4.6. 如何设置公钥验证

公钥验证要求在 Oracle VDI Manager 中设置用户目录之前,先在 Active Directory 服务器和 Oracle VDI 主机上进行一些特定的配置。

步骤

  1. 按照针对 Kerberos 验证说明的配置步骤 1 至步骤 5 执行操作。请参见第 4.5 节 “如何设置 Kerberos 验证”

  2. 为每个 Oracle VDI 主机配置客户机证书。

    客户机证书的 Oracle VDI 密钥库位于 /etc/opt/SUNWvda/sslkeystore 中,密码为 changeit

    1. 为客户机证书生成一个密钥对(私钥/公钥)。

      在 Oracle VDI 主机上,以超级用户 (root) 身份登录,并使用 Java keytool 实用程序在 Oracle VDI 密钥库中生成密钥对。

      keytool -genkey -keyalg rsa \
      -keystore /etc/opt/SUNWvda/sslkeystore \
      -storepass changeit -keypass changeit \
      -alias your_alias
      
    2. 为客户机证书生成一个证书签名申请 (Certificate Signing Request, CSR)。

      在 Oracle VDI 主机上,使用 keytool 生成证书请求。

      keytool -certreq \
      -keystore /etc/opt/SUNWvda/sslkeystore \
      -storepass changeit -keypass changeit \
      -alias your_alias \
      -file certreq_file
      

      别名必须与生成密钥对时所使用的别名相同。别名不区分大小写。

    3. 创建证书。

      1. 将 CSR 文件复制到托管 Active Directory 的服务器。

      2. 使用 Internet Explorer 访问 "http://localhost/certsrv"

      3. 登录。

      4. 在“Microsoft 证书服务“页面中,单击“申请证书“

      5. “申请证书“页面中,单击“高级证书申请“

      6. “高级证书申请“页面中,单击“提交证书申请“(通过使用 base-64 编码的 CMC 或 PKCS #10 文件,或者提交续订申请(通过使用 base-64 编码的 PKCS #7 文件)。

      7. “提交证书申请或续订申请“页面中,将 CSR 的内容粘贴到“保存的申请“文本框中,或浏览到 CSR 文件。

      8. “证书模板“列表中选择相应的模板。(建议选择 Administrator)。

      9. 单击“提交“

      10. “已颁发证书“页面中,确保已选择“Base 64 编码“,然后单击“下载证书链“

      11. 保存证书文件。

    4. 在 Oracle VDI 主机上导入证书。

      1. 将证书文件复制到 Oracle VDI 主机。

      2. 将证书导入 Oracle VDI 密钥库。

        keytool -import \
        -keystore /etc/opt/SUNWvda/sslkeystore \
        -storepass changeit -keypass changeit \
        -trustcacerts -file certificate_file \
        -alias your_alias
        
  3. 启动 VDA 服务。

    # /opt/SUNWvda/sbin/vda-service restart
  4. 在 Oracle VDI Manager 中配置用户目录。

    1. 在 Oracle VDI Manager 中,转至“设置““公司“

    2. 在“公司“表中,单击“新建“以激活“新建公司“向导。

    3. 选择“Active Directory 类型“,然后单击“下一步“

    4. 选择“公钥验证“

    5. 输入 Active Directory 的域。

      例如 my.company.com

    6. 后续步骤将显示 Active Directory 服务器的 SSL 证书。单击“下一步“以永久接受证书。

    7. 在完成配置之前,单击“下一步“查看您所做的选择。