版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
1、VMware Horizon 7.03 使用CA簽發證書替換自簽名SSL本文根據實際操作,在域環境下替換VMware Horizon 7.03自帶簽名證書,包括vCenterServer, View Connection Server, ESXi主機。 內容包括:安裝Windows Server 2012 R2 證書服務在證書服務器上創建對應的證書模板替換View Connection Server 證書替換 View Center Server 證書替換View Composer證書替換 ESXi 主機證書一.安裝Windows Server 2012 R2證書服務為了便于操作,選擇將證書服
2、務安裝在域控制器(AD)上。1. 運行服務器管理器, 添加加色與功能, 選擇Active Directory證書服務。2. 在角色服務中,選擇證書頒發機構和證書頒發機構Web注冊。 證書頒發機構Web注冊就是傳統的Https:/CertSrv注冊方式,此注冊方式多數用在非微軟的第三方應用上,比如本文的VMware。 3. 其它步驟選擇默認即可。 4. 安裝完成后, 在服務器管理器的右上角會有一個黃顏色的三角形感嘆號圖標,點擊它進行角色服務配置(AD CS配置)。在角色服務中選擇證書頒發機構和證書頒發機構Web注冊。5. 指定CA的的設置類型為企業CA. 6. 指定CA類型為根CA。 對于一般企
3、業來說,一臺根CA足夠。7. 在接下來的選項中選擇創建新的私鑰,加密項默認, 密鑰長度至少2048位,其它項默認即可。 CA公用名稱可修改為容易記下的。 本文的預覽可分辨名稱為:CN=dqaca, DC=dqa, DC=com。二. 在證書服務器上創建對應的證書模板高級配置。 雖然經過上面的安裝和設置后,基本的證書服務已經可以使用,但在本文的環境中,進行了以下配置:修改服務器級別頒發證書的有效期, 改為10年創建了3 個定義的證書模板, 一個計算機類, 兩個Web服務器類8. 默認證書的有效期只有2年,即使證書模板配置了大于2年也沒用,需要在證書服務器上修改總開關:HKEY_LOCAL_MAC
4、HINESystemCurrentControlSetServicesCertSvcConfiguration,修改”ValidityPeriodUnits”為十進制“10“。 修改后要重啟證書服務。 默認情況下, 用戶能從MMC中申請“計算機“類型和”Web服務器“類型的證書,但它們都定的參數,不能添加自定的域名,不能導出私鑰,因此需要新建適合的模板,以便申請相關的證書。9. 創建計算機模板。此模板針對域中的其它計算機,不是VMware所用模板。運行mmc, 添加證書模板, 然后選中計算機模板,右鍵單擊并選中復制模板。這就會根據計算機模板新建一個用來自定義適合的模板。計算機模板適合服務器身分
5、驗證,也適合客戶端身份驗證. Web服務器只適合服務器身份驗證。在復制模板的兼容性標簽選擇默認設置。證書頒發機構:Windows Server 2003, 證書接收人:Windows XP/ Server2003。 如果不是選Windows server 2003,比如更高版本,則不能通過Web方式申請。 在常規標簽下,指定模板的顯示名稱,文中為DQA-Computer. 設置有效期為10年, 續訂期為1年。 如果續訂期太短,過了續訂期就只能重新申請證書,而不能利用原有證書,會導致很多麻煩。在請求處理標簽, 選擇允許導出私鑰。在使用者名稱標簽,選擇在請求中提供,這樣可以方便的自定義公用名和使用
6、者名稱。在安全標簽,根據實際情況添加用戶,如增Domain Computers, 并為其增加寫入和注冊權限。否則,當域中的計算以本地帳戶登入, 就會提示無權限申請證書。最后確認后,在證書模板中,新添加的名為DQA-Computer的模板就建好了。回到證書頒發機構, 右擊證書模板, 選擇新建,選要頒發的證書模板,然后選擇剛新建的證書模板(DQA-Computer), 這就就可以通過MMC,Web方式申請此類型的證書。10。創建View Center Server 模板。 在VMware的網站上有詳細步驟,直接照做照可。Creating a new template for vSphere 6.0
7、 to use for Machine SSL and Solution User certificates1. Connecting to the CA server, you will be generating the certificates from through an RDP session.2. Click Start Run, type certtmpl.msc, and click OK.3. In the Certificate Template Console, under Template Display Name, rightclickWeb Server and
