什么是数字证书?
数字证书是在Internet上表示用户身份的一种数据,它包含公钥和私钥,通过加密使得用户之间的身份得以确认,并保证数据在传输过程中的一致性,防止被他人篡改。
由于数字证书的安全特性,所以其广泛应用于各种对安全性要求较高的应用中,比如常用的网上银行,企业邮箱等等。
数字证书的颁发可以来自第三方颁发机构,比如Verisign,这些机构本身的信任关系就内嵌在操作系统中,所以当我们打开那些由这些机构颁发的证书的链接时,系统会自动进行验证。当然,在企业内部,数字证书也可以由企业内部的CA进行颁发,虽然在Internet上企业内部的根证书没有受到信任,但是在企业内部,所有的计算机对内部CA是信任的。
为什么要在VMware View中进行证书管理?
默认情况下,VMware View的Security Server、Standard/Replica Server都是使用默认的由服务器本身自签发的证书,它不被其它系统信任,无法保证连接时数据传输的一致性。当客户端连接到包含不信任证书的应用时,系统都会提示警告,显示该证书不可信,所以即使信息在中间环节被篡改,用户也无法识别。
企业生产环境需要做的是将服务器中默认的证书替换成企业根CA或者外部公共CA签发的可信任证书。这样做的目的就是保证数据的安全和一致性,并得到所有客户端的信任。
如何在VMware View中进行证书管理
进行证书的管理,整个证书管理主要集中在View Security Server、View Standard Server和View Replica Server中,证书的类型为Web证书。
从VMware View 5.0开始,一个巨大的改进就是在默认情况下,view客户端会对服务器端证书的可信任性进行严格的检测,特别是在像iPad这样的平板电脑上,如果服务器端的证书不被信任,将无法连接到虚拟桌面。
下面将详细阐述如何配置证书服务
1、环境准备,在域控服务器上安装根证书服务
步骤1:以域管理员身份登录到AD.VMWARE.COM.
步骤2:点击Start, 打开 Administrative Tools, 点击 Server Manager.
步骤3:在 Roles Summary 中, 点击 Add roles.
步骤4:在Select Server Roles 页面上, 选中 Active Directory Certificate Services. 点击2次 Next.
步骤5:在Select Role Services 页面, 选中 Certification Authority 然后点击 Next.
步骤6: 在Specify Setup Type 页面, 点击 Enterprise, 然后点击 Next.
步骤7: 在Specify CA Type 页面, 点击 Root CA, 然后点击 Next.
步骤8:在Set Up Private Key 页面,选择select Create a new private key, 然后点击 Next.
步骤9:在Configure Cryptography for CA 页面, 接受默认设置然后点击 Next.
步骤10:在Configure CA name 对话框, 输入 CA名称, VMware.com, 然后点击 Next.
步骤11:在Set the Certificate Validity Period 页面, 选择 root CA, 然后点击 Next.
步骤12:在Configure Certificate Database 页面, 默认值, 然后点击 Next.
步骤13:确认信息无误之后,在Confirm Installation Options 页面, 点击 Install.
确认根证书服务已经成功安装
2、创建一个根证书模板
步骤1:在AD.vmware.com域控服务器上,选择 Server Manager > Roles > Active Directory Certificate
步骤2:点击Certificate Templates > 右键 Web Server template > Duplicate Template
步骤3:给其命名为 vmware.com –Template
步骤4:在Request Handling 页面,选中Allow private key to be exported
步骤5:确认 minimum key size = 2048
步骤6:在vmware.com-template模板的Security页面上,给予Domain Computers ,Read + Enroll 的权限,给予Authenticated Users, Read+Enroll的权限
步骤7:展开 vmware-AD-CA 邮件点击 Certificate Templates > New > Certificate Template to Issue
步骤8:选择vware.com-Template ,点击ok
3、在Connection Server上申请新证书
步骤1:在VIEW.VMWARE.COM证书服务器上,开始 > Run > mmc
步骤2:打开File>Add/Remove Snap-in, 添加 Certificates (Local Computer) snap-in 然后选择 “Computer Account”
步骤3:右键 Personal\Certificates > All Tasks > Request New Certificate
步骤4:选中Active Directory Enrollment Policy ,点击 Next
步骤5:勾选Vmware.comTemplate > expand Details > Properties
步骤6:将Subject name 类型改为 Common name , Value = view.vmware.com >Add > OK
在General页面,将friendly name 类型改为 vdm
在private key页面,确保key options为“make private key exportable”
点击OK确定
步骤7:Enroll >Finish
步骤8:将申请好的证书拷贝至Trusted Root Certification
步骤9:重启view.vmare.com服务器
步骤10:通过https://view.vmar.com/admin 可以通过网页看到访问均受信任
4、导出证书
步骤1:选择VIEW.VMWARE.COM单击右键,选择导出
步骤2:选择导出私钥
步骤3:设置私钥密码
4、在View Client端导入证书
步骤1:将刚刚导出的证书拷贝至VIEW CLIENT端,双击打开
步骤2:按照以下方式导入证书
键入刚才设置的私钥密码
将证书导入“受信任的根证书颁发机构”
完成导入工作
步骤3:可以看到VIEW CLIENT访问不再提示
View.vmware.com受信
本文转自robbindai 51CTO博客,原文链接:http://blog.51cto.com/virtualyourdesk/1218456