VMware Horizon 7 替換SSL_第1頁
VMware Horizon 7 替換SSL_第2頁
VMware Horizon 7 替換SSL_第3頁
VMware Horizon 7 替換SSL_第4頁
VMware Horizon 7 替換SSL_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、VMware Horizon 7.03 使用CA簽發(fā)證書替換自簽名SSL本文根據(jù)實(shí)際操作,在域環(huán)境下替換VMware Horizon 7.03自帶簽名證書,包括vCenterServer, View Connection Server, ESXi主機(jī)。 內(nèi)容包括:安裝Windows Server 2012 R2 證書服務(wù)在證書服務(wù)器上創(chuàng)建對(duì)應(yīng)的證書模板替換View Connection Server 證書替換 View Center Server 證書替換View Composer證書替換 ESXi 主機(jī)證書一.安裝Windows Server 2012 R2證書服務(wù)為了便于操作,選擇將證書服

2、務(wù)安裝在域控制器(AD)上。1. 運(yùn)行服務(wù)器管理器, 添加加色與功能, 選擇Active Directory證書服務(wù)。2. 在角色服務(wù)中,選擇證書頒發(fā)機(jī)構(gòu)和證書頒發(fā)機(jī)構(gòu)Web注冊(cè)。 證書頒發(fā)機(jī)構(gòu)Web注冊(cè)就是傳統(tǒng)的Https:/CertSrv注冊(cè)方式,此注冊(cè)方式多數(shù)用在非微軟的第三方應(yīng)用上,比如本文的VMware。 3. 其它步驟選擇默認(rèn)即可。 4. 安裝完成后, 在服務(wù)器管理器的右上角會(huì)有一個(gè)黃顏色的三角形感嘆號(hào)圖標(biāo),點(diǎn)擊它進(jìn)行角色服務(wù)配置(AD CS配置)。在角色服務(wù)中選擇證書頒發(fā)機(jī)構(gòu)和證書頒發(fā)機(jī)構(gòu)Web注冊(cè)。5. 指定CA的的設(shè)置類型為企業(yè)CA. 6. 指定CA類型為根CA。 對(duì)于一般企

3、業(yè)來說,一臺(tái)根CA足夠。7. 在接下來的選項(xiàng)中選擇創(chuàng)建新的私鑰,加密項(xiàng)默認(rèn), 密鑰長(zhǎng)度至少2048位,其它項(xiàng)默認(rèn)即可。 CA公用名稱可修改為容易記下的。 本文的預(yù)覽可分辨名稱為:CN=dqaca, DC=dqa, DC=com。二. 在證書服務(wù)器上創(chuàng)建對(duì)應(yīng)的證書模板高級(jí)配置。 雖然經(jīng)過上面的安裝和設(shè)置后,基本的證書服務(wù)已經(jīng)可以使用,但在本文的環(huán)境中,進(jìn)行了以下配置:修改服務(wù)器級(jí)別頒發(fā)證書的有效期, 改為10年創(chuàng)建了3 個(gè)定義的證書模板, 一個(gè)計(jì)算機(jī)類, 兩個(gè)Web服務(wù)器類8. 默認(rèn)證書的有效期只有2年,即使證書模板配置了大于2年也沒用,需要在證書服務(wù)器上修改總開關(guān):HKEY_LOCAL_MAC

4、HINESystemCurrentControlSetServicesCertSvcConfiguration,修改”ValidityPeriodUnits”為十進(jìn)制“10“。 修改后要重啟證書服務(wù)。 默認(rèn)情況下, 用戶能從MMC中申請(qǐng)“計(jì)算機(jī)“類型和”Web服務(wù)器“類型的證書,但它們都定的參數(shù),不能添加自定的域名,不能導(dǎo)出私鑰,因此需要新建適合的模板,以便申請(qǐng)相關(guān)的證書。9. 創(chuàng)建計(jì)算機(jī)模板。此模板針對(duì)域中的其它計(jì)算機(jī),不是VMware所用模板。運(yùn)行mmc, 添加證書模板, 然后選中計(jì)算機(jī)模板,右鍵單擊并選中復(fù)制模板。這就會(huì)根據(jù)計(jì)算機(jī)模板新建一個(gè)用來自定義適合的模板。計(jì)算機(jī)模板適合服務(wù)器身分

