公钥验证要求在 Oracle VDI Manager 中设置用户目录之前,先在 Active Directory 服务器和 Oracle VDI 主机上进行一些特定的配置。
按照针对 Kerberos 验证说明的配置步骤 1 至步骤 5 执行操作。请参见第 4.5 节 “如何设置 Kerberos 验证”。
为每个 Oracle VDI 主机配置客户机证书。
客户机证书的 Oracle VDI 密钥库位于
/etc/opt/SUNWvda/sslkeystore
中,密码为 changeit
。
为客户机证书生成一个密钥对(私钥/公钥)。
在 Oracle VDI 主机上,以超级用户 (root) 身份登录,并使用 Java keytool 实用程序在 Oracle VDI 密钥库中生成密钥对。
keytool -genkey -keyalg rsa \
-keystore /etc/opt/SUNWvda/sslkeystore \
-storepass changeit -keypass changeit \
-alias your_alias
为客户机证书生成一个证书签名申请 (Certificate Signing Request, CSR)。
在 Oracle VDI 主机上,使用 keytool 生成证书请求。
keytool -certreq \ -keystore /etc/opt/SUNWvda/sslkeystore \ -storepass changeit -keypass changeit \ -aliasyour_alias
\ -filecertreq_file
别名必须与生成密钥对时所使用的别名相同。别名不区分大小写。
创建证书。
将 CSR 文件复制到托管 Active Directory 的服务器。
使用 Internet Explorer 访问
"http://localhost/certsrv"
。
登录。
在“Microsoft 证书服务“页面中,单击“申请证书“。
在“申请证书“页面中,单击“高级证书申请“。
在“高级证书申请“页面中,单击“提交证书申请“(通过使用 base-64 编码的 CMC 或 PKCS #10 文件,或者提交续订申请(通过使用 base-64 编码的 PKCS #7 文件)。
在“提交证书申请或续订申请“页面中,将 CSR 的内容粘贴到“保存的申请“文本框中,或浏览到 CSR 文件。
从“证书模板“列表中选择相应的模板。(建议选择 Administrator)。
单击“提交“。
在“已颁发证书“页面中,确保已选择“Base 64 编码“,然后单击“下载证书链“。
保存证书文件。
在 Oracle VDI 主机上导入证书。
将证书文件复制到 Oracle VDI 主机。
将证书导入 Oracle VDI 密钥库。
keytool -import \ -keystore /etc/opt/SUNWvda/sslkeystore \ -storepass changeit -keypass changeit \ -trustcacerts -filecertificate_file
\ -aliasyour_alias
启动 VDA 服务。
# /opt/SUNWvda/sbin/vda-service restart
在 Oracle VDI Manager 中配置用户目录。
在 Oracle VDI Manager 中,转至“设置“→“公司“。
在“公司“表中,单击“新建“以激活“新建公司“向导。
选择“Active Directory 类型“,然后单击“下一步“。
选择“公钥验证“。
输入 Active Directory 的域。
例如 my.company.com
。
后续步骤将显示 Active Directory 服务器的 SSL 证书。单击“下一步“以永久接受证书。
在完成配置之前,单击“下一步“查看您所做的选择。