VMware Horizon 7 替換SSL_第1頁
VMware Horizon 7 替換SSL_第2頁
VMware Horizon 7 替換SSL_第3頁
VMware Horizon 7 替換SSL_第4頁
VMware Horizon 7 替換SSL_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、VMware Horizon 7.03 使用CA簽發(fā)證書替換自簽名SSL本文根據(jù)實際操作,在域環(huán)境下替換VMware Horizon 7.03自帶簽名證書,包括vCenterServer, View Connection Server, ESXi主機。 內(nèi)容包括:安裝Windows Server 2012 R2 證書服務(wù)在證書服務(wù)器上創(chuàng)建對應(yīng)的證書模板替換View Connection Server 證書替換 View Center Server 證書替換View Composer證書替換 ESXi 主機證書一.安裝Windows Server 2012 R2證書服務(wù)為了便于操作,選擇將證書服

2、務(wù)安裝在域控制器(AD)上。1. 運行服務(wù)器管理器, 添加加色與功能, 選擇Active Directory證書服務(wù)。2. 在角色服務(wù)中,選擇證書頒發(fā)機構(gòu)和證書頒發(fā)機構(gòu)Web注冊。 證書頒發(fā)機構(gòu)Web注冊就是傳統(tǒng)的Https:/CertSrv注冊方式,此注冊方式多數(shù)用在非微軟的第三方應(yīng)用上,比如本文的VMware。 3. 其它步驟選擇默認即可。 4. 安裝完成后, 在服務(wù)器管理器的右上角會有一個黃顏色的三角形感嘆號圖標(biāo),點擊它進行角色服務(wù)配置(AD CS配置)。在角色服務(wù)中選擇證書頒發(fā)機構(gòu)和證書頒發(fā)機構(gòu)Web注冊。5. 指定CA的的設(shè)置類型為企業(yè)CA. 6. 指定CA類型為根CA。 對于一般企

3、業(yè)來說,一臺根CA足夠。7. 在接下來的選項中選擇創(chuàng)建新的私鑰,加密項默認, 密鑰長度至少2048位,其它項默認即可。 CA公用名稱可修改為容易記下的。 本文的預(yù)覽可分辨名稱為:CN=dqaca, DC=dqa, DC=com。二. 在證書服務(wù)器上創(chuàng)建對應(yīng)的證書模板高級配置。 雖然經(jīng)過上面的安裝和設(shè)置后,基本的證書服務(wù)已經(jīng)可以使用,但在本文的環(huán)境中,進行了以下配置:修改服務(wù)器級別頒發(fā)證書的有效期, 改為10年創(chuàng)建了3 個定義的證書模板, 一個計算機類, 兩個Web服務(wù)器類8. 默認證書的有效期只有2年,即使證書模板配置了大于2年也沒用,需要在證書服務(wù)器上修改總開關(guān):HKEY_LOCAL_MAC

4、HINESystemCurrentControlSetServicesCertSvcConfiguration,修改”ValidityPeriodUnits”為十進制“10“。 修改后要重啟證書服務(wù)。 默認情況下, 用戶能從MMC中申請“計算機“類型和”Web服務(wù)器“類型的證書,但它們都定的參數(shù),不能添加自定的域名,不能導(dǎo)出私鑰,因此需要新建適合的模板,以便申請相關(guān)的證書。9. 創(chuàng)建計算機模板。此模板針對域中的其它計算機,不是VMware所用模板。運行mmc, 添加證書模板, 然后選中計算機模板,右鍵單擊并選中復(fù)制模板。這就會根據(jù)計算機模板新建一個用來自定義適合的模板。計算機模板適合服務(wù)器身分

5、驗證,也適合客戶端身份驗證. Web服務(wù)器只適合服務(wù)器身份驗證。在復(fù)制模板的兼容性標(biāo)簽選擇默認設(shè)置。證書頒發(fā)機構(gòu):Windows Server 2003, 證書接收人:Windows XP/ Server2003。 如果不是選Windows server 2003,比如更高版本,則不能通過Web方式申請。 在常規(guī)標(biāo)簽下,指定模板的顯示名稱,文中為DQA-Computer. 設(shè)置有效期為10年, 續(xù)訂期為1年。 如果續(xù)訂期太短,過了續(xù)訂期就只能重新申請證書,而不能利用原有證書,會導(dǎo)致很多麻煩。在請求處理標(biāo)簽, 選擇允許導(dǎo)出私鑰。在使用者名稱標(biāo)簽,選擇在請求中提供,這樣可以方便的自定義公用名和使用

