证书企业ssl证书

为View设置SSL证书的方案修改日期:2018年1月4日VMwareHorizon77.
4您可以从VMware网站下载最新的技术文档:https://docs.
vmware.
com/cn/.
如果您对本文档有任何意见或建议,请将反馈信息发送至:docfeedback@vmware.
comVMware,Inc.
3401HillviewAve.
PaloAlto,CA94304www.
vmware.
com威睿信息技术(中国)有限公司北京办公室北京市朝阳区新源南路8号启皓北京东塔8层801www.
vmware.
com/cn上海办公室上海市淮海中路333号瑞安大厦804-809室www.
vmware.
com/cn广州办公室广州市天河路385号太古汇一座3502室www.
vmware.
com/cn版权所有2012-2018VMware,Inc.
保留所有权利.
版权和商标信息为View设置SSL证书的方案VMware,Inc.
2目录为View设置SSL证书的方案41从证书颁发机构获取SSL证书5确定本方案对您是否适用5选择正确的证书类型6使用MicrosoftCertreq生成证书签名请求和获取证书6创建CSR配置文件.
7生成CSR并从CA请求签名证书9确认CSR及其私钥存储在Windows证书存储区中10使用Certreq导入签名证书11为ViewServer设置导入的证书112将SSL连接负载分流到中间服务器13将SSL负载分流服务器的证书导入到ViewServer13从中间服务器下载SSL证书14从中间服务器下载私钥15将证书文件转换为PKCS#12格式16将签名的服务器证书导入到Windows证书存储区16修改证书的友好名称17将根证书和中间证书导入Windows证书存储区18将ViewServer外部URL设置为将客户端指向SSL负载分流服务器19设置Horizon连接服务器实例的外部URL19修改安全服务器的外部URL19允许源自中间服务器的HTTP连接20VMware,Inc.
3为View设置SSL证书的方案《为View设置SSL证书的方案》提供了一些示例来说明如何设置SSL证书以供View服务器使用.
第一个方案演示如何从证书颁发机构获取签名SSL证书,并确保证书具有可供ViewServer使用的格式.
第二个方案演示如何配置ViewServer以将SSL连接负载分流到中间服务器.
目标读者本信息面向希望安装View,并需要获取ViewServer所用SSL证书的用户,或使用中间服务器将SSL连接负载分流到View的用户.
本文档中的信息专门为已熟练掌握虚拟机技术和数据中心操作、并具有丰富经验的Windows或Linux系统管理员编写.
VMware,Inc.
4从证书颁发机构获取SSL证书1VMware强烈建议配置由有效证书颁发机构(CertificateAuthority,CA)签名的SSL证书,以供View连接服务器实例、安全服务器和ViewComposer实例使用.
在安装View连接服务器实例、安全服务器和ViewComposer实例时,会生成默认的SSL证书.
尽管默认的自签名证书可以用于测试目的,但还是应尽快更换它们.
默认证书未由CA签名.
如果使用未经CA签发的证书,不受信任的第三方将有可能伪装成您的服务器并截获流量.
在View环境中,还应将随vCenterServer一起安装的默认证书替换为经由CA签名的证书.
您可以使用openssl为vCenterServer执行此任务.
有关详细信息,请参阅VMware技术白皮书站点上的"替换vCenterServer证书",其网址为http://www.
vmware.
com/resources/techresources/.
本章讨论了以下主题:n确定本方案对您是否适用n选择正确的证书类型n使用MicrosoftCertreq生成证书签名请求和获取证书确定本方案对您是否适用在View5.
1和更高版本中,通过将证书导入到ViewServer主机上的Windows本地计算机证书存储区中,来为View配置证书.
您必须先生成证书签名请求(CertificateSigningRequest,CSR)并从CA获取有效的签名证书,然后才能导入证书.
如果未根据本方案介绍的示例过程生成CSR,则您获取的证书及其私钥必须以PKCS#12(以前称为PFX)格式文件提供.
可通过多种方法从CA获取SSL证书.
本方案演示如何使用Microsoftcertreq实用程序生成CSR并将证书提供给ViewServer使用.
如果您很熟悉所需的工具并且您的服务器上安装有这些工具,则可以使用其他方法.
使用本方案可解决以下问题:n您没有由CA签名的SSL证书,而且您也不知道如何获取它们n您拥有有效的签名SSL证书,但它们的格式不是PKCS#12(PFX)如果您的组织提供了由CA签名的SSL证书,则您可以使用这些证书.
您的组织可以使用有效的内部CA或第三方商业CA.
如果证书的格式不是PKCS#12,则必须进行转换.
请参阅将证书文件转换为PKCS#12格式.
