什麼是數字證書?
數字證書是在Internet上表示使用者身份的一種資料,它包含公鑰和私鑰,通過加密使得使用者之間的身份得以确認,并保證資料在傳輸過程中的一緻性,防止被他人篡改。
由于數字證書的安全特性,是以其廣泛應用于各種對安全性要求較高的應用中,比如常用的網上銀行,企業郵箱等等。
數字證書的頒發可以來自第三方頒發機構,比如Verisign,這些機構本身的信任關系就内嵌在作業系統中,是以當我們打開那些由這些機構頒發的證書的連結時,系統會自動進行驗證。當然,在企業内部,數字證書也可以由企業内部的CA進行頒發,雖然在Internet上企業内部的根證書沒有受到信任,但是在企業内部,所有的計算機對内部CA是信任的。
為什麼要在VMware View中進行證書管理
預設情況下,VMware View的Security Server、Standard/Replica Server都是使用預設的由伺服器本身自簽發的證書,它不被其它系統信任,無法保證連接配接時資料傳輸的一緻性。當用戶端連接配接到包含不信任證書的應用時,系統都會提示警告,顯示該證書不可信,是以即使資訊在中間環節被篡改,使用者也無法識别。
企業生産環境需要做的是将伺服器中預設的證書替換成企業根CA或者外部公共CA簽發的可信任證書。這樣做的目的就是保證資料的安全和一緻性,并得到所有用戶端的信任。
如何在VMware View中進行證書管理
進行證書的管理,整個證書管理主要集中在View Security Server、View Standard Server和View Replica Server中,證書的類型為Web證書。
在VMware View 5.0中,一個巨大的改進就是在預設情況下,view用戶端會對伺服器端證書的可信任性進行嚴格的檢測,特别是在像iPad這樣的平闆電腦上,如果伺服器端的證書不被信任,将無法連接配接到虛拟桌面。
證書的管理步驟:
一、建立keystore,生成證書請求
Keytool指令存在于目錄/Program Files/VMware/VMware View/Server/jre/bin中,預設情況下它不在系統路徑清單中,為了友善執行指令,可以将其加入到系統變量path的值中。
在View的伺服器中建立keystore:keystore是存儲密鑰和證書的資料庫,證書的請求以及頒發的證書都儲存其中。具體的執行指令為:keytool -genkey -keyalg "RSA" -keystore <keys.p12> -storetype pkcs12 -validity <validity time>,其中<>中的值可以由使用者自己定義,keys.p12是keystore的名字,validity time是證書的有效時間,機關是天。指令執行時系統會詢問相關的證書問題,需要注意的是在輸入名字時,一定要輸入用戶端連接配接伺服器用的FQDN名,具體如圖1,完成後會生成一個.p12的檔案,這就是keystore。
圖1:生成keystore
在keystore中生成證書請求:指令keytool -certreq -keyalg "RSA" -file <certificate.csr> -keystore <keys.p12> -storetype pkcs12 -storepass <secret>。同樣,<>中的值由使用者定義,keystore的名稱是上一步生成的keystore的檔案名。具體如圖2,完後會生成一個.csr的檔案,将其用記事本打開,拷貝其中的内容,用于申請證書。
圖2:生成證書請求
二、在企業根CA或者第三方的公共CA申請證書
申請證書的過程大緻相同,這裡以安裝有Windows的企業根CA為例,簡單介紹生成的過程。用IE打開根CA的證書申請頁面(http://CA伺服器名稱/certsrv),在頁面中點選“申請一個證書”>“進階證書申請”>“送出一個由base64編碼的CMC或者PKS#10檔案的證書請求”,在接下來的頁面中将上一步在記事本中拷貝的内容粘貼在base64編碼的證書申請框中,然後證書類型選擇web server,具體如圖3。點選确定即完成證書申請的送出。
送出完成後,CA的管理者會生成證書,就可以在網頁上下載下傳證書了。
圖3:證書申請的送出
三、将證書導入到keystore
如果下載下傳的證書是PKS#12格式(.cer)的話,需要将其轉換成PKS#7格式,轉換的方式很簡單,打開證書檔案>“Detail”頁面>“拷貝到檔案”>下一步>選擇”Cryptographic message Syntax Standard-PKCS #7 Certificates(.P8B)”,并勾選“Include all certificates in the certification path if possible”>下一步,輸入新證書檔案的名稱>結束(圖4)。
圖4:證書的轉換
使用下面指令将簽發的證書導入到keystore中:keytool -import -keystore <keys.p12> -storetype pkcs12 -storepass <secret> -keyalg "RSA" -trustcacerts -file <certificate.p7b>,其中keys.P12是keystore的名稱,certificate.p7b是剛才生成的證書的名稱。
四、在View的伺服器中修改配置替換證書
将上一步的keystore檔案拷貝到View Security/Standard/Replica Server的存放證書配置的目錄中,預設情況下目錄為program files\VMware\VMware View\Server\sslgateway\conf\。
将keystore和其密碼寫入配置檔案,配置檔案為locked.properties,如果這個檔案不存在,可以手工建立一個。然後用記事本打開,在其中鍵入兩行,分别為:
Keyfile=keys.p12
Keypass=password
實際中keys.p12代表keystore檔案的名稱,password是keystore的密碼。
接下來隻需要重新啟動伺服器的VMware View Connection Server服務,新證書就可以使用了,現在所有的使用者終端可以自動信任其證書,這樣就可以有一個安全的VMware View的桌面虛拟化證書環境了。