VMwareHorizon7替换_第1页
VMwareHorizon7替换_第2页
VMwareHorizon7替换_第3页
VMwareHorizon7替换_第4页
免费预览已结束,剩余1页可下载查看

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、VMware Horizon 使用CA签发证书替换自签名 SSL本文根据实际操作 , 在域环境下替换 VMware Horizon 自带签名证书,包括 vCenterServer, View Connection Server, ESXi主机。内容包括:安装 Windows Server 2012 R2 证书服务 在证书服务器上创建对应的证书模板 替换 View Connection Server证书替换 View Center Server证书替换 View Composer 证书 替换 ESXi 主机证书一.安装 Windows Server 2012 R2 证书服务为了便于操作,选择将证

2、书服务安装在域控制器(AD上。1. 运行 服务器管理器 , 添加加色与功能 , 选择 Active Directory 证书服务 。2. 在角色服务中,选择证书颁发机构 和证书颁发机构 Web注册。 证书颁发机构 Web注册就是传统的注册方式,此注册方式多数用在非微软的第三方应用上,比如本文的VMware。3. 其它步骤选择默认即可。4. 安装完成后, 在服务器管理器的右上角会有一个黄颜色的三角形感叹号图标,点击它进行 角色服务配置(AD CS配置)。在角色服务 中选择证书颁发机构 和证书颁发机构 Web注册。5. 指定CA的的设置类型 为企业CA6. 指定CA类型为根CAo对于一般企业来说,

3、一台根CA足够。7. 在接下来的选项中选择 创建新的私钥 ,加密项默认, 密钥长度至少 2048 位,其它项默认 即可。CA公用名称可修改为容易记下的。 本文的预览可分辨名称为:CN=dqaca, DC=dqa, DC=como二 . 在证书服务器上创建对应的证书模板高级配置。 虽然经过上面的安装和设置后,基本的证书服务已经可以使用,但在本文的环境 中,进行了以下配置: 修改服务器级别颁发证书的有效期,改为 10 年创建了 3个定义的证书模板,一个计算机类,两个Web服务器类8. 默认证书的有效期只有 2年,即使证书模板配置了大于 2年也没用,需要在证书服务器上修 改总开关:HKEY_LOCA

4、L_MACHINESystemCurrentControlSetServicesCertSvcConfiguration<CANAME> ,修改” ValidityPeriodUnits ”为十进制" 10 "。 修改后要重启证书服务。默认情况下,用户能从MM(中申请“计算机“类型和”Web服务器“类型的证书,但它们都定的参数,不能添加自定的域名,不能导出私钥,因此需要新建适合的模板,以便申请相关的证 书。9. 创建计算机模板。此模板针对域中的其它计算机,不是VMware所用模板。运行 mmc, 添加 证书模板 , 然后选中 计算机 模板,右键单击并选中 复制模

5、板 。这就会根据 计算机模板新建一个用来自定义适合的模板。计算机模板适合服务器身分验证,也适合客户端 身份验证 . Web 服务器只适合服务器身份验证。在复制模板的 兼容性 标签选择默认设置。证书颁发机构: Windows Server 2003, 证书接收人: Windows XP/ Server2003 。 如果不是选 Windows server 2003 ,比如更高版本,则不 能通过Web方式申请。在常规 标签下,指定模板的显示名称,文中为 DQA-Computer. 设置 有效期 为 10 年, 续 订期 为 1 年。 如果续订期太短,过了续订期就只能重新申请证书,而不能利用原有证书

6、,会导 致很多麻烦。在请求处理 标签, 选择允许导出私钥 。在 使用者名称 标签,选择 在请求中提供 ,这样 可以方便的自定义公用名和使用者名称。在安全 标签,根据实际情况添加用户,如增Domain Computers, 并为其增加 写入 和 注册权限。否则,当域中的计算以本地帐户登入, 就会提示无权限申请证书。最后确认后,在证书模板中,新添加的名为DQA-Computer 的模板就建好了。回到证书颁发机构 , 右击证书模板 , 选择新建 ,选要颁发的证书模板 ,然后选择刚新 建的证书模板(DQA-Computer), 这就就可以通过 MMC Web方式申请此类型的证书。10。创建View C

7、enter Server 模板。 在VMware的网站上有详细步骤,直接照做照可。 Creating a new template for vSphereto use for Machine SSL and Solution User certificates1. Connecting to the CA server, you will be generating the certificates from through an RDP session.2. Click Start > Run, type , and click OK.3. In the Certificate Tem