5、驗(yàn)證,也適合客戶端身份驗(yàn)證. Web服務(wù)器只適合服務(wù)器身份驗(yàn)證。在復(fù)制模板的兼容性標(biāo)簽選擇默認(rèn)設(shè)置。證書頒發(fā)機(jī)構(gòu):Windows Server 2003, 證書接收人:Windows XP/ Server2003。 如果不是選Windows server 2003,比如更高版本,則不能通過Web方式申請(qǐng)。 在常規(guī)標(biāo)簽下,指定模板的顯示名稱,文中為DQA-Computer. 設(shè)置有效期為10年, 續(xù)訂期為1年。 如果續(xù)訂期太短,過了續(xù)訂期就只能重新申請(qǐng)證書,而不能利用原有證書,會(huì)導(dǎo)致很多麻煩。在請(qǐng)求處理標(biāo)簽, 選擇允許導(dǎo)出私鑰。在使用者名稱標(biāo)簽,選擇在請(qǐng)求中提供,這樣可以方便的自定義公用名和使用

6、者名稱。在安全標(biāo)簽,根據(jù)實(shí)際情況添加用戶,如增Domain Computers, 并為其增加寫入和注冊(cè)權(quán)限。否則,當(dāng)域中的計(jì)算以本地帳戶登入, 就會(huì)提示無權(quán)限申請(qǐng)證書。最后確認(rèn)后,在證書模板中,新添加的名為DQA-Computer的模板就建好了?;氐阶C書頒發(fā)機(jī)構(gòu), 右擊證書模板, 選擇新建,選要頒發(fā)的證書模板,然后選擇剛新建的證書模板(DQA-Computer), 這就就可以通過MMC,Web方式申請(qǐng)此類型的證書。10。創(chuàng)建View Center Server 模板。 在VMware的網(wǎng)站上有詳細(xì)步驟,直接照做照可。Creating a new template for vSphere 6.0

7、 to use for Machine SSL and Solution User certificates1. Connecting to the CA server, you will be generating the certificates from through an RDP session.2. Click Start Run, type certtmpl.msc, and click OK.3. In the Certificate Template Console, under Template Display Name, rightclickWeb Server and

8、click Duplicate Template.4. In the Duplicate Template window, select Windows Server 2003 Enterprise for backward compatibility.Note: If you have an encryption level higher than SHA1, select Windows Server 2008 Enterprise.5. Click the General tab.6. In the Template display name field, enter vSphere 6

9、.0 as the name of the new template.7. Click the Extensions tab.8. Select Application Policies and click Edit.9. Select Server Authentication and click Remove, then OK.Note: If Client Authentication exists, remove this from Application Policies as well.10. Select Key Usage and click Edit.11. Select t

10、he Signature is proof of origin (nonrepudiation) option. Leave all other options as default.12. Click OK.13. Click the Subject Name tab.14. Ensure that the Supply in the request option is selected.15. Click OK to save the template.16. Proceed to Adding a new template to certificate templates section

11、 in the article to make the newly created certificate template available.Adding a new template to certificate templates1. Connecting to the CA server, you will be generating the certificates from through an RDP session.2. Click Start Run, type certsrv.msc, and click OK.3. In the left pane of the Cer

12、tificate Console, if collapsed, expand the node by clicking the + icon.4. RightclickCertificate Templates and click New Certificate Template to Issue.5. Locate vSphere 6.0 or vSphere 6.0 VMCA under the Name column.6. Click OK.11 創(chuàng)建View Connection Server 模板, 此模板是按照網(wǎng)上教程的,因?yàn)樵诓贾脮r(shí),先在網(wǎng)上找到網(wǎng)友的設(shè)置模板后看到VMware官

13、網(wǎng)的模板設(shè)置,因此view connection server的證書使用的模板不是VMware官網(wǎng)的設(shè)置。 為了減少麻煩,就沒有再改回VMware的模板。使用VMware的模板應(yīng)該也可以,文中沒有測(cè)試過。 在證書模板中, 右擊Web服務(wù)器,選擇復(fù)制模板。在復(fù)制模板的兼容性標(biāo)簽選擇默認(rèn)設(shè)置。證書頒發(fā)機(jī)構(gòu):Windows Server 2003, 證書接收人:Windows XP/ Server2003。在常規(guī)標(biāo)簽下,指定模板的顯示名稱,文中為DQA-VCS. 設(shè)置有效期為10年, 續(xù)訂期為1年。在請(qǐng)求處理標(biāo)簽, 選擇允許導(dǎo)出私鑰。在使用者名稱標(biāo)簽,選擇在請(qǐng)求中提供,這樣可以方便的自定義公用名和使

14、用者名稱。在安全標(biāo)簽,根據(jù)實(shí)際情況添加用戶,如增Domain Computers, 并為其增加寫入和注冊(cè)權(quán)限。在擴(kuò)展標(biāo)簽,編輯應(yīng)用程序策略,添加客戶端身份驗(yàn)證。 編輯密鑰用法, 勾選數(shù)字簽名為原件的證明(認(rèn)可), 勾選允許使用用戶數(shù)據(jù)加密回到證書頒發(fā)機(jī)構(gòu), 右擊證書模板, 選擇新建,選要頒發(fā)的證書模板,然后選擇剛新建的證書模板(DQA-VCS), 這就就可以通過MMC,Web方式申請(qǐng)此類型的證書。三. 替換View Connection Server 證書1. 以域管理員或本地管理員登錄view connection server, 執(zhí)行certlm.msc打開證書管理器證書-本地計(jì)算機(jī)2.

