關(guān)于view_client連接虛擬桌面報(bào)證書(shū)錯(cuò)誤的解決辦法.doc

關(guān)于view client連接虛擬桌面報(bào)證書(shū)錯(cuò)誤的解決辦法問(wèn)題現(xiàn)象：如圖問(wèn)題原因：?jiǎn)栴}原因是安裝view連接服務(wù)器、安全服務(wù)器或view composer服務(wù)器時(shí)，VMware會(huì)自簽一個(gè)證書(shū)（或者是自動(dòng)生成一個(gè)證收），而這個(gè)證書(shū)是不被view client端所在的PC端信任的,所以造成這個(gè)報(bào)錯(cuò)解決辦法:如果要解決這個(gè)問(wèn)題,一般是要有一個(gè)CA中心或第三方CA,這個(gè)CA是證書(shū)頒發(fā)中心也是證書(shū)管理中心。解決問(wèn)題的環(huán)境如下：1、 微軟AD服務(wù)器,這是view環(huán)境必須有的2、 在這臺(tái)微軟AD服務(wù)器上添加證書(shū)這個(gè)功能,如圖:要添加這個(gè)證書(shū)服務(wù)的前提條件是先安裝IIS服務(wù)功能,如圖:安裝好了IIS與證書(shū)服務(wù)組件之后,就可以在IE瀏覽器里輸入http:/服務(wù)器IP/certsrv/，然后輸入域管理用戶名與密碼，即可以成功配置CA與申請(qǐng)證書(shū)了配置VCS或VSS等角色的證書(shū):一、創(chuàng)建keystore文件 Keytool命令存在于目錄/Program Files/VMware/VMware View/Server/jre/bin中，默認(rèn)情況下它不在系統(tǒng)路徑列表中，為了方便執(zhí)行命令，可以將其加入到系統(tǒng)變量path的值中。在View的服務(wù)器中創(chuàng)建keystore：keystore是存儲(chǔ)密鑰和證書(shū)的數(shù)據(jù)庫(kù)，證書(shū)的請(qǐng)求以及頒發(fā)的證書(shū)都保存其中。具體的執(zhí)行命令為：keytool -genkey -keyalg "RSA" -keystore <keys.p12> -storetype pkcs12 validity <validity time>，其中<>中的值可以由用戶自己定義，keys.p12是keystore的名字，validity time是證書(shū)的有效時(shí)間，單位是天。命令執(zhí)行時(shí)系統(tǒng)會(huì)詢問(wèn)相關(guān)的證書(shū)問(wèn)題，運(yùn)行命令之后，第一個(gè)提示就是要求輸入密碼，這個(gè)是私鑰密碼，在整個(gè)過(guò)程中，密碼最好是統(tǒng)一的，為了方便操作或記憶，密碼輸入之后，第二個(gè)提示輸入名字，這個(gè)名字一定要輸入客戶端連接服務(wù)器(VCS或VSS)用的FQDN名，具體如圖1，完成后會(huì)生成一個(gè).p12的文件，這就是keystore。圖1：生成keystore二、生成證書(shū)請(qǐng)求在keystore中生成證書(shū)請(qǐng)求：命令keytool -certreq -keyalg "RSA" -file <certificate.csr> -keystore <keys.p12> -storetype pkcs12 -storepass <secret>。同樣，<>中的值由用戶定義, <secret>secret這個(gè)替換成相應(yīng)的密碼，keystore的名稱是上一步生成的keystore的文件名。具體如圖2，。圖2：生成證書(shū)請(qǐng)求完后會(huì)生成一個(gè).csr的文件，將其用記事本打開(kāi)，拷貝其中的內(nèi)容，用于申請(qǐng)證書(shū)三、在企業(yè)根CA或者第三方的公共CA申請(qǐng)證書(shū)申請(qǐng)證書(shū)的過(guò)程大致相同，這里以安裝有Windows的企業(yè)根CA為例，簡(jiǎn)單介紹生成的過(guò)程。用IE打開(kāi)根CA的證書(shū)申請(qǐng)頁(yè)面（http:/CA服務(wù)器名稱/certsrv），在頁(yè)面中點(diǎn)擊“申請(qǐng)一個(gè)證書(shū)”>“高級(jí)證書(shū)申請(qǐng)”>“提交一個(gè)由base64編碼的CMC或者PKS#10文件的證書(shū)請(qǐng)求”，在接下來(lái)的頁(yè)面中將上一步在記事本中拷貝的內(nèi)容粘貼在base64編碼的證書(shū)申請(qǐng)框中，然后證書(shū)類型選擇web server，具體如圖3。