8、click Duplicate Template.4. In the Duplicate Template window, select Windows Server 2003 Enterprise for backward compatibility.Note: If you have an encryption level higher than SHA1, select Windows Server 2008 Enterprise.5. Click the General tab.6. In the Template display name field, enter vSphere 6
9、.0 as the name of the new template.7. Click the Extensions tab.8. Select Application Policies and click Edit.9. Select Server Authentication and click Remove, then OK.Note: If Client Authentication exists, remove this from Application Policies as well.10. Select Key Usage and click Edit.11. Select t
10、he Signature is proof of origin (nonrepudiation) option. Leave all other options as default.12. Click OK.13. Click the Subject Name tab.14. Ensure that the Supply in the request option is selected.15. Click OK to save the template.16. Proceed to Adding a new template to certificate templates section
11、 in the article to make the newly created certificate template available.Adding a new template to certificate templates1. Connecting to the CA server, you will be generating the certificates from through an RDP session.2. Click Start Run, type certsrv.msc, and click OK.3. In the left pane of the Cer
12、tificate Console, if collapsed, expand the node by clicking the + icon.4. RightclickCertificate Templates and click New Certificate Template to Issue.5. Locate vSphere 6.0 or vSphere 6.0 VMCA under the Name column.6. Click OK.11 創建View Connection Server 模板, 此模板是按照網上教程的,因為在布置時,先在網上找到網友的設置模板后看到VMware官
13、網的模板設置,因此view connection server的證書使用的模板不是VMware官網的設置。 為了減少麻煩,就沒有再改回VMware的模板。使用VMware的模板應該也可以,文中沒有測試過。 在證書模板中, 右擊Web服務器,選擇復制模板。在復制模板的兼容性標簽選擇默認設置。證書頒發機構:Windows Server 2003, 證書接收人:Windows XP/ Server2003。在常規標簽下,指定模板的顯示名稱,文中為DQA-VCS. 設置有效期為10年, 續訂期為1年。在請求處理標簽, 選擇允許導出私鑰。在使用者名稱標簽,選擇在請求中提供,這樣可以方便的自定義公用名和使
14、用者名稱。在安全標簽,根據實際情況添加用戶,如增Domain Computers, 并為其增加寫入和注冊權限。在擴展標簽,編輯應用程序策略,添加客戶端身份驗證。 編輯密鑰用法, 勾選數字簽名為原件的證明(認可), 勾選允許使用用戶數據加密回到證書頒發機構, 右擊證書模板, 選擇新建,選要頒發的證書模板,然后選擇剛新建的證書模板(DQA-VCS), 這就就可以通過MMC,Web方式申請此類型的證書。三. 替換View Connection Server 證書1. 以域管理員或本地管理員登錄view connection server, 執行certlm.msc打開證書管理器證書-本地計算機2.
