一、建立 keystore,產生憑證請求 Keytool 指令存在於目錄 C:\Program Files\VMware\VMware View\Server\jre\bin中。
建立 keystore: keystore是儲存金鑰和憑證的資料庫,憑證的要求以及頒發的憑證都保存其中。具體的執行命令為: keytool -genkey -keyalg "RSA" -keystore <keys.p12> -storetype pkcs12 -validity <validity time> keys.p12是 keystore的名字,validity time是證書的有效時間,單位是天。指令執行時系統會詢問相關的憑證問題,需要注意的是在輸入名字時,一定要輸入使用者端連接伺服器用的 FQDN名稱,如下圖,完成後會產生一個 .p12的檔案,這就是 keystore。
在 keystore中產生憑證要求:指令 keytool -certreq -keyalg "RSA" -file <certificate.csr> -keystore <keys.p12> -storetype pkcs12 -storepass <secret> ,keystore的名稱是上一步產生的 keystore的檔案名稱。如下圖,完成後會生成一個.csr的檔案,複製其中的內容,申請憑證。
二、在 Root CA 申請憑證 以 Windows的企業 Root CA為例。打開 Root CA的憑證申請頁面(http://CA/certsrv),在頁面「申請憑證」 → 「進階憑證要求」→「用 Base-64編碼的 CMC或 PKCS#10檔案來提交憑證要求,或用 Base-64編碼的 PKCS#7檔案提交更新要求」。
內容貼上在 Base-64編碼的憑證申請框中。 然後憑證範本選擇「網頁伺服器」。要求完成後,在網頁上下載憑證。 三、將憑證導入到 keystore 如果下載的憑證是 PKCS#10格式(.cer)的話,需要將其轉換成 PKCS#7格式,轉換的方式很簡單,打開憑證檔案 → 「Detail」頁面 → 「複製到檔案」→ 下一步 → 選擇「加密編譯訊息語法標準 - PKCS #7 憑證(.P7B)」,並勾選「如果可能的話,包含憑證路徑中的所有憑證(I)」→ 下一步,輸入新憑證檔案的檔名 → 完成。 使用下指令將簽發的憑證導入到 keystore中: keytool -import -keystore <keys.p12> -storetype pkcs12 -storepass <secret> -keyalg "RSA" -trustcacerts -file <certificate.p7b> 其中 keys.P12是 keystore的檔名,certificate.p7b是剛才產生的憑證的檔名。
四、在 View的連接伺服器中修改設定更換憑證 將 keystore檔案複製到 Connection Sever/Replica Server/View Security的存放憑證設定的目錄中,預設情況下目錄為 C:\Program files\VMware\VMware View\Server\sslgateway\conf\。 將 keystore和其密碼寫入設定檔,設定檔為 locked.properties,如果這個檔案不存在,手動建立一個。然後打開,在其中鍵入下列兩行文字,分別為: Keyfile=keys.p12 Keypass=password 其中 keys.p12代表 keystore檔案的名稱,password則是 keystore的密碼。
最後,只需要重新開機 VMware View Connection Server,新的憑書就可以使用了,現在所有的使用者終端可以自動信任其證書,這樣就可以有一個安全的VMware View的桌面虛擬化憑證環境了。
沒有留言:
張貼留言