若要讓使用者透過單一登入 (SSO) 存取其桌面和應用程式,您必須使用 VMware 憑證授權機構 (CA) 發行 SSO 的短期智慧卡憑證。考量到公開透明和安全性,該過程將執行一個使用已建立的 Microsoft 公用程式的 VMware PowerShell 指令碼。

以下項目符號清單提供有關設定 VMware CA 的資訊。如後續主題所述設定 SSO 時,您在文中會看到許多相同的詳細資料。例如,新增 SSO 組態提供了有關下載 VMware CA 服務包的指示。該服務包提供 VMware PowerShell 指令碼,供您執行來設定 SSO,如將 VMware SSO CA 服務包發佈至 Active Directory 樹系中所指示。

  • 若要使用 VMware CA 啟用 SSO 所需的功能,Active Directory 樹系必須存在以下任一情況:
    • Active Directory 樹系中至少設定一個線上 Microsoft Enterprise CA,在此情況下會出現以下結果。
      • Microsoft Enterprise CA 自動將其 CA 憑證和憑證撤銷清單 (CRL) 發佈到樹系。
      • 網域控制站自動註冊憑證。
    • Active Directory 樹系使用第三方 CA 或獨立 Microsoft CA,在此情況下必須滿足以下條件。
      • 必須使用 certutil 等公用程式手動將所有 CA 憑證發佈到樹系。
      • 必須一律可透過 HTTP 取得徹銷資訊。
      • 必須發行憑證給網域控制站,以允許用戶端驗證、伺服器驗證、智慧卡登入和 KDC 驗證。
  • 您可以將 VMware CA 設定為根 CA 或中繼 CA。但是,公開金鑰基礎結構 (PKI) 最佳做法是選取中繼 CA。
  • 如果使用根 CA,則 VMware CA 憑證的有效期為 5 年。
  • 如果使用中繼 CA,則由發行 CA 決定 VMware CA 憑證的有效期。
  • 如果使用中繼 CA,則可以由 Microsoft CA 或任何第三方 CA 簽署 VMware CA 憑證。
  • 如果使用第三方 CA,請確保網域成員機器可存取驗證 VMware CA 憑證所需的所有憑證和徹銷資訊。
  • 為了信任 VMware CA,您必須將 VMware CA 服務包發佈到 Active Directory 樹系中的不同位置。
  • 您在網域成員機器上以具有適當權限的管理員身分執行 VMware PowerShell 指令碼,以發佈 VMware CA 服務包。
  • VMware PowerShell 指令碼只需要執行一次。Active Directory 會將發佈的 PKI 資料複寫到 Active Directory 樹系中所有網域中的所有網域控制站和桌面。您可以在複雜的 Active Directory 部署中使用 Repadmin 等公用程式,以確保在嘗試使用 SSO 之前,及時在不同網域或站台中的網域控制站之間複寫組態命名內容。
  • PowerShell 指令碼使用 Microsoft 公用程式 certreqcertutil,確保完全公開透明。在執行 PowerShell 指令碼之前,您可以閱讀指令碼以清楚瞭解該指令碼的功能。