《關(guān)于view_client連接虛擬桌面報(bào)證書錯(cuò)誤的解決辦法.doc》由會(huì)員分享,可在線閱讀,更多相關(guān)《關(guān)于view_client連接虛擬桌面報(bào)證書錯(cuò)誤的解決辦法.doc(20頁珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
關(guān)于view client連接虛擬桌面報(bào)證書錯(cuò)誤的解決辦法
問題現(xiàn)象:如圖
問題原因:
問題原因是安裝view連接服務(wù)器、安全服務(wù)器或view composer服務(wù)器時(shí),VMware會(huì)自簽一個(gè)證書(或者是自動(dòng)生成一個(gè)證收),而這個(gè)證書是不被view client端所在的PC端信任的,所以造成這個(gè)報(bào)錯(cuò)
解決辦法:
如果要解決這個(gè)問題,一般是要有一個(gè)CA中心或第三方CA,這個(gè)CA是證書頒發(fā)中心也是證書管理中心。
解決問題的環(huán)境如下:
1、 微軟AD服務(wù)器,這是view環(huán)境必須有的
2、 在這臺(tái)微軟AD服務(wù)器上添加證書這個(gè)功能,如圖:
要添加這個(gè)證書服務(wù)的前提條件是先安裝IIS服務(wù)功能,如圖:
安裝好了IIS與證書服務(wù)組件之后,就可以在IE瀏覽器里輸入http://服務(wù)器IP/certsrv/,然后輸入域管理用戶名與密碼,即可以成功配置CA與申請(qǐng)證書了
配置VCS或VSS等角色的證書:
一、創(chuàng)建keystore文件
Keytool命令存在于目錄/Program Files/VMware/VMware View/Server/jre/bin中,默認(rèn)情況下它不在系統(tǒng)路徑列表中,為了方便執(zhí)行命令,可以將其加入到系統(tǒng)變量path的值中。
在View的服務(wù)器中創(chuàng)建keystore:keystore是存儲(chǔ)密鑰和證書的數(shù)據(jù)庫,證書的請(qǐng)求以及頒發(fā)的證書都保存其中。具體的執(zhí)行命令為:keytool -genkey -keyalg "RSA" -keystore
-storetype pkcs12 –validity ,其中<>中的值可以由用戶自己定義,keys.p12是keystore的名字,validity time是證書的有效時(shí)間,單位是天。命令執(zhí)行時(shí)系統(tǒng)會(huì)詢問相關(guān)的證書問題,運(yùn)行命令之后,第一個(gè)提示就是要求輸入密碼,這個(gè)是私鑰密碼,在整個(gè)過程中,密碼最好是統(tǒng)一的,為了方便操作或記憶,密碼輸入之后,第二個(gè)提示輸入名字,這個(gè)名字一定要輸入客戶端連接服務(wù)器(VCS或VSS)用的FQDN名,具體如圖1,完成后會(huì)生成一個(gè).p12的文件,這就是keystore。
圖1:生成keystore
二、生成證書請(qǐng)求
在keystore中生成證書請(qǐng)求:命令keytool -certreq -keyalg "RSA" -file -keystore -storetype pkcs12 -storepass 。同樣,<>中的值由用戶定義, secret這個(gè)替換成相應(yīng)的密碼,keystore的名稱是上一步生成的keystore的文件名。具體如圖2,。
圖2:生成證書請(qǐng)求
完后會(huì)生成一個(gè).csr的文件,將其用記事本打開,拷貝其中的內(nèi)容,用于申請(qǐng)證書
三、在企業(yè)根CA或者第三方的公共CA申請(qǐng)證書
申請(qǐng)證書的過程大致相同,這里以安裝有Windows的企業(yè)根CA為例,簡(jiǎn)單介紹生成的過程。用IE打開根CA的證書申請(qǐng)頁面(http://CA服務(wù)器名稱/certsrv),在頁面中點(diǎn)擊“申請(qǐng)一個(gè)證書”>“高級(jí)證書申請(qǐng)”>“提交一個(gè)由base64編碼的CMC或者PKS#10文件的證書請(qǐng)求”,在接下來的頁面中將上一步在記事本中拷貝的內(nèi)容粘貼在base64編碼的證書申請(qǐng)框中,然后證書類型選擇web server,具體如圖3。點(diǎn)擊確定即完成證書申請(qǐng)的提交。
圖3:證書申請(qǐng)的提交
提交完成后,CA的管理員會(huì)生成證書,就可以在網(wǎng)頁上下載證書了,如圖4
圖4:證書下載
四、將證書導(dǎo)入到keystore
如果下載的證書是PKS#12格式(.cer)的話(默認(rèn)就是這種格式),需要將其轉(zhuǎn)換成PKS#7格式,轉(zhuǎn)換的方式很簡(jiǎn)單,打開證書文件>“Detail”頁面>“拷貝到文件”>下一步>選擇”Cryptographic message Syntax Standard-PKCS #7 Certificates(p7b)”,并勾選“Include all certificates in the certification path if possible”>下一步,輸入新證書文件的名稱>結(jié)束(圖5)。
圖5:證書的轉(zhuǎn)換
使用下面命令將簽發(fā)的證書導(dǎo)入到keystore中:keytool -import -keystore -storetype pkcs12 -storepass -keyalg "RSA" -trustcacerts -file ,其中keys.P12是keystore的名稱,certificate.p7b是剛才生成的證書的名稱(這里的名稱只是一個(gè)例子,以實(shí)際名稱為主)。
五、在View的服務(wù)器中修改配置替換證書
1、復(fù)制keystore文件(也即keys.p12)到VCS或VSS配置目錄下
