VMware View中的證書(shū)管理
什么是數(shù)字證書(shū)?
數(shù)字證書(shū)是在Internet上表示用戶身份的一種數(shù)據(jù),它包含公鑰和私鑰,通過(guò)加密使得用戶之間的身份得以確認(rèn),并保證數(shù)據(jù)在傳輸過(guò)程中的一致性,防止被他人篡改。
由于數(shù)字證書(shū)的安全特性,所以其廣泛應(yīng)用于各種對(duì)安全性要求較高的應(yīng)用中,比如常用的網(wǎng)上銀行,企業(yè)郵箱等等。
數(shù)字證書(shū)的頒發(fā)可以來(lái)自第三方頒發(fā)機(jī)構(gòu),比如Verisign,這些機(jī)構(gòu)本身的信任關(guān)系就內(nèi)嵌在操作系統(tǒng)中,所以當(dāng)我們打開(kāi)那些由這些機(jī)構(gòu)頒發(fā)的證書(shū)的鏈接時(shí),系統(tǒng)會(huì)自動(dòng)進(jìn)行驗(yàn)證。當(dāng)然,在企業(yè)內(nèi)部,數(shù)字證書(shū)也可以由企業(yè)內(nèi)部的CA進(jìn)行頒發(fā),雖然在Internet上企業(yè)內(nèi)部的根證書(shū)沒(méi)有受到信任,但是在企業(yè)內(nèi)部,所有的計(jì)算機(jī)對(duì)內(nèi)部CA是信任的。
為什么要在VMware View中進(jìn)行證書(shū)管理
默認(rèn)情況下,VMware View的Security Server、Standard/Replica Server都是使用默認(rèn)的由服務(wù)器本身自簽發(fā)的證書(shū),它不被其它系統(tǒng)信任,無(wú)法保證連接時(shí)數(shù)據(jù)傳輸?shù)囊恢滦浴.?dāng)客戶端連接到包含不信任證書(shū)的應(yīng)用時(shí),系統(tǒng)都會(huì)提示警告,顯示該證書(shū)不可信,所以即使信息在中間環(huán)節(jié)被篡改,用戶也無(wú)法識(shí)別。
企業(yè)生產(chǎn)環(huán)境需要做的是將服務(wù)器中默認(rèn)的證書(shū)替換成企業(yè)根CA或者外部公共CA簽發(fā)的可信任證書(shū)。這樣做的目的就是保證數(shù)據(jù)的安全和一致性,并得到所有客戶端的信任。
如何在VMware View中進(jìn)行證書(shū)管理
進(jìn)行證書(shū)的管理,整個(gè)證書(shū)管理主要集中在View Security Server、View Standard Server和View Replica Server中,證書(shū)的類型為Web證書(shū)。
在VMware View 5.0中,一個(gè)巨大的改進(jìn)就是在默認(rèn)情況下,view客戶端會(huì)對(duì)服務(wù)器端證書(shū)的可信任性進(jìn)行嚴(yán)格的檢測(cè),特別是在像iPad這樣的平板電腦上,如果服務(wù)器端的證書(shū)不被信任,將無(wú)法連接到虛擬桌面。
證書(shū)的管理步驟:
一、創(chuàng)建keystore,生成證書(shū)請(qǐng)求
Keytool命令存在于目錄/Program Files/VMware/VMware View/Server/jre/bin中,默認(rèn)情況下它不在系統(tǒng)路徑列表中,為了方便執(zhí)行命令,可以將其加入到系統(tǒng)變量path的值中。
在View的服務(wù)器中創(chuàng)建keystore:keystore是存儲(chǔ)密鑰和證書(shū)的數(shù)據(jù)庫(kù),證書(shū)的請(qǐng)求以及頒發(fā)的證書(shū)都保存其中。具體的執(zhí)行命令為:keytool -genkey -keyalg "RSA" -keystore
圖1:生成keystore
在keystore中生成證書(shū)請(qǐng)求:命令keytool -certreq -keyalg "RSA" -file
圖2:生成證書(shū)請(qǐng)求
二、在企業(yè)根CA或者第三方的公共CA申請(qǐng)證書(shū)
申請(qǐng)證書(shū)的過(guò)程大致相同,這里以安裝有Windows的企業(yè)根CA為例,簡(jiǎn)單介紹生成的過(guò)程。用IE打開(kāi)根CA的證書(shū)申請(qǐng)頁(yè)面(http://CA服務(wù)器名稱/certsrv),在頁(yè)面中點(diǎn)擊“申請(qǐng)一個(gè)證書(shū)”>“高級(jí)證書(shū)申請(qǐng)”>“提交一個(gè)由base64編碼的CMC或者PKS#10文件的證書(shū)請(qǐng)求”,在接下來(lái)的頁(yè)面中將上一步在記事本中拷貝的內(nèi)容粘貼在base64編碼的證書(shū)申請(qǐng)框中,然后證書(shū)類型選擇web server,具體如圖3。點(diǎn)擊確定即完成證書(shū)申請(qǐng)的提交。
提交完成后,CA的管理員會(huì)生成證書(shū),就可以在網(wǎng)頁(yè)上下載證書(shū)了。
圖3:證書(shū)申請(qǐng)的提交
三、將證書(shū)導(dǎo)入到keystore
如果下載的證書(shū)是PKS#12格式(.cer)的話,需要將其轉(zhuǎn)換成PKS#7格式,轉(zhuǎn)換的方式很簡(jiǎn)單,打開(kāi)證書(shū)文件>“Detail”頁(yè)面>“拷貝到文件”>下一步>選擇”Cryptographic message Syntax Standard-PKCS #7 Certificates(.P8B)”,并勾選“Include all certificates in the certification path if possible”>下一步,輸入新證書(shū)文件的名稱>結(jié)束(圖4)。
圖4:證書(shū)的轉(zhuǎn)換
使用下面命令將簽發(fā)的證書(shū)導(dǎo)入到keystore中:keytool -import -keystore
四、在View的服務(wù)器中修改配置替換證書(shū)
將上一步的keystore文件拷貝到View Security/Standard/Replica Server的存放證書(shū)配置的目錄中,默認(rèn)情況下目錄為program files\VMware\VMware View\Server\sslgateway\conf\。
將keystore和其密碼寫(xiě)入配置文件,配置文件為locked.properties,如果這個(gè)文件不存在,可以手工創(chuàng)建一個(gè)。然后用記事本打開(kāi),在其中鍵入兩行,分別為:
Keyfile=keys.p12
Keypass=password
實(shí)際中keys.p12代表keystore文件的名稱,password是keystore的密碼。
接下來(lái)只需要重新啟動(dòng)服務(wù)器的VMware View Connection Server服務(wù),新證書(shū)就可以使用了,現(xiàn)在所有的用戶終端可以自動(dòng)信任其證書(shū),這樣就可以有一個(gè)安全的VMware View的桌面虛擬化證書(shū)環(huán)境了。
