VMware Horizon 7 替换SSL--688IT编程网

VMware Horizon 7.03 使用CA签发证书替换自签名SSL

本文根据实际操作,在域环境下替换VMware Horizon 7.03自带签名证书，包括vCenterServer, View Connection Server, ESXi主机。

内容包括：

安装Windows Server 2012 R2 证书服务

在证书服务器上创建对应的证书模板

替换View Connection Server 证书

替换windows server 2012四个版本 View Center Server 证书

替换View Composer证书

替换 ESXi主机证书

一.安装Windows Server 2012 R2证书服务

为了便于操作，选择将证书服务安装在域控制器（AD）上。

1. 运行服务器管理器，添加加与功能，选择Active Directory证书服务。

2. 在角服务中，选择证书颁发机构和证书颁发机构Web注册。证书颁发机构Web注册就是传统的Https://<CA-IP>/CertSrv注册方式，此注册方式多数用在非微软的第三方应用上，比如本文的VMware。

3. 其它步骤选择默认即可。

4. 安装完成后，在服务器管理器的右上角会有一个黄颜的三角形感叹号图标，点击它进行角服务配置(AD CS配置)。在角服务中选择证书颁发机构和证书颁发机构Web注册。

5. 指定CA的的设置类型为企业CA.

6. 指定CA类型为根CA。对于一般企业来说，一台根CA足够。

7. 在接下来的选项中选择创建新的私钥，加密项默认，密钥长度至少2048位，其它项默认即可。 CA公用名称可修改为容易记下的。本文的预览可分辨名称为：CN=dqaca, DC=dqa,

DC=com。

二. 在证书服务器上创建对应的证书模板

高级配置。虽然经过上面的安装和设置后，基本的证书服务已经可以使用，但在本文的环境中，进行了以下配置：

修改服务器级别颁发证书的有效期，改为10年

创建了3个定义的证书模板，一个计算机类，两个Web服务器类

8. 默认证书的有效期只有2年，即使证书模板配置了大于2年也没用，需要在证书服务器上修改总开关：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CANAME>，修改”ValidityPeriodUnits”为十进制“10“。修改后要重启证书服务。

默认情况下，用户能从MMC中申请“计算机“类型和”Web服务器“类型的证书，但它们都定的参数，不能添加自定的域名，不能导出私钥，因此需要新建适合的模板，以便申请相关的证书。

9. 创建计算机模板。此模板针对域中的其它计算机，不是VMware所用模板。

运行mmc, 添加证书模板，然后选中计算机模板，右键单击并选中复制模板。这就会根据计算机模板新建一个用来自定义适合的模板。计算机模板适合服务器身分验证，也适合客户端身份验证. Web服务器只适合服务器身份验证。

在复制模板的兼容性标签选择默认设置。证书颁发机构：Windows Server 2003，证书接收人：WindowsXP/Server2003。如果不是选Windows server 2003，比如更高版本，则不能通过Web方式申请。

在常规标签下，指定模板的显示名称，文中为DQA-Computer. 设置有效期为10年，续订期为1年。如果续订期太短，过了续订期就只能重新申请证书，而不能利用原有证书，会导致很多麻烦。

在请求处理标签，选择允许导出私钥。在使用者名称标签，选择在请求中提供，这样可以方便的自定义公用名和使用者名称。

在安全标签，根据实际情况添加用户，如增Domain Computers, 并为其增加写入和注册权限。

否则，当域中的计算以本地帐户登入，就会提示无权限申请证书。

最后确认后，在证书模板中，新添加的名为DQA-Computer的模板就建好了。

回到证书颁发机构，右击证书模板，选择新建，选要颁发的证书模板，然后选择刚新建的证书模板（DQA-Computer），这就就可以通过MMC，Web方式申请此类型的证书。

10。创建View Center Server 模板。在VMware的网站上有详细步骤，直接照做照可。kb.vmware/selfservice/search.do?cmd=displayKC&docType=kc&docTypeID=DT_KB_1_1&externalId=2112009

Creating a new template for vSphere 6.0 to use for Machine SSL and Solution User certificates

1. Connecting to the CA server, you will be generating the certificates from through an RDP session.

2. Click Start > Run, type certtmpl.msc, and click OK.

3. In the Certificate Template Console, under Template Display Name, rightclick

Web Server and click Duplicate Template.