8、plate Console, under Template Display Name, rightclickWeb Server and click Duplicate Template.4. In the Duplicate Template window, select Windows Server 2003 Enterprise for backward compatibility.Note: If you have an encryption level higher than SHA1, select Windows Server 2008 Enterprise.5. Click t

9、he General tab.6. In the Template display name field, enter vSphere as the name of the new template.7. Click the Extensions tab.8. Select Application Policies and click Edit.9. Select Server Authentication and click Remove, then OK.Note: If Client Authentication exists, remove this from Application

10、Policies as well.10. Select Key Usage and click Edit.11. Select the Signature is proof of origin (nonrepudiation) option. Leave all other options as default.12. Click OK.13. Click the Subject Name tab.14. Ensure that the Supply in the request option is selected.15. Click OK to save the template.16.

11、Proceed to Adding a new template to certificate templates section in the article to make the newly created certificate template available.Adding a new template to certificate templates1. Connecting to the CA server, you will be generating the certificates from through an RDP session.2. Click Start &

12、gt; Run, type , and click OK.3. In the left pane of the Certificate Console, if collapsed, expand the node by clicking the+icon.4. RightclickCertificate Templates and click New > Certificate Template to Issue.5. Locate vSphere or vSphere VMCA under the Name column.6. Click OK.11 创建 View Connectio

13、n Server 模板 , 此模板是按照网上教程的,因为在布置时,先在网上 找到网友的设置模板后看到VMware官网的模板设置,因此view conn ection server的证书使用的模板不是 VMware官网的设置。为了减少麻烦,就没有再改回VMware的模板。使用VMware的模板应该也可以,文中没有测试过。在证书模板中,右击Web服务器,选择复制模板。在复制模板的 兼容性 标签选择默认设置。证书颁发机构: Windows Server 2003 , 证书 接收人: Windows XP/ Server2003 。在常规标签下,指定模板的显示名称,文中为 DQA-VCS. 设置有效期

14、为10年, 续订期 为 1 年。在请求处理 标签, 选择允许导出私钥 。在使用者名称 标签,选择 在请求中提供 ,这样 可以方便的自定义公用名和使用者名称。在安全 标签,根据实际情况添加用户,如增 Domain Computers, 并为其增加 写入 和 注册 权限。在扩展标签,编辑 应用程序策略 ,添加 客户端身份验证 。 编辑密钥用法 , 勾选数字签名 为原件的证明(认可) , 勾选允许使用用户数据加密回到证书颁发机构 , 右击证书模板 , 选择新建 ,选要颁发的证书模板 ,然后选择刚新 建的证书模板(DQA-VCS, 这就就可以通过 MMC Web方式申请此类型的证书。三 . 替换 Vi

15、ew Connection Server 证书1. 以域管理员或本地管理员登录 view connection server, 执行打开证书管理器 证书- 本地计算机 2. 打开 个人 - 证书 ,右击 证书 , 选择 所有任务 , 申请新证书 , 选择 Active Directory注册策略,勾选为View conn ection server创建的模板,文中为DQA-VCS模板。单击"注册此证书需要详细信息。单击这里配置 “设置详细信息。3. 在使用者 标签, 使用者名称中选 公用名 ,输入 DNS4. 在常规标签, 友好名称输入 vdm.这是VMware要求的,必须是小写的v

16、dm.vdm。由于VCS的自签名证书的友好名称也为vdm,如果不想删除这个自签名证书,只需要将自签名证书的友好名称由vdm改为其它字符串即可。5. 重启 VCS。 打开 Horizon 7 admiistraotr 控制台,如果证书有错,控制台是打不开的。可将新注册的证书的友好名由vdm改为其它,把自签名证书的友好名称改为vdm即可。在控制台的控制板-系统运行状况,单击VCS服务器,成功会显示SSL证书:有效。三. 替换 View Center Server 证书VMware官网有详细操作步骤。1. 执行 C:Program FilesVMwarevCenter Server vmcad ce

17、rtificatemanager2. 选择选项 1 (Replace Machine SSL certificate with Custom Certificate )3. 的密码4. 选择选项 1 (Generate Certificate Signing Request(s) and Key(s) for MachineSSL certificate )5. 输入要在其中保存证书签名请求和私有密钥的目录。注意不要关闭窗口,以便接下来导入证书。注意:创建的文件名称为 和6. 将提交到证书服务器签名,步骤见:1. 打开证书服务器的 Web 端:2. 选择 申请证书-高级证书申请-使用base6