VMware,Inc.
5如果您具有格式正确的签名证书,则可以将其导入Windows证书存储区,并将ViewServer配置为使用该证书.
请参阅为ViewServer设置导入的证书.
选择正确的证书类型您可以将不同类型的SSL证书用于View.
为您的部署选择正确的证书类型是至关重要的.
不同的证书类型具有不同的成本,具体取决于可以使用它们的服务器数.
请使用证书的完全限定域名(FullyQualifiedDomainName,FQDN)以遵循VMware安全建议,而无论选择哪种类型.
不要使用简单的服务器名称或IP地址,即使内部域中的通信也是如此.
单服务器名称证书您可以为特定服务器生成具有使用者名称的证书.
例如:dept.
company.
com.
比如在只有一个View连接服务器实例需要证书的情况下,这种类型的证书将会非常有用.
在将证书签名请求提交到CA时,您可以提供与证书关联的服务器名称.
请确保ViewServer可以解析提供的服务器名称,以使其与证书的关联名称相匹配.
使用者备用名称使用者备用名称(SubjectAlternativeName,SAN)是一个在颁发证书时可添加到证书中的属性.
可以使用该属性将使用者名称(URL)添加到证书中,以便它可以验证多个服务器.
例如,可为主机名为dept.
company.
com的服务器颁发证书.
打算让通过安全服务器连接到View的外部用户来使用该证书.
在签发证书之前,您可以将SANdept-int.
company.
com添加到证书,以便在启用了隧道的情况下,允许证书在负载平衡器背后的View连接服务器实例或安全服务器上使用.
通配证书可以生成一个通配证书,以便将其用于多个服务.
例如:*.
company.
com.
如果多个服务器需要使用证书,则通配证书是非常有用的.
除了View以外,如果环境中的其他应用程序需要使用SSL证书,您也可以在这些服务器中使用通配证书.
不过,如果使用与其他服务共享的通配证书,则VMwareHorizon产品的安全性还取决于这些其他服务的安全性.
注您只能在单个域级别使用通配证书.
例如,可以将具有主体名称*.
company.
com的通配证书用于子域dept.
company.
com,但不能用于dept.
it.
company.
com.
使用MicrosoftCertreq生成证书签名请求和获取证书要将证书提供给ViewServer使用,您必须创建配置文件,从配置文件生成证书签名请求(CSR),并将签名请求发送给CA.
当CA返回证书时,您必须将签名证书导入ViewServer主机上的Windows本地计算机证书存储区,在该位置证书将与以前生成的私钥结合.
CSR可以通过多种方法生成,具体取决于证书本身的生成方式.
为View设置SSL证书的方案VMware,Inc.
6在WindowsServer2008R2上提供了Microsoftcertreq实用程序,可使用该实用程序生成CSR和导入签名证书.
如果您要将请求发送给第三方CA,使用certreq为View获取证书是最快速、最简单的方法.
步骤1创建CSR配置文件.
Microsoftcertreq实用程序使用配置文件生成CSR.
您必须先创建配置文件,然后才能生成请求.
可在托管将使用该证书的ViewServer的WindowsServer计算机上创建配置文件并生成CSR.
2生成CSR并从CA请求签名证书利用已完成的配置文件,您可以通过运行certreq实用程序生成CSR.
将请求发送给第三方CA,该CA将返回签名证书.
3确认CSR及其私钥存储在Windows证书存储区中如果您使用certreq实用程序生成CSR,该实用程序还会生成一个关联的私钥.
该实用程序将CSR及私钥存储在生成该CSR时所在计算机的Windows本地计算机证书存储区中.
您可以通过Microsoft管理控制台(MMC)证书管理单元来确认CSR及私钥已正确存储.
4使用Certreq导入签名证书如果您有CA签名的证书,可以将证书导入ViewServer主机上的Windows本地计算机证书存储区.
5为ViewServer设置导入的证书将服务器证书导入到Windows本地计算机证书存储区后,您必须执行其他步骤以允许ViewServer使用该证书.
创建CSR配置文件.
Microsoftcertreq实用程序使用配置文件生成CSR.
您必须先创建配置文件,然后才能生成请求.
可在托管将使用该证书的ViewServer的WindowsServer计算机上创建配置文件并生成CSR.
前提条件收集填写配置文件所需的信息.
您必须知道ViewServer的FQDN、组织单位、组织、城市、州和国家/地区,才能填写主体名称.
步骤1打开文本编辑器,将以下文本(包括开始标记和结束标记)粘贴到文件中.
request.
inf[Version]Signature="$WindowsNT$"[NewRequest]Subject="CN=View_Server_FQDN,OU=Organizational_Unit,O=Organization,L=City,S=State,C=Country"为View设置SSL证书的方案VMware,Inc.
