什么是数字证书？

数字证书是在Internet上表示用户身份的一种数据，它包含公钥和私钥，通过加密使得用户之间的身份得以确认，并保证数据在传输过程中的一致性，防止被他人篡改。

由于数字证书的安全特性，所以其广泛应用于各种对安全性要求较高的应用中，比如常用的网上银行，企业邮箱等等。

数字证书的颁发可以来自第三方颁发机构，比如Verisign，这些机构本身的信任关系就内嵌在操作系统中，所以当我们打开那些由这些机构颁发的证书的链接时，系统会自动进行验证。当然，在企业内部，数字证书也可以由企业内部的CA进行颁发，虽然在Internet上企业内部的根证书没有受到信任，但是在企业内部，所有的计算机对内部CA是信任的。

为什么要在VMware View中进行证书管理？

默认情况下，VMware View的Security Server、Standard/Replica Server都是使用默认的由服务器本身自签发的证书，它不被其它系统信任，无法保证连接时数据传输的一致性。当客户端连接到包含不信任证书的应用时，系统都会提示警告，显示该证书不可信，所以即使信息在中间环节被篡改，用户也无法识别。

企业生产环境需要做的是将服务器中默认的证书替换成企业根CA或者外部公共CA签发的可信任证书。这样做的目的就是保证数据的安全和一致性，并得到所有客户端的信任。

如何在VMware View中进行证书管理

进行证书的管理，整个证书管理主要集中在View Security Server、View Standard Server和View Replica Server中，证书的类型为Web证书。

从VMware View 5.0开始，一个巨大的改进就是在默认情况下，view客户端会对服务器端证书的可信任性进行严格的检测，特别是在像iPad这样的平板电脑上，如果服务器端的证书不被信任，将无法连接到虚拟桌面。

下面将详细阐述如何配置证书服务

1、环境准备，在域控服务器上安装根证书服务

步骤1：以域管理员身份登录到AD.VMWARE.COM.

步骤2：点击Start, 打开 Administrative Tools, 点击 Server Manager.

步骤3：在 Roles Summary 中, 点击 Add roles.

步骤4：在Select Server Roles 页面上, 选中 Active Directory Certificate Services. 点击2次 Next.

步骤5：在Select Role Services 页面, 选中 Certification Authority 然后点击 Next.

步骤6： 在Specify Setup Type 页面, 点击 Enterprise, 然后点击 Next.

步骤7： 在Specify CA Type 页面, 点击 Root CA, 然后点击 Next.

步骤8：在Set Up Private Key 页面，选择select Create a new private key, 然后点击 Next.

步骤9：在Configure Cryptography for CA 页面, 接受默认设置然后点击 Next.

步骤10：在Configure CA name 对话框, 输入 CA名称, VMware.com, 然后点击 Next.

步骤11：在Set the Certificate Validity Period 页面, 选择 root CA, 然后点击 Next.

步骤12：在Configure Certificate Database 页面, 默认值, 然后点击 Next.

步骤13：确认信息无误之后，在Confirm Installation Options 页面, 点击 Install.

确认根证书服务已经成功安装

2、创建一个根证书模板

步骤1：在AD.vmware.com域控服务器上，选择 Server Manager > Roles > Active Directory Certificate

步骤2：点击Certificate Templates > 右键 Web Server template > Duplicate Template

步骤3：给其命名为 vmware.com –Template

步骤4：在Request Handling 页面，选中Allow private key to be exported

步骤5：确认 minimum key size = 2048

步骤6：在vmware.com-template模板的Security页面上，给予Domain Computers ,Read + Enroll 的权限,给予Authenticated Users, Read+Enroll的权限

步骤7：展开 vmware-AD-CA 邮件点击 Certificate Templates > New > Certificate Template to Issue

步骤8：选择vware.com-Template ,点击ok

3、在Connection Server上申请新证书

步骤1：在VIEW.VMWARE.COM证书服务器上，开始 > Run > mmc

步骤2：打开File>Add/Remove Snap-in, 添加 Certificates (Local Computer) snap-in 然后选择 “Computer Account”

步骤3：右键 Personal\Certificates > All Tasks > Request New Certificate

步骤4：选中Active Directory Enrollment Policy ，点击 Next

步骤5：勾选Vmware.comTemplate > expand Details > Properties

步骤6：将Subject name 类型改为 Common name , Value = view.vmware.com >Add > OK

在General页面，将friendly name 类型改为 vdm

在private key页面，确保key options为“make private key exportable”

点击OK确定

步骤7：Enroll >Finish

步骤8：将申请好的证书拷贝至Trusted Root Certification

步骤9：重启view.vmare.com服务器

步骤10：通过https://view.vmar.com/admin 可以通过网页看到访问均受信任

4、导出证书

步骤1：选择VIEW.VMWARE.COM单击右键，选择导出

步骤2：选择导出私钥

步骤3：设置私钥密码

步骤4：导出完成

4、在View Client端导入证书

步骤1：将刚刚导出的证书拷贝至VIEW CLIENT端，双击打开

步骤2：按照以下方式导入证书

键入刚才设置的私钥密码

将证书导入“受信任的根证书颁发机构”

完成导入工作

步骤3：可以看到VIEW CLIENT访问不再提示

View.vmware.com受信