ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Horizo​​n View用にMicrosoft IISを使用して証明書要求をインストール、作成する方法

Horizo​​n View用にMicrosoft IISを使用して証明書要求をインストール、作成する方法についての情報になります。かなり前になりますが、Horizon Viewを構築した際に、自己署名の証明書だと画面表示に警告だったか、問題がでるので、ADCSで発行した証明書を適用した経験があります。

 

手順はKBが出ていてこちらが参考になります。

 

Microsoft IIS(2021537)を介して証明書要求をインストールおよび作成します

https://kb.vmware.com/s/article/2021537?lang=en_US 

 

MicrosoftIISを使用して証明書要求を作成する手順について書かれています。

 

影響

接続サーバーにIISの役割をインストールすると、証明書の変更が完了した後にその場に残された場合、443でポートの競合が発生します。理想的には、接続サーバーはHorizo​​nのみを実行し、余分な役割を持たないようにする必要があります。

 

この方法を使用するには、MicrosoftIIS管理コンソールをインストールする必要があります。これは、VMware Viewコネクションサーバーの1つにインストールすることも、別のサーバーにインストールすることもできます。このガイドでは、IISをコネクションサーバーにインストールします。これにより、証明書をコネクションサーバーに直接インポートできるようになります。

注:この手順ではWebサーバーコンポーネントがインストールされていないため、コネクションサーバーでネットワークポートの干渉が発生することはありません。

 

■コネクションサーバーにIIS(インターネットインフォメーションサービス)をインストールします
①コネクションサーバーで、サーバーマネージャーコンソールを開きます。
②[役割] > [役割の追加]をクリックします。
③始める前に情報を読み、[次へ]をクリックします。
④Webサーバー(IIS)の役割を選択し、[次へ]をクリックします。
⑤表示されるWebサーバー(IIS)の概要を読み、[次へ]をクリックします。
⑥重要:Webサーバーコンポーネントの選択を解除してください。これにより、IIS管理コンソール以外のすべてがクリアされます。
⑦[次へ]をクリックします。
⑧表示されたエラーまたは警告を解決し、[インストール]をクリックします。
⑨[インストールが成功しました]というメッセージが表示されたら、[完了]をクリックします。

 

 

■証明書署名要求(CSR)を生成する
①[スタート] > [管理ツール] > [インターネットインフォメーションサービス(IIS)マネージャー]をクリックします。
②サーバーをクリックします。
③[サーバー証明書]をダブルクリックします。
④下にアクション右側のウィンドウで、クリックしてください証明書要求を作成します。
⑤完了識別名のプロパティ]フォームを。

注:
[共通名]フィールドに、サーバーのFQDNまたは要求が行われているURLを入力します。
一部のサードパーティ認証局は、州/県の省略名を受け入れません。

⑥[次へ]をクリックします。
Microsoft RSASChannel暗号化プロバイダーを暗号化サービスプロバイダーのままにします。
⑧目的のビット長を選択し、[次へ]をクリックします。
⑨証明書要求のファイル名と場所を指定します。例えば:

C:\certificates\certreq.csr

CSRファイルを認証局(CA)に送信して、署名された証明書を取得します。証明書は、IIS 7(またはIIS 5以降)形式であるように要求する必要があります。ApacheまたはTomcat形式を選択しないでください。

注:認証局は、署名された証明書、ルートCA証明書、および該当する場合は中間CA証明書を提供します。

⑪署名された証明書からcert.cer、証明書要求が生成されたコネクションサーバーで指定された新しいテキストファイルにテキストをコピーします。
⑫指定されたファイルへのルートCAと中間CA証明書の保存root.cerおよびintermediate.cer証明書要求が生成されたコネクションサーバー上。

 

■MicrosoftIISを使用して署名付き証明書を証明書ストアにインポートします
①コネクションサーバーで、[スタート] > [管理ツール] > [インターネットインフォメーションサービス(IIS)マネージャー]をクリックします。
②サーバーをクリックします。
③[サーバー証明書]をダブルクリックします。
④下にアクション右側のウィンドウで完全な証明書の要求をクリックしてください。
⑤cert.cer ファイルが保存された場所を参照します。
⑥フレンドリ名フィールドの種類でvdmを入力し、[OK]ををクリックします。

注:
Windows証明書ストアのFriendlyname値では、大文字と小文字が区別されます。必ず小文字のvdmを使用してください。
証明書がサーバーに既にインストールされている場合は、次のエラーが表示される場合があります。

Cannot find the certificate request that is associated with this certificate file. A certificate request must be completed on the computer where the certificate request was created.

これを解決するには、証明書MMCスナップインを開き、新しく作成された証明書がインストールされているかどうかを確認します。

⑦マニュアルに従って新しいSSL証明書を使用するように設定したView Connection Server、セキュリティサーバ、またはView Composerの中でのVMware Viewインストールガイド。
⑧View Connection ServerからWebサーバー(IIS)の役割を削除します。
注:コネクションサーバー以外のサーバーでこれらの手順を実行する場合は、IISサーバーから証明書をエクスポートし、エクスポートされた証明書をコネクションサーバーで使用します。

 

■ViewServicesを再起動します
これらのサービスを再起動すると、新しい証明書を使用できるようになります。サービスを再起動するには:
VMware View ConnectionServerまたはVMwareView SecurityServerを実行しているサーバーに管理者としてログインします。
②[スタート]> [ファイル名を指定して実行]をクリックし、services.mscと入力して、Enterキーを押します。
③サービスのリストから、VMware View ConnectionServerまたはVMwareView SecurityServerサービスを右クリックします。
④[再起動]をクリックして、サービスが停止して開始するのを待ちます。
⑤該当する場合は、これらの手順を繰り返して、VMwareBlastサービスを再起動します。

注:VDMというフレンドリ名の自己署名証明書が存在する場合、新しくインポートされた証明書と競合し、サービスが開始されません。