使用 True SSO 功能所需的元素之一是 Microsoft 憑證授權機構 (CA)。如果您尚未設定憑證授權機構 (CA),則必須新增 Active Directory 憑證服務 (AD CS) 角色至 Microsoft Windows Server,並將該伺服器設定為企業 CA。您可以使用 Service Manager 精靈執行此程序。

以下是安裝 Microsoft CA 的標準步驟。此主題中詳述的步驟適用於實驗室環境的簡易形式,但對於實際生產系統,建議您依照 CA 組態的業界最佳做法進行操作。

如果您在安裝 CA 方面需要進一步的指導方針,請參閱標準 Microsoft 技術參考:《Active Directory 憑證服務逐步指南》和《安裝根憑證授權單位》。

備註: 為了說明此程序,本主題中的特定步驟以使用 Windows Server 2012 R2 為基礎。在 Windows Server 系統上可遵循大致相同的步驟。如果您想要在裝載此 CA 的相同系統上安裝註冊伺服器,請確定您使用的是註冊伺服器支援的 Windows Server 版本之一。請參閱 Horizon Cloud - True SSO - 設定註冊伺服器

程序

  1. 在 [伺服器管理員] 儀表板上按一下新增角色及功能以開啟精靈,然後按下一步
  2. 在 [選取安裝類型] 頁面上選取角色型或功能型安裝,然後按下一步
  3. 在 [伺服器選取] 頁面上保留預設值,然後按下一步
  4. 在 [伺服器角色] 頁面上:
    1. 選取 [Active Directory 憑證服務]。
    2. 在對話方塊中,選取 [包含管理工具] (如適用),然後按一下新增功能
    3. 下一步
  5. 在 [功能] 頁面上,按下一步
  6. 在 [AD CS] 頁面上,按下一步
  7. 在 [角色服務] 頁面上選取 [憑證授權單位],然後按下一步
  8. 在 [確認] 頁面上,選取 [必要時自動重新啟動目的地伺服器],然後按一下安裝
    安裝進度即會顯示。安裝完成後會顯示一個 URL 連結,讓您在目的地伺服器上將新安裝的 CA 設定為「設定 Active Directory 憑證服務」。
  9. 按一下組態連結以啟動組態精靈。
  10. 在 [認證] 頁面上,輸入「企業管理員」群組中的使用者認證,然後按下一步
  11. 在 [角色服務] 頁面上選取 [CA],然後按下一步
  12. 在 [安裝類型] 頁面上選取 [企業 CA],然後按下一步
  13. 在 [CA 類型] 頁面上,視情況選取 [根 CA] 或 [次級 CA] (在此範例中為根 CA),然後按下一步
  14. 在 [私密金鑰] 頁面上,選取 [建立新的私密金鑰],然後按下一步
  15. 在 [密碼編譯] 頁面上,輸入如下資訊。
    欄位 說明
    密碼編譯提供者 RSA#Microsoft 軟體金鑰儲存提供者
    金鑰長度 4096 (或根據您偏好的其他長度)
    雜湊演算法 SHA256 (或根據您偏好的其他 SHA 演算法)
  16. 在 [CA 名稱] 頁面上,設定為慣用名稱或接受預設值,然後按下一步
  17. 在 [有效期間] 頁面上設定為慣用期間,然後按下一步
  18. 在 [憑證資料庫] 頁面上,按下一步
  19. 在 [確認] 頁面上檢閱資訊,然後按一下設定
  20. 執行下列工作 (從命令提示字元執行所有命令) 以完成組態程序。
    1. 設定 CA 以進行非持續性憑證處理
      certutil –setreg DBFlags 
      +DBFLAGS_ENABLEVOLATILEREQUESTS
    2. 將 CA 設定為忽略離線 CRL 錯誤
      certutil –setreg ca\CRLFlags 
      +CRLF_REVCHECK_IGNORE_OFFLINE
    3. 重新啟動 CA 服務
      net stop certsvc
      net start certsvc
  21. 依照Horizon Cloud - True SSO - 設定 CA 上的憑證範本中的步驟設定 CA 上的憑證範本。