关于view client连接虚拟桌面报证书错误的解决办法
问题现象:如图
问题原因:
问题原因是安装view连接服务器、安全服务器或view composer服务器时,VMware会自签一
个证书(或者是自动生成一个证收),而这个证书是不被view client端所在的PC端信任的,所以造成这个报错
解决办法:
如果要解决这个问题,一般是要有一个CA中心或第三方CA,这个CA是证书颁发中心也是证书管理中心。
解决问题的环境如下:
1、 微软AD服务器,这是view环境必须有的
2、 在这台微软AD服务器上添加证书这个功能,如图:
要添加这个证书服务的前提条件是先安装IIS服务功能,如图:
安装好了IIS与证书服务组件之后,就可以在IE浏览器里输入服务器IP/certsrv/,然后输入域管理用户名与密码,即可以成功配置CA与申请证书了
配置VCS或VSS等角的证书:
一、创建keystore文件
Keytool命令存在于目录/Program Files/VMware/VMware View/Server/jre/bin中,默认情况下它不在系统路径列表中,为了方便执行命令,可以将其加入到系统变量path的值中。
在View的服务器中创建keystore:keystore是存储密钥和证书的数据库,证书的请求以及颁发的证书都保存其中。具体的执行命令为:keytool -genkey -keyalg "RSA" -keystore <keys.p12> -storetype pkcs12 –validity <validity time>,其中<>中的值可以由用户自己定义,keys.p12是keystore的名字,validity time是证书的有效时间,单位是天。命令执行时系统会询问相关的证书问题,运行命令之后,第一个提示就是要求输入密码,这个是私钥密码,在整个过程中,密码最好是统一的,为了方便操作或记忆,密码输入之后,第二个提示输入名字,这个名字一定要输入客户端连接服务器(VCS或VSS)用的FQDN名,具体如图1,完成后会生成一个.p12的文件,这就是keystore。
图1:生成keystore
二、生成证书请求
在keystore中生成证书请求:命令keytool -certreq -keyalg "RSA" -file <certificate.csr> -keystore <keys.p12> -storetype pkcs12 -storepass <secret>。同样,<>中的值由用户定义, <secret>secret这个替换成相应的密码,keystore的名称是上一步生成的keystore的文件名。具体如图2,。
图2:生成证书请求
完后会生成一个.csr的文件,将其用记事本打开,拷贝其中的内容,用于申请证书
三、在企业根CA或者第三方的公共CA申请证书
申请证书的过程大致相同,这里以安装有Windows的企业根CA为例,简单介绍生成的过程。
用IE打开根CA的证书申请页面(CA服务器名称/certsrv),在页面中点击“申请一个证书”>“高级证书申请”>“提交一个由base64编码的CMC或者PKS#10文件的证书请求”,在接下来的页面中将上一步在记事本中拷贝的内容粘贴在base64编码的证书申请框中,然后证书类型选择web server,具体如图3。点击确定即完成证书申请的提交。
图3:证书申请的提交
提交完成后,CA的管理员会生成证书,就可以在网页上下载证书了,如图4
图4:证书下载
四、将证书导入到keystore
如果下载的证书是PKS#12格式(.cer)的话(默认就是这种格式),需要将其转换成PKS#7格式,转换的方式很简单,打开证书文件>“Detail”页面>“拷贝到文件”>下一步>选择”
Cryptographic message Syntax Standard-PKCS #7 Certificates(p7b)”,并勾选“Include all certificates in the certification path if possible”>下一步,输入新证书文件的名称>结束(图5)。
图5:证书的转换
使用下面命令将签发的证书导入到keystore中:keytool -import -keystore <keys.p12> -stor
etype pkcs12 -storepass <secret> -keyalg "RSA" -trustcacerts -file <certificate.p7b>,其中keys.P12是keystore的名称,certificate.p7b是刚才生成的证书的名称(这里的名称只是一个例子,以实际名称为主)。
五、在View的服务器中修改配置替换证书
1、复制keystore文件(也即keys.p12)到VCS或VSS配置目录下
将上一步的keystore文件(也即keys.p12)拷贝到View Security/Standard/Replica Server的存放证书配置的目录中,默认情况下目录为program files\VMware\VMware View\Server\sslgateway\conf\。
将keystore(也即keys.p12)和其密码写入配置文件,配置文件为locked.properties,如果这个文件不存在,可以手工创建一个。然后用记事本打开,在其中键入两行,分别为:
Keyfile=keys.p12
Keypass=password
Keypass=password
(说明,这个密码就是使用keytool -genkey -keyalg "RSA" -keystore <keys.p12> -storetype pkcs12 –validity <validity time>要求输入的密码,建议:整个过程要求输入的密码一样,主要是为了在这里引用密码的时候方便,不然容易混淆)
实际中keys.p12代表keystore文件的名称,password是keystore的密码。
2、更改与替换VCS或VSS自签证书为CA签发的证书
A、打开证书管理控制台
在VCS或VSS服务器的“开始”->“运行”,输入mmc /a打开控制台,如图:
然后点“文件”->“添加/删除管理单元”,然后定位到证书,如图
第一步
第二步
第三步
最后点完成并点确定,出现如图:
B、查看VCS或VSS自签证书状态
打开这个证书管理控制台之后,点“证书(本地计算机)”->“个人”->证书,可以看到VCS或VSS自己安装时生成的证书,如图:
C、替换VCS或VSS自签证书为CA证书
在上面的控制台里的“证书(本地计算机)”->“个人”->证书, 右击鼠标并点导入,将keystore文件(也即keys.p12)位于View Security/Standard/Replica Server的存放证书配置的目录中,默认情况下目录为program files\VMware\VMware View\Server\sslgateway\conf\
导入,也即将keys.p12证书导入,
1) 导入CA证书
如图:
第一步:
第二步
第三步
第四步:输入keystore的密码(说明,这个密码就是使用keytool -genkey -keyalg "RSA" -keystore <keys.p12> -storetype pkcs12 –validity <validity time>要求输入的密码,建议:整个过程要求输入的密码一样,主要是为了在这里引用密码的时候方便,不然容易混淆)
标志此密钥为可导出的密钥这将允许你在稍后备份或传输密钥,这个勾一定要勾上,默认是不勾的
然后点完成就可以了将CA证书导入
网页证书错误怎么办2) 替换VCS或VSS自签证书为CA证书
● 在证书管理控制台里,将VCS或VSS自签证书(即自己生成的证书)的“友好名称”从默认的“vdm”改为“空”如图:
第一步:
第二步:
效果如图:
● 将导入的keys.p12证书的“友好名称”从默认的“空”改为“vdm”如图:
第一步:
第二步:
效果图:
通过以上的一系列操作之后,就可以将VCS或VSS自签证书替换成CA证书,这些操作之后,需要重新启动服务器的VMware View Connection Server服务才能生效
通过以上配置之后,view client端就可以正常通过证书验证了,如图:
说明:
1、 如果view client端是加入域的,则要将view client端所在PC端重启,然后就可以拿到CA的根证书,之后就可以正常的使用CA根证书与VCS或VSS的私有证书进行正常的交互了
2、 如果view client端是没有加入view所在的域环境,则要将CA的根证书手动从CA服务器
端下载下来交导入到view client端所在PC,然后才能正常进行证书之间的交互,否则仍然提示证书交互失败与报错
3、 使用证书进行验证之后,view client端连接VCS或VSS要使用FQDN,因为证书里输入的是FQDN
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论