6、者名稱。在安全標(biāo)簽,根據(jù)實際情況添加用戶,如增Domain Computers, 并為其增加寫入和注冊權(quán)限。否則,當(dāng)域中的計算以本地帳戶登入, 就會提示無權(quán)限申請證書。最后確認后,在證書模板中,新添加的名為DQA-Computer的模板就建好了。回到證書頒發(fā)機構(gòu), 右擊證書模板, 選擇新建,選要頒發(fā)的證書模板,然后選擇剛新建的證書模板(DQA-Computer), 這就就可以通過MMC,Web方式申請此類型的證書。10。創(chuàng)建View Center Server 模板。 在VMware的網(wǎng)站上有詳細步驟,直接照做照可。Creating a new template for vSphere 6.0

7、 to use for Machine SSL and Solution User certificates1. Connecting to the CA server, you will be generating the certificates from through an RDP session.2. Click Start Run, type certtmpl.msc, and click OK.3. In the Certificate Template Console, under Template Display Name, rightclickWeb Server and

8、click Duplicate Template.4. In the Duplicate Template window, select Windows Server 2003 Enterprise for backward compatibility.Note: If you have an encryption level higher than SHA1, select Windows Server 2008 Enterprise.5. Click the General tab.6. In the Template display name field, enter vSphere 6

9、.0 as the name of the new template.7. Click the Extensions tab.8. Select Application Policies and click Edit.9. Select Server Authentication and click Remove, then OK.Note: If Client Authentication exists, remove this from Application Policies as well.10. Select Key Usage and click Edit.11. Select t

10、he Signature is proof of origin (nonrepudiation) option. Leave all other options as default.12. Click OK.13. Click the Subject Name tab.14. Ensure that the Supply in the request option is selected.15. Click OK to save the template.16. Proceed to Adding a new template to certificate templates section

11、 in the article to make the newly created certificate template available.Adding a new template to certificate templates1. Connecting to the CA server, you will be generating the certificates from through an RDP session.2. Click Start Run, type certsrv.msc, and click OK.3. In the left pane of the Cer

12、tificate Console, if collapsed, expand the node by clicking the + icon.4. RightclickCertificate Templates and click New Certificate Template to Issue.5. Locate vSphere 6.0 or vSphere 6.0 VMCA under the Name column.6. Click OK.11 創(chuàng)建View Connection Server 模板, 此模板是按照網(wǎng)上教程的,因為在布置時,先在網(wǎng)上找到網(wǎng)友的設(shè)置模板后看到VMware官

13、網(wǎng)的模板設(shè)置,因此view connection server的證書使用的模板不是VMware官網(wǎng)的設(shè)置。 為了減少麻煩,就沒有再改回VMware的模板。使用VMware的模板應(yīng)該也可以,文中沒有測試過。 在證書模板中, 右擊Web服務(wù)器,選擇復(fù)制模板。在復(fù)制模板的兼容性標(biāo)簽選擇默認設(shè)置。證書頒發(fā)機構(gòu):Windows Server 2003, 證書接收人:Windows XP/ Server2003。在常規(guī)標(biāo)簽下,指定模板的顯示名稱,文中為DQA-VCS. 設(shè)置有效期為10年, 續(xù)訂期為1年。在請求處理標(biāo)簽, 選擇允許導(dǎo)出私鑰。在使用者名稱標(biāo)簽,選擇在請求中提供,這樣可以方便的自定義公用名和使

14、用者名稱。在安全標(biāo)簽,根據(jù)實際情況添加用戶,如增Domain Computers, 并為其增加寫入和注冊權(quán)限。在擴展標(biāo)簽,編輯應(yīng)用程序策略,添加客戶端身份驗證。 編輯密鑰用法, 勾選數(shù)字簽名為原件的證明(認可), 勾選允許使用用戶數(shù)據(jù)加密回到證書頒發(fā)機構(gòu), 右擊證書模板, 選擇新建,選要頒發(fā)的證書模板,然后選擇剛新建的證書模板(DQA-VCS), 這就就可以通過MMC,Web方式申請此類型的證書。三. 替換View Connection Server 證書1. 以域管理員或本地管理員登錄view connection server, 執(zhí)行certlm.msc打開證書管理器證書-本地計算機2.

