Microsoft certreq 公用程式會使用組態檔來產生 CSR。您必須先建立組態檔,才能產生要求。請建立組態檔,然後在主控將使用憑證之 Horizon 7 Server 的 Windows Server 電腦上產生 CSR。
必要條件
收集您填妥組態檔所需的資訊。您必須知道 Horizon 7 Server 的 FQDN,以及組織單位、組織、城市、州和國家/地區才能完成主體名稱。
程序
- 開啟文字編輯器,並將下列包括開始和結束標記的文字貼到檔案中。
;----------------- request.inf -----------------
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=View_Server_FQDN, OU=Organizational_Unit, O=Organization, L=City, S=State, C=Country"
; Replace View_Server_FQDN with the FQDN of the Horizon 7 server.
; Replace the remaining Subject attributes.
KeySpec = 1
KeyLength = 2048
; KeyLength is usually chosen from 2048, 3072, or 4096. A KeyLength
; of 1024 is also supported, but it is not recommended.
HashAlgorithm = SHA256
; Algorithms earlier than SHA-2 are insufficiently secure and are not recommended.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication
;-----------------------------------------------
如果您在複製並貼上文字時,將額外的 CR/LF 字元新增至
Subject = 行中,請刪除 CR/LF 字元。
- 使用 Horizon 7 Server 和部署的適當值來更新 Subject 屬性。
例如:
CN=dept.company.com
若要符合 VMware 安全性建議,請使用用戶端裝置用於連線至主機的完整網域名稱 (FQDN)。請勿使用簡單伺服器名稱或 IP 位址,即使針對內部網域內的通訊。
某些 CA 不允許您對州屬性使用縮寫。
- (選擇性) 更新 Keylength 屬性。
除非您明確需要不同的
KeyLength 大小,否則預設值 2048 即足夠使用。許多 CA 皆需要至少 2048 的值。較大的金鑰大小更為安全,但對於效能影響較大。
1024 的 KeyLength 也受支援,但美國國家標準技術研究所 (NIST) 建議不要使用此大小的金鑰,因為隨著電腦的效能日益強大,更強的加密也可能遭到破解。
重要: 請勿產生低於 1024 的
KeyLength 值。Windows 版
Horizon Client 不會驗證
Horizon 7 Server 上以低於 1024 之
KeyLength 產生的憑證,且
Horizon Client 裝置將無法連線至
Horizon 7。連線伺服器執行的憑證驗證也會失敗,導致受影響的
Horizon 7 Server 在 Horizon Administrator 儀表板中顯示為紅色。
- 將檔案儲存為 request.inf。