15、打開個人-證書,右擊證書, 選擇所有任務, 申請新證書, 選擇Active Directory注冊策略,勾選為View connection server創建的模板,文中為DQA-VCS模板。 單擊“注冊此證書需要詳細信息。單擊這里配置“設置詳細信息。3. 在使用者標簽, 使用者名稱中選公用名,輸入VCS的名稱,文中使用域名, 單擊添加。 在備用名稱中選DNS,輸入VCS的DNS,文中為,然后單擊添加。 4. 在常規標簽, 友好名稱輸入vdm. 這是VMware要求的,必須是小寫的vdm.確定后,在個人-證書中就出現了一個名為的證書,其友好名稱為vdm。由于VCS的自簽名證書的友好名稱也為vd
16、m, 如果不想刪除這個自簽名證書,只需要將自簽名證書的友好名稱由vdm改為其它字符串即可。 5. 重啟VCS。 打開Horizon 7 admiistraotr控制臺,如果證書有錯,控制臺是打不開的。可將新注冊的證書的友好名由vdm改為其它,把自簽名證書的友好名稱改為vdm即可。在控制臺的控制板-系統運行狀況,單擊VCS服務器,成功會顯示SSL證書:有效。三. 替換View Center Server 證書VMware官網有詳細操作步驟。1. 執行C:Program FilesVMwarevCenter Server vmcad certificate-manager2. 選擇選項 1(Rep
17、lace Machine SSL certificate with Custom Certificate)3. 提供administratorvsphere.local的密碼4. 選擇選項1 (Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate)5. 輸入要在其中保存證書簽名請求和私有密鑰的目錄。 注意不要關閉窗口,以便接下來導入證書。 注意:創建的文件名稱為machine_name_ssl.csr 和 machine_name_ssl.key6. 將machine_name_ssl.cs
18、r提交到證書服務器簽名,步驟見: 1.打開證書服務器的Web端:https:/CertSvr 2. 選擇 申請證書-高級證書申請-使用base64編碼的CMC或PKCS#10文件提交一個證書申請,或使用base64編碼的PKCS#7文件續訂證書申請。 3. 用記事本打開machine_name_ssl.csr, 復制-BEGIN CERTIFICATE REQUEST-到-END CERTIFICATE REQUEST-之間的內容到保存的申請框中。 4. 證書模板選中之前創建的vSphere 6.0,然后提交。 5. 選擇Base 64 編碼, 下載證書。保存為machine_name_ssl
19、.cer. 6. 返回主頁,點擊下載CA證書、證書鏈或CRL。 7. 點擊 下載CA證書鏈, 保存為cachain.p7b. 8. 雙擊cachain.p7b, 在證書中,選中根證書,右鍵選中導出 9. 選擇Base64編碼X.509(.CER), 保存為Root64.cer. 注意:如果cachain.p7b中有多個證書(包含中間證書), 需要將所有的證書分別導出。 如導出的文件為interm64-1.cer, interm64-2.cer, root64.cer. 需要將這些文件連接起來為一個文件cachain.cer. copy /b interm64-1.cer+interm64-2.
20、cer+root64.cer cachain.cer. 也可以用記事本將內容直接復制到cachain.cer中,順序是中間證書-根證書。同樣, 如果有中間證書,machine_name_ssl.cer中的內容必須是證書,中間證書,根證書完整鏈。Copy /b machine_name_ssl.cer+ cachain.cer machine_name_ssl.cer. 也可以用記事本將內容直接復制到machine_name_ssl.cer中,順序是證書-中間證書-根證書。 7 將得到的machine_name_ssl.cer 和 Root64.cer 導入到view center 服務器。回到
21、第5步的vSphere 6.0 Certificate Manager窗口,選擇選項1(Continue to importing Custom certificate(s) and key(s) for Machine SSL certificate)8. 根據提示提供machine_name_ssl.cer,machine_name_ssl.key, Root64.cer的完整路徑。 Please provide valid custom certificate for Machine SSL.Path-to-machine_name_ssl.cerPlease provide valid
22、 custom key for Machine SSLPath-to-machine_name_ssl.keyPlease provide the signing certificate of the Machine SSL certificatePath-to-Root64.cer9. 回復Y確認繼續。 10. 可以到view administrator 控制臺查看vcenter server的SSL證書是否有效。注意:如果是vCenter Server 6.0.0b以前的, 需要先將根證書導入,具體參考For Windows vCenter Server 6.0:1. ClickStart
