среда, 28 октября 2015 г.

Использование StartCom SSL Certificates для Vmware (Horizon) View 5.1-6.2

Если у вас появилась необходимость в использовании нормальных сертификатов не только для web-серверов, но и для Vmware View 5.1-6.2, то очень рекомендую использовать StartCom SSL Certificates (это нормальные сертификаты за весьма разумные деньги – 59 USD за 2-х летние сертификаты Class 2). 

STARTSSL.COM











Преамбула или Tips & Tricks

Для получения сертификатов – нужно пройти регистрацию на сайте — StartSSL™ (все достаточно стандартно и предсказуемо). Единственный момент заключается в том, что авторизация на сайте для операций с сертификатами производится при помощи сертификата, который размещается в хранилище компьютера (браузера), т.е. никаких паролей и имен пользователей. Этот сертификат и инструкцию по работе с ним выдают по окончанию регистрации. Сертификат — не восстанавливается, поэтому его лучше сохранить в надежном месте.
После ее прохождения вы получите возможность генерировать сертификаты Class 1 сроком действия – 1год. Они бесплатные и подходят для тестирования сайтов или обучения работе с сертификатами.
Здесь — StartSSL™ Comparison Chart можно посмотреть сравнительную таблицу сертификатов и их стоимости.

Но, если вам нужен нормальный сертификат ( который будут воспринимать все браузеры), то есть ряд очень важных моментов, связанных с присвоением вам статуса доверенного лица и подготовкой данных для сертификатов»:
  1. При регистрации нужно вводить только реальные данные и не использовать VPN или чего-то еще искажающего ваш ip-адрес. Это одна из проверок,
  2. Обязательно указывайте номер телефона не через +7, а через 007, т.к. вам будут звонить на него из США, а там не все операторы телефонии понимают символ «+» и если вам не дозвонятся, то откажут в регистрации,
  3. Обязательно подготовьте и отсканируйте счет от любого телефонного оператора с вашим номером телефона, который вы указываете при регистрации, он является еще одной проверкой. Если все ваши номера куплены на рынке без оформления договора или зарегистрированы на бабушку, то смело и уверенно идите оформлять сим-карту или открывайте графический редактор,
  4. Если вы прошли все проверки, вам позвонили и убедились, что вы реальное лицо и вас зарегистрировали как доверенное лицо, которое может подписывать сертификаты, а также с карточного счета сняли 59 USD, то это только начало,
  5. Важно, что бы в вашем домене был адрес postmaster@domain, т.к. все письма с кодами валидации будут приходить только на этот адрес,
  6. Не используйте функцию wildcard, т.е.сертификат для всего домена целиком, а формируйте сертификаты под конкретные имена, иначе для поддоменов и серверов новые сертификаты создавать будет нельзя. Мне этот опыт стоил 25 USD за revocation и настоятельно был рекомендован сотрудником StartCom.


Особенности создания сертификатов для Vmware View 5.1-6.2


Я поставил множество опытов по получению сертификата через форму сайта или генерацию через CSR и сработала только следующая схема:
  1. Сертификат генерится через форму сайта, обязательно с паролем,
  2. В меню Tool Box выбирается Create PKCS#12 (PFX) File и далее используется только он,
  3. После того, как полученный файл .p12 скопирован на сервер, где установлен View Connection Server,
  4. Нужно запустить оснастку Certificates/ Local Computer/ Personal
  5. После этого требуется вызвать импорт правой кнопкой мыши All Tasks/Import и пройдя нехитрый мастер получить картинку, указанную на скриншоте.
  6. Всего должно быть установлено 3 сертификата: сертификат самого сервера и 2 сертификата CA, причем именно в этой ветке.
  7. Не забудьте указать vdm в свойствах сертификата Friendly Name,
  8. Далее нужно перезапустить все сервисы Vmware Connection Server.




Данный, не очень сложный метод, был подобран методом проб и ошибок, т.к. наличие, просто, сертификата без сертификатов CA, приводило к тому, что ничего не работало, а в логах шла ругань на сертификат.

Для продуктов Vmware есть продвинутый инструментарий от VSSLabs — vCert Manager , уже находится на стадии бета-тестирования.

Комментариев нет:

Отправить комментарий