VMware Horizon에서 SSL 인증서 문제 해결 (2082408)

증상

참고: 이 정보는 Security Server에도 적합하다.

  • Horizon Administrator/View Admin Dashboard에서 SSL 인증서와 관련된 경고 메시지를 수신하는 경우
  • Horizon Administrator/View Admin 페이지를 열 수 없음
  • Connection Server가 대시보드에 빨간색 경고를 표시함
  • Horizon Client/View Client를 사용하여 연결하면 인증서가 신뢰할 수 없다는 오류 메시지가 반환됨

목적

이 문서는 문제 해결 단계를 제공하고 SSL 인증서와 관련된 일반적인 문제를 식별한다.

해결

일반적인 SSL 인증서 구성 문제

개인 키 구성 확인

개인 키를 내보낼 수 없는 경우 인증서 문제가 발생한다. 이에 대한 유일한 예외는 설치와 함께 제공되는 기본 인증서를 사용할 때입니다.

개인 키가 내보낼 수 있는 것으로 표시되었는지 확인하려면:
키를 내보낼 수 없는 경우 개인 키를 내보낼 수 있는 것으로 표시하도록 다시 인증서를 가져오십시오.

자세한 내용은 VMware View Installation guideImport a Signed Server Certificate into a Windows Certificate Store section 섹션을 참조하십시오.

  1. Connection Server에서 Start를 누르고 mmc를 입력한 다음 OK를 누른다.
  2. File > Add/Remove Snap-in을 누른다.
  3. Certificates를 누르고 Add를 누른다.
  4. Computer Account를 누르고 Next를 누른다.
  5. Local Computer를 누르고 Finish > OK를 누른다.
  6. Certificates(Local Computer)를 확장한다.
  7. Personal을 확장한다.
  8. Certificates를 확장한다.
  9. 사용 중인 Certificates를 식별한다.
  10. Certificates를 두 번 누른다. General 페이지에서 You have a private key that corresponds to this certificate 메시지를 볼 수 있다.
  11. Details 탭을 누르고 Copy to File을 누른다.
  12. 팝업 창에서 Next를 누른다.
  13. 다음 페이지에 두 가지 옵션이 표시된다:
    만약 Yes, export the private Key 가 회색처리되었으면, Private Key는 내보낼 수 없다.
  14. 예, 개인 키를 내보내는 경우 개인 키를 내보낼 수 없는 경우
  • Yes, export the private key
  • No, do not export the private key

Friendly Name이 잘못 됨

Friendly Name은 대소문자를 구분하므로 vdm으로 설정해야 한다.

이름을 확인하려면:

Friendly Name이 잘못되었거나 구성되지 않은 경우 인증서를 마우스 오른쪽 버튼으로 눌러 이름을 편집하고 친숙한 이름을 올바르게 구성한다. OK를 눌러 확인하고 서비스를 다시 시작하여 새 구성을 사용한다.

참고: 인증서를 변경할 때는 하나의 인증서만 vdm 이름을 가져야 하므로 올바른 인증서만 vdm 이름을 가지고 있는지 확인한다.

  1. Connection Server에서 Start를 누르고 mmc를 입력한 다음 OK를 누른다.
  2. File > Add/Remove Snap-in을 누른다.
  3. Certificates를 누르고 Add를 누른다.
  4. Computer Account를 누르고 Next를 누른다.
  5. Local Computer를 누르고 Finish > OK를 누른다.
  6. Certificates(Local Computer)를 확장한다.
  7. Personal을 확장한다.
  8. Certificates를 확장한다.
  9. 사용 중인 Certificates를 식별한다.
  10. Friendly Name 컬럼을 찾는다.
  11. Friendly Name이 vdm(모두 소문자)인지 확인한다.

잘못 구성된 와일드카드 인증서

와일드카드 인증서는 특별한 구성이 필요하다. abc.def.mydomain.com에 와일드카드를 설정하는 경우 와일드카드 인증서는 *.*.mydomain.com이어야 한다. 마찬가지로, 만약 당신이 abc.mydomain.com을 가지고 있다면, 당신의 와일드카드 인증서는 *.mydomain.com이어야 한다. 모든 접두사에 와일드카드 기호를 포함해야 한다.

인증서가 잘못 생성된 경우 인증서 공급자에게 문의하여 구성을 수정한다.