7;ReplaceView_Server_FQDNwiththeFQDNoftheViewserver.
;ReplacetheremainingSubjectattributes.
KeySpec=1KeyLength=2048;KeyLengthisusuallychosenfrom2048,3072,or4096.
AKeyLength;of1024isalsosupported,butitisnotrecommended.
HashAlgorithm=SHA256;AlgorithmsearlierthanSHA-2areinsufficientlysecureandarenotrecommended.
Exportable=TRUEMachineKeySet=TRUESMIME=FalsePrivateKeyArchive=FALSEUserProtected=FALSEUseExistingKeySet=FALSEProviderName="MicrosoftRSASChannelCryptographicProvider"ProviderType=12RequestType=PKCS10KeyUsage=0xa0[EnhancedKeyUsageExtension]OID=1.
3.
6.
1.
5.
5.
7.
3.
1;thisisforServerAuthentication如果复制和粘贴文本时在Subject=行中添加了额外的换行(CR/LF)符,请将换行符删除.
2使用您的ViewServer和部署的相应值更新Subject属性.
例如:CN=dept.
company.
com为了遵循VMware安全建议,请使用客户端设备在连接主机时使用的完全限定域名(FQDN).
不要使用简单的服务器名称或IP地址,即使内部域中的通信也是如此.
某些CA不允许为state属性使用缩写形式.
3(可选)更新Keylength属性.
除非您确实需要一个不同的KeyLength大小,否则默认值2048就已足够.
许多CA要求最小值为2048.
较大的密钥大小会更安全,但对性能的影响会比较大.
虽然也支持值为1024的KeyLength,但是国家标准与技术研究院(NationalInstituteofStandardsandTechnology,NIST)不建议使用此大小的密钥,因为计算机越来越强大,很可能能够破解更强大的加密.
重要事项请勿生成小于1024的KeyLength值.
适用于Windows的HorizonClient将不对ViewServer上生成的、KeyLength值小于1024的证书进行验证,HorizonClient设备将无法连接到View.
View连接服务器执行的证书验证也会失败,进而导致受影响的ViewServer在ViewAdministrator仪表板中显示为红色.
4将文件另存为request.
inf.
为View设置SSL证书的方案VMware,Inc.
8后续步骤从配置文件生成CSR.
生成CSR并从CA请求签名证书利用已完成的配置文件,您可以通过运行certreq实用程序生成CSR.
将请求发送给第三方CA,该CA将返回签名证书.
前提条件n确认您已完成CSR配置文件.
请参阅创建CSR配置文件.
.
n在CSR配置文件所在的计算机上执行此过程中所述的certreq操作.
步骤1在开始菜单中右键单击命令提示符并选择以管理员身份运行以打开命令提示符.
2导航到保存request.
inf文件的目录.
例如:cdc:\certificates3生成CSR文件.
例如:certreq-newrequest.
infcertreq.
txt4按照CA的注册流程,使用CSR文件的内容将证书请求提交给CA.
a当您将请求提交给CA时,CA会提示您选择将安装该证书的服务器类型.
由于View使用Microsoft证书MMC管理证书,请选择适用于Microsoft、MicrosoftIIS7或类似类型服务器的证书.
CA应会生成一个格式符合View使用需要的证书.
b如果您请求单服务器名称证书,请使用HorizonClient设备可解析为此ViewServer的IP地址的名称.
计算机用来连接ViewServer的名称应该与证书的关联名称相一致.
注CA可能会要求您将CSR文件(例如certreq.
txt)的内容复制并粘贴到Web表单中.
您可以使用文本编辑器复制CSR文件的内容.
请确保复制内容包括开始标记和结束标记.
例如:-----BEGINNEWCERTIFICATEREQUEST-----MIID2jCCAsICAQAwazEWMBQGA1UEBhMNVW5pdGVkIFN0YXRlczELMAkGA1UECAwCQ0ExEjAQBgNVBAcMCVBhbG8gQWx0bzEKMAgGA1UECgwBTzELMAkGA1UECwwCT1UxFzAVBgNVBAMMDm15LmNvbXBhbnkuY29tMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A.
.
.
.
.
.
L9nPYX76jeu5rwQfXLivSCea6nZiIOZYw8Dbn8dgwAqpJdzBbrwuM1TuSnx6bAK8S52Tv0GxW58jUTtxFV+Roz8TE8wZDFB51jx+FmLs-----ENDNEWCERTIFICATEREQUEST-----在对您的公司进行核查后,CA会根据CSR中的信息创建服务器证书,使用私钥对其进行签名,然后将证书发送给您.
