 View Composer 之前將憑證匯入至 Windows 本機電腦憑證存放區,就可以在安裝 View Composer 期間選取您的憑證。
    • 如果您要在安裝 View Composer 之後將現有憑證或預設的自我簽署憑證取代為新憑證,請執行 SviConfig ReplaceCertificate 公用程式,將新憑證繫結至 View Composer 所使用的連接埠。
  7. 如果您的 CA 並不知名,請設定用戶端信任根憑證和中繼憑證。

    此外,請確定啟動 Horizon Administrator 的電腦信任根憑證和中繼憑證。

  8. 判斷是否要重新設定憑證撤銷檢查。

    連線伺服器會在 Horizon 7 Server、View Composer 和 vCenter Server 上執行憑證撤銷檢查。CA 簽署的大部分憑證都包含憑證撤銷資訊。如果您的 CA 不包含這項資訊,您可以設定伺服器不要檢查憑證撤銷的狀況。

    如果設定了 SAML 驗證器與連線伺服器執行個體搭配使用,則連線伺服器也會對 SAML 伺服器憑證執行憑證撤銷檢查。