如何在VMwareView中进行证书管理

　　数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。

　　我们经常使用的网上银行，企业邮箱等等在使用某个操作时候需要提供有效的证书，你是否有；留意过呢？

　　什么是数字证书?

　　我们所说的数字证书是在Internet上表示用户身份的一种数据，包含公钥和私钥两种，通过加密技术可以使用户身份得到验证，并保证数据在传输过程中的一致性，防止恶意篡改。

　　由于数字证书具有安全特性，被广泛应用于各种对安全性要求较高的应用中，比如常用的网上银行，企业邮箱，相信细心的你肯定会有留意过的！

　　我们知道数字证书的颁发可以由来自第三方颁发机构，比如Verisign，这些机构本身的信任关系是内嵌在操作系统中，所以当我们打开那些由这些机构颁发的证书的链接时，系统会自动进行验证。当然，在企业内部，数字证书也可以由企业内部的CA进行颁发，虽然在Internet上企业内部的根证书没有受到信任，但是在企业内部，所有的计算机对内部CA是信任的。

　　为什么要在Vmware View中进行证书管理

　　默认VMwareView的SecurityServer、Standard/ReplicaServer都是使用默认的由服务器本身自签发的证书，因为它是不被其它系统信任，所以是无法保证连接时数据传输的一致性。当客户端连接到包含不信任证书的应用时，系统都会提示警告，显示该证书不可信，即使信息在中间环节被篡改，用户也无法识别，这个安全性还是挺高的。

　　企业生产环境中需要做的是将服务器中默认的证书替换成企业根CA或者外部公共CA签发的可信任证书。为什么要这样做呢？其实这样做的目的就是保证数据的安全和一致性，让所有的客户端得到信任！

　　VMwareView中进行证书管理的方法

　　证书管理主要是集中在ViewSecurityServer、ViewStandardServer和ViewReplicaServer中，需要清楚明白的是证书的类型为Web证书。

　　在VMwareView5.0中，变化最大的就是在默认情况下，view客户端会对服务器端证书的可信任性进行严格的检测，特别是在像iPad这样的平板电脑上，如果服务器端的证书不被信任，那么是无法连接到虚拟桌面，这一点明白的！

　　看看证书的管理步骤是怎样的：

　　一、创建keystore，目的是要生成证书请求

　　Keytool命令存在于目录/ProgramFiles/VMware/VMwareView/Server/jre/bin中，默认情况下它不在系统路径列表中，但是为了方便执行命令，用户是可以将其加入到系统变量path的值中。

　　在View的服务器中创建keystore：keystore是存储密钥和证书的数据库，证书的请求以及颁发的证书都保存其中。具体的执行命令为：keytool-genkey-keyalg"RSA"-keystore-storetypepkcs12-validity，其中<>中的值可以由用户自己定义，keys.p12是keystore的名字，validitytime是证书的有效时间，单位是天。当命令执行时系统会询问相关的证书问题，需要注意的是在输入名字时，一定要输入客户端连接服务器用的FQDN名，我们看到下图所示，完成后会生成一个.p12的文件，这就是keystore。

　  生成keystore

　　在keystore中生成证书请求：命令keytool-certreq-keyalg"RSA"-file-keystore-storetypepkcs12-storepass。同样，<>中的值由用户定义，keystore的名称是上一步生成的keystore的文件名。具体看到下图：完成后就会生成一个.csr的文件，用记事本打开，我们拷贝其中的内容，用于申请证书。

　　生成证书请求

　　二、在企业根CA或者第三方的公共CA申请证书

　　一般情况下，申请证书的过程都是相同的，在这里以安装有Windows的企业根CA为例，为大家简单介绍生成的过程。用IE浏览器打开根CA的证书申请页面地址是(http://CA服务器名称/certsrv)，在页面中点击“申请一个证书”>“高级证书申请”>“提交一个由base64编码的CMC或者PKS#10文件的证书请求”，在接下来的页面中将在记事本中拷贝的内容粘贴在base64编码的证书申请框中，然后证书类型选择webserver，具体如图3。点击确定即完成证书申请的提交。

　　当提交完成后，CA的管理员会生成证书，就可以在网页上下载证书了。

　　证书申请的提交

　　三、怎样将证书导入到keystore

　　如果下载的证书是PKS#12格式(.cer)的话，那么是需要将其转换成PKS#7格式，转换的方式很简单，依次打开证书文件>“Detail”页面>“拷贝到文件”>下一步>选择”CryptographicmessageSyntaxStandard-PKCS#7Certificates(.P8B)”，并勾选“Includeall certificates in the certification path if possible”>下一步,输入新证书文件的名称>结束，如下图：

　　证书的转换

　　用命令将签发的证书导入到keystore中：keytool-import-keystore-storetypepkcs12-storepass-keyalg"RSA"-trustcacerts-file，其中keys.P12是keystore的名称，certificate.p7b就是刚才生成的证书的名称。

　　四、如何在View的服务器中修改配置替换证书

　　我们将上一步的keystore文件拷贝到ViewSecurity/Standard/ReplicaServer的存放证书配置的目录中，默认情况下目录为programfiles\\VMware\\VMwareView\\Server\\sslgateway\\conf\\。

　　将keystore和密码写入配置文件，配置文件为locked.properties，如果这个文件不存在，可以手工创建一个。然后用记事本打开，在其中键入两行，分别为：

　　Keyfile=keys.p12

　　Keypass=password

　　我们看看具体的意义是keys.p12代表keystore文件的名称，password是keystore的密码。

　　重新启动服务器的VMwareViewConnectionServer服务，新证书就可以使用了，现在所有的用户终端可以自动信任其证书，这样就可以有一个安全的VMwareView的桌面虚拟化证书环境了。

     结语：

     进行VMware证书管理目的是让数据的安全得到更好的保密，并且是要得到所有客户端的信任，更好地服务于客户，让客户得到想要的结果，最终实现一个共赢的效果！