Horizon Cloud 設定 SSO 時,視您的憑證授權機構 (CA) 組態而定,您必須執行以下適當的工作。

後續程序的摘要

建立 SSO 服務包時,您可以使用 PowerShell 指令碼,將該服務包發佈到建有服務包的樹系。此動作可確保 SSO 適用於服務包所在的樹系。

為了讓 SSO 能夠在其他信任樹系中使用,必須依如下所示,將 VMware CA 憑證路徑中的根憑證和中繼憑證發佈到信任樹系。

  • 必須將根 CA 憑證發佈到信任樹系。
  • 必須將中繼 CA 憑證發佈到信任樹系。
  • 必須將根 CA 憑證發佈到 NTAuth 存放區。
  • 對於整個憑證鏈結,必須一律可經由 HTTP 取得撤銷資訊。

將根憑證新增至受信任的根憑證授權機構

必須將終止 VMware CA 憑證路徑的根憑證新增至 Active Directory 中的「受信任的根憑證授權機構」群組原則。

程序

  1. 在信任組態中的所有 Active Directory 樹系上,將根憑證新增至受信任的根憑證授權機構。
    1. 選取開始 > 系統管理工具 > 群組原則管理
    2. 展開您的網域,在預設網域原則上按一下滑鼠右鍵,然後按一下編輯
  2. 展開電腦設定區段,並開啟 Windows 設定\安全性設定\公開金鑰
  3. 受信任的根憑證授權機構上按一下滑鼠右鍵,然後選取匯入
  4. 依照精靈中的提示,匯入根憑證 (例如,rootCA.cer),然後按一下確定
  5. 關閉 [群組原則] 視窗。

結果

網域中的所有系統在其受信任的根存放區中,現在都有一份根憑證的複本。

下一步

如果中繼憑證授權機構 (CA) 發行智慧卡登入或網域控制站憑證,請將中繼憑證新增至 Active Directory 中的「中繼憑證授權機構」群組原則。請參閱將中繼憑證新增至中繼憑證授權機構

將中繼憑證新增至中繼憑證授權機構

必須將來自 VMware CA 憑證路徑的所有臨時憑證新增至 Active Directory 中的「中繼憑證授權機構」群組原則。

程序

  1. 在信任組態中的所有 Active Directory 樹系上,將 VMware CA 憑證鏈結中的所有中繼憑證新增至中繼憑證授權機構。在 Active Directory 伺服器上,導覽至群組原則管理外掛程式,並完成下列步驟:
    1. 選取開始 > 系統管理工具 > 群組原則管理
    2. 展開您的網域,在預設網域原則上按一下滑鼠右鍵,然後按一下編輯
  2. 展開電腦設定區段,並開啟 Windows 設定\安全性設定\公開金鑰的原則。
  3. 中繼憑證授權機構上按一下滑鼠右鍵,然後選取匯入
  4. 依照精靈中的提示,匯入中繼憑證 (例如,intermediateCA.cer),然後按一下確定
  5. 關閉 [群組原則] 視窗。

結果

網域中的所有系統在其中繼憑證授權機構存放區中,現在都有一份中繼憑證的複本。

將根憑證新增至 Enterprise NTAuth 存放區

必須將終止 VMware CA 憑證路徑的根憑證新增至 Active Directory 中的 Enterprise NTAuth 存放區。

程序

  • 在 Active Directory 伺服器上,使用 certutil 命令將憑證發佈到 Enterprise NTAuth 存放區。
    例如: certutil -dspublish -f path_to_root_CA_cert NTAuthCA

結果

現在已信任 CA 發行此類型的憑證。