若要使用 VMware 憑證授權機構 (CA) 為使用者提供對其桌面和應用程式的單一登入 (SSO) 存取權,可以使用 VMware CA 發行 SSO 的短期智慧卡憑證。考量到公開透明和安全性,此程序將執行一個使用已建立的 Microsoft 公用程式的 PowerShell 指令碼。
下列清單提供有關設定 VMware CA 的資訊。如後續主題所述設定 SSO 時,您在文中會看到許多相同的詳細資料。例如,為 VMware CA 將 SSO 組態新增至 Horizon Cloud Service - next-gen提供了有關下載 VMware CA 服務包的指示。該服務包提供 VMware PowerShell 指令碼,供您執行來設定 SSO,如將 VMware SSO CA 服務包發佈至 Active Directory 樹系中所指示。
- 若要使用 VMware CA 啟用 SSO 所需的功能,Active Directory 樹系必須存在以下任一情況:
- Active Directory 樹系中至少設定一個線上 Microsoft 企業 CA,在此情況下會出現以下結果。
- Microsoft 企業 CA 自動將其 CA 憑證和憑證撤銷清單 (CRL) 發佈到樹系。
- 網域控制站自動註冊憑證。
- Active Directory 樹系使用第三方 CA 或獨立 Microsoft CA,在此情況下必須滿足以下條件。
- 必須使用 certutil 等公用程式手動將所有 CA 憑證發佈到樹系。
- 必須一律可透過 HTTP 取得徹銷資訊。
- 必須發行憑證給網域控制站,以允許用戶端驗證、伺服器驗證、智慧卡登入和 KDC 驗證。
- Active Directory 樹系中至少設定一個線上 Microsoft 企業 CA,在此情況下會出現以下結果。
- 您可以將 VMware CA 設定為根 CA 或中繼 CA。但是,公開金鑰基礎結構 (PKI) 最佳做法是選取中繼 CA。
- 如果使用根 CA,則 VMware CA 憑證的有效期為 5 年。
- 如果使用中繼 CA,則由發行 CA 決定 VMware CA 憑證的有效期。
- 如果使用中繼 CA,則可以由 Microsoft CA 或任何第三方 CA 簽署 VMware CA 憑證。
- 如果使用第三方 CA,請確保網域成員機器可存取驗證 VMware CA 憑證所需的所有憑證和徹銷資訊。
- 為了使 VMware CA 受信任,您必須將 VMware CA 服務包發佈到 Active Directory 樹系中的不同位置。
- 在網域成員機器上以具有適當權限的管理員身分執行 VMware PowerShell 指令碼,以發佈 VMware CA 服務包。
- VMware PowerShell 指令碼只需要執行一次。Active Directory 會將發佈的 PKI 資料複寫到 Active Directory 樹系中所有網域中的所有網域控制站和桌面。您可以在複雜的 Active Directory 部署中使用 Repadmin 等公用程式,以確保在嘗試使用 SSO 之前,及時在不同網域或站台中的網域控制站之間複寫組態命名內容。
- PowerShell 指令碼使用 Microsoft 公用程式 certreq 和 certutil,確保完全公開透明。在執行 PowerShell 指令碼之前,您可以閱讀指令碼以清楚瞭解該指令碼的功能。