如果組織未提供 TLS 伺服器憑證給您,則您必須要求 CA 簽署的新憑證。
您可以使用多種方法取得新簽署的憑證。例如,您可以使用 Microsoft certreq 公用程式產生憑證簽署要求 (CSR),並將憑證要求提交至 CA。
有關說明如何使用 certreq 來完成這項工作的範例,請參閱《Horizon 整合》文件。
基於測試目的,您可以向許多 CA 取得以未受信任的根憑證為基礎的免費暫時憑證。
重要: 從 CA 取得簽署的 TLS 憑證時,您必須遵循特定規則和指導方針。
- 產生憑證要求時,請選擇一個已在 [相容性] 索引標籤中選取了 Windows Server 2008 的憑證範本,或是選取在沒有註冊原則的情況下繼續,並針對範本,選擇 (無範本) 舊版金鑰。如果不這樣做,Horizon 8 將無法偵測到私密金鑰,即使憑證 MMC 嵌入式管理單元指出該私密金鑰已存在也是如此。
- 若要符合 VMware 安全性建議,請使用用戶端裝置用於連線至主機的完整網域名稱 (FQDN)。請勿使用簡單伺服器名稱或 IP 位址,即使針對內部網域內的通訊。
- 請勿使用低於 1024 的 KeyLength 值來產生伺服器的憑證。用戶端端點不會驗證伺服器上以低於 1024 的 KeyLength 產生的憑證,而且用戶端將無法連線至伺服器。連線伺服器執行的憑證驗證也會失敗,導致受影響的伺服器在 Horizon Console 儀表板中顯示為紅色。
如需取得憑證的一般資訊,請參閱 MMC 的憑證嵌入式管理單元中提供的 Microsoft 線上說明。如果您的電腦尚未安裝憑證嵌入式管理單元,請參閱將憑證嵌入式管理單元新增到 MMC 中。
