關(guān)于view_client連接虛擬桌面報證書錯誤的解決辦法.doc

關(guān)于view client連接虛擬桌面報證書錯誤的解決辦法問題現(xiàn)象：如圖問題原因：問題原因是安裝view連接服務(wù)器、安全服務(wù)器或view composer服務(wù)器時，VMware會自簽一個證書（或者是自動生成一個證收），而這個證書是不被view client端所在的PC端信任的,所以造成這個報錯解決辦法:如果要解決這個問題,一般是要有一個CA中心或第三方CA,這個CA是證書頒發(fā)中心也是證書管理中心。解決問題的環(huán)境如下：1、 微軟AD服務(wù)器,這是view環(huán)境必須有的2、 在這臺微軟AD服務(wù)器上添加證書這個功能,如圖:要添加這個證書服務(wù)的前提條件是先安裝IIS服務(wù)功能,如圖:安裝好了IIS與證書服務(wù)組件之后,就可以在IE瀏覽器里輸入http:/服務(wù)器IP/certsrv/，然后輸入域管理用戶名與密碼，即可以成功配置CA與申請證書了配置VCS或VSS等角色的證書:一、創(chuàng)建keystore文件 Keytool命令存在于目錄/Program Files/VMware/VMware View/Server/jre/bin中，默認情況下它不在系統(tǒng)路徑列表中，為了方便執(zhí)行命令，可以將其加入到系統(tǒng)變量path的值中。在View的服務(wù)器中創(chuàng)建keystore：keystore是存儲密鑰和證書的數(shù)據(jù)庫，證書的請求以及頒發(fā)的證書都保存其中。具體的執(zhí)行命令為：keytool -genkey -keyalg "RSA" -keystore <keys.p12> -storetype pkcs12 validity <validity time>，其中<>中的值可以由用戶自己定義，keys.p12是keystore的名字，validity time是證書的有效時間，單位是天。命令執(zhí)行時系統(tǒng)會詢問相關(guān)的證書問題，運行命令之后，第一個提示就是要求輸入密碼，這個是私鑰密碼，在整個過程中，密碼最好是統(tǒng)一的，為了方便操作或記憶，密碼輸入之后，第二個提示輸入名字，這個名字一定要輸入客戶端連接服務(wù)器(VCS或VSS)用的FQDN名，具體如圖1，完成后會生成一個.p12的文件，這就是keystore。圖1：生成keystore二、生成證書請求在keystore中生成證書請求：命令keytool -certreq -keyalg "RSA" -file <certificate.csr> -keystore <keys.p12> -storetype pkcs12 -storepass <secret>。同樣，<>中的值由用戶定義, <secret>secret這個替換成相應(yīng)的密碼，keystore的名稱是上一步生成的keystore的文件名。具體如圖2，。圖2：生成證書請求完后會生成一個.csr的文件，將其用記事本打開，拷貝其中的內(nèi)容，用于申請證書三、在企業(yè)根CA或者第三方的公共CA申請證書申請證書的過程大致相同，這里以安裝有Windows的企業(yè)根CA為例，簡單介紹生成的過程。用IE打開根CA的證書申請頁面（http:/CA服務(wù)器名稱/certsrv），在頁面中點擊“申請一個證書”>“高級證書申請”>“提交一個由base64編碼的CMC或者PKS#10文件的證書請求”，在接下來的頁面中將上一步在記事本中拷貝的內(nèi)容粘貼在base64編碼的證書申請框中，然后證書類型選擇web server，具體如圖3。點擊確定即完成證書申請的提交。圖3：證書申請的提交提交完成后，CA的管理員會生成證書，就可以在網(wǎng)頁上下載證書了，如圖4圖4：證書下載四、將證書導(dǎo)入到keystore如果下載的證書是PKS#12格式（.cer）的話（默認就是這種格式），需要將其轉(zhuǎn)換成PKS#7格式，轉(zhuǎn)換的方式很簡單，打開證書文件>“Detail”頁面>“拷貝到文件”>下一步>選擇”Cryptographic message Syntax Standard-PKCS #7 Certificates（p7b）”，并勾選“Include all certificates in the certification path if possible”>下一步,輸入新證書文件的名稱>結(jié)束（圖5）。圖5：證書的轉(zhuǎn)換使用下面命令將簽發(fā)的證書導(dǎo)入到keystore中：keytool -import -keystore <keys.p12> -storetype pkcs12 -storepass <secret> -keyalg "RSA" -trustcacerts -file <certificate.p7b>，其中keys.P12是keystore的名稱，certificate.p7b是剛才生成的證書的名稱(這里的名稱只是一個例子，以實際名稱為主)。五、在View的服務(wù)器中修改配置替換證書1、復(fù)制keystore文件(也即keys.p12)到VCS或VSS配置目錄下將上一步的keystore文件(也即keys.p12)拷貝到View Security/Standard/Replica Server的存放證書配置的目錄中，默認情況下目錄為program filesVMwareVMware ViewServersslgatewayconf。