Microsoft certreq 公用程式會使用組態檔來產生 CSR。您必須先建立組態檔,才能產生要求。請建立組態檔,然後在主控將使用憑證之 Horizon 8 Server 的 Windows Server 電腦上產生 CSR。

必要條件

收集填寫組態檔案所需的資訊。您必須知道 Horizon 8 Server 的 FQDN,以及組織單位、組織、城市、州和國家/地區才能完成主體名稱。

程序

  1. 開啟文字編輯器,並將下列包括開始和結束標記的文字貼到檔案中。
    ;----------------- request.inf ----------------- 
    
    [Version] 
    
    Signature="$Windows NT$" 
    
    [NewRequest]
    
    Subject = "CN=View_Server_FQDN, OU=Organizational_Unit, O=Organization, L=City, S=State, C=Country" 
    ; Replace View_Server_FQDN with the FQDN of the Horizon server.
    ; Replace the remaining Subject attributes.  
    KeySpec = 1 
    KeyLength = 2048 
    ; KeyLength is usually chosen from 2048, 3072, or 4096. A KeyLength
    ; of 1024 is also supported, but it is not recommended. 
    HashAlgorithm = SHA256
    ; Algorithms earlier than SHA-2 are insufficiently secure and are not recommended.
    Exportable = TRUE 
    MachineKeySet = TRUE 
    SMIME = False 
    PrivateKeyArchive = FALSE 
    UserProtected = FALSE 
    UseExistingKeySet = FALSE 
    ProviderName = "Microsoft Strong Cryptographic Provider" 
    ProviderType = 12
    RequestType = PKCS10 
    KeyUsage = 0xa0 
    
    [EnhancedKeyUsageExtension] 
    
    OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication 
    
    ;-----------------------------------------------
    
    
    如果您在複製並貼上文字時,將額外的 CR/LF 字元新增至 Subject = 行中,請刪除 CR/LF 字元。
  2. 使用 Horizon 8 Server 和部署的適當值來更新 Subject 屬性。
    例如: CN=dept.company.com
    若要符合 VMware 安全性建議,請使用用戶端裝置用於連線至主機的完整網域名稱 (FQDN)。請勿使用簡單伺服器名稱或 IP 位址,即使針對內部網域內的通訊。

    某些 CA 不允許您對州屬性使用縮寫。

  3. (選擇性) 更新 Keylength 屬性。
    除非您明確需要不同的 KeyLength 大小,否則預設值 2048 即足夠使用。許多 CA 皆需要至少 2048 的值。較大的金鑰大小更為安全,但對於效能影響較大。

    1024 的 KeyLength 也受支援,但美國國家標準技術研究所 (NIST) 建議不要使用此大小的金鑰,因為隨著電腦的效能日益強大,更強的加密也可能遭到破解。

    重要: 請勿產生低於 1024 的 KeyLength 值。Windows 版 Horizon Client 不會驗證 Horizon 8 Server 上以低於 1024 之 KeyLength 產生的憑證,且 Horizon Client 裝置將無法連線至 Horizon 8。連線伺服器執行的憑證驗證也會失敗,導致受影響的 Horizon 8 Server 在主控台儀表板中顯示為紅色。
  4. 將檔案儲存為 request.inf

下一步

從組態檔產生 CSR。