若要為 VMware Horizon Server 設定 TLS 伺服器憑證,您必須執行數項高階工作。

在複寫的連線伺服器執行個體的網繭中,您必須在網繭中的所有執行個體上執行這些工作。

執行這些工作的程序會在此概觀後續的各主題中描述。

  1. 判斷您是否需要向 CA 取得新簽署的 TLS 憑證。

    如果您的組織已有有效的 TLS 伺服器憑證,您可以使用該憑證取代隨連線伺服器提供的預設 TLS 伺服器憑證。若要使用現有的憑證,您還需要隨附的私密金鑰。

    開始進行 動作
    組織已提供有效的 TLS 伺服器憑證給您。 直接移至步驟 2。
    您沒有 TLS 伺服器憑證。 向 CA 取得簽署的 TLS 伺服器憑證。
  2. 將 TLS 憑證匯入至 VMware Horizon Server 主機上的 Windows 本機電腦憑證存放區。
  3. 針對連線伺服器執行個體,將憑證易記名稱修改為 vdm

    將易記名稱 vdm 僅指派給每個 VMware Horizon Server 主機上的一個憑證。

  4. 在連線伺服器電腦上,如果 Windows Server 主機不信任根憑證,請將根憑證匯入至 Windows 本機電腦憑證存放區。

    此外,如果連線伺服器執行個體不信任為 vCenter Server 主機設定的 TLS 伺服器憑證的根憑證,則您也必須匯入這些根憑證。您僅需要針對連線伺服器執行個體採取這些步驟。您不需將根憑證匯入至 vCenter Server 主機。

  5. 如果您的伺服器憑證是由中繼 CA 所簽署,請將中繼憑證匯入至 Windows 本機電腦憑證存放區。

    若要簡化用戶端組態,請將整個憑證鏈結匯入至 Windows 本機電腦憑證存放區。如果 VMware Horizon Server 中缺少中繼憑證,則必須為啟動 Horizon Console 的用戶端和電腦設定這些憑證。

  6. 如果您的 CA 並不知名,請設定用戶端信任根憑證和中繼憑證。

    此外,請確定啟動 Horizon Console 的電腦信任根憑證和中繼憑證。

  7. 判斷是否要重新設定憑證撤銷檢查。

    連線伺服器會在 VMware Horizon Server 和 vCenter Server 上執行憑證撤銷檢查。CA 簽署的大部分憑證都包含憑證撤銷資訊。如果您的 CA 不包含這項資訊,您可以設定伺服器不要檢查憑證撤銷的狀況。

    如果設定了 SAML 驗證器與連線伺服器執行個體搭配使用,則連線伺服器也會對 SAML 伺服器憑證執行憑證撤銷檢查。