什么是數(shù)字證書?

　　數(shù)字證書是在Internet上表示用戶身份的一種數(shù)據(jù)，它包含公鑰和私鑰，通過加密使得用戶之間的身份得以確認(rèn)，并保證數(shù)據(jù)在傳輸過程中的一致性，防止被他人篡改。

　　由于數(shù)字證書的安全特性，所以其廣泛應(yīng)用于各種對(duì)安全性要求較高的應(yīng)用中，比如常用的網(wǎng)上銀行，企業(yè)郵箱等等。

　　數(shù)字證書的頒發(fā)可以來自第三方頒發(fā)機(jī)構(gòu)，比如Verisign，這些機(jī)構(gòu)本身的信任關(guān)系就內(nèi)嵌在操作系統(tǒng)中，所以當(dāng)我們打開那些由這些機(jī)構(gòu)頒發(fā)的證書的鏈接時(shí)，系統(tǒng)會(huì)自動(dòng)進(jìn)行驗(yàn)證。當(dāng)然，在企業(yè)內(nèi)部，數(shù)字證書也可以由企業(yè)內(nèi)部的CA進(jìn)行頒發(fā)，雖然在Internet上企業(yè)內(nèi)部的根證書沒有受到信任，但是在企業(yè)內(nèi)部，所有的計(jì)算機(jī)對(duì)內(nèi)部CA是信任的。

　　為什么要在VMware View中進(jìn)行證書管理

　　默認(rèn)情況下，VMware View的Security Server、Standard/Replica Server都是使用默認(rèn)的由服務(wù)器本身自簽發(fā)的證書，它不被其它系統(tǒng)信任，無法保證連接時(shí)數(shù)據(jù)傳輸?shù)囊恢滦?。?dāng)客戶端連接到包含不信任證書的應(yīng)用時(shí)，系統(tǒng)都會(huì)提示警告，顯示該證書不可信，所以即使信息在中間環(huán)節(jié)被篡改，用戶也無法識(shí)別。

　　企業(yè)生產(chǎn)環(huán)境需要做的是將服務(wù)器中默認(rèn)的證書替換成企業(yè)根CA或者外部公共CA簽發(fā)的可信任證書。這樣做的目的就是保證數(shù)據(jù)的安全和一致性，并得到所有客戶端的信任。

　　如何在VMware View中進(jìn)行證書管理

　　進(jìn)行證書的管理，整個(gè)證書管理主要集中在View Security Server、View Standard Server和View Replica Server中，證書的類型為Web證書。

　　在VMware View 5.0中，一個(gè)巨大的改進(jìn)就是在默認(rèn)情況下，view客戶端會(huì)對(duì)服務(wù)器端證書的可信任性進(jìn)行嚴(yán)格的檢測(cè)，特別是在像iPad這樣的平板電腦上，如果服務(wù)器端的證書不被信任，將無法連接到虛擬桌面。

　　證書的管理步驟：

　　一、創(chuàng)建keystore，生成證書請(qǐng)求

　　Keytool命令存在于目錄/Program Files/VMware/VMware View/Server/jre/bin中，默認(rèn)情況下它不在系統(tǒng)路徑列表中，為了方便執(zhí)行命令，可以將其加入到系統(tǒng)變量path的值中。

　　在View的服務(wù)器中創(chuàng)建keystore：keystore是存儲(chǔ)密鑰和證書的數(shù)據(jù)庫(kù)，證書的請(qǐng)求以及頒發(fā)的證書都保存其中。具體的執(zhí)行命令為：keytool -genkey -keyalg "RSA" -keystore -storetype pkcs12 -validity ，其中<>中的值可以由用戶自己定義，keys.p12是keystore的名字，validity time是證書的有效時(shí)間，單位是天。命令執(zhí)行時(shí)系統(tǒng)會(huì)詢問相關(guān)的證書問題，需要注意的是在輸入名字時(shí)，一定要輸入客戶端連接服務(wù)器用的FQDN名，具體如圖1，完成后會(huì)生成一個(gè).p12的文件，這就是keystore。

　　圖1：生成keystore

　　在keystore中生成證書請(qǐng)求：命令keytool -certreq -keyalg "RSA" -file -keystore -storetype pkcs12 -storepass 。同樣，<>中的值由用戶定義，keystore的名稱是上一步生成的keystore的文件名。具體如圖2，完后會(huì)生成一個(gè).csr的文件，將其用記事本打開，拷貝其中的內(nèi)容，用于申請(qǐng)證書。

　　圖2：生成證書請(qǐng)求

　　二、在企業(yè)根CA或者第三方的公共CA申請(qǐng)證書

　　申請(qǐng)證書的過程大致相同，這里以安裝有Windows的企業(yè)根CA為例，簡(jiǎn)單介紹生成的過程。用IE打開根CA的證書申請(qǐng)頁(yè)面(http://CA服務(wù)器名稱/certsrv)，在頁(yè)面中點(diǎn)擊“申請(qǐng)一個(gè)證書”>“高級(jí)證書申請(qǐng)”>“提交一個(gè)由base64編碼的CMC或者PKS#10文件的證書請(qǐng)求”，在接下來的頁(yè)面中將上一步在記事本中拷貝的內(nèi)容粘貼在base64編碼的證書申請(qǐng)框中，然后證書類型選擇web server，具體如圖3。點(diǎn)擊確定即完成證書申請(qǐng)的提交。

　　提交完成后，CA的管理員會(huì)生成證書，就可以在網(wǎng)頁(yè)上下載證書了。

　　圖3：證書申請(qǐng)的提交

　　三、將證書導(dǎo)入到keystore

　　如果下載的證書是PKS#12格式(.cer)的話，需要將其轉(zhuǎn)換成PKS#7格式，轉(zhuǎn)換的方式很簡(jiǎn)單，打開證書文件>“Detail”頁(yè)面>“拷貝到文件”>下一步>選擇”Cryptographic message Syntax Standard-PKCS #7 Certificates(.P8B)”，并勾選“Include all certificates in the certification path if possible”>下一步,輸入新證書文件的名稱>結(jié)束(圖4)。

　　圖4：證書的轉(zhuǎn)換

　　使用下面命令將簽發(fā)的證書導(dǎo)入到keystore中：keytool -import -keystore -storetype pkcs12 -storepass -keyalg "RSA" -trustcacerts -file ，其中keys.P12是keystore的名稱，certificate.p7b是剛才生成的證書的名稱。

　　四、在View的服務(wù)器中修改配置替換證書

　　將上一步的keystore文件拷貝到View Security/Standard/Replica Server的存放證書配置的目錄中，默認(rèn)情況下目錄為program files\VMware\VMware View\Server\sslgateway\conf\。

　　將keystore和其密碼寫入配置文件，配置文件為locked.properties，如果這個(gè)文件不存在，可以手工創(chuàng)建一個(gè)。然后用記事本打開，在其中鍵入兩行，分別為：

　　Keyfile=keys.p12

　　Keypass=password

　　實(shí)際中keys.p12代表keystore文件的名稱，password是keystore的密碼。

　　接下來只需要重新啟動(dòng)服務(wù)器的VMware View Connection Server服務(wù)，新證書就可以使用了，現(xiàn)在所有的用戶終端可以自動(dòng)信任其證書，這樣就可以有一個(gè)安全的VMware View的桌面虛擬化證書環(huán)境了。