15、打開個人-證書,右擊證書, 選擇所有任務(wù), 申請新證書, 選擇Active Directory注冊策略,勾選為View connection server創(chuàng)建的模板,文中為DQA-VCS模板。 單擊“注冊此證書需要詳細信息。單擊這里配置“設(shè)置詳細信息。3. 在使用者標(biāo)簽, 使用者名稱中選公用名,輸入VCS的名稱,文中使用域名, 單擊添加。 在備用名稱中選DNS,輸入VCS的DNS,文中為,然后單擊添加。 4. 在常規(guī)標(biāo)簽, 友好名稱輸入vdm. 這是VMware要求的,必須是小寫的vdm.確定后,在個人-證書中就出現(xiàn)了一個名為的證書,其友好名稱為vdm。由于VCS的自簽名證書的友好名稱也為vd

16、m, 如果不想刪除這個自簽名證書,只需要將自簽名證書的友好名稱由vdm改為其它字符串即可。 5. 重啟VCS。 打開Horizon 7 admiistraotr控制臺,如果證書有錯,控制臺是打不開的??蓪⑿伦缘淖C書的友好名由vdm改為其它,把自簽名證書的友好名稱改為vdm即可。在控制臺的控制板-系統(tǒng)運行狀況,單擊VCS服務(wù)器,成功會顯示SSL證書:有效。三. 替換View Center Server 證書VMware官網(wǎng)有詳細操作步驟。1. 執(zhí)行C:Program FilesVMwarevCenter Server vmcad certificate-manager2. 選擇選項 1(Rep

17、lace Machine SSL certificate with Custom Certificate)3. 提供administratorvsphere.local的密碼4. 選擇選項1 (Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate)5. 輸入要在其中保存證書簽名請求和私有密鑰的目錄。 注意不要關(guān)閉窗口,以便接下來導(dǎo)入證書。 注意:創(chuàng)建的文件名稱為machine_name_ssl.csr 和 machine_name_ssl.key6. 將machine_name_ssl.cs

18、r提交到證書服務(wù)器簽名,步驟見: 1.打開證書服務(wù)器的Web端:https:/CertSvr 2. 選擇 申請證書-高級證書申請-使用base64編碼的CMC或PKCS#10文件提交一個證書申請,或使用base64編碼的PKCS#7文件續(xù)訂證書申請。 3. 用記事本打開machine_name_ssl.csr, 復(fù)制-BEGIN CERTIFICATE REQUEST-到-END CERTIFICATE REQUEST-之間的內(nèi)容到保存的申請框中。 4. 證書模板選中之前創(chuàng)建的vSphere 6.0,然后提交。 5. 選擇Base 64 編碼, 下載證書。保存為machine_name_ssl

19、.cer. 6. 返回主頁,點擊下載CA證書、證書鏈或CRL。 7. 點擊 下載CA證書鏈, 保存為cachain.p7b. 8. 雙擊cachain.p7b, 在證書中,選中根證書,右鍵選中導(dǎo)出 9. 選擇Base64編碼X.509(.CER), 保存為Root64.cer. 注意:如果cachain.p7b中有多個證書(包含中間證書), 需要將所有的證書分別導(dǎo)出。 如導(dǎo)出的文件為interm64-1.cer, interm64-2.cer, root64.cer. 需要將這些文件連接起來為一個文件cachain.cer. copy /b interm64-1.cer+interm64-2.

