关于view_client连接虚拟桌面报证书错误的解决办法.doc

关于view client连接虚拟桌面报证书错误的解决办法问题现象：如图问题原因：问题原因是安装view连接服务器、安全服务器或view composer服务器时，VMware会自签一个证书（或者是自动生成一个证收），而这个证书是不被view client端所在的PC端信任的,所以造成这个报错解决办法:如果要解决这个问题,一般是要有一个CA中心或第三方CA,这个CA是证书颁发中心也是证书管理中心。解决问题的环境如下：1、 微软AD服务器,这是view环境必须有的2、 在这台微软AD服务器上添加证书这个功能,如图:要添加这个证书服务的前提条件是先安装IIS服务功能,如图:安装好了IIS与证书服务组件之后,就可以在IE浏览器里输入http:/服务器IP/certsrv/，然后输入域管理用户名与密码，即可以成功配置CA与申请证书了配置VCS或VSS等角色的证书:一、创建keystore文件 Keytool命令存在于目录/Program Files/VMware/VMware View/Server/jre/bin中，默认情况下它不在系统路径列表中，为了方便执行命令，可以将其加入到系统变量path的值中。在View的服务器中创建keystore：keystore是存储密钥和证书的数据库，证书的请求以及颁发的证书都保存其中。具体的执行命令为：keytool -genkey -keyalg RSA -keystore -storetype pkcs12 validity ，其中中的值可以由用户自己定义，keys.p12是keystore的名字，validity time是证书的有效时间，单位是天。命令执行时系统会询问相关的证书问题，运行命令之后，第一个提示就是要求输入密码，这个是私钥密码，在整个过程中，密码最好是统一的，为了方便操作或记忆，密码输入之后，第二个提示输入名字，这个名字一定要输入客户端连接服务器(VCS或VSS)用的FQDN名，具体如图1，完成后会生成一个.p12的文件，这就是keystore。图1：生成keystore二、生成证书请求在keystore中生成证书请求：命令keytool -certreq -keyalg RSA -file -keystore -storetype pkcs12 -storepass 。同样，中的值由用户定义, secret这个替换成相应的密码，keystore的名称是上一步生成的keystore的文件名。具体如图2，。图2：生成证书请求完后会生成一个.csr的文件，将其用记事本打开，拷贝其中的内容，用于申请证书三、在企业根CA或者第三方的公共CA申请证书申请证书的过程大致相同，这里以安装有Windows的企业根CA为例，简单介绍生成的过程。用IE打开根CA的证书申请页面（http:/CA服务器名称/certsrv），在页面中点击“申请一个证书”“高级证书申请”“提交一个由base64编码的CMC或者PKS#10文件的证书请求”，在接下来的页面中将上一步在记事本中拷贝的内容粘贴在base64编码的证书申请框中，然后证书类型选择web server，具体如图3。点击确定即完成证书申请的提交。图3：证书申请的提交提交完成后，CA的管理员会生成证书，就可以在网页上下载证书了，如图4图4：证书下载四、将证书导入到keystore如果下载的证书是PKS#12格式（.cer）的话（默认就是这种格式），需要将其转换成PKS#7格式，转换的方式很简单，打开证书文件“Detail”页面“拷贝到文件”下一步选择”Cryptographic message Syntax Standard-PKCS #7 Certificates（p7b）”，并勾选“Include all certificates in the certification path if possible”下一步,输入新证书文件的名称结束（图5）。图5：证书的转换使用下面命令将签发的证书导入到keystore中：keytool -import -keystore -storetype pkcs12 -storepass -keyalg RSA -trustcacerts -file ，其中keys.P12是keystore的名称，certificate.p7b是刚才生成的证书的名称(这里的名称只是一个例子，以实际名称为主)。五、在View的服务器中修改配置替换证书1、复制keystore文件(也即keys.p12)到VCS或VSS配置目录下将上一步的keystore文件(也即keys.p12)拷贝到View Security/Standard/Replica Server的存放证书配置的目录中，默认情况下目录为program filesVMwareVMware ViewServersslgatewayconf。