點(diǎn)擊確定即完成證書(shū)申請(qǐng)的提交。圖3：證書(shū)申請(qǐng)的提交提交完成后，CA的管理員會(huì)生成證書(shū)，就可以在網(wǎng)頁(yè)上下載證書(shū)了，如圖4圖4：證書(shū)下載四、將證書(shū)導(dǎo)入到keystore如果下載的證書(shū)是PKS#12格式（.cer）的話（默認(rèn)就是這種格式），需要將其轉(zhuǎn)換成PKS#7格式，轉(zhuǎn)換的方式很簡(jiǎn)單，打開(kāi)證書(shū)文件>“Detail”頁(yè)面>“拷貝到文件”>下一步>選擇”Cryptographic message Syntax Standard-PKCS #7 Certificates（p7b）”，并勾選“Include all certificates in the certification path if possible”>下一步,輸入新證書(shū)文件的名稱>結(jié)束（圖5）。圖5：證書(shū)的轉(zhuǎn)換使用下面命令將簽發(fā)的證書(shū)導(dǎo)入到keystore中：keytool -import -keystore <keys.p12> -storetype pkcs12 -storepass <secret> -keyalg "RSA" -trustcacerts -file <certificate.p7b>，其中keys.P12是keystore的名稱，certificate.p7b是剛才生成的證書(shū)的名稱(這里的名稱只是一個(gè)例子，以實(shí)際名稱為主)。五、在View的服務(wù)器中修改配置替換證書(shū)1、復(fù)制keystore文件(也即keys.p12)到VCS或VSS配置目錄下將上一步的keystore文件(也即keys.p12)拷貝到View Security/Standard/Replica Server的存放證書(shū)配置的目錄中，默認(rèn)情況下目錄為program filesVMwareVMware ViewServersslgatewayconf。將keystore(也即keys.p12)和其密碼寫入配置文件，配置文件為locked.properties，如果這個(gè)文件不存在，可以手工創(chuàng)建一個(gè)。然后用記事本打開(kāi)，在其中鍵入兩行，分別為：Keyfile=keys.p12Keypass=password（說(shuō)明，這個(gè)密碼就是使用keytool -genkey -keyalg "RSA" -keystore <keys.p12> -storetype pkcs12 validity <validity time>要求輸入的密碼，建議:整個(gè)過(guò)程要求輸入的密碼一樣，主要是為了在這里引用密碼的時(shí)候方便，不然容易混淆）實(shí)際中keys.p12代表keystore文件的名稱，password是keystore的密碼。2、更改與替換VCS或VSS自簽證書(shū)為CA簽發(fā)的證書(shū)A、打開(kāi)證書(shū)管理控制臺(tái)在VCS或VSS服務(wù)器的“開(kāi)始”->“運(yùn)行”，輸入mmc /a打開(kāi)控制臺(tái),如圖:然后點(diǎn)“文件”->“添加/刪除管理單元”,然后定位到證書(shū),如圖第一步第二步第三步最后點(diǎn)完成并點(diǎn)確定，出現(xiàn)如圖：B、查看VCS或VSS自簽證書(shū)狀態(tài)打開(kāi)這個(gè)證書(shū)管理控制臺(tái)之后，點(diǎn)“證書(shū)（本地計(jì)算機(jī)）”->“個(gè)人”->證書(shū)，可以看到VCS或VSS自己安裝時(shí)生成的證書(shū),如圖:C、替換VCS或VSS自簽證書(shū)為CA證書(shū)在上面的控制臺(tái)里的“證書(shū)（本地計(jì)算機(jī)）”->“個(gè)人”->證書(shū)， 右擊鼠標(biāo)并點(diǎn)導(dǎo)入，將keystore文件(也即keys.p12)位于View Security/Standard/Replica