將上一步的keystore文件(也即keys.p12)拷貝到View Security/Standard/Replica Server的存放證書配置的目錄中,默認(rèn)情況下目錄為program files\VMware\VMware View\Server\sslgateway\conf\。
將keystore(也即keys.p12)和其密碼寫入配置文件,配置文件為locked.properties,如果這個(gè)文件不存在,可以手工創(chuàng)建一個(gè)。然后用記事本打開,在其中鍵入兩行,分別為:
Keyfile=keys.p12
Keypass=password
(說明,這個(gè)密碼就是使用keytool -genkey -keyalg "RSA" -keystore -storetype pkcs12 –validity 要求輸入的密碼,建議:整個(gè)過程要求輸入的密碼一樣,主要是為了在這里引用密碼的時(shí)候方便,不然容易混淆)
實(shí)際中keys.p12代表keystore文件的名稱,password是keystore的密碼。
2、更改與替換VCS或VSS自簽證書為CA簽發(fā)的證書
A、打開證書管理控制臺(tái)
在VCS或VSS服務(wù)器的“開始”->“運(yùn)行”,輸入mmc /a打開控制臺(tái),如圖:
然后點(diǎn)“文件”->“添加/刪除管理單元”,然后定位到證書,如圖
第一步
第二步
第三步
最后點(diǎn)完成并點(diǎn)確定,出現(xiàn)如圖:
B、查看VCS或VSS自簽證書狀態(tài)
打開這個(gè)證書管理控制臺(tái)之后,點(diǎn)“證書(本地計(jì)算機(jī))”->“個(gè)人”->證書,可以看到VCS或VSS自己安裝時(shí)生成的證書,如圖:
C、替換VCS或VSS自簽證書為CA證書
在上面的控制臺(tái)里的“證書(本地計(jì)算機(jī))”->“個(gè)人”->證書, 右擊鼠標(biāo)并點(diǎn)導(dǎo)入,將keystore文件(也即keys.p12)位于View Security/Standard/Replica Server的存放證書配置的目錄中,默認(rèn)情況下目錄為program files\VMware\VMware View\Server\sslgateway\conf\
導(dǎo)入,也即將keys.p12證書導(dǎo)入,
1) 導(dǎo)入CA證書
如圖:
第一步:
第二步
第三步
第四步:輸入keystore的密碼(說明,這個(gè)密碼就是使用keytool -genkey -keyalg "RSA" -keystore -storetype pkcs12 –validity 要求輸入的密碼,建議:整個(gè)過程要求輸入的密碼一樣,主要是為了在這里引用密碼的時(shí)候方便,不然容易混淆)
標(biāo)志此密鑰為可導(dǎo)出的密鑰這將允許你在稍后備份或傳輸密鑰,這個(gè)勾一定要勾上,默認(rèn)是不勾的
然后點(diǎn)完成就可以了將CA證書導(dǎo)入
2) 替換VCS或VSS自簽證書為CA證書
l 在證書管理控制臺(tái)里,將VCS或VSS自簽證書(即自己生成的證書)的“友好名稱”從默認(rèn)的“vdm”改為“空”如圖:
第一步:
第二步:
效果如圖:
l 將導(dǎo)入的keys.p12證書的“友好名稱”從默認(rèn)的“空”改為“vdm”如圖:
第一步:
第二步:
效果圖:
通過以上的一系列操作之后,就可以將VCS或VSS自簽證書替換成CA證書,這些操作之后,需要重新啟動(dòng)服務(wù)器的VMware View Connection Server服務(wù)才能生效
通過以上配置之后,view client端就可以正常通過證書驗(yàn)證了,如圖:
說明:
1、 如果view client端是加入域的,則要將view client端所在PC端重啟,然后就可以拿到CA的根證書,之后就可以正常的使用CA根證書與VCS或VSS的私有證書進(jìn)行正常的交互了
2、 如果view client端是沒有加入view所在的域環(huán)境,則要將CA的根證書手動(dòng)從CA服務(wù)器端下載下來交導(dǎo)入到view client端所在PC,然后才能正常進(jìn)行證書之間的交互,否則仍然提示證書交互失敗與報(bào)錯(cuò)
3、 使用證書進(jìn)行驗(yàn)證之后,view client端連接VCS或VSS要使用FQDN,因?yàn)樽C書里輸入的是FQDN
如果 個(gè)人 證書中沒有 自簽發(fā)的證書
4、 圖4:證書的轉(zhuǎn)換
5、 使用下面命令將簽發(fā)的證書導(dǎo)入到keystore中:keytool -import -keystore -storetype pkcs12 -storepass -keyalg "RSA" -trustcacerts -file ,其中keys.P12是keystore的名稱,certificate.p7b是剛才生成的證書的名稱。
6、 四、在View的服務(wù)器中修改配置替換證書
7、 將上一步的keystore文件拷貝到View Security/Standard/Replica Server的存放證書配置的目錄中,默認(rèn)情況下目錄為program files\VMware\VMware View\Server\sslgateway\conf\。
8、 將keystore和其密碼寫入配置文件,配置文件為locked.properties,如果這個(gè)文件不存在,可以手工創(chuàng)建一個(gè)。然后用記事本打開,在其中鍵入兩行,分別為:
9、 Keyfile=keys.p12
10、 Keypass=password
11、 實(shí)際中keys.p12代表keystore文件的名稱,password是keystore的密碼。
12、 接下來只需要重新啟動(dòng)服務(wù)器的VMware View Connection Server服務(wù),新證書就可以使用了,現(xiàn)在所有的用戶終端可以自動(dòng)信任其證書,這樣就可以有一個(gè)安全的VMware View的桌面虛擬化證書環(huán)境了。
鏈接地址:http://appdesigncorp.com/p-1622123.html