VMwareHorizon7替换SSL_第1页
VMwareHorizon7替换SSL_第2页
VMwareHorizon7替换SSL_第3页
VMwareHorizon7替换SSL_第4页
VMwareHorizon7替换SSL_第5页
免费预览已结束,剩余1页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、VMware Horizon 7.03 使用CA签发证书替换自签名 SSL本文根据实际操作 , 在域环境下替换 VMware Horizon 7.03 自带签名证书,包括 vCenterServer, View Connection Server, ESXi 主机。内容包括:安装 Windows Server 2012 R2 证书服务 在证书服务器上创建对应的证书模板 替换 View Connection Server证书替换 View Center Server证书替换 View Composer 证书 替换 ESXi 主机证书一.安装 Windows Server 2012 R2 证书服务

2、为了便于操作,选择将证书服务安装在域控制器(AD上。1. 运行 服务器管理器 , 添加加色与功能 , 选择 Active Directory 证书服务 。2. 在角色服务中,选择证书颁发机构 和证书颁发机构 Web注册。 证书颁发机构 Web注册就是传统的注册方式,此注册方式多数用在非微软的第三方应用上,比如本文的VMware。3. 其它步骤选择默认即可。4. 安装完成后, 在服务器管理器的右上角会有一个黄颜色的三角形感叹号图标,点击它进行角色服务配置(AD CS配置)。在角色服务 中选择证书颁发机构 和证书颁发机构 Web注册。5. 指定CA的的设置类型 为企业CA6. 指定CA类型为根CA

3、o对于一般企业来说,一台根 CA足够。7. 在接下来的选项中选择 创建新的私钥 ,加密项默认, 密钥长度至少 2048 位,其它项默认即 可。CA公用名称可修改为容易记下的。 本文的预览可分辨名称 为:CN=dqaca, DC=dqa, DC=com 二 . 在证书服务器上创建对应的证书模板高级配置。 虽然经过上面的安装和设置后,基本的证书服务已经可以使用,但在本文的环境中,进行了以下配置: 修改服务器级别颁发证书的有效期,改为 10 年创建了 3个定义的证书模板,一个计算机类, 两个Web服务器类8. 默认证书的有效期只有 2年,即使证书模板配置了大于 2年也没用,需要在证书服务器上修 改总

4、开关:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesCertSvcConfiguration 修改” ValidityPeriod Un its ”为十进制 10 。 修改后要重启证书服务。默认情况下, 用户能从MM(中申请“计算机“类型和” Web服务器“类型的证书,但它们都定 的参数,不能添加自定的域名, 不能导岀私钥,因此需要新建适合的模板, 以便申请相关的证书。9. 创建计算机模板。此模板针对域中的其它计算机,不是VMware所用模板。运行mmc添加证书模板,然后选中计算机模板,右键单击并选中 复制模板。这就会根据 计算机模板新建一个

5、用来自定义适合的模板。计算机模板适合服务器身分验证, 也适合客户端身份验证.Web服务器只适合服务器身份验证。在复制模板的兼容性标签选择默认设置。证书颁发机构:Windows Server 2003,证书接收人: Windows XP/ Server2003 o 如果不是选 Windows server 2003 ,比如更高版本,则不能 通过Web方式申请。在常规标签下,指定模板的显示名称,文中为 DQA-Computer. 设置有效期 为 10年, 续 订期为1年。如果续订期太短,过了续订期就只能重新申请证书,而不能利用原有证书,会导 致很多麻烦。以方便的自定义公用名和使用者名称。在安全 标

6、签,根据实际情况添加用户,如增Domain Computers, 并为其增加 写入 和 注册权限。否则,当域中的计算以本地帐户登入, 就会提示无权限申请证书。最后确认后,在证书模板中,新添加的名为DQA-Computer 的模板就建好了。回到证书颁发机构 , 右击证书模板 , 选择新建 ,选要颁发的证书模板 ,然后选择刚新 建的证书模板(DQA-Computer),这就就可以通过MMC Web方式申请此类型的证书。10。创建View Center Server 模板。 在VMware的网站上有详细步骤,直接照做照可。 Creating a new template for vSphere 6.