Server的存放證書(shū)配置的目錄中，默認(rèn)情況下目錄為program filesVMwareVMware ViewServersslgatewayconf導(dǎo)入，也即將keys.p12證書(shū)導(dǎo)入，1) 導(dǎo)入CA證書(shū)如圖：第一步：第二步第三步第四步:輸入keystore的密碼（說(shuō)明，這個(gè)密碼就是使用keytool -genkey -keyalg "RSA" -keystore <keys.p12> -storetype pkcs12 validity <validity time>要求輸入的密碼，建議:整個(gè)過(guò)程要求輸入的密碼一樣，主要是為了在這里引用密碼的時(shí)候方便，不然容易混淆）標(biāo)志此密鑰為可導(dǎo)出的密鑰這將允許你在稍后備份或傳輸密鑰，這個(gè)勾一定要勾上，默認(rèn)是不勾的然后點(diǎn)完成就可以了將CA證書(shū)導(dǎo)入2) 替換VCS或VSS自簽證書(shū)為CA證書(shū)l 在證書(shū)管理控制臺(tái)里，將VCS或VSS自簽證書(shū)（即自己生成的證書(shū)）的“友好名稱”從默認(rèn)的“vdm”改為“空”如圖：第一步：第二步：效果如圖：l 將導(dǎo)入的keys.p12證書(shū)的“友好名稱”從默認(rèn)的“空”改為“vdm”如圖：第一步：第二步：效果圖：通過(guò)以上的一系列操作之后，就可以將VCS或VSS自簽證書(shū)替換成CA證書(shū)，這些操作之后，需要重新啟動(dòng)服務(wù)器的VMware View Connection Server服務(wù)才能生效通過(guò)以上配置之后，view client端就可以正常通過(guò)證書(shū)驗(yàn)證了，如圖:說(shuō)明：1、 如果view client端是加入域的，則要將view client端所在PC端重啟,然后就可以拿到CA的根證書(shū),之后就可以正常的使用CA根證書(shū)與VCS或VSS的私有證書(shū)進(jìn)行正常的交互了2、 如果view client端是沒(méi)有加入view所在的域環(huán)境，則要將CA的根證書(shū)手動(dòng)從CA服務(wù)器端下載下來(lái)交導(dǎo)入到view client端所在PC,然后才能正常進(jìn)行證書(shū)之間的交互，否則仍然提示證書(shū)交互失敗與報(bào)錯(cuò)3、 使用證書(shū)進(jìn)行驗(yàn)證之后，view client端連接VCS或VSS要使用FQDN,因?yàn)樽C書(shū)里輸入的是FQDN如果 個(gè)人 證書(shū)中沒(méi)有 自簽發(fā)的證書(shū)4、 圖4：證書(shū)的轉(zhuǎn)換5、 使用下面命令將簽發(fā)的證書(shū)導(dǎo)入到keystore中：keytool -import -keystore -storetype pkcs12 -storepass -keyalg "RSA" -trustcacerts -file ，其中keys.P12是keystore的名稱，certificate.p7b是剛才生成的證書(shū)的名稱。6、 四、在View的服務(wù)器中修改配置替換證書(shū)7、 將上一步的keystore文件拷貝到View Security/Standard/Replica Server的存放證書(shū)配置的目錄中，默認(rèn)情況下目錄為program filesVMwareVMware ViewServersslgatewayconf。8、 將keystore和其密碼寫入配置文件，配置文件為locked.properties，如果這個(gè)文件不存在，可以手工創(chuàng)建一個(gè)。然后用記事本打開(kāi)，在其中鍵入兩行，分別為：9、 Keyfile=keys.p1210、 Keypass=password11、 實(shí)際中keys.p12代表keystore文件的名稱，password是keystore的密碼。12、 接下來(lái)只需要重新啟動(dòng)服務(wù)器的VMware View Connection Server服務(wù)，新證書(shū)就可以使用了，現(xiàn)在所有的用戶終端可以自動(dòng)信任其證書(shū)，這樣就可以有一個(gè)安全的VMware View的桌面虛擬化證書(shū)環(huán)境了。