為 Horizon Cloud 設定 SSO 時,視您的 VMware 憑證授權機構 (CA) 組態的詳細資料而定,您必須執行以下適當的工作。
後續程序的摘要
建立 SSO 服務包時,您可以使用 PowerShell 指令碼,將該服務包發佈到建有服務包的樹系。此動作可確保 SSO 適用於服務包所在的樹系。
為了讓 SSO 能夠在其他信任樹系中使用,必須依如下所示,將 VMware CA 憑證路徑中的根憑證和中繼憑證發佈到信任樹系。
- 必須將根 CA 憑證發佈到信任樹系。
- 必須將中繼 CA 憑證發佈到信任樹系。
- 必須將根 CA 憑證發佈到 NTAuth 存放區。
- 對於整個憑證鏈結,必須一律可經由 HTTP 取得撤銷資訊。
將根憑證新增至受信任的根憑證授權機構
必須將終止 VMware CA 憑證路徑的根憑證新增至 Active Directory 中的「受信任的根憑證授權機構」群組原則。
程序
- 在信任組態中的所有 Active Directory 樹系上,將根憑證新增至受信任的根憑證授權機構。
- 選取 。
- 展開您的網域,在預設網域原則上按一下滑鼠右鍵,然後按一下編輯。
- 展開電腦設定區段,並開啟 Windows 設定\安全性設定\公開金鑰。
- 在受信任的根憑證授權機構上按一下滑鼠右鍵,然後選取匯入。
- 依照精靈中的提示,匯入根憑證 (例如,rootCA.cer),然後按一下確定。
- 關閉 [群組原則] 視窗。
結果
網域中的所有系統在其受信任的根存放區中,現在都有一份根憑證的複本。
下一步
如果中繼憑證授權機構 (CA) 發行智慧卡登入或網域控制站憑證,請將中繼憑證新增至 Active Directory 中的「中繼憑證授權機構」群組原則。請參閱將中繼憑證新增至中繼憑證授權機構。
將中繼憑證新增至中繼憑證授權機構
必須將來自 VMware CA 憑證路徑的所有臨時憑證新增至 Active Directory 中的「中繼憑證授權機構」群組原則。
程序
- 在信任組態中的所有 Active Directory 樹系上,將 VMware CA 憑證鏈結中的所有中繼憑證新增至中繼憑證授權機構。在 Active Directory 伺服器上,導覽至群組原則管理外掛程式,並完成下列步驟:
- 選取 。
- 展開您的網域,在預設網域原則上按一下滑鼠右鍵,然後按一下編輯。
- 展開電腦設定區段,並開啟 Windows 設定\安全性設定\公開金鑰的原則。
- 在中繼憑證授權機構上按一下滑鼠右鍵,然後選取匯入。
- 依照精靈中的提示,匯入中繼憑證 (例如,intermediateCA.cer),然後按一下確定。
- 關閉 [群組原則] 視窗。
結果
網域中的所有系統在其中繼憑證授權機構存放區中,現在都有一份中繼憑證的複本。
將根憑證新增至 Enterprise NTAuth 存放區
必須將終止 VMware CA 憑證路徑的根憑證新增至 Active Directory 中的 Enterprise NTAuth 存放區。
程序
- ♦ 在 Active Directory 伺服器上,使用 certutil 命令將憑證發佈到 Enterprise NTAuth 存放區。
例如: certutil -dspublish -f path_to_root_CA_cert NTAuthCA
結果
現在已信任 CA 發行此類型的憑證。