每个人都可以，
拥有SSL证书

在使用Windows Server证书服务（AD CS）为VMware Horizon Connection Server或Composer颁发SSL证书后，许多管理员会遇到一个令人沮丧的现象：尽管证书已由内部CA成功签发并导入到Horizon服务器，客户端在访问Web界面时仍然提示“证书不受信任”。这种“信任危机”不仅影响用户体验，更可能阻碍部署进度，引发对整体安全架构的质疑。本文旨在深入剖析这一常见问题的根源，并提供一套系统性的技术解决方案。

问题溯源：信任链的断裂

核心问题在于客户端浏览器或Horizon View客户端无法建立从终端实体证书到其所信任的根证书之间的完整信任链。这通常并非证书本身无效，而是其信任路径未能正确传递或验证。导致这一问题的因素是多方面的：

1. 客户端缺乏CA根证书信任：最常见的情况是，客户端设备（用户PC、瘦客户端等）没有在其“受信任的根证书颁发机构”存储中预装您的私有Windows CA的根证书。默认情况下，只有公共CA的根证书被操作系统和浏览器广泛信任。对于内部CA，其根证书需要通过某种机制（如组策略、手动安装）分发到所有客户端。

2. 服务器未提供完整的证书链：Connection Server或Composer在SSL握手过程中，可能仅向客户端发送了其自身的服务器证书，而未能包含所有必要的中间CA证书。如果客户端仅信任CA根证书，但中间CA证书缺失，它将无法验证从服务器证书到根证书的路径。虽然Windows服务器通常会智能地包含链，但在某些配置下，或当证书链复杂时，可能会出现遗漏。

3. Horizon服务器自身不信任其CA根证书：听起来有些反直觉，但Connection Server或Composer本身也需要信任颁发其自身证书的CA根证书。当服务器尝试建立内部连接（如到Active Directory、SQL数据库或其他Horizon组件）或在某些内部处理过程中验证其自己的证书时，如果其本地计算机的“受信任的根证书颁发机构”存储中缺少该CA根证书，可能会导致内部错误或行为异常，尽管这通常不是导致客户端“不受信任”提示的直接原因，但却是良好实践的一部分。

4. 证书模板配置不当：在AD CS中申请证书时，如果使用的证书模板缺少必要的扩展，例如“服务器身份验证”（Server Authentication）的增强型密钥用法（EKU），或者未包含所有必需的主题备用名称（SAN），客户端将拒绝信任。VMware Horizon服务器通常通过其FQDN、NetBIOS名称以及可能的负载均衡器名称进行访问，因此SAN字段的完整性至关重要。

5. 私钥权限或完整性问题：导入证书时，如果私钥权限不足导致Horizon服务无法访问，或者导入过程中私钥未能正确绑定，都将导致证书无法正常工作。

系统性解决方案与部署要点

针对上述问题，以下是详细的解决步骤和最佳实践：

1. 在客户端部署CA根证书：

   • 域环境（推荐）：通过组策略对象（GPO）将您的Windows CA根证书推送到所有域内计算机的“受信任的根证书颁发机构”存储。这是最自动化和可靠的方法。在GPMC中，导航至“计算机配置” -> “策略” -> “Windows 设置” -> “安全设置” -> “公钥策略” -> “受信任的根证书颁发机构”，右键导入您的CA根证书。
   • 非域环境/手动部署：用户需要手动将CA根证书导入到其本地计算机的“受信任的根证书颁发机构”存储中。这通常通过CA的Web注册界面下载或直接分发证书文件（.cer）完成。

2. 确保Horizon服务器提供完整的证书链：

   • 证书导出与导入：在颁发证书的Windows CA服务器上，或者在安装了证书的源服务器上，当您导出证书时，务必选择“包含证书路径中的所有证书（如果可能）”选项，将其导出为.PFX文件（包含私钥）。
   • 导入到Connection Server/Composer：将此包含完整链的.PFX文件导入到Horizon服务器的“本地计算机” -> “个人” -> “证书”存储中。重要的是，导入后，证书的“证书路径”选项卡应显示完整的链条，从您的服务器证书一直到根CA证书。

3. 为Horizon服务器配置正确的证书模板：

   • 创建自定义模板：在AD CS上，复制“Web 服务器”模板创建一个新模板。确保以下关键设置：
     • 扩展：包含“服务器身份验证”EKU。如果需要客户端身份验证，也应包含。
     • 主题名称：通常选择“在请求中提供”，并确保“生成目录信息”和“DNS名称”等选项允许请求者指定所有必要的主题备用名称（SANs）。
     • 安全：确保Horizon服务器的服务账户或相关管理用户组拥有“读取”、“注册”和“自动注册”权限。
   • 证书请求：通过MMC的“证书”管理单元（为本地计算机）生成CSR或直接通过证书注册向导请求证书时，务必在SAN字段中包含Connection Server的所有FQDN、NetBIOS名称以及任何负载均衡器或NAT地址。

4. 正确导入到Horizon服务器并设置友好名称：

   • 导入.PFX文件后，在MMC的“证书”管理单元中（为本地计算机），找到新导入的证书，右键选择“属性”，在“常规”选项卡中，将其“友好名称”设置为vdm（小写）。这是VMware Horizon Connection Server识别并使用特定SSL证书的关键标识。
   • 确保该证书的私钥具有正确的权限，以便Horizon服务能够访问。通常，默认的导入过程会处理好，但如果遇到问题，可能需要手动为“Network Service”或相关Horizon服务账户添加读取私钥的权限。

5. 重启VMware Horizon服务：

   • 在Connection Server或Composer上，重启VMware Horizon View Connection Server服务（或Composer服务）以使新的证书生效。

推广介绍：简化多域名证书管理

对于需要更灵活或面向公共访问的SSL证书需求，特别是涉及多个域名或子域的场景，私有CA的部署和管理复杂度有时会增加。在这种情况下，考虑使用公共SSL证书服务可以极大地简化流程。例如，lcjmSSL可免费申请多域名SSL证书，为您的Web应用或特定服务提供快速、便捷且被全球浏览器信任的SSL解决方案，无需复杂的内部CA基础设施维护。

总结

Windows CA与VMware Horizon Connection Server之间的信任问题，本质上是SSL信任链未能正确建立和分发的结果。通过确保客户端信任CA根证书、服务器提供完整的证书链、使用正确的证书模板以及在Horizon服务器上正确配置证书的友好名称，可以彻底解决“证书不受信任”的提示。理解并遵循这些技术细节，是构建安全、高效VMware Horizon环境的关键一步。