CA还会向您发送一个根CA证书和一个中间CA证书(如果适用).
为View设置SSL证书的方案VMware,Inc.
95将证书文本文件重命名为cert.
cer.
请确保该文件位于生成证书请求的ViewServer上.
6将根CA证书文件和中间CA证书文件分别重命名为root.
cer和intermediate.
cer.
请确保这些文件位于生成证书请求的ViewServer上.
注当您使用certreq实用程序将证书导入Windows本地计算机证书存储区时,这些证书无需采用PKCS#12(PFX)格式.
如果使用证书导入向导将证书导入到Windows证书存储区,则需要使用PKCS#12(PFX)格式.
后续步骤确认CSR文件及其私钥存储在Windows本地计算机证书存储区中.
确认CSR及其私钥存储在Windows证书存储区中如果您使用certreq实用程序生成CSR,该实用程序还会生成一个关联的私钥.
该实用程序将CSR及私钥存储在生成该CSR时所在计算机的Windows本地计算机证书存储区中.
您可以通过Microsoft管理控制台(MMC)证书管理单元来确认CSR及私钥已正确存储.
私钥以后必须随签名证书一起使用,以确保ViewServer能够正确导入和使用证书.
前提条件n确认已使用certreq实用程序生成CSR,并且已从CA请求签名证书.
请参阅生成CSR并从CA请求签名证书.
n熟悉将证书管理单元添加到Microsoft管理控制台(MMC)的过程.
请参阅《View安装指南》文档中"为ViewServer配置SSL证书"一章的"将证书管理单元添加至MMC".
步骤1在WindowsServer计算机上,将证书管理单元添加到MMC.
2在WindowsServer计算机的MMC窗口中,展开证书(本地计算机)节点并选择证书注册申请文件夹.
3展开证书注册申请文件夹并选择证书文件夹.
4确认证书项显示在证书文件夹中.
颁发给和颁发者字段必须显示在用于生成CSR的request.
inf文件的subject:CN字段中输入的域名.
5通过以下步骤之一确认证书含有私钥:n确认证书图标上显示有黄色钥匙图案.
n双击证书,确认在"证书信息"对话框中显示有以下声明:您有一个与该证书对应的私钥.
后续步骤将证书导入Windows本地计算机证书存储区.
为View设置SSL证书的方案VMware,Inc.
10使用Certreq导入签名证书如果您有CA签名的证书,可以将证书导入ViewServer主机上的Windows本地计算机证书存储区.
如果您使用certreq实用程序生成CSR,则证书私钥位于生成CSR的服务器本地.
要使证书能够正常使用,必须与私钥结合使用.
使用此过程中所示的certreq命令,可确保证书和私钥正常组合并导入Windows证书存储区.
如果您使用其他方法从CA获取签名的证书,则可以使用Microsoft管理控制台(MMC)管理单元中的证书导入向导,将证书导入Windows证书存储区.
《View安装指南》文档的"为ViewServer配置SSL证书"中介绍了此方法.
前提条件n确认您已从CA收到签名证书.
请参阅生成CSR并从CA请求签名证书.
n在生成CSR并存储签名证书的计算机上,执行此过程中所述的certreq操作.
步骤1在开始菜单中右键单击命令提示符并选择以管理员身份运行以打开命令提示符.
2导航到保存签名证书文件(如cert.
cer)的目录.
例如:cdc:\certificates3通过运行certreq-accept命令导入签名的证书.
例如:certreq-acceptcert.
cer该证书将导入到Windows本地计算机证书存储区.
后续步骤将导入的证书配置为可由ViewServer使用.
请参阅为ViewServer设置导入的证书.
为ViewServer设置导入的证书将服务器证书导入到Windows本地计算机证书存储区后,您必须执行其他步骤以允许ViewServer使用该证书.
步骤1确认服务器证书已成功导入.
2将证书的友好名称更改为vdm.
vdm必须为小写.
具有友好名称vdm的其他任何证书都必须重新命名,否则必须从这些证书移除友好名称.
您无需修改ViewComposer所用证书的友好名称.
3在Windows证书存储区中安装根CA证书和中间CA证书.
4重新启动View连接服务器服务、安全服务器服务或ViewComposer服务,以让该服务开始使用新证书.
为View设置SSL证书的方案VMware,Inc.
115如果在VMwareHorizonView5.
2或更高版本中使用HTMLAccess,请重新启动VMwareViewBlast安全网关服务.
