启用基于证书的身份验证

前提条件

在对接AD域场景下启用基于证书的身份认证时，需确保AD服务器已配置一张有效的域控证书，您可选择以下方式之一进行签发：

• 参见签发域控证书（通过AD CS服务-推荐）。
• 参见签发域控证书（通过OpenSSL工具）。
  

  本手册面向管理员，指导其在Workspace中配置基于证书的身份验证。执行如下任务的管理员应熟悉AD及公钥基础结构 (PKI)相关知识。

约束与限制

• 仅对接AD下，支持开启基于证书的身份验证。
• HDA版本：仅支持25.2.0及以上版本。
• 仅Windows云桌面/云应用支持。

操作步骤

1. 登录管理控制台。
2. 在导航中依次选择“租户配置 > 基础配置”，进入基础配置页面。
3. 在基础配置下单击“修改”，弹出“修改域”页面。
4. 勾选“启用基于证书的身份验证”。
5. 在私有CA证书下拉框选择所需的CA证书。
   

   若当前没有CA证书，请在右侧单击“创建CA证书”，详见创建CA证书。

6. 单击“确定”。

7. 导出5中的CA证书和CRL文件，详见导出CA证书和导出CRL文件。
8. 将7中导出的CA证书和CRL文件导入至AD域服务器中，详见导入根CA/子CA及CRL文件至AD服务器。
9. 配置完成后，基于证书的身份验证已启用，用户接入云桌面时，无需输入域密码即可登录云桌面。
   

   • Windows锁屏后，用户需要手工输入AD用户名密码解锁桌面。
   • 支持AD断连后，用户在24小时内仍可以继续接入云桌面。