20、cer+root64.cer cachain.cer. 也可以用記事本將內(nèi)容直接復(fù)制到cachain.cer中,順序是中間證書-根證書。同樣, 如果有中間證書,machine_name_ssl.cer中的內(nèi)容必須是證書,中間證書,根證書完整鏈。Copy /b machine_name_ssl.cer+ cachain.cer machine_name_ssl.cer. 也可以用記事本將內(nèi)容直接復(fù)制到machine_name_ssl.cer中,順序是證書-中間證書-根證書。 7 將得到的machine_name_ssl.cer 和 Root64.cer 導(dǎo)入到view center 服務(wù)器。回到

21、第5步的vSphere 6.0 Certificate Manager窗口,選擇選項1(Continue to importing Custom certificate(s) and key(s) for Machine SSL certificate)8. 根據(jù)提示提供machine_name_ssl.cer,machine_name_ssl.key, Root64.cer的完整路徑。 Please provide valid custom certificate for Machine SSL.Path-to-machine_name_ssl.cerPlease provide valid

22、 custom key for Machine SSLPath-to-machine_name_ssl.keyPlease provide the signing certificate of the Machine SSL certificatePath-to-Root64.cer9. 回復(fù)Y確認繼續(xù)。 10. 可以到view administrator 控制臺查看vcenter server的SSL證書是否有效。注意:如果是vCenter Server 6.0.0b以前的, 需要先將根證書導(dǎo)入,具體參考For Windows vCenter Server 6.0:1. ClickStart

23、 Run, type cmdand pressEnter.2. Add the certificate to the VMware Endpoint Certificate Store with this command:C:Program FilesVMwarevCenterServervmafdddir-cli.exe trustedcert publish -chain -certpath_to_chain.cerNote: Thepath_to_chain.ceris the complete path to the full chain of Intermediate CA(s) a

24、nd Root CA.3. Enter the password foradministratorvsphere.localwhen prompted. 4. Run the certificate replacement option again. 5. When the Certificate Manager asks for the signing certificateprovide just the Root CA certificate and not the full chain of CA certificates.For example:Please provide the

25、signing certificate of the Machine SSL certificateFile : C:certsmachineSSLroot_ca.cer 四. 替換View Composer證書 如果View Composer和view center server在同一臺服務(wù)器,且按照“三. 替換View Center Server 證書”替換的center server證書。 那么在windows的證書存儲區(qū)中不會有證書, 這種情況沒辦法使用sviconfig operation=repleacecertificate delete=false去更新view compose

26、r證書。 文中的view composer和center server是同一臺。 1. 以管理員或域管理員登center server, 停止Vmware Horizon 7 Composer服務(wù),執(zhí)行certlm.msc.2. 打開個人-證書,右擊證書, 選擇所有任務(wù), 申請新證書, 選擇Active Directory注冊策略,勾選為View connection server創(chuàng)建的模板,文中為DQA-VCS模板。 單擊“注冊此證書需要詳細信息。單擊這里配置“設(shè)置詳細信息。3. 在使用者標(biāo)簽, 使用者名稱中選公用名,輸入center server的名稱,文中使用域名, 單擊添加。 在備用名

27、稱中選DNS,輸入center server的DNS,文中為,然后單擊添加。 4. 在常規(guī)標(biāo)簽, 友好名稱輸入viewcomposer. 此處的目的是好分辨,不是VMware要求確認注冊后,在個人-證書中就出現(xiàn)了一個名為的證書,其友好名稱為viewcomposer。 5.在windows的控制臺窗口,進入c:program files (x86)VMwareVMware View Composer目錄。 6. 執(zhí)行SviConfig - operation=repleacecertificate delete=false, 如果一切順利,會列出當(dāng)前在windows證書存儲區(qū)中的證書, 選擇剛才

28、創(chuàng)建的證書(可以通過指紋確認),等待完成。 7. 重啟Vmware Horizon 7 Composer服務(wù)。8. 可以到view administrator 控制臺查看view composer server的SSL證書是否有效。五 替換 ESXi 主機證書1.關(guān)閉ESXi中的所有虛擬機, 并進入維護模式。2.創(chuàng)建ESXi主機需要的f文件。文中的ESXi主機沒有自帶f. 此文件的創(chuàng)建依據(jù)是:只需要修改subjectAltName 和 req_distinguished_name的內(nèi)容。 req default_bits = 2048default_keyfile = rui.keydisti

29、nguished_name = req_distinguished_nameencrypt_key = noprompt = nostring_mask = nombstrreq_extensions = v3_req v3_req basicConstraints = CA:FALSEkeyUsage = digitalSignature, keyEncipherment, dataEnciphermentextendedKeyUsage = serverAuth, clientAuthsubjectAltName = DNS: esxi, IP: , DNS: req_distinguished_name countryName = CNstateOrProvinceName = FJlocalityName = XM0.organizationName = C

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論