从证书颁发机构获取 TLS 证书
1
VMware 强烈建议配置由有效证书颁发机构 (Certificate Authority, CA) 签名的 TLS 证书,以供 Horizon 连
接服务器实例、安全服务器和 View Composer 实例使用。
在安装连接服务器实例、安全服务器或 View Composer 实例时,会生成默认的 TLS 证书。尽管默认的自
签名证书可以用于测试目的,但还是应尽快更换它们。默认证书未由 CA 签名。如果使用未经 CA 签发的
证书,不受信任的第三方将有可能伪装成您的服务器并截获流量。
在 Horizon 7 环境中,还应将随 vCenter Server 一起安装的默认证书替换为经由 CA 签名的证书。您可以
使用 openTLS 为 vCenter Server 执行此任务。有关详细信息,请参阅 VMware 技术白皮书站点上的“替
换 vCenter Server 证书”,其网址为 http://www.vmware.com/resources/techresources/。
本章讨论了以下主题:
n
确定本方案对您是否适用
n
选择正确的证书类型
n
使用 Microsoft Certreq 生成证书签名请求和获取证书
确定本方案对您是否适用
可以通过将证书导入到 Horizon 7 Server 主机上的 Windows 本地计算机证书存储区中,来为 Horizon 7 配
置证书。
您必须先生成证书签名请求 (Certificate Signing Request, CSR) 并从 CA 获取有效的签名证书,然后才能
导入证书。如果未根据本方案介绍的示例过程生成 CSR,则您获取的证书及其私钥必须以 PKCS#12(以
前称为 PFX)格式文件提供。
可通过多种方法从 CA 获取 TLS 证书。本方案演示如何使用 Microsoft certreq 实用程序生成 CSR 并将证
书提供给 Horizon 7 Server 使用。如果您很熟悉所需的工具并且您的服务器上安装有这些工具,则可以使
用其他方法。
使用本方案可解决以下问题:
n 您没有由 CA 签名的 TLS 证书,而且您也不知道如何获取它们
n 您拥有有效的签名 TLS 证书,但它们的格式不是 PKCS#12 (PFX)
VMware, Inc.
5