15、打開個(gè)人-證書,右擊證書, 選擇所有任務(wù), 申請(qǐng)新證書, 選擇Active Directory注冊(cè)策略,勾選為View connection server創(chuàng)建的模板,文中為DQA-VCS模板。 單擊“注冊(cè)此證書需要詳細(xì)信息。單擊這里配置“設(shè)置詳細(xì)信息。3. 在使用者標(biāo)簽, 使用者名稱中選公用名,輸入VCS的名稱,文中使用域名, 單擊添加。 在備用名稱中選DNS,輸入VCS的DNS,文中為,然后單擊添加。 4. 在常規(guī)標(biāo)簽, 友好名稱輸入vdm. 這是VMware要求的,必須是小寫的vdm.確定后,在個(gè)人-證書中就出現(xiàn)了一個(gè)名為的證書,其友好名稱為vdm。由于VCS的自簽名證書的友好名稱也為vd

16、m, 如果不想刪除這個(gè)自簽名證書,只需要將自簽名證書的友好名稱由vdm改為其它字符串即可。 5. 重啟VCS。 打開Horizon 7 admiistraotr控制臺(tái),如果證書有錯(cuò),控制臺(tái)是打不開的??蓪⑿伦?cè)的證書的友好名由vdm改為其它,把自簽名證書的友好名稱改為vdm即可。在控制臺(tái)的控制板-系統(tǒng)運(yùn)行狀況,單擊VCS服務(wù)器,成功會(huì)顯示SSL證書:有效。三. 替換View Center Server 證書VMware官網(wǎng)有詳細(xì)操作步驟。1. 執(zhí)行C:Program FilesVMwarevCenter Server vmcad certificate-manager2. 選擇選項(xiàng) 1(Rep

17、lace Machine SSL certificate with Custom Certificate)3. 提供administratorvsphere.local的密碼4. 選擇選項(xiàng)1 (Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate)5. 輸入要在其中保存證書簽名請(qǐng)求和私有密鑰的目錄。 注意不要關(guān)閉窗口,以便接下來導(dǎo)入證書。 注意:創(chuàng)建的文件名稱為machine_name_ssl.csr 和 machine_name_ssl.key6. 將machine_name_ssl.cs

18、r提交到證書服務(wù)器簽名,步驟見: 1.打開證書服務(wù)器的Web端:https:/CertSvr 2. 選擇 申請(qǐng)證書-高級(jí)證書申請(qǐng)-使用base64編碼的CMC或PKCS#10文件提交一個(gè)證書申請(qǐng),或使用base64編碼的PKCS#7文件續(xù)訂證書申請(qǐng)。 3. 用記事本打開machine_name_ssl.csr, 復(fù)制-BEGIN CERTIFICATE REQUEST-到-END CERTIFICATE REQUEST-之間的內(nèi)容到保存的申請(qǐng)框中。 4. 證書模板選中之前創(chuàng)建的vSphere 6.0,然后提交。 5. 選擇Base 64 編碼, 下載證書。保存為machine_name_ssl

19、.cer. 6. 返回主頁,點(diǎn)擊下載CA證書、證書鏈或CRL。 7. 點(diǎn)擊 下載CA證書鏈, 保存為cachain.p7b. 8. 雙擊cachain.p7b, 在證書中,選中根證書,右鍵選中導(dǎo)出 9. 選擇Base64編碼X.509(.CER), 保存為Root64.cer. 注意:如果cachain.p7b中有多個(gè)證書(包含中間證書), 需要將所有的證書分別導(dǎo)出。 如導(dǎo)出的文件為interm64-1.cer, interm64-2.cer, root64.cer. 需要將這些文件連接起來為一個(gè)文件cachain.cer. copy /b interm64-1.cer+interm64-2.