将keystore(也即keys.p12)和其密码写入配置文件，配置文件为locked.properties，如果这个文件不存在，可以手工创建一个。然后用记事本打开，在其中键入两行，分别为：Keyfile=keys.p12Keypass=password（说明，这个密码就是使用keytool -genkey -keyalg RSA -keystore -storetype pkcs12 validity 要求输入的密码，建议:整个过程要求输入的密码一样，主要是为了在这里引用密码的时候方便，不然容易混淆）实际中keys.p12代表keystore文件的名称，password是keystore的密码。2、更改与替换VCS或VSS自签证书为CA签发的证书A、打开证书管理控制台在VCS或VSS服务器的“开始”-“运行”，输入mmc /a打开控制台,如图:然后点“文件”-“添加/删除管理单元”,然后定位到证书,如图第一步第二步第三步最后点完成并点确定，出现如图：B、查看VCS或VSS自签证书状态打开这个证书管理控制台之后，点“证书（本地计算机）”-“个人”-证书，可以看到VCS或VSS自己安装时生成的证书,如图:C、替换VCS或VSS自签证书为CA证书在上面的控制台里的“证书（本地计算机）”-“个人”-证书， 右击鼠标并点导入，将keystore文件(也即keys.p12)位于View Security/Standard/Replica Server的存放证书配置的目录中，默认情况下目录为program filesVMwareVMware ViewServersslgatewayconf导入，也即将keys.p12证书导入，1) 导入CA证书如图：第一步：第二步第三步第四步:输入keystore的密码（说明，这个密码就是使用keytool -genkey -keyalg RSA -keystore -storetype pkcs12 validity 要求输入的密码，建议:整个过程要求输入的密码一样，主要是为了在这里引用密码的时候方便，不然容易混淆）标志此密钥为可导出的密钥这将允许你在稍后备份或传输密钥，这个勾一定要勾上，默认是不勾的然后点完成就可以了将CA证书导入2) 替换VCS或VSS自签证书为CA证书l 在证书管理控制台里，将VCS或VSS自签证书（即自己生成的证书）的“友好名称”从默认的“vdm”改为“空”如图：第一步：第二步：效果如图：l 将导入的keys.p12证书的“友好名称”从默认的“空”改为“vdm”如图：第一步：第二步：效果图：通过以上的一系列操作之后，就可以将VCS或VSS自签证书替换成CA证书，这些操作之后，需要重新启动服务器的VMware View Connection Server服务才能生效通过以上配置之后，view client端就可以正常通过证书验证了，如图:说明：1、 如果view client端是加入域的，则要将view client端所在PC端重启,然后就可以拿到CA的根证书,之后就可以正常的使用CA根证书与VCS或VSS的私有证书进行正常的交互了2、 如果view client端是没有加入view所在的域环境，则要将CA的根证书手动从CA服务器端下载下来交导入到view client端所在PC,然后才能正常进行证书之间的交互，否则仍然提示证书交互失败与报错3、 使用证书进行验证之后，view client端连接VCS或VSS要使用FQDN,因为证书里输入的是FQDN如果 个人 证书中没有 自签发的证书4、 图4：证书的转换5、 使用下面命令将签发的证书导入到keystore中：keytool -import -keystore -storetype pkcs12 -storepass -keyalg RSA -trustcacerts -file ，其中keys.P12是keystore的名称，certificate.p7b是刚才生成的证书的名称。6、 四、在View的服务器中修改配置替换证书7、 将上一步的keystore文件拷贝到View Security/Standard/Replica Server的存放证书配置的目录中，默认情况下目录为program filesVMwareVMware ViewServersslgatewayconf。8、 将keystore和其密码写入配置文件，配置文件为locked.properties，如果这个文件不存在，可以手工创建一个。然后用记事本打开，在其中键入两行，分别为：9、 Keyfile=keys.p1210、 Keypass=password11、 实际中keys.p12代表keystore文件的名称，password是keystore的密码。12、 接下来只需要重新启动服务器的VMware View Connection Server服务，新证书就可以使用了，现在所有的用户终端可以自动信任其证书，这样就可以有一个安全的VMware View的桌面虚拟化证书环境了。