-
VMware Horizon 7.03
使用
CA
签发证书替换自签名
SSL
本
文根据实际操作
,
在域环境下替换
VM
ware Horizon
7.03
自带签名证书,包括
vCenterServer,
View Connection Server,
ESXi
主机。
内容包括:
安装
Windows Server 2012 R2
证书服务
在证书服务器上创建对应的证书模板
替换
View Connection Server
证书
替换
View Center Server
证书
替换
View
Composer
证书
替换
ESXi
主机证书
一
.
安装
Windows
Server 2012 R2
证书服务
为了便于操作,选择将证书服务安装在域控制器(
AD
)上
。
1.
运行
服务器管理器
,
添加加色与功能
,
选择
Active
Directory
证书服务
。
2.
在
角
色服务
中,选择
证书颁发机构
和
证书颁发机构
Web
注册。证书颁发机构
Web
注册
就是传
统的
Https://
注册方
式,
此注册方式多数用在非微软的第三方应用上,
比如本
文的
VMware
。
3.
其它步骤选择默认即可。
4.
安装完成后,
在服务器管理器的右上角会有一个黄颜色的三角形感叹号图标,
点击它进行角<
/p>
色服务配置
(AD CS
配置
)
。在
角色服务
中选择<
/p>
证书颁发机构
和
证书颁发机构
Web
注册
。
5.
指定
CA
的的设置类型
为
企业
CA
.
6.
指定
CA
类型
为
根
CA
。
对于一般企业来说,一台根
CA
足够。
7.
在接下来的
选项中选择
创建新的私钥
,加密项默认,
密钥长度至少
2048
位,其它项
默认即
可。
CA
公用名称可修改为容易记下的。
本文的
预览可分辨名称
为:
CN=dq
aca,
DC=dqa,
DC=com
。
二
.
在证书服务器上创建对应的证书模板
高级配置。
虽然经过上面的安装和设
置后,
基本的证书服务已经可以使用,
但在本文的环境中,
进行了以下配置:
修改服务器级别颁发证书的有效期,
改为
10
年
创建了
3
个定义的证书模板,
一个计算机类,
两
个
Web
服务器类
8.
默认证书的有效期只有
2
年,即使证书模板配置了大于
2
年也没用,需要在证书服务器上修
改总开关:
HK
EY_LOCAL_MACHINESystemCurrentControlSetServicesCer
tSvcConfiguration
,
修改
”ValidityPeriodUnits”为十进制“
10
“。
修改后要重启证书服务。
默认情况下,
用户能从
MMC
中申请“计算机“类型和”
Web
服务器“类型的证书,但它们都定
的参数,
不能添加自定的域名,
不能导出私钥,
因此
需要新建适合的模板,
以便申请相关的证书。
9.
创建计算机模板。此模板针对域中的其它计算机,不是<
/p>
VMware
所用模板。
运行
mmc
,
添加
证书模板
,
< br>然后选中
计算机
模板,右键单击并选中
< br>复制模板
。这就会根据
计算机模板新建一个用来自定义适
合的模板。
计算机模板适合服务器身分验证,
也适合客户端身<
/p>
份验证
.
Web
服务器只适合服务器身份验证。
在复制模板的
兼容性
标签选择默认设置。证书颁发机构:
Windows
Server
2003
,
证书接
收人:
WindowsXP/Server2003
。
如果不是选
Windows server 2003
,比如更高版本,则不能通
过
Web
方式申请。
在
常规<
/p>
标签下,指定模板的显示名称,文中为
DQA-
Computer.
设置
有效期
为<
/p>
10
年,
续<
/p>
订期
为
1
年。<
/p>
如果续订期太短,过了续订期就只能重新申请证书,而不能利用
原有证书,会导
致很多麻烦。
在
请求处理
标签,
选择
允许导出私钥
。在
使用者名称
标签,选择
在请求中提供
,这样可
以方便的自定义公用名和使用者名称。
在
安全
标签,根据实际情况添加用户,如增
D
omain Computers,
并为其增加
写入
和
注册
权限。否则,当域中的计算以本地帐户登
入,
就会提示无权限申请证书。
最后确认后,在证书模板中,新添加的名为
DQA-
Computer
的模板就建好了。
回到
证书颁发机构
,
右击
证书模板
,
选择
新建
,选
要颁发的证
书模板
,然后选择刚新
建的证书模板(
DQA-Computer
),
这就
就可以通过
MMC
,
Web
方式申请此类型的证书。
10
。创建
View Center
Server
模板。
在
VMware
的网站上有详细步骤,直接照做照可。
/selfservice/?cmd=displayKC&docType=kc&docTypeID=
DT_K
B_1_1&externalId=2112009
Creating a new template for vSphere 6.0
to use for Machine SSL and Solution User
certificates
1. Connecting to the CA
server, you will be generating the certificates
from through an RDP
session.