6如果在ViewComposerServer上设置证书,您可能需要执行其他步骤.
n如果在安装ViewComposer之后设置新的证书,则必须运行SviConfigReplaceCertificate实用程序以替换绑定至ViewComposer所用端口的证书.
n如果在安装ViewComposer之前设置新证书,则不必运行SviConfigReplaceCertificate实用程序.
运行ViewComposer安装程序时,您可以选择用CA签名的新证书取代默认的自签名证书.
有关更多信息,请参阅《View安装指南》文档中的"将新SSL证书绑定到ViewComposer使用的端口".
要在此过程中执行这些任务,请参阅以下主题:n修改证书的友好名称n将根证书和中间证书导入Windows证书存储区有关更多信息,请参阅《View安装指南》文档中的"配置View连接服务器、安全服务器或ViewComposer以使用新SSL证书".
注此处并未列出《View安装指南》中的主题"将签发的服务器证书导入Windows证书存储区",因为您已经使用certreq实用程序导入了服务器证书.
您不应使用MMC管理单元中的"证书导入"向导再次导入此服务器证书.
但是,您可以使用"证书导入"向导将根CA证书和中间CA证书导入到Windows证书存储区中.
为View设置SSL证书的方案VMware,Inc.
12将SSL连接负载分流到中间服务器2您可以在ViewServer和HorizonClient设备之间设置中间服务器,以执行负载平衡和负载分流SSL连接之类的任务.
HorizonClient设备通过HTTPS连接到中间服务器,然后中间服务器将连接传递到对外的View连接服务器实例或安全服务器.
要将SSL连接负载分流到中间服务器,您必须完成以下几个关键任务:n将中间服务器使用的SSL证书导入到对外的ViewServern在对外的ViewServer上,将外部URL设置为与客户端可用来连接到中间服务器的URL相匹配n允许中间服务器和ViewServer之间的HTTP连接本章讨论了以下主题:n将SSL负载分流服务器的证书导入到ViewServern将ViewServer外部URL设置为将客户端指向SSL负载分流服务器n允许源自中间服务器的HTTP连接将SSL负载分流服务器的证书导入到ViewServer如果将SSL连接负载分流到中间服务器,您必须将中间服务器的证书导入到View连接服务器实例或连接到中间服务器的安全服务器中.
同一个SSL服务器证书必须同时位于正在进行负载分流的中间服务器和连接到中间服务器并且已被负载分流的Viewserver中.
如果您部署安全服务器,则中间服务器和连接到该中间服务器的安全服务器必须拥有相同的SSL证书.
您不必在已与安全服务器配对但未直接连接到中间服务器的View连接服务器实例上安装相同的SSL证书.
如果您未部署安全服务器,或者如果您的混合网络环境包含一些安全服务器和一些面向外部的View连接服务器实例,则中间服务器和连接到该中间服务器的任何View连接服务器实例都必须拥有相同的SSL证书.
如果中间服务器的证书未安装在View连接服务器实例或安全服务器上,则客户端无法验证其与View的连接.
在这种情况下,Viewserver发送的证书指纹与HorizonClient连接的中间服务器上的证书不一致.
VMware,Inc.
13不要混淆负载平衡与SSL负载分流.
前者适用于任何被配置为提供SSL负载分流功能的设备,包括某些类型的负载平衡程序.
但是,单纯的负载平衡不要求在设备之间复制证书.
重要事项以下主题中介绍的方案展示了在第三方组件与VMware组件之间共享SSL证书的一种方法.
此方法可能并非适合所有人,这也不是执行该任务的唯一方法.
步骤1从中间服务器下载SSL证书必须先下载在中间服务器上安装的CA签名的SSL证书,然后才能将其导入到对外的ViewServer.
2从中间服务器下载私钥您必须下载与中间服务器上的SSL证书相关联的私钥.
私钥必须随证书一起导入到ViewServer上.
3将证书文件转换为PKCS#12格式如果您获取的证书及其私钥采用的是PEM格式或其他格式,则必须先将其转换为PKCS#12(PFX)格式,然后才能将该证书导入到ViewServer上的Windows证书存储区中.
如果您使用Windows证书存储区中的"证书导入"向导,则需要使用PKCS#12(PFX)格式.
4将签名的服务器证书导入到Windows证书存储区您必须将SSL服务器证书导入到安装了连接服务器实例或安全服务器服务的WindowsServer主机上的Windows本地计算机证书存储区中.
5修改证书的友好名称要将连接服务器实例或安全服务器配置为识别并使用SSL证书,必须将证书的友好名称修改为vdm.
6将根证书和中间证书导入Windows证书存储区您必须将根证书和证书链中的任何中间证书导入Windows本地计算机证书存储区.