20、cer+root64.cer cachain.cer. 也可以用記事本將內(nèi)容直接復(fù)制到cachain.cer中,順序是中間證書-根證書。同樣, 如果有中間證書,machine_name_ssl.cer中的內(nèi)容必須是證書,中間證書,根證書完整鏈。Copy /b machine_name_ssl.cer+ cachain.cer machine_name_ssl.cer. 也可以用記事本將內(nèi)容直接復(fù)制到machine_name_ssl.cer中,順序是證書-中間證書-根證書。 7 將得到的machine_name_ssl.cer 和 Root64.cer 導(dǎo)入到view center 服務(wù)器?;氐?/p>

21、第5步的vSphere 6.0 Certificate Manager窗口,選擇選項(xiàng)1(Continue to importing Custom certificate(s) and key(s) for Machine SSL certificate)8. 根據(jù)提示提供machine_name_ssl.cer,machine_name_ssl.key, Root64.cer的完整路徑。 Please provide valid custom certificate for Machine SSL.Path-to-machine_name_ssl.cerPlease provide valid

22、 custom key for Machine SSLPath-to-machine_name_ssl.keyPlease provide the signing certificate of the Machine SSL certificatePath-to-Root64.cer9. 回復(fù)Y確認(rèn)繼續(xù)。 10. 可以到view administrator 控制臺(tái)查看vcenter server的SSL證書是否有效。注意:如果是vCenter Server 6.0.0b以前的, 需要先將根證書導(dǎo)入,具體參考For Windows vCenter Server 6.0:1. ClickStart

23、 Run, type cmdand pressEnter.2. Add the certificate to the VMware Endpoint Certificate Store with this command:C:Program FilesVMwarevCenterServervmafdddir-cli.exe trustedcert publish -chain -certpath_to_chain.cerNote: Thepath_to_chain.ceris the complete path to the full chain of Intermediate CA(s) a

24、nd Root CA.3. Enter the password foradministratorvsphere.localwhen prompted. 4. Run the certificate replacement option again. 5. When the Certificate Manager asks for the signing certificateprovide just the Root CA certificate and not the full chain of CA certificates.For example:Please provide the

25、signing certificate of the Machine SSL certificateFile : C:certsmachineSSLroot_ca.cer 四. 替換View Composer證書 如果View Composer和view center server在同一臺(tái)服務(wù)器,且按照“三. 替換View Center Server 證書”替換的center server證書。 那么在windows的證書存儲(chǔ)區(qū)中不會(huì)有證書, 這種情況沒辦法使用sviconfig operation=repleacecertificate delete=false去更新view compose

26、r證書。 文中的view composer和center server是同一臺(tái)。 1. 以管理員或域管理員登center server, 停止Vmware Horizon 7 Composer服務(wù),執(zhí)行certlm.msc.2. 打開個(gè)人-證書,右擊證書, 選擇所有任務(wù), 申請(qǐng)新證書, 選擇Active Directory注冊(cè)策略,勾選為View connection server創(chuàng)建的模板,文中為DQA-VCS模板。 單擊“注冊(cè)此證書需要詳細(xì)信息。單擊這里配置“設(shè)置詳細(xì)信息。3. 在使用者標(biāo)簽, 使用者名稱中選公用名,輸入center server的名稱,文中使用域名, 單擊添加。 在備用名

27、稱中選DNS,輸入center server的DNS,文中為,然后單擊添加。 4. 在常規(guī)標(biāo)簽, 友好名稱輸入viewcomposer. 此處的目的是好分辨,不是VMware要求確認(rèn)注冊(cè)后,在個(gè)人-證書中就出現(xiàn)了一個(gè)名為的證書,其友好名稱為viewcomposer。 5.在windows的控制臺(tái)窗口,進(jìn)入c:program files (x86)VMwareVMware View Composer目錄。 6. 執(zhí)行SviConfig - operation=repleacecertificate delete=false, 如果一切順利,會(huì)列出當(dāng)前在windows證書存儲(chǔ)區(qū)中的證書, 選擇剛才

28、創(chuàng)建的證書(可以通過指紋確認(rèn)),等待完成。 7. 重啟Vmware Horizon 7 Composer服務(wù)。8. 可以到view administrator 控制臺(tái)查看view composer server的SSL證書是否有效。五 替換 ESXi 主機(jī)證書1.關(guān)閉ESXi中的所有虛擬機(jī), 并進(jìn)入維護(hù)模式。2.創(chuàng)建ESXi主機(jī)需要的f文件。文中的ESXi主機(jī)沒有自帶f. 此文件的創(chuàng)建依據(jù)是:只需要修改subjectAltName 和 req_distinguished_name的內(nèi)容。 req default_bits = 2048default_keyfile = rui.keydisti

29、nguished_name = req_distinguished_nameencrypt_key = noprompt = nostring_mask = nombstrreq_extensions = v3_req v3_req basicConstraints = CA:FALSEkeyUsage = digitalSignature, keyEncipherment, dataEnciphermentextendedKeyUsage = serverAuth, clientAuthsubjectAltName = DNS: esxi, IP: , DNS: req_distinguished_name countryName = CNstateOrProvinceName = FJlocalityName = XM0.organizationName = C

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論