23、 Run, type cmdand pressEnter.2. Add the certificate to the VMware Endpoint Certificate Store with this command:C:Program FilesVMwarevCenterServervmafdddir-cli.exe trustedcert publish -chain -certpath_to_chain.cerNote: Thepath_to_chain.ceris the complete path to the full chain of Intermediate CA(s) a
24、nd Root CA.3. Enter the password foradministratorvsphere.localwhen prompted. 4. Run the certificate replacement option again. 5. When the Certificate Manager asks for the signing certificateprovide just the Root CA certificate and not the full chain of CA certificates.For example:Please provide the
25、signing certificate of the Machine SSL certificateFile : C:certsmachineSSLroot_ca.cer 四. 替換View Composer證書 如果View Composer和view center server在同一臺服務器,且按照“三. 替換View Center Server 證書”替換的center server證書。 那么在windows的證書存儲區中不會有證書, 這種情況沒辦法使用sviconfig operation=repleacecertificate delete=false去更新view compose
26、r證書。 文中的view composer和center server是同一臺。 1. 以管理員或域管理員登center server, 停止Vmware Horizon 7 Composer服務,執行certlm.msc.2. 打開個人-證書,右擊證書, 選擇所有任務, 申請新證書, 選擇Active Directory注冊策略,勾選為View connection server創建的模板,文中為DQA-VCS模板。 單擊“注冊此證書需要詳細信息。單擊這里配置“設置詳細信息。3. 在使用者標簽, 使用者名稱中選公用名,輸入center server的名稱,文中使用域名, 單擊添加。 在備用名
27、稱中選DNS,輸入center server的DNS,文中為,然后單擊添加。 4. 在常規標簽, 友好名稱輸入viewcomposer. 此處的目的是好分辨,不是VMware要求確認注冊后,在個人-證書中就出現了一個名為的證書,其友好名稱為viewcomposer。 5.在windows的控制臺窗口,進入c:program files (x86)VMwareVMware View Composer目錄。 6. 執行SviConfig - operation=repleacecertificate delete=false, 如果一切順利,會列出當前在windows證書存儲區中的證書, 選擇剛才
28、創建的證書(可以通過指紋確認),等待完成。 7. 重啟Vmware Horizon 7 Composer服務。8. 可以到view administrator 控制臺查看view composer server的SSL證書是否有效。五 替換 ESXi 主機證書1.關閉ESXi中的所有虛擬機, 并進入維護模式。2.創建ESXi主機需要的f文件。文中的ESXi主機沒有自帶f. 此文件的創建依據是:只需要修改subjectAltName 和 req_distinguished_name的內容。 req default_bits = 2048default_keyfile = rui.keydisti
29、nguished_name = req_distinguished_nameencrypt_key = noprompt = nostring_mask = nombstrreq_extensions = v3_req v3_req basicConstraints = CA:FALSEkeyUsage = digitalSignature, keyEncipherment, dataEnciphermentextendedKeyUsage = serverAuth, clientAuthsubjectAltName = DNS: esxi, IP: , DNS: req_distinguished_name countryName = CNstateOrProvinceName = FJlocalityName = XM0.organizationName = C
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 定制機器轉讓協議書
- 就業居間服務協議書
- 賓館施工安全協議書
- 申請再審協議書
- 少兒晚會安全協議書
- 汽車折扣協議書
- 監理互派協議書
- 淘寶注銷協議書
- 家庭住宅保修協議書
- 科室分成協議書
- 2025年安全教育培訓考試題庫(基礎強化版)應急救援知識試題
- 2025年公民科學素質知識競答考試題庫資料500題(含答案)
- 第二節清潔消毒滅菌講解
- 內蒙古赤峰歷年中考語文現代文閱讀之非連續性文本閱讀7篇(截至2024年)
- 2023年普通高等學校招生全國統一考試新課標全國Ⅰ卷數學真題(解析版)
- 出廠試驗大綱
- 應聘后勤園長簡歷
- 結構鑒定合同范例
- 《跨境電子商務基礎》課件-國際市場調研內容
- 教育部《中小學校園食品安全和膳食經費管理工作指引》知識培訓
- 【MOOC】大學生心理健康-廈門大學 中國大學慕課MOOC答案
評論
0/150
提交評論