从中间服务器下载SSL证书必须先下载在中间服务器上安装的CA签名的SSL证书,然后才能将其导入到对外的ViewServer.
步骤1连接中间服务器,并找到向发送HTTPS请求的客户端提供的SSL证书.
2找到并下载用于View的SSL证书.
示例:从F5BIG-IPLTM系统下载SSL证书此示例使用F5BIG-IP本地流量管理器(LocalTrafficManager,LTM)作为中间服务器.
该示例旨在让您大致了解如何从您自己的中间服务器下载证书.
重要事项这些步骤是特定于F5BIG-IPLTM的操作,可能不适用于新版本或其他F5产品.
这些步骤不适用于其他供应商的中间服务器.
为View设置SSL证书的方案VMware,Inc.
14在开始之前,请确定已在View中部署F5BIG-IPLTM系统.
确认您已完成F5部署指南《在VMwareView中部署BIG-IPLTM系统》(网址为http://www.
f5.
com/pdf/deployment-guides/f5-vmware-view-dg.
pdf)中的任务.
1连接F5BIG-IPLTM配置实用程序.
2在导航窗格的"主页"选项卡上,展开本地流量,然后单击SSL证书.
该实用程序会显示系统中已安装证书的列表.
3在"名称"列中,单击用于View的证书的名称.
4在屏幕底部,单击导出.
该实用程序会在证书文本框中显示现有的SSL证书.
5从证书文件设置中,单击下载file_name.
将以CRT文件形式下载SSL证书.
从中间服务器下载私钥您必须下载与中间服务器上的SSL证书相关联的私钥.
私钥必须随证书一起导入到ViewServer上.
步骤1连接中间服务器,并找到向发送HTTPS请求的客户端提供的SSL证书.
2找到用于View的证书并下载其私钥.
示例:从F5BIG-IPLTM系统下载私钥此示例使用F5BIG-IP本地流量管理器(LTM)作为中间服务器.
该示例旨在让您大致了解如何从您自己的中间服务器下载私钥.
重要事项这些步骤是特定于F5BIG-IPLTM的操作,可能不适用于新版本或其他F5产品.
这些步骤不适用于其他供应商的中间服务器.
在开始之前,请确定已连接到F5BIG-IPLTM配置实用程序.
1在导航窗格的"主页"选项卡上,展开本地流量,然后单击SSL证书.
该实用程序会显示系统中已安装证书的列表.
2在"名称"列中,单击用于View的证书的名称.
3在菜单栏中,单击密钥.
4在屏幕底部,单击导出.
该实用程序会在密钥文本框中显示现有的私钥.
5从"密钥文件"设置中,单击下载file_name.
将以KEY文件形式下载私钥.
为View设置SSL证书的方案VMware,Inc.
15将证书文件转换为PKCS#12格式如果您获取的证书及其私钥采用的是PEM格式或其他格式,则必须先将其转换为PKCS#12(PFX)格式,然后才能将该证书导入到ViewServer上的Windows证书存储区中.
如果您使用Windows证书存储区中的"证书导入"向导,则需要使用PKCS#12(PFX)格式.
您可以通过以下方法之一获取证书文件:n从CA获取证书密钥库文件.
n从在View部署中设置的中间服务器下载证书及其私钥.
n您的组织为您提供证书文件.
证书文件有多种格式:例如,在Linux环境中通常使用PEM格式.
您的文件可能包括具有以下扩展名的证书文件、密钥文件和CSR文件:server.
crtserver.
csrserver.
keyCRT文件包含由CA返回的SSL证书.
CSR文件是原始的证书签名请求文件,不需要此文件.
KEY文件包含私钥.
前提条件n确认已在系统中安装OpenSSL.
可以从http://www.
openssl.
org下载openssl.
n确认系统中也有CA返回的SSL证书的根证书.
步骤1将CRT文件和KEY文件复制到OpenSSL安装目录.
例如:cdc:\OpenSSL-Win32\bin2打开Windows命令提示符,如果需要,请导航到OpenSSL安装目录.
3从证书文件和私钥生成PKCS#12(PFX)密钥库文件.
例如:opensslpkcs12-export-outserver.
p12-inkeyserver.
key-inserver.
crt-certfileCACert.
crt在此示例中,CACert.
crt是证书颁发机构所返回根证书的名称.
Windows证书存储区还接受使用PFX扩展名生成的密钥库.
例如:-outserver.
pfx4键入导出密码以保护PKCS#12(PFX)文件.
将签名的服务器证书导入到Windows证书存储区您必须将SSL服务器证书导入到安装了连接服务器实例或安全服务器服务的WindowsServer主机上的Windows本地计算机证书存储区中.