7、0 to use for Machine SSL and Solution User certificates1. Connecting to the CA server, you will be generating the certificates from through an RDP session.2. Click Start Run, type certtmpl.msc , and click OK.3. In the Certificate Template Console, under Template Display Name, rightclick Web Server a

8、nd click Duplicate Template.4. In the Duplicate Template window, select Windows Server 2003 Enterprise for backward compatibility.Note: If you have an encryption level higher than SHA1, select Windows Server 2008 Enterprise.5. Click the General tab.6. In the Template display name field, enter vSpher

9、e 6.0 as the name of the new template.7. Click the Extensions tab.8. Select Application Policies and click Edit.9. Select Server Authentication and click Remove, then OK.Note: If Client Authentication exists, remove this from Application Policies as well.10. Select Key Usage and click Edit.11. Selec

10、t the Signature is proof of origin (nonrepudiation) option. Leave all other options as default.12. Click OK.13. Click the Subject Name tab.14. Ensure that the Supply in the request option is selected.15. Click OK to save the template.16. Proceed to Adding a new template to certificate templates sect

11、ion in the article to make the newly created certificate template available.Adding a new template to certificate templates1. Connecting to the CA server, you will be generating the certificates from through an RDP session.2. Click Start Run, type certsrv.msc , and click OK.3. In the left pane of the

12、 Certificate Console, if collapsed, expand the node by clicking the+icon.4. RightclickCertificate Templates and click New Certificate Template to Issue.5. Locate vSphere 6.0 or vSphere 6.0 VMCA under the Name column.6. Click OK.11 创建 View Connection Server 模板 , 此模板是按照网上教程的,因为在布置时,先在网上找到网友的设置模板后看到 VM

13、ware官网的模板设置,因此 view conn ection server的证书使用 的模板不是 VMware官网的设置。 为了减少麻烦,就没有再改回 VMware的模板。使用 VMware 的模板应该也可以,文中没有测试过。在证书模板中,右击Web服务器,选择复制模板。在复制模板的 兼容性 标签选择默认设置。证书颁发机构: Windows Server 2003, 证书接 收人: Windows XP/ Server2003 。在常规标签下,指定模板的显示名称,文中为 DQA-VCS. 设置有效期为10年, 续订期为 1 年。在请求处理 标签, 选择允许导出私钥 。在使用者名称 标签,选择

14、 在请求中提供 ,这样可 以方便的自定义公用名和使用者名称。在安全 标签,根据实际情况添加用户,如增 Domain Computers, 并为其增加 写入 和 注册 权限。在扩展标签,编辑 应用程序策略 ,添加 客户端身份验证 。 编辑密钥用法 , 勾选数字签名 为原件的证明(认可) , 勾选允许使用用户数据加密回到证书颁发机构 , 右击证书模板 , 选择新建 ,选要颁发的证书模板 ,然后选择刚新 建的证书模板(DQA-VCS, 这就就可以通过 MMC Web方式申请此类型的证书。三 . 替换 View Connection Server 证书1. 以域管理员或本地管理员登录 view con

15、nection server, 执行 certlm.msc 打开证书管 理器 证书 - 本地计算机 2. 打开 个人 - 证书 ,右击 证书 , 选择 所有任务 , 申请新证书 , 选择 Active Directory 注册策略,勾选为View conn ection server创建的模板,文中为DQA-VCS模板。 单击注册此证书需要详细信息。单击这里配置 “设置详细信息。3. 在使用者 标签, 使用者名称中选 公用名 ,输入 DNS4. 在常规标签,友好名称输入 vdm.这是VMware要求的,必须是小写的vdm.vdm。由于VCS的自签名证书的友好名称也为vdm,如果不想删除这个自签

16、名证书,只需要将自签名证书的友好名称由vdm改为其它字符串即可。5. 重启 VCS。 打开 Horizon 7 admiistraotr 控制台,如果证书有错,控制台是打不开的。可将新注册的证书的友好名由vdm改为其它,把自签名证书的友好名称改为vdm即可。在控制台的控制板-系统运行状况,单击VCS服务器,成功会显示SSL证书:有效。三. 替换 View Center Server 证书VMware官网有详细操作步骤。1. 执行 C:Program FilesVMwarevCenter Server vmcad certificate-manager2. 选择选项 1 (Replace Mac

17、hine SSL certificate with Custom Certificate)3. 的密码4. 选择选项 1 ( Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate )5. 输入要在其中保存证书签名请求和私有密钥的目录。注意不要关闭窗口,以便接下来导入证书。注意:创建的文件名称为 machine_name_ssl.csr 和 machine_name_ssl.key6. 将 machine_name_ssl.csr 提交到证书服务器签名,步骤见:1. 打开证书服务器的 Web端

18、:2. 选择 申请证书-高级证书申请-使用base64编码的CMC或 PKCS#10文件提交一个证 书申请,或使用 base64编码的PKCS#7文件续订证书申请。3. 用记事本打开 machine_name_ssl.csr , 复制 BEGIN CERTIFICATEREQUEST 到 ENDCERTIFICATE REQUEST-之间的内容到 保存的申请 框中。4. 证书模板 选中之前创建的 vSphere 6.0 ,然后 提交 。5. 选择 Base 64 编码 , 下载证书 。保存为 machine_name_ssl.cer.6. 返回主页,点击 下载CA证书、证书链或 CRL,7.

