关于view-client连接拟桌面报证书错误的解决办法.docVIP

关于view client连接虚拟桌面报证书错误的解决办法 问题现象：如图 问题原因： 问题原因是安装view连接服务器、安全服务器或view composer服务器时，VMware会自签一个证书（或者是自动生成一个证收），而这个证书是不被view client端所在的PC端信任的,所以造成这个报错 解决办法: 如果要解决这个问题,一般是要有一个CA中心或第三方CA,这个CA是证书颁发中心也是证书管理中心。 解决问题的环境如下： 微软AD服务器,这是view环境必须有的 在这台微软AD服务器上添加证书这个功能,如图: 要添加这个证书服务的前提条件是先安装IIS服务功能,如图: 安装好了IIS与证书服务组件之后,就可以在IE浏览器里输入http://服务器IP/certsrv/，然后输入域管理用户名与密码，即可以成功配置CA与申请证书了 配置VCS或VSS等角色的证书: 　一、创建keystore文件 Keytool命令存在于目录/Program Files/VMware/VMware View/Server/jre/bin中，默认情况下它不在系统路径列表中，为了方便执行命令，可以将其加入到系统变量path的值中。 在View的服务器中创建keystore：keystore是存储密钥和证书的数据库，证书的请求以及颁发的证书都保存其中。具体的执行命令为：keytool -genkey -keyalg RSA -keystore keys.p12 -storetype pkcs12 –validity validity time，其中中的值可以由用户自己定义，keys.p12是keystore的名字，validity time是证书的有效时间，单位是天。命令执行时系统会询问相关的证书问题，运行命令之后，第一个提示就是要求输入密码，这个是私钥密码，在整个过程中，密码最好是统一的，为了方便操作或记忆，密码输入之后，第二个提示输入名字，这个名字一定要输入客户端连接服务器(VCS或VSS)用的FQDN名，具体如图1，完成后会生成一个.p12的文件，这就是keystore。 图1：生成keystore 二、生成证书请求 在keystore中生成证书请求：命令keytool -certreq -keyalg RSA -file certificate.csr -keystore keys.p12 -storetype pkcs12 -storepass secret。同样，中的值由用户定义, secretsecret这个替换成相应的密码，keystore的名称是上一步生成的keystore的文件名。具体如图2，。 图2：生成证书请求 完后会生成一个.csr的文件，将其用记事本打开，拷贝其中的内容，用于申请证书 　三、在企业根CA或者第三方的公共CA申请证书 申请证书的过程大致相同，这里以安装有Windows的企业根CA为例，简单介绍生成的过程。用IE打开根CA的证书申请页面（ HYPERLINK http://CA http://CA服务器名称/certsrv），在页面中点击“申请一个证书”“高级证书申请”“提交一个由base64编码的CMC或者PKS#10文件的证书请求”，在接下来的页面中将上一步在记事本中拷贝的内容粘贴在base64编码的证书申请框中，然后证书类型选择web server，具体如图3。点击确定即完成证书申请的提交。 图3：证书申请的提交 提交完成后，CA的管理员会生成证书，就可以在网页上下载证书了，如图4 图4：证书下载 四、将证书导入到keystore 如果下载的证书是PKS#12格式（.cer）的话（默认就是这种格式），需要将其转换成PKS#7格式，转换的方式很简单，打开证书文件“Detail”页面“拷贝到文件”下一步选择”Cryptographic message Syntax Standard-PKCS #7 Certificates（p7b）”，并勾选“Include all certificates in the certification path if possible”下一步,输入新证书文件的名称结束（图5）。 　　图5：证书的转换 使用下面命令将签发的证书导入到keystore中：keytool -import -keystore keys.p12 -storetype pkcs12 -storepass secret -keyalg RSA -trustcacerts -file certificate.p7b，其中keys.P12是keystore的名称，certificate.p7b是刚才生成的证书的名称(这里的名称只是一个例子，以实际名称为主)。 五、在View的服务器中修改配置替换证书