VMware Horizon 7 替换SSL.docx

VMware Horizon 7.03 使用CA签发证书替换自签名SSL本文根据实际操作,在域环境下替换VMware Horizon 7.03自带签名证书，包括vCenterServer, View Connection Server, ESXi主机。 内容包括：安装Windows Server 2012 R2 证书服务在证书服务器上创建对应的证书模板替换View Connection Server 证书替换 View Center Server 证书替换View Composer证书替换 ESXi主机证书一.安装Windows Server 2012 R2证书服务为了便于操作，选择将证书服务安装在域控制器（AD）上。1. 运行服务器管理器， 添加加色与功能， 选择Active Directory证书服务。2. 在角色服务中，选择证书颁发机构和证书颁发机构Web注册。证书颁发机构Web注册就是传统的Https://CA-IP/CertSrv注册方式，此注册方式多数用在非微软的第三方应用上，比如本文的VMware。 3. 其它步骤选择默认即可。 4. 安装完成后， 在服务器管理器的右上角会有一个黄颜色的三角形感叹号图标，点击它进行角色服务配置(AD CS配置)。在角色服务中选择证书颁发机构和证书颁发机构Web注册。5. 指定CA的的设置类型为企业CA.6. 指定CA类型为根CA。 对于一般企业来说，一台根CA足够。7. 在接下来的选项中选择创建新的私钥，加密项默认， 密钥长度至少2048位，其它项默认即可。 CA公用名称可修改为容易记下的。 本文的预览可分辨名称为：CN=dqaca, DC=dqa, DC=com。二. 在证书服务器上创建对应的证书模板高级配置。 虽然经过上面的安装和设置后，基本的证书服务已经可以使用，但在本文的环境中，进行了以下配置：修改服务器级别颁发证书的有效期， 改为10年创建了3个定义的证书模板， 一个计算机类， 两个Web服务器类8. 默认证书的有效期只有2年，即使证书模板配置了大于2年也没用，需要在证书服务器上修改总开关：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\CANAME，修改”ValidityPeriodUnits”为十进制“10“。 修改后要重启证书服务。 默认情况下， 用户能从MMC中申请“计算机“类型和”Web服务器“类型的证书，但它们都定的参数，不能添加自定的域名，不能导出私钥，因此需要新建适合的模板，以便申请相关的证书。9. 创建计算机模板。此模板针对域中的其它计算机，不是VMware所用模板。运行mmc, 添加证书模板， 然后选中计算机模板，右键单击并选中复制模板。这就会根据计算机模板新建一个用来自定义适合的模板。计算机模板适合服务器身分验证，也适合客户端身份验证. Web服务器只适合服务器身份验证。在复制模板的兼容性标签选择默认设置。证书颁发机构：Windows Server 2003， 证书接收人：WindowsXP/Server2003。 如果不是选Windows server 2003，比如更高版本，则不能通过Web方式申请。 在常规标签下，指定模板的显示名称，文中为DQA-Computer. 设置有效期为10年， 续订期为1年。 如果续订期太短，过了续订期就只能重新申请证书，而不能利用原有证书，会导致很多麻烦。在请求处理标签， 选择允许导出私钥。在使用者名称标签，选择在请求中提供，这样可以方便的自定义公用名和使用者名称。在安全标签，根据实际情况添加用户，如增Domain Computers, 并为其增加写入和注册权限。否则，当域中的计算以本地帐户登入， 就会提示无权限申请证书。最后确认后，在证书模板中，新添加的名为DQA-Computer的模板就建好了。回到证书颁发机构， 右击证书模板， 选择新建，选要颁发的证书模板，然后选择刚新建的证书模板（DQA-Computer）， 这就就可以通过MMC，Web方式申请此类型的证书。10。创建View Center Server 模板。 在VMware的网站上有详细步骤，直接照做照可。/selfservice/search.do?cmd=displayKCdocType=kcdocTypeID=DT_KB_1_1externalId=2112009Creating a new template for vSphere 6.0 to use for Machine SSL and Solution User certificates1. Connecting to the CA server, you will be genera