19、点击下载CA证书链,保存为cachain.p7b.8. 双击 cachain.p7b, 在证书中,选中根证书,右键选中导出9. 选择 Base64编码 X.509(.CER),保存为 Root64.cer.注意:如果 cachain.p7b 中有多个证书(包含中间证书),需要将所有的证书分别导出。 如导出的文件为 interm64-1.cer, interm64-2.cer, root64.cer.需要将这些文件连接起来为一个文件 cachain.cer. copy /b interm64-1.cer+interm64-2.cer+root64.cercachain.cer. 也可以用记事本将

20、内容直接复制到 cachain.cer 中,顺序是中间证书 -根证书。同 样, 如果有中间证书, machine_name_ssl.cer 中的内容必须是证书, 中间证书, 根证书完整链。Copy /b machine_name_ssl.cer+ cachain.cer machine_name_ssl.cer.也可以用记事本将内容直接复制到 machine_name_ssl.cer 中, 顺序是证书 -中间证书 -根证书。7 将得到的 machine_name_ssl.cer 和 Root64.cer 导入到 view center 服务器。 回到第 5 步的 vSphere 6.0 Cer

21、tificate Man ager窗口,选择选项 1 ( Con ti nue to importi ng Customcertificate(s) and key(s) for Machine SSL certificate)8. 根据提示提供 machine_name_ssl.cer , machine_name_ssl.key , Root64.cer 的完整路 径。Please provide valid custom certificate for Machine SSL.Path-to-machine_name_ssl.cerPlease provide valid custom

22、key for Machine SSLPath-to-machine_name_ssl.keyPlease provide the signing certificate of the Machine SSL certificatePath-to-Root64.cer9. 回复丫确认继续。10. 可以到view administrator控制台查看vcenter server的SSL证书是否有效。注意:如果是 vCenterFor Windows vCenter Server 6.0:1. Click? Start ? R un , type cmd?and press? Enter .2.

23、Add the certificate to the VMware Endpoint Certificate Store with this command:3.3. C:Program FilesVMwarevCenter?Servervmafdddir-cli.exetrustedcert publish -chain -cert?path_to_chain.cer5.6. Note : The? path_to_chain.cer ?is the complete path to the full chain of Intermediate CA(s) and Root CA.?7. E

24、nter the password for?when prompted.8. Run the certificate replacement option again.9. When the Certificate Manager asks for the signing certificate ?provide just the Root CA certificate and not the full chain of CA certificates.10.11. For example:12.13. Please provide the signing certificate of the

25、 Machine SSLcertificate14. File : C:certsmachineSSLroot_ca.cer四.替换View Composer证书如果 View Composer 和 view center server 在同一台服务器, 且按照“三 . 替换 View Center Server 证书” 替换的 center server 证书。 那么在 windows 的证书存储区中不会有证书, 这 种情况没办法使用 sviconfig - operation=repleacecertificate- delete=false 去更新 viewcomposer 证书。 文中

26、的 view composer 和 center server 是同一台。1. 以管理员或域管理员登 center server , 停止 Vmware Horizon 7 Composer 服务,执行 certlm.msc.2. 打开 个人 - 证书 ,右击 证书 , 选择 所有任务 , 申请新证书 , 选择 Active Directory 注册策略,勾选为View conn ection server创建的模板,文中为 DQA-VCS莫板。 单击注册此证书需要详细信息。单击这里配置 “设置详细信息。3. 在使用者 标签, 使用者名称中选 公用名,输入center server DNS输入

27、center server 的DNS文中为, 然后单击添加。4. 在常规标签,友好名称输入 viewcomposer.此处的目的是好分辨,不是VMware要求确认注册后,在个人 - 证书中就出现了一个名为 的证书,其友好名称为viewcomposer 。5. 在 wi ndows 的控制台窗口,进入 c:program files (x86)VMwareVMware View Composer 目录。6. 执行 SviConfig - operation=repleacecertificate delete=false, 如果一切顺利

28、,会列出当前在 windows 证书存储区中的证书, 选择刚才创建的证书(可以通过指纹确认) ,等待 完成。7. 重启 Vmware Horizon 7 Composer 服务。8. 可以至U view administrator控制台查看 view composer server的SSL证书是否有效。五 替换 ESXi 主机证书1. 关闭ESXi中的所有虚拟机,并进入维护模式。2. 创建ESXi主机需要的f 文件。文中的ESXi主机没有自带f.此文件的创建依据是:只需要修改 subjectAltName 和 req_distinguished_name

29、 的内容。 req default_bits = 2048 default_keyfile = rui.key distinguished_name = req_distinguished_nameencrypt_key = noprompt = nostring_mask = nombstr req_extensions = v3_req v3_req basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth, clientAuthsubjectAltName = DNS: esxi, IP: , DNS: req_distinguished_name countryName = CN stateOrProvinceName = FJ localityName = XM0.organizationName = Company Name organizationalUnitName = c

人人文库> 全部分类> 行业资料 > 信息产业

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论