21天让你成为Horizon View高手—Day20:证书管理

简介:

什么是数字证书?

数字证书是在Internet上表示用户身份的一种数据,它包含公钥和私钥,通过加密使得用户之间的身份得以确认,并保证数据在传输过程中的一致性,防止被他人篡改。

由于数字证书的安全特性,所以其广泛应用于各种对安全性要求较高的应用中,比如常用的网上银行,企业邮箱等等。

数字证书的颁发可以来自第三方颁发机构,比如Verisign,这些机构本身的信任关系就内嵌在操作系统中,所以当我们打开那些由这些机构颁发的证书的链接时,系统会自动进行验证。当然,在企业内部,数字证书也可以由企业内部的CA进行颁发,虽然在Internet上企业内部的根证书没有受到信任,但是在企业内部,所有的计算机对内部CA是信任的。

为什么要在VMware View中进行证书管理?

默认情况下,VMware View的Security Server、Standard/Replica Server都是使用默认的由服务器本身自签发的证书,它不被其它系统信任,无法保证连接时数据传输的一致性。当客户端连接到包含不信任证书的应用时,系统都会提示警告,显示该证书不可信,所以即使信息在中间环节被篡改,用户也无法识别。

企业生产环境需要做的是将服务器中默认的证书替换成企业根CA或者外部公共CA签发的可信任证书。这样做的目的就是保证数据的安全和一致性,并得到所有客户端的信任。

如何在VMware View中进行证书管理

进行证书的管理,整个证书管理主要集中在View Security Server、View Standard Server和View Replica Server中,证书的类型为Web证书。

从VMware View 5.0开始,一个巨大的改进就是在默认情况下,view客户端会对服务器端证书的可信任性进行严格的检测,特别是在像iPad这样的平板电脑上,如果服务器端的证书不被信任,将无法连接到虚拟桌面。

下面将详细阐述如何配置证书服务

1、环境准备,在域控服务器上安装根证书服务

步骤1:以域管理员身份登录到AD.VMWARE.COM.

步骤2:点击Start, 打开 Administrative Tools, 点击 Server Manager.

步骤3:在 Roles Summary 中, 点击 Add roles.

步骤4:在Select Server Roles 页面上, 选中 Active Directory Certificate Services. 点击2次 Next.

clip_image002

步骤5:在Select Role Services 页面, 选中 Certification Authority 然后点击 Next.

clip_image004

步骤6: 在Specify Setup Type 页面, 点击 Enterprise, 然后点击 Next.

clip_image006

步骤7: 在Specify CA Type 页面, 点击 Root CA, 然后点击 Next.

clip_image008

步骤8:在Set Up Private Key 页面,选择select Create a new private key, 然后点击 Next.

步骤9:在Configure Cryptography for CA 页面, 接受默认设置然后点击 Next.

clip_image010

步骤10:在Configure CA name 对话框, 输入 CA名称, VMware.com, 然后点击 Next.

clip_image012

步骤11:在Set the Certificate Validity Period 页面, 选择 root CA, 然后点击 Next.

步骤12:在Configure Certificate Database 页面, 默认值, 然后点击 Next.

步骤13:确认信息无误之后,在Confirm Installation Options 页面, 点击 Install.

clip_image014

确认根证书服务已经成功安装

2、创建一个根证书模板

步骤1:在AD.vmware.com域控服务器上,选择 Server Manager > Roles > Active Directory Certificate

步骤2:点击Certificate Templates > 右键 Web Server template > Duplicate Template

clip_image016

步骤3:给其命名为 vmware.com –Template

clip_image018

步骤4:在Request Handling 页面,选中Allow private key to be exported

clip_image020

步骤5:确认 minimum key size = 2048

步骤6:在vmware.com-template模板的Security页面上,给予Domain Computers ,Read + Enroll 的权限,给予Authenticated Users, Read+Enroll的权限

clip_image022clip_image024

步骤7:展开 vmware-AD-CA 邮件点击 Certificate Templates > New > Certificate Template to Issue

clip_image026

步骤8:选择vware.com-Template ,点击ok

clip_image028

3、在Connection Server上申请新证书

步骤1:在VIEW.VMWARE.COM证书服务器上,开始 > Run > mmc

clip_image030

步骤2:打开File>Add/Remove Snap-in, 添加 Certificates (Local Computer) snap-in 然后选择 “Computer Account”

clip_image032clip_image034clip_image036

clip_image038

步骤3:右键 Personal\Certificates > All Tasks > Request New Certificate

clip_image040

步骤4:选中Active Directory Enrollment Policy ,点击 Next

clip_image042

步骤5:勾选Vmware.comTemplate > expand Details > Properties

clip_image044

步骤6:将Subject name 类型改为 Common name , Value = view.vmware.com >Add > OK

clip_image046

在General页面,将friendly name 类型改为 vdm

clip_image048

在private key页面,确保key options为“make private key exportable”

clip_image050

点击OK确定

步骤7:Enroll >Finish

步骤8:将申请好的证书拷贝至Trusted Root Certification

clip_image052

步骤9:重启view.vmare.com服务器

步骤10:通过https://view.vmar.com/admin 可以通过网页看到访问均受信任

clip_image054

clip_image056

4、导出证书

步骤1:选择VIEW.VMWARE.COM单击右键,选择导出

clip_image058

步骤2:选择导出私钥

clip_image060

步骤3:设置私钥密码

clip_image062

clip_image064

步骤4:导出完成clip_image066

clip_image068

clip_image070

4、在View Client端导入证书

步骤1:将刚刚导出的证书拷贝至VIEW CLIENT端,双击打开

步骤2:按照以下方式导入证书

clip_image072

clip_image074

clip_image076

键入刚才设置的私钥密码

clip_image078

将证书导入“受信任的根证书颁发机构”

完成导入工作

步骤3:可以看到VIEW CLIENT访问不再提示

clip_image080

View.vmware.com受信

clip_image082




本文转自robbindai 51CTO博客,原文链接:http://blog.51cto.com/virtualyourdesk/1218456

相关文章
ABAP webdynpro的view navigation和WebUI的view navigation
ABAP webdynpro的view navigation和WebUI的view navigation
100 0
ABAP webdynpro的view navigation和WebUI的view navigation