Bu makalemde Horizon güvenilmeyen-geçersiz SSL sertifikasını nasıl yeniden düzenleyeceğinizi göstereceğim.
VMware Horizon Administration konsolundan, “Dashboard” sayfasının sağ üst köşede yer alan “System Healts” kısmında size bilgi veren bir kare yer almaktadır. Buradan altyapınızdaki sorunlarını tespit edebiliriz. Connection Server’larda kırmızı bir karemiz var ve bununla ilgili güvenilmeyen sertifika hatası yer almaktadır. VMware sertifikanın güvenilmez olduğunu ve bu sunucuya geçerli (kendinden imzalı olmayan) bir SSL yüklemeniz gerektiğini söylüyor fakat yapımızdaki diğer Horizon Replicate Connection Server ile aralarında herhangi bir replikasyon sorunu olmadığını da görebilirsiniz.
Connection Server ‘daki SSL sertifikasının güvenilmeyen/geçersiz sertifika kullanımına devam edilmesi durumunda;
- Horizon Administrator / View Admin Dashboard’da SSL sertifikalarıyla ilgili uyarı mesajları alırsınız.
- Horizon Administrator / View Admin sayfasını açamazsınız.
- Kendinden imzalı bir TLS sunucu sertifikası, Horizon Client interference ve gizli dinleme tehditlerine karşı yeterli koruma sağlayamaz. Masaüstlerinizi bu tehditlerden korumak için, oluşturulan kendinden imzalı sertifikayı değiştirmeniz gerekir.
- Bir Horizon Client / View Client ile bağlantı kurulması durumunda sertifikanın güvenilir olmadığını belirten bir hata mesajı ile karşılaşabilirsiniz. Bu durumlar Horizon Security Server için de benzerdir.
Bu sorunu gidermek için; iki farklı yöntem kullanabilirsiniz; birinci yöntem ticari bir public sertifika kullanmak yada Active Directory ortamımdaki CA sunucusundan (internal root yada intermediate certificate) yeni sertifika talep etmektir. Biz bu çalışmamızda ikinci yöntemi değerlendireceğiz.
VMware, public bir CA gibi geçerli bir Sertifika Yetkilisi (CA) tarafından verilen geçerli SSL sertifikalarını kullanmanızı önerir. VMware Horizon Connection Server dağıtımınızı planladığınızda, etki alanına dahil olmayan herhangi bir cihazı kullanıp kullanmayacağınızı bilmelisiniz ve bazı mobil cihazlar olacaksa; View masaüstlerinize bağlanmak için kullandığınız etki alanı olmayan tüm bilgisayarların CA Kök sertifikasını Trusted Root Certification Authorities (Güvenilen Kök Sertifika Yetkilileri) deposuna içe aktarmasını gerekecektir.
Horizon Connection Server üzerinde yeni bir sertifika talebinden bulunmak için aşağıdaki adımları sırasıyla yapmanız gerekecektir.
Horizon Connection Server üzerinde “Microsoft Management Console” uygulamasını çalıştırınız.
Açılan Management Console’da sırasıyla; “File” -> “Add/Remove Snap-in…” butonlarını seçiniz.
“Add or Remove Snap-ins” penceresinin “Available snap-in” bölümüden “Certificates” seçeneğini “Add >” butonu ile “Selected snap-ins” bölümüne aktarınız.
Açılan “Certificates snap-in” penceresinde “Computer account” seçilir ve ardından “Next” butonuna basılır.
“Select Computer” adımında “Local Computer: (the computer the console is running on)” seçilir ve ardından “Finish” butonuna basılır.
“Console Root” kısmında “Certificates (local Computer)” seçeneği eklendikten sonra “OK” butonuna basılır.
Açılan “Certificates (Local Computers)” konsolundan “Personel” dizinine gidilir ve bu alanda mause sol buton seçilir gelen seçeneklerden sertifika isteğinde bulunmak için sırasıyla “All Task” ve “Request New Certificate…” seçenekleri seçilir.
“Before You Begin” adımında “Next” ile yeni sertifika istek sihirbazı başlatılır.
“Select Certificate Enrollment Policy” adımında “Active Directory Enrollment Policy” seçilir ve ardından “Next” butonu ile bir sonraki adıma geçilir.
“Request Certificates” adımında “Computer” seçilir ve ardından “Properties” butonuna basılır.
Açılan “Certificate Properties” penceresindeki “General” sekmesinde “Frendly name” bilgisi olarak “vdm” bilgisi tanımlanır. Bu, Horizon View için önemli bir noktadır, frendly name “vdm” olmalıdır.
“Subject” sekmesinde, “subject name” kısmına domain bilgisi “Full DN” olarak tanımlanır ve “Add” butonuna basılır.
“Private Key” sekmesinde oluşturulacak olan sertifikanın “key size” değeri “2048” ve private key’in dış ortama aktarılması için “Make private key exportable” kutucuğu seçilir. Yapılan bu değişiklerin kaydedilmesi için “OK” butonuna basınız.
Yapılan bu adımlardan sonra sertifika isteğiniz başlatmak için “Enroll” butonuna basılır.
Sertifika isteği başarılı olarak CA sunucusuna iletildiğinde aşağıdaki ekrandaki “Status” kısmında “Succeeded” bilgisi yer alacaktır.
Sertifika oluşturma işlemi tamamlandıktan sonra; “Personel” – > “Certificate” dizini altında Enrollment Server için geçerli bir SSL oluşacaktır.
Oluşturduğumuz sertifika ile VMware Horizon Connection Server kurulum sihirbazı tarafından oluşturulan eski ssl sertifikasını “friendly name” bilgileri aynı olması, ssl sorunun devam etmesine neden olacaktır. Bu aşamada eski sertifikasını silebilir yada “friendly name” bilgisini değiştirebilirsiniz.
Yapılan bu değişiklikten sonra oluştduğumuz ssl sertifikasının servisler tarafından kullanılabilmesi için işletim sisteminizi yeniden başlatabilir yada “VMware Horizon View Connection Server (wsbroker)” servisini yeniden başlatınız. İşletim sistemi veya Connection Server açıldıktan sonra sertifika hatasının giderildiğini kontrol edebilirsiniz.