依預設,Horizon Agent for Linux 安裝程式會為 VMwareBlastServer 精靈產生自我簽署憑證,該精靈會使用 Blast 顯示通訊協定來處理與用戶端的通訊。若要符合產業或安全法規,您可以將 VMwareBlastServer 的自我簽署憑證取代為憑證授權機構 (CA) 簽署的憑證。

  • Horizon Connection Server 未啟用 Blast 安全閘道時,VMwareBlastServer 會向使用 HTML Access 來連線至 Linux 桌面平台的瀏覽器出示預設自我簽署憑證。
  • Horizon Connection Server 啟用 Blast 安全閘道時,Blast 安全閘道會向瀏覽器出示其憑證。

若要將 VMwareBlustServer 的預設自我簽署憑證取代為 CA 簽署的憑證,您可以使用下列其中一種方法。

  • BCFKS 金鑰儲存區:藉由此方法,您可以使用 DeployBlastCert.sh 部署指令碼,將憑證和私密金鑰儲存在 /etc/vmware/ssl 目錄中的加密 Bouncy Castle FIPS 金鑰儲存區 (BCFKS) 中。
  • 未加密儲存區:藉由此方法,您可以手動將憑證和私密金鑰 (未加密) 複製到 /etc/vmware/ssl 目錄的根層級。

VMwareBlastServer 精靈會先在 Linux 金鑰環中尋找 BCFKS 金鑰儲存區中的憑證和私密金鑰。如果找不到 BCFKS 金鑰儲存區,它會讀取儲存在 /etc/vmware/ssl 的根層級中的憑證和私密金鑰。

將 VMwareBlustServer CA 憑證部署到 BCFKS 金鑰儲存區

DeployBlastCert.sh 部署指令碼會在 /etc/vmware/ssl 目錄中建立一個名為 vmwareblast.bcfks 的新 BCFKS 金鑰儲存區,並在這個金鑰儲存區中儲存該憑證和私密金鑰。然後,金鑰儲存區中的資訊會新增至 Linux 金鑰儲存區。

  1. 分別使用 SSLCertNameSSLKeyName 組態選項,來自訂憑證名稱和私密金鑰名稱,這些名稱將顯示在 Linux 金鑰環中。如需詳細資訊,請參閱/etc/vmware/viewagent-custom.conf 中的組態選項
  2. 執行 DeployBlastCert.sh 部署指令碼,如以下範例中所示。
    sudo /usr/lib/vmware/viewagent/bin/DeployBlastCert.sh -c /root/rui.cert -k /root/rui.key

    對部署指令碼使用以下參數旗標:

    參數旗標 說明
    -c 指定 CA 簽署的憑證檔案。
    -k 指定私密金鑰檔案。

將 VMwareBlustServer CA 憑證部署到未加密的儲存區

  1. 將私密金鑰和 CA 簽署的憑證新增至 /etc/vmware/ssl
    1. 將私密金鑰重新命名為 rui.key,並將憑證重新命名為 rui.crt
    2. /etc/vmware/ssl 設定讀取和可執行檔權限。 
      sudo chmod 550 /etc/vmware/ssl
    3. rui.keyrui.crt 複製到 /etc/vmware/ssl
    4. /etc/vmware/ssl 移除可執行檔權限。 
      sudo chmod 440 /etc/vmware/ssl
  2. 將根和中繼 CA 憑證安裝至 Linux 作業系統憑證授權機構存放區。

    如需必須變更以支援 CA 憑證鏈結的其他系統設定的相關資訊,請參閱您的 Linux 發行版本的說明文件。