2016年7月10日日曜日

Horizon Viewで、AD証明書認証局から証明書をもらう方法

最近、インターネットの無害化などで、Horizon Viewを検討されるユーザーさんが増えているようです。Horizon Viewを利用すれば、VDIももちろんですが、RDSHを利用した低コストなインターネットブラウザーの配布も可能になります。もちろん、管理も楽になり、セキュリティリスクもHorizon Viewを導入することで大幅に低減します。

さて、Viewを利用するためにまず1番最初に必要なのは「Connection Server」ですね。別名Manager Serverなどとも呼ばれることがあります。
(Connection Serverの前にADやvSphere基盤は必要ですが・・・)

View Administeratorにログインすると、各サーバーのステータスが表示されますが、デフォルトですと接続サーバー(Connection Serverのことですね)が赤くなっており、証明書が公的機関のものではないと怒られています。


 
大規模やお堅い企業でセキュリティを意識される場合は、公的機関から証明書を取得して入れるのがベストであると思いますが、小規模な環境等では自社の証明局を利用するか、そのままオレオレ証明書のまま突っ走るかという話になるかと思います。

ただ、最近のHoriozon Clientでは、デフォルトですと公的機関証明書(認証局情報を持っていないいわゆるオレオレ証明書)での接続を行うと、「証明機関が無効または不正です。」と、なんとも冷たいエラーメッセージが出てしまいます。



この場合、Horizon Clientのオプションを変更することで、接続可能になります。
右上のメニューから「SSLを構成」を選択します。


ここで、「サーバーID証明書を検証しない」を選択し、OKをクリックします。


これで、解決はできますが、まあ、公的証明機関とは言わずとも、自社の認証局からの証明書でも入れて解決する方が、このオプションをユーザーごとに都度入れるよりもかっこよいですし、手間も省けますね。

View Connection Serverに、証明書を組み入れるのは少々手間がかかりますので、今回はAD上にWindowsの証明書サーバーがある前提で、楽に証明書の入れ込みを行う方法をお伝えしたいと思います。


まずは、あらかじめActiveDirectory内に証明書サーバーを構築しておいてください。


まずは、View Connection Serverがインストールされたサーバーにログインし、「ファイル名を指定して実行」をクリックします。
実行プログラムで「mmc.exe」を入力し、Enterキーを押します。


MMCコンソールを開いたら「ファイル」→「スナップインの追加と削除」をクリックします。


利用できるスナップインの項目を一番下までスクロールし「証明書」を選択し「追加」をクリックします。


スナップインで管理する証明書:で、「コンピューターアカウント」を選択します。


現在View Connection Serverで操作をしていますので、コンピューターの選択は、「炉k-刈るコンピューター」を選択し、完了をクリックします。


これで、スナップインの登録が完了しました。「完了」をクリックします。


コンソールルートの証明書から「個人」→「証明書」を選択し、現在View Connection Serverで利用されている証明書が存在していることを確認します。

Viewで利用されているかどうかを確認するためには、確認したい証明書を右クリックし「プロパティ」を開き、「フレンドリー名」が「vdm」が記載されているものになります。
※証明書をダブルクリックしても、プロパティは開きません。必ず右クリックからプロパティを引きましょう。


証明書のフォルダを右クリックし「すべてのタスク」→「新しい証明書の要求」をクリックします。


 開始する前のウィザードが表示されますので「次へ」をクリックします。


今回は既存のADに存在する証明書サーバーを利用しますので、そのまま「次へ」をクリックします。


WebサーバーというポリシーはWindowsデフォルトで存在するテンプレートになりますのでこちらを選択し、「この証明書を登録するには情報が不足しています。設定を構成するには、ここをクリックしてください」という文字をクリックします。


いろいろな項目がありますが、無理にすべての情報を入れる必要はありません。
最低限、「共通名」(Common Name)の記述が必要です。
例えば、ユーザーから「viewcon.labo.local」というドメイン名でView Connection Serverにアクセスされる場合は、そのまま「viewcon.labo.local」と入力します。
共通名には、外部からアクセスされるFQDNを記入します。
共通名を入れるだけでも証明書としては一応発行可能ですが、必要に応じて、国や地域名、組織名などは入れておいた方がよいかと思います。




次に、「拡張機能」タブを選択します。
選択後、「キー使用法」を選択し、「CRL証明、データの暗号化、暗号解読のみ、暗号化のみ、キーの承諾、キー証明書の署名」を選択し、「追加>」をクリックします。

さらに、下にスクロールし「基本制限」の項から「この拡張機能を有効にする」、「重要な機能制限拡張機能として登録する」、対象アルゴリズムの項から「この拡張機能を有効にする」にチェックを入れます。


次に「秘密キー」タブをクリックし、「秘密キーをエクスポート可能にする」、「秘密キーのアーカイブを許可する」をチェックを入れ、最後にOKをクリックします。



正常に値が反映される黄色の!で、表示されていた「この証明書を登録するには情報が不足しています。設定を構成するには、ここをクリックしてください」というメッセージが消えていることを確認します。


これで、発行は完了です。「完了」をクリックします。


さて、これで新しい証明書が発行されましたが、これをViewで利用できるようにします。
まずView Connection Serverインストール時に自動的に発行された、デフォルトの証明書のフレンドリー名を変更します。
尚、インストール時に発行された証明書は、発行者がコンピューター名のFQDNと同じになっていますので、それで判断が可能です。


フレンドリー名がvdmになっているので、これを違う名前に変えて「OK」をクリックします。


次に、先ほど発行した証明書を同じように右クリックし「プロパティ」を開きます。


こちらのフレンドリー名を「vdm」にし、OKをクリックします。


これで、作業は完了です。MMCコンソールを閉じて、Viewのサービスを再起動します。

サービス再起動後、View Administratorの画面にログインし、アイコンが緑になっていれば証明書の問題はクリアーになります。


VMwareからは、コマンドラインで証明書を要求する方法がKBとして出ていますが、この方法であれば、マウス操作だけで簡単に証明書を組み込むことができます。

検証環境であってもオールグリーンがお好きな方は、是非やってみてください。