依預設,Horizon Agent for Linux 安裝程式會為 VMwareBlastServer 精靈產生自我簽署憑證,該精靈會使用 Blast 顯示通訊協定來處理與用戶端的通訊。若要符合產業或安全法規,您可以將 VMwareBlastServer 的自我簽署憑證取代為憑證授權機構 (CA) 簽署的憑證。
- 當 Horizon Connection Server 未啟用 Blast 安全閘道時,VMwareBlastServer 會向使用 HTML Access 來連線至 Linux 桌面平台的瀏覽器出示預設自我簽署憑證。
- 當 Horizon Connection Server 啟用 Blast 安全閘道時,Blast 安全閘道會向瀏覽器出示其憑證。
若要將 VMwareBlustServer 的預設自我簽署憑證取代為 CA 簽署的憑證,您可以使用下列其中一種方法。
- BCFKS 金鑰儲存區:藉由此方法,您可以使用
DeployBlastCert.sh
部署指令碼,將憑證和私密金鑰儲存在 /etc/vmware/ssl 目錄中的加密 Bouncy Castle FIPS 金鑰儲存區 (BCFKS) 中。 - 未加密儲存區:藉由此方法,您可以手動將憑證和私密金鑰 (未加密) 複製到 /etc/vmware/ssl 目錄的根層級。
VMwareBlastServer 精靈會先在 Linux 金鑰環中尋找 BCFKS 金鑰儲存區中的憑證和私密金鑰。如果找不到 BCFKS 金鑰儲存區,它會讀取儲存在 /etc/vmware/ssl 的根層級中的憑證和私密金鑰。
將 VMwareBlustServer CA 憑證部署到 BCFKS 金鑰儲存區
DeployBlastCert.sh
部署指令碼會在 /etc/vmware/ssl 目錄中建立一個名為 vmwareblast.bcfks 的新 BCFKS 金鑰儲存區,並在這個金鑰儲存區中儲存該憑證和私密金鑰。然後,金鑰儲存區中的資訊會新增至 Linux 金鑰儲存區。
- 分別使用 SSLCertName 和 SSLKeyName 組態選項,來自訂憑證名稱和私密金鑰名稱,這些名稱將顯示在 Linux 金鑰環中。如需詳細資訊,請參閱/etc/vmware/viewagent-custom.conf 中的組態選項。
- 執行
DeployBlastCert.sh
部署指令碼,如以下範例中所示。sudo /usr/lib/vmware/viewagent/bin/DeployBlastCert.sh -c /root/rui.cert -k /root/rui.key
對部署指令碼使用以下參數旗標:
參數旗標 說明 -c 指定 CA 簽署的憑證檔案。 -k 指定私密金鑰檔案。
將 VMwareBlustServer CA 憑證部署到未加密的儲存區
- 將私密金鑰和 CA 簽署的憑證新增至 /etc/vmware/ssl。
- 將私密金鑰重新命名為 rui.key,並將憑證重新命名為 rui.crt。
- 在 /etc/vmware/ssl 設定讀取和可執行檔權限。
sudo chmod 550 /etc/vmware/ssl
- 將 rui.key 和 rui.crt 複製到 /etc/vmware/ssl。
- 在 /etc/vmware/ssl 移除可執行檔權限。
sudo chmod 440 /etc/vmware/ssl
- 將根和中繼 CA 憑證安裝至 Linux 作業系統憑證授權機構存放區。
如需必須變更以支援 CA 憑證鏈結的其他系統設定的相關資訊,請參閱您的 Linux 發行版本的說明文件。