Horizon Connection Server에 대한 인증서 템플릿 생성

  1. Certificate Authority (CA) 서버에서 Start를 누르고 MMC를 입력한 다음 OK를 누른다.
  2. File > Add/Remove Snap-In을 누른다.
  3. Certificate Template를 클릭하고, Add를 누른다.
  4. Certificate Template 옵션을 확장.
  5. Certificate Template 목록에서 Web Server template에서 마우스 오른쪽 버튼으로 누르고 Duplicate Template 옵션을 선택하면 새 인증서 템플릿 생성 창이 열린다.
  6. Compatibility 탭에서 사용자 환경에 따라 서버 호환성 구성
  7. General 탭에서 새 Certificate Template에 기본 이름이 지정
  8. Request handling 탭에서 “Allow private key to be exported.” 옵션을 Enable한다.
  9. Security 탭에서 사용자 권한에 대해 “Enroll”을 선택한다.
  10. ‘OK’를 선택하여 템플릿 만들기
  11. CA 서버에서 Certificate Authority 열기
  12. 도메인 이름을 확장하고 Certificate Template로 이동
  13. Certificate Template >에서 마우스 오른쪽 버튼을 클릭하여 New > “New Certificate Template to Issue”를 선택한다.
  14. 10단계에서 만든 새 인증서 템플릿을 선택하십시오.

인증서 템플릿 만들기에 대한 자세한 내용은 Microsoft 기술 자료 문서 Creating Certificate Templates를 참조한다.

참고: 앞의 링크는 2020년 6월 7일을 기준으로 정확했다. 링크가 손상된 경우 피드백을 제공하면, VMware 직원이 링크를 업데이트한다.

SSL 인증서 생성 또는 갱신

SSL 구성 문제 해결

  1. 인증서의 Common Name  또는 Subject Alternative Name이 올바른지 확인한다. 이름이 올바르지 않으면 인증서 공급자에게 문의하여 구성을 수정한다.
    인증서는 공통 이름을 가지며 주체 대체 이름을 가질 수도 있다. 인증서는 나열된 모든 이름에 유효하다. 이름은 연결할 클라이언트 또는 브라우저에서 사용자가 입력하는 URL과 일치해야 하며, 인증서가 설치된 연결 서버 또는 보안 서버에 구성된 외부 URL과도 일치해야 한다.
  2. 새 인증서를 요청할 때 윈도우즈 서버 2003 인증서 템플릿 옵션을 사용하는지 확인한다.
    내부 Active Directory 인증서 작성에서 인증서를 요청하는 경우 윈도우즈 2003 인증서 템플릿을 사용한다. 외부 소스에 인증을 요청하거나 윈도우즈 이외의 장치에서 내부 인증서를 받을 경우 certreq 명령을 사용할 것을 권장한다. 자세한 내용은 Generating and importing a signed SSL certificate into VMware Horizon View 5.1/5.2/5.3 using Microsoft Certreq (2032400)를 참조한다.
  3. 전체 인증서 체인이 설치되어 있는지 확인하십시오.
    외부 또는 내부 소스에서 제공하는 사용자 정의 인증서는 일반적으로 다중 부품 엔티티다. 호스트 인증서(사용자가 연결에 사용할 URL의 이름을 가진 인증서) 외에도 루트와 중간 인증서가 있을 수 있다. 유효하려면 전체 인증서 체인을 연결 서버 또는 보안 서버에서 사용할 수 있어야 한다. 마이크로소프트 MMC에서 인증서를 열면 인증서 체인을 볼 수 있다. 공통 인증 기관의 중간 및 루트 인증서는 이미 윈도우즈 시스템에 설치되어 있다. 내부 Active Directory 서버의 인증서인 경우 연결 서버가 도메인에 가입되면 루트 인증서가 자동으로 설치된다.
  4. 클라이언트 장치에 루트 및 중간 인증서가 설치되어 있는지 확인한다.
    Active Directory 도메인의 내부 인증서가 사용 중인 경우 클라이언트가 Active Directory 도메인에 연결되어 있는지 확인하여 루트 인증서를 설치한다. 장치가 도메인의 구성원이 아니거나 제로 클라이언트 또는 리눅스 클라이언트인 경우 루트 인증서를 수동으로 설치해야 한다.
  5. 대시보드에 서버 인증서를 확인할 수 없는 경우 Administration dashboard in VMware Horizon View 5.1/5.2/5.3 reports the error: Server’s certificate cannot be checked (2000063)를 참조한다.
  6. 프로비저닝하는 동안 지문 오류가 발생하면 Provisioning VMware Horizon View linked clone pools fail and report the error: Validation fails due to null thumbprint (2071023)를 참조한다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

You May Also Like
Read More

Horizon 2106 구성 최대값

Horizon 2106 릴리즈되면서 변경사항이 있어서 찾아 보았습니다. 하나의 POD에서 최대 20000 세션까지 가능해졌습니다. https://configmax.vmware.com/guest?vmwareproduct=Horizon&release=Horizon%202106&categories=46-0