该方案使用PKCS#12(PFX)格式的证书文件.
为View设置SSL证书的方案VMware,Inc.
16根据您的证书文件格式,密钥存储文件中的整个证书链可能都会被导入到Windows本地计算机证书存储区.
例如,可能会导入服务器证书、中间证书和根证书.
对于其他类型的证书文件,只有服务器证书会被导入到Windows本地计算机证书存储区.
这种情况下,您必须单独导入证书链中的根证书和全部中间证书.
有关证书的更多信息,请参考MMC证书插件中提供的Microsoft联机帮助.
前提条件确认SSL服务器证书采用的是PKCS@12(PFX)格式.
请参阅将证书文件转换为PKCS#12格式.
步骤1在WindowsServer主机上的MMC窗口中,展开证书(本地计算机)节点并选择个人文件夹.
2在"操作"窗格中,转到更多操作>所有任务>导入.
3在证书导入向导中,单击下一步并浏览至存储证书的位置.
4选择证书文件并单击打开.
要显示您的证书文件类型,可以从文件名下拉菜单中选择其文件格式.
5键入证书文件中所含私钥的密码.
6选择将此密钥标记为可导出.
7选择包含所有已扩展属性.
8单击下一步,然后单击完成.
新证书会显示在证书(本地计算机)>个人>证书文件夹中.
9确认新证书包含私钥.
a在证书(本地计算机)>个人>证书文件夹中,双击新证书.
b在"证书信息"对话框的"常规"选项卡中,确认显示有以下语句:您有一个与该证书对应的私钥(Youhaveaprivatekeythatcorrespondstothiscertificate).
后续步骤将证书的友好名称修改为vdm.
修改证书的友好名称要将连接服务器实例或安全服务器配置为识别并使用SSL证书,必须将证书的友好名称修改为vdm.
前提条件确认已将服务器证书导入到Windows证书存储区的证书(本地计算机)>个人>证书文件夹中.
请参阅将签名的服务器证书导入到Windows证书存储区.
步骤1在WindowsServer主机上的MMC窗口中,展开证书(本地计算机)节点并选择个人>证书文件夹.
为View设置SSL证书的方案VMware,Inc.
172右键单击颁发给Horizon7Server主机的证书,然后单击属性.
3在"常规"选项卡上,删除友好名称文本并键入vdm.
4单击应用,然后单击确定.
5确认个人>证书文件夹中没有其他服务器证书采用友好名称vdm.
a查找任何其他服务器证书,右键单击证书,然后单击属性.
b如果证书的友好名称为vdm,请删除该名称,单击应用,然后单击确定.
后续步骤将根证书和中间证书导入到Windows本地计算机证书存储区中.
导入证书链中的所有证书后,必须重新启动连接服务器服务或安全服务器服务以使所做的更改生效.
将根证书和中间证书导入Windows证书存储区您必须将根证书和证书链中的任何中间证书导入Windows本地计算机证书存储区.
如果您从中间服务器导入的SSL服务器证书由View连接服务器主机信任的已知根CA签发,且您的证书链中没有中间证书,则可以跳过此任务.
常用的证书颁发机构都可能受主机信任.
步骤1在WindowsServer主机上的MMC控制台中,展开证书(本地计算机)节点并转到受信任的根证书颁发机构>证书文件夹.
n如果您的根证书位于此文件夹,且证书链中没有中间证书,则跳至步骤7.
n如果您的根证书位于此文件夹,且证书链中有中间证书,则跳至步骤6.
n如果您的根证书不在此文件夹,则执行步骤2.
2右键单击受信任的根证书颁发机构>证书文件夹,然后单击所有任务>导入.
3在证书导入向导中,单击下一步并浏览至存储根CA证书的位置.
4选择根CA证书文件并单击打开.
5连续单击下一步,然后单击完成.
6如果您的服务器证书由中间CA签发,请将证书链中的所有中间证书导入Windows本地计算机证书存储区.
a转到证书(本地计算机)>中间证书颁发机构>证书文件夹.
b针对每个必须导入的中间证书重复执行步骤3到步骤6.
7重新启动View连接服务器服务或安全服务器服务,使所做的更改生效.
8如果在VMwareHorizonView5.
2或更高版本中使用HTMLAccess,请重新启动VMwareViewBlast安全网关服务.
为View设置SSL证书的方案VMware,Inc.
18将ViewServer外部URL设置为将客户端指向SSL负载分流服务器如果SSL负载分流到中间服务器,并且HorizonClient设备使用安全加密链路连接View,则必须将安全加密链路外部URL设置为客户端可以用来访问中间服务器的地址.
在连接到中间服务器的View连接服务器实例或安全服务器上配置外部URL设置.