4. In the Duplicate Template window, select Windows Server 2003 Enterprise for backward compatibility.

Note: If you have an encryption level higher than SHA1, select Windows Server 2008 Enterprise.

5. Click the General tab.

6. In the Template display name field, enter vSphere 6.0 as the name of the new template.

7. Click the Extensions tab.

8. Select Application Policies and click Edit.

9. Select Server Authentication and click Remove, then OK.

Note: If Client Authentication exists, remove this from Application Policies as well.

10. Select Key Usage and click Edit.

11. Select the Signature is proof of origin (nonrepudiation) option. Leave all other options as default.

12. Click OK.

13. Click the Subject Name tab.

14. Ensure that the Supply in the request option is selected.

15. Click OK to save the template.

16. Proceed to Adding a new template to certificate templates section in the article to make the newly created certificate template available.

Adding a new template to certificate templates

1. Connecting to the CA server, you will be generating the certificates from through an RDP session.

2. Click Start > Run, type certsrv.msc, and click OK.

3. In the left pane of the Certificate Console, if collapsed, expand the node by clicking the + icon.

4. Rightclick

Certificate Templates and click New > Certificate Template to Issue.

5. Locate vSphere 6.0 or vSphere 6.0 VMCA under the Name column.

6. Click OK.

11 创建View Connection Server 模板, 此模板是按照网上教程的，因为在布置时，先在网上到网友的设置模板后看到VMware的模板设置，因此view connection server的证书使用的模板不是VMware的设置。为了减少麻烦，就没有再改回VMware的模板。使用VM

ware的模板应该也可以，文中没有测试过。

在证书模板中，右击Web服务器，选择复制模板。

在复制模板的兼容性标签选择默认设置。证书颁发机构：Windows Server 2003，证书接收人：WindowsXP/Server2003。

在常规标签下，指定模板的显示名称，文中为DQA-VCS. 设置有效期为10年，续订期为1年。

在请求处理标签，选择允许导出私钥。在使用者名称标签，选择在请求中提供，这样可以方便的自定义公用名和使用者名称。

在安全标签，根据实际情况添加用户，如增Domain Computers, 并为其增加写入和注册权限。

在扩展标签，编辑应用程序策略，添加客户端身份验证。编辑密钥用法，勾选数字签名为原件的证明（认可），勾选允许使用用户数据加密

688IT编程网

VMware Horizon 7 替换SSL

发表评论

推荐文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

热门文章

随机森林算法的改进方法

基于随机森林算法的风险预警模型研究

Python中的随机森林算法详解

随机森林发展历史

如何使用随机森林进行时间序列数据模式识别(八)

随机森林回归模型原理

如何使用随机森林进行时间序列数据模式识别(六)

如何使用随机森林进行时间序列数据预测(四)

如何使用随机森林进行异常检测(六)

随机森林算法和grandientboosting算法 -回复

随机森林方法总结全面

随机森林算法原理和步骤

随机森林的原理

随机森林重要性

随机森林算法

机器学习中随机森林的原理

随机森林算法原理

使用计算机视觉技术进行动物识别的技巧

基于crf命名实体识别实验总结

transformer预测模型训练方法

最新文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

随机森林结合直接正交信号校正的模型传递方法

标签列表

688IT编程网

VMware Horizon 7 替换SSL

发表评论

推荐文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

热门文章

随机森林算法的改进方法

基于随机森林算法的风险预警模型研究

Python中的随机森林算法详解

随机森林发展历史

如何使用随机森林进行时间序列数据模式识别(八)

随机森林回归模型原理

如何使用随机森林进行时间序列数据模式识别(六)

如何使用随机森林进行时间序列数据预测(四)

如何使用随机森林进行异常检测(六)

随机森林算法和grandientboosting算法 -回复

随机森林方法总结全面

随机森林算法原理和步骤

随机森林的原理

随机森林 重要性

随机森林算法

机器学习中随机森林的原理

随机森林算法原理

使用计算机视觉技术进行动物识别的技巧

基于crf命名实体识别实验总结

transformer预测模型训练方法

最新文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

随机森林结合直接正交信号校正的模型传递方法

标签列表

随机森林重要性