Certifikaatti virhe kun yritän liittyä VMware horizonilla tekemääni vSphere virtuaaliin.

[Jean_Sipulius]

Olen harjoittelumielessä rakentamassa serverifarmia virtuaalikoneista. Minulla on ESXi serveri pyörimässä ja olen ottanut siihen yhteyden vSphere clientillä. Loin clientissä virtuaalikoneen ja pystyn käyttämään sitä itse ohjelman sisällä.

Asensin siten VMware Horizonin ja koitin yhdistää palvelimeen. Yhdistys onnistuu, mutta saan kuvassa näkyvän virheen. Mistä tuon Certifikaatin saa tehtyä? Onko se siirrettävä jokaiseen koneeseen jolla haluaisi yhdistää noihin virtuaalikoneisiin?

 

[telcoM]

VMware Installer on siis tehnyt sinulle jo sertifikaatin, mutta sertifikaatissa mainittu koneennimi on "localhost.localdomain" ja luonnollisesti yhtään mikään ei automaattisesti luota tuollaiseen itse kasattuun sertifikaattiin, jonka nimikin on vain vähän sinne päin. Jokaiselle serverikoneelle pitäisi tehdä oma sertifikaatti, jossa "Myönnetty:"-nimi vastaa tarkasti serverin oikeaa DNS-nimeä (sellaisena kuin serveri verkossasi näkyy), ja korvata nuo VMware Installerin tekemät dummy-sertifikaatit niillä.

Jos sinulla on esimerkiksi Windows Active Directory pystyssä, siihen kuuluu CA (Certification Authority)-systeemi, jolla pystyt helposti luomaan sertifikaatteja. Jotta omat koneesi luottaisivat tämän CA:n tekemiin sertifikaatteihin, CA:n juurisertifikaatti pitäisi saada kaikkiin koneisiin joiden on tarpeen tarkastaa sertifikaatteja. Windows-ympäristössä se onnistuu helposti, ilmeisesti GPO:iden avulla (tai jotain sellaista ne windows-adminit töissä sanoi; minä olen enemmän Linux-säätäjä...).

Tuon jälkimmäisen kuvan "Tiedot" tai "Varmennepolku"-välilehdeltä saa muistaakseni tallennettua sertifikaatin julkisen osan. Jos sinulla on vain yksi tai pari serveriä, etkä jaksa niitä varten pistää pystyyn omaa CA:ta, voisi tietysti olla mahdollista importoida noiden VMware Installerin tekemien sertifikaattien julkiset osat Windowsin luotettujen sertifikaattien listalle, jolloin noista valituksista pitäisi päästä eroon vaikka sertifikaatit eivät olekaan kaikkien taiteen sääntöjen mukaiset. Toki matkassa saattaa olla rajoituksia, esim. se että useampi kuin yksi "localhost.localdomain"-nimelle määritetty sertifikaatti ei välttämättä voi olla yhtä aikaa hyväksyttyjen listalla.

 

[Jean_Sipulius]

VMware Installer on siis tehnyt sinulle jo sertifikaatin, mutta sertifikaatissa mainittu koneennimi on "localhost.localdomain" ja luonnollisesti yhtään mikään ei automaattisesti luota tuollaiseen itse kasattuun sertifikaattiin, jonka nimikin on vain vähän sinne päin. Jokaiselle serverikoneelle pitäisi tehdä oma sertifikaatti, jossa "Myönnetty:"-nimi vastaa tarkasti serverin oikeaa DNS-nimeä (sellaisena kuin serveri verkossasi näkyy), ja korvata nuo VMware Installerin tekemät dummy-sertifikaatit niillä.

Jos sinulla on esimerkiksi Windows Active Directory pystyssä, siihen kuuluu CA (Certification Authority)-systeemi, jolla pystyt helposti luomaan sertifikaatteja. Jotta omat koneesi luottaisivat tämän CA:n tekemiin sertifikaatteihin, CA:n juurisertifikaatti pitäisi saada kaikkiin koneisiin joiden on tarpeen tarkastaa sertifikaatteja. Windows-ympäristössä se onnistuu helposti, ilmeisesti GPO:iden avulla (tai jotain sellaista ne windows-adminit töissä sanoi; minä olen enemmän Linux-säätäjä...).

Tuon jälkimmäisen kuvan "Tiedot" tai "Varmennepolku"-välilehdeltä saa muistaakseni tallennettua sertifikaatin julkisen osan. Jos sinulla on vain yksi tai pari serveriä, etkä jaksa niitä varten pistää pystyyn omaa CA:ta, voisi tietysti olla mahdollista importoida noiden VMware Installerin tekemien sertifikaattien julkiset osat Windowsin luotettujen sertifikaattien listalle, jolloin noista valituksista pitäisi päästä eroon vaikka sertifikaatit eivät olekaan kaikkien taiteen sääntöjen mukaiset. Toki matkassa saattaa olla rajoituksia, esim. se että useampi kuin yksi "localhost.localdomain"-nimelle määritetty sertifikaatti ei välttämättä voi olla yhtä aikaa hyväksyttyjen listalla.

Eiku selviskin.