如果部署安全服务器,则安全服务器需要外部URL,但与安全服务器配对的View连接服务器不需要.
如果未部署安全服务器,或者使用包含部分安全服务器和部分对外的View连接服务器实例的混合网络环境,则连接到中间服务器的任何View连接服务器实例都需要使用外部URL.
注无法负载分流来自PCoIP安全网关(PSG)或Blast安全网关的SSL连接.
PCoIP外部URL和Blast安全网关外部URL必须允许客户端连接到托管PSG和Blast安全网关的计算机.
除非规划为在中间服务器与Viewserver之间需要使用SSL连接,否则不要将PCoIP外部URL和Blast外部URL重置为指向中间服务器.
设置Horizon连接服务器实例的外部URL您可以使用HorizonAdministrator配置连接服务器实例的外部URL.
前提条件n确认在连接服务器实例上启用了安全加密链路连接.
步骤1在HorizonAdministrator中,单击View配置>服务器.
2在"连接服务器"选项卡中,选择连接服务器实例,然后单击编辑.
3在外部URL文本框中键入安全加密链路的外部URL.
URL必须包含协议、客户端可解析的主机名和端口号.
例如:https://myserver.
example.
com:443注当主机名不可解析时,如果您需要访问连接服务器实例,则可以使用IP地址.
但是,您连接的主机将与为连接服务器实例配置的SSL证书不匹配,从而导致访问被阻止或访问的安全性降低.
4确认此对话框中的所有地址都允许客户端系统访问此连接服务器实例.
5单击确定.
修改安全服务器的外部URL您可以使用HorizonAdministrator修改安全服务器的外部URL.
前提条件n确认与此安全服务器配对的连接服务器实例上已启用安全加密链路连接.
为View设置SSL证书的方案VMware,Inc.
19步骤1在HorizonAdministrator中,选择View配置>服务器.
2在"安全服务器"选项卡中,选择安全服务器并单击编辑.
3在外部URL文本框中键入安全加密链路的外部URL.
URL必须包含协议、客户端可解析的安全服务器主机名和端口号.
例如:https://myserver.
example.
com:443注如果您需要在主机名不可解析时访问安全服务器,可以使用IP地址.
但您连接的主机将与为安全服务器实例配置的SSL证书不匹配,导致访问被阻止或访问的安全性降低.
4确认此对话框中的所有地址都允许客户端系统连接此安全服务器主机.
5单击确定保存更改.
HorizonAdministrator会将更新的外部URL发送到安全服务器.
您无需重新启动安全服务器,所做的更改即可生效.
允许源自中间服务器的HTTP连接SSL负载分流到中间服务器后,您可以将View连接服务器实例或安全服务器配置为允许源自面向客户端的中间设备的HTTP连接.
中间设备必须接受HTTPS作为HorizonClient连接.
要允许在Viewserver与中间设备之间建立HTTP连接,您必须在允许HTTP连接的每个View连接服务器实例和安全服务器上配置locked.
properties文件.
即使允许在Viewserver与中间设备之间建立HTTP连接,您也不能在View中禁用SSL.
Viewserver继续接受HTTPS连接以及HTTP连接.
注如果您的HorizonClient使用智能卡身份验证,这些客户端必须直接与View连接服务器或安全服务器建立HTTPS连接.
智能卡身份验证不支持SSL负载分流.
步骤1在View连接服务器或安全服务器主机的SSL网关配置文件夹中创建或编辑locked.
properties文件.
例如:安装目录\VMware\VMwareView\Server\sslgateway\conf\locked.
properties2要配置Viewserver的协议,请添加serverProtocol属性并将其设置为http.
值http必须以小写键入.
3(可选)添加属性以在Viewserver上配置非默认HTTP侦听端口和网络接口.
n要将HTTP侦听端口从80更改为其他端口,请将serverPortNonSSL设置为中间设备已配置连接的另一个端口号.
n如果Viewserver具有多个网络接口,而您希望该服务器仅侦听一个接口上的HTTP连接,请将serverHostNonSSL设置为该网络接口的IP地址.
为View设置SSL证书的方案VMware,Inc.
204保存locked.
properties文件.
5重新启动View连接服务器服务或安全服务器服务,使所做的更改生效.
示例:locked.
properties文件此文件允许与Viewserver建立非SSLHTTP连接.
Viewserver面向客户端的网络接口的IP地址为10.
20.
30.
40.
该服务器使用默认端口80侦听HTTP连接.
值http必须为小写.
serverProtocol=httpserverHostNonSSL=10.
20.
30.
40为View设置SSL证书的方案VMware,Inc.
21