將keystore(也即keys.p12)和其密碼寫入配置文件，配置文件為locked.properties，如果這個文件不存在，可以手工創(chuàng)建一個。然后用記事本打開，在其中鍵入兩行，分別為：Keyfile=keys.p12Keypass=password（說明，這個密碼就是使用keytool -genkey -keyalg "RSA" -keystore <keys.p12> -storetype pkcs12 validity <validity time>要求輸入的密碼，建議:整個過程要求輸入的密碼一樣，主要是為了在這里引用密碼的時候方便，不然容易混淆）實際中keys.p12代表keystore文件的名稱，password是keystore的密碼。2、更改與替換VCS或VSS自簽證書為CA簽發(fā)的證書A、打開證書管理控制臺在VCS或VSS服務(wù)器的“開始”->“運行”，輸入mmc /a打開控制臺,如圖:然后點“文件”->“添加/刪除管理單元”,然后定位到證書,如圖第一步第二步第三步最后點完成并點確定，出現(xiàn)如圖：B、查看VCS或VSS自簽證書狀態(tài)打開這個證書管理控制臺之后，點“證書（本地計算機）”->“個人”->證書，可以看到VCS或VSS自己安裝時生成的證書,如圖:C、替換VCS或VSS自簽證書為CA證書在上面的控制臺里的“證書（本地計算機）”->“個人”->證書， 右擊鼠標并點導(dǎo)入，將keystore文件(也即keys.p12)位于View Security/Standard/Replica Server的存放證書配置的目錄中，默認情況下目錄為program filesVMwareVMware ViewServersslgatewayconf導(dǎo)入，也即將keys.p12證書導(dǎo)入，1) 導(dǎo)入CA證書如圖：第一步：第二步第三步第四步:輸入keystore的密碼（說明，這個密碼就是使用keytool -genkey -keyalg "RSA" -keystore <keys.p12> -storetype pkcs12 validity <validity time>要求輸入的密碼，建議:整個過程要求輸入的密碼一樣，主要是為了在這里引用密碼的時候方便，不然容易混淆）標志此密鑰為可導(dǎo)出的密鑰這將允許你在稍后備份或傳輸密鑰，這個勾一定要勾上，默認是不勾的然后點完成就可以了將CA證書導(dǎo)入2) 替換VCS或VSS自簽證書為CA證書l 在證書管理控制臺里，將VCS或VSS自簽證書（即自己生成的證書）的“友好名稱”從默認的“vdm”改為“空”如圖：第一步：第二步：效果如圖：l 將導(dǎo)入的keys.p12證書的“友好名稱”從默認的“空”改為“vdm”如圖：第一步：第二步：效果圖：通過以上的一系列操作之后，就可以將VCS或VSS自簽證書替換成CA證書，這些操作之后，需要重新啟動服務(wù)器的VMware View Connection Server服務(wù)才能生效通過以上配置之后，view client端就可以正常通過證書驗證了，如圖:說明：1、 如果view client端是加入域的，則要將view client端所在PC端重啟,然后就可以拿到CA的根證書,之后就可以正常的使用CA根證書與VCS或VSS的私有證書進行正常的交互了2、 如果view client端是沒有加入view所在的域環(huán)境，則要將CA的根證書手動從CA服務(wù)器端下載下來交導(dǎo)入到view client端所在PC,然后才能正常進行證書之間的交互，否則仍然提示證書交互失敗與報錯3、 使用證書進行驗證之后，view client端連接VCS或VSS要使用FQDN,因為證書里輸入的是FQDN如果 個人 證書中沒有 自簽發(fā)的證書4、 圖4：證書的轉(zhuǎn)換5、 使用下面命令將簽發(fā)的證書導(dǎo)入到keystore中：keytool -import -keystore -storetype pkcs12 -storepass -keyalg "RSA" -trustcacerts -file ，其中keys.P12是keystore的名稱，certificate.p7b是剛才生成的證書的名稱。6、 四、在View的服務(wù)器中修改配置替換證書7、 將上一步的keystore文件拷貝到View Security/Standard/Replica Server的存放證書配置的目錄中，默認情況下目錄為program filesVMwareVMware ViewServersslgatewayconf。8、 將keystore和其密碼寫入配置文件，配置文件為locked.properties，如果這個文件不存在，可以手工創(chuàng)建一個。然后用記事本打開，在其中鍵入兩行，分別為：9、 Keyfile=keys.p1210、 Keypass=password11、 實際中keys.p12代表keystore文件的名稱，password是keystore的密碼。12、 接下來只需要重新啟動服務(wù)器的VMware View Connection Server服務(wù)，新證書就可以使用了，現(xiàn)在所有的用戶終端可以自動信任其證書，這樣就可以有一個安全的VMware View的桌面虛擬化證書環(huán)境了。