2. Click Start > Run, type
, and click OK.
3. In the Certificate Template Console,
under Template Display Name, rightclick
Web Server and click Duplicate
Template.
4. In the Duplicate Template
window, select Windows Server 2003 Enterprise for
backward
compatibility.
Note: If you have an encryption level
higher than SHA1, select Windows Server 2008
Enterprise.
5. Click the
General tab.
6. In the Template display
name field, enter
vSphere 6.0
as the name of the new template.
7. Click the Extensions tab.
8. Select Application Policies and
click Edit.
9. Select Server
Authentication and click Remove, then OK.
Note: If Client Authentication exists,
remove this from Application Policies as well.
10. Select Key Usage and click Edit.
11. Select the Signature is proof of
origin (nonrepudiation) option. Leave all other
options as
default.
12.
Click OK.
13. Click the Subject Name
tab.
14. Ensure that the Supply in the
request option is selected.
15. Click
OK to save the template.
16. Proceed to
Adding a new template to certificate templates
section in the article to make the
newly created certificate template
available.
Adding a new template to
certificate templates
1. Connecting to
the CA server, you will be generating the
certificates from through an RDP
session.
2. Click Start >
Run, type
, and click OK.
3. In the left pane of the Certificate
Console, if collapsed, expand the node by clicking
the
+
icon.
4.
Rightclick
Certificate Templates and
click New > Certificate Template to Issue.
5. Locate
vSphere 6.0
or
vSphere 6.0 VMCA
under the Name column.
6.
Click OK.
11
创建
View Connection Server
模板
,
此模板是按照网上教程的,因
为在布置时,先在网上
找到网友的设置模板后看到
VMware
官网的模板设置,因此
view
connection
server
的证书使用
的模板不是
VMware
官
网的设置。
为了减少麻烦,就没有再改回
VMware
的模板。使用
VMware
< br>的模板应该也可以,文中没有测试过。
在证书模板中,
右击
Web
服务器,选择复制模板。
在复制模板的
兼容性
标签选择默认设置。证书颁发机构:<
/p>
Windows
Server
2003
,
证书接
收人:
WindowsXP/Server2003
。
在
常规
标签下,指定模板的显示名称,文中为
DQA-VCS.
设置
有效期
为
10
年,
续订期
为
1
年。
在
请求处理
标签,
选
择
允许导出私钥
。在
使用者名称
标签,选择
在请求中提供
,这样可
以方便的自定义公用名和使用者名称。
在
安全
标签,根据实际情况添加用户,如增
Do
main Computers,
并为其增加
写入
和
注册
权限。
在
扩展
标签,编辑
应用
程序策略
,添加
客户端身份验证
。
编辑
密钥用法
,
勾选
数字签名
为原件的证明(认可)
,
勾选
允许使用用户数据加密
回到
证书颁发机构
,
右击
证书模板
,
选择
新建
,选
要颁发的证书模板
,然后选择刚新
建的证书模板(
DQA-VCS
),
这就就可以通过
MMC
,
Web
方式申请此类型的证书。
三
.
替换
View Connection Server
证书
1.
以域管理员或本地管理员登录
view connection
server,
执行
打开证书管
理器
[
证书
-
本地计算机
]
2.
打开
个人
-
证书
< br>,右击
证书
,
选择
所有任务
,
申请新证书
,
选择
< br>ActiveDirectory
注
册策略
,勾选为
View connection
server
创建的模板,文中为
DQA-
VCS
模板。
单击“
注册此
证书需要详细信息。单击这里配置
“设置详细信
息。
3.
在
使用者
标签,
使用者名称中选
公用名
,
输入
VC
S
的名称,
文中使用域名
,
单击添加。
在备用名称中选
DNS
,输入
< br>VCS
的
DNS
,文中为
,
然后单击添加。
4.
在
常规
标签,
友好名称输入
vdm
.
这是
VMware
要求的,必须是小写的
vdm.