18、4编码的CMC或 PKCS#10文件提交一个证 书申请,或使用base64编码的PKCS#7文件续订证书申请。3. 用记事本打开, 复制 BEGIN CERTIFICATE REQUEST 到 ENDCERTIFICATE REQUEST-之间的内容到 保存的申请 框中。4. 证书模板 选中之前创建的 vSphere ,然后 提交 。5. 选择 Base 64 编码 , 下载证书 。保存为 .6. 返回主页,点击 下载CA证书、证书链或CRL,7. 点击下载CA证书链,保存为.8. 双击, 在证书中,选中根证书,右键选中导出9. 选择Base64编码(.CER),保存为.注意:如果中有多个证书

19、(包含中间证书),需要将所有的证书分别导出。 如导出的文件为 , , . 需要将这些文件连接起来为一个文件 . copy /b + . 也可以用记事本将内 容直接复制到中,顺序是中间证书 - 根证书。同样, 如果有中间证书,中的内容必须是证书, 中间证书,根证书完整链。 Copy /b + . 也可以用记事本将内容直接复制到中 ,顺序是证书 -中 间证书 - 根证书。7 将得到的 和 导入到 view center 服务器。回到第 5步的 vSphere Certificate Manager 窗口,选择选项 1 ( C ontinue to importing Custom certific

20、ate(s) and key(s) for Machine SSL certificate )8. 根据提示提供, 的完整路径。Please provide valid custom certificate for Machine SSL.Please provide valid custom key for Machine SSLPlease provide the signing certificate of the Machine SSL certificate9. 回复丫确认继续。10. 可以到view administrator控制台查看vcenter server的SSL证书是否有

21、效。注意:如果是 vCenterFor Windows vCenter Server :1. Click Start > R un, type cmdand press Enter .2. Add the certificate to the VMware Endpoint Certificate Store with this command:"C:Program FilesVMwarevCenterServervmafdd" trustedcert publish -chain -cert?Note : Theis the complete path to the

22、 full chain of Intermediate CA(s) and Root CA.3. Enter the password forwhen prompted.4. Run the certificate replacement option again.5. When the Certificate Manager asks for the signing certificateprovide just theRoot CA certificate and not the full chain of CA certificates.For example: Please provi

23、de the signing certificate of the Machine SSL certificateFile : "C:certsmachineSSL"四.替换View Composer证书如果 View Composer 和 view center server 在同一台服务器,且按照 “三 . 替换 View Center Server 证书” 替换的 center server 证书。 那么在 windows 的证书存储区中不会有 证书,这种情况没办法使用sviconfig- operation=repleacecertificate- delete=f

24、alse去更新 view composer 证书。 文中的 view composer 和 center server 是同一台。1. 以管理员或域管理员登 center server , 停止 Vmware Horizon 7 Composer 服务,执行 .2. 打开 个人 - 证书 ,右击 证书 , 选择 所有任务 , 申请新证书 , 选择 Active Directory 注册 策略,勾选为View conn ection server 创建的模板,文中为 DQA-VCS莫板。 单击"注册此证 书需要详细信息。单击这里配置 “设置详细信息。3. 在使用者 标签,使用者名称中选

25、 公用名,输入center serverDNS输入centerserver的DNS文中为然后单击添加。4. 在常规标签,友好名称输入 viewcomposer.此处的目的是好分辨,不是VMware要求确认注册后,在个人 - 证书中就出现了一个名为的证书,其友好名称为 viewcomposer 。5. 在 wi ndows 的控制台窗口,进入 c:program files (x86)VMwareVMware View Composer 目录。6. 执行 SviConfig - operation=repleacecertificate delete=false,如果一切顺利,会列出当前在 wi

26、ndows 证书存储区中的证书, 选择刚才创建的证书(可以通过指纹确 认),等待完成。7. 重启 Vmware Horizon 7 Composer 服务。8. 可以至U view administrator控制台查看 view composer server的SSL证书是否有效。五 替换 ESXi 主机证书1. 关闭ESXi中的所有虚拟机,并进入维护模式。2. 创建ESXi主机需要的文件。文中的ESXi主机没有自带.此文件的创建依据是:只需要修改 subjectAltName 和 req_distinguished_name 的内容。 req default_bits = 2048 defa

27、ult_keyfile = distinguished_name = req_distinguished_name encrypt_key = no prompt = nostring_mask = nombstr req_extensions = v3_req v3_req basicConstraints = CA:FALSE keyUsage = digitalSignature, keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth, clientAuth subjectAltName = DNS: esxi, IP: , DNS: req_distinguished_name countryName = CN sta

人人文库> 全部分类> 应用文书 > 作业报告

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论