A verificação do certificado do servidor ocorre para conexões entre Horizon Client e um servidor. Um certificado é uma forma digital de identificação, semelhante a um passaporte ou carteira de motorista.
A verificação do certificado do servidor inclui as seguintes verificações:
- O certificado foi revogado?
- O certificado destina-se a um propósito diferente de verificar a identidade do remetente e criptografar as comunicações do servidor? Ou seja, esse é o tipo correto de certificado?
- O certificado expirou ou é válido apenas no futuro? Ou seja, o certificado é válido de acordo com o relógio do computador?
- O nome comum no certificado corresponde ao nome do host do servidor que o envia? Uma incompatibilidade poderá ocorrer se um balanceador de carga redirecionar Horizon Client para um servidor que tenha um certificado que não corresponda ao nome do host inserido em Horizon Client. Outro motivo pelo qual uma incompatibilidade pode ocorrer é se você inserir um endereço IP em vez de um nome de host no cliente.
- O certificado é assinado por uma autoridade de certificação (CA) desconhecida ou não confiável? Certificados autoassinados são um tipo de CA não confiável. Para passar nessa verificação, a cadeia de confiança do certificado deve estar enraizada no repositório de certificados local do dispositivo.
Para obter informações sobre como distribuir um certificado raiz autoassinado a todos os sistemas cliente Windows em um domínio, consulte "Adicionar o certificado raiz a autoridades de certificação raiz confiáveis" no documento Instalação Horizon.
Para definir o modo de verificação de certificado, inicie Horizon Client e selecione . Você pode selecionar uma das seguintes opções. Observe que você não pode configurar a verificação de certificado no modo FIPS.
- Nunca se conecte a servidores não confiáveis (Never connect to untrusted servers). Essa configuração significa que você não poderá se conectar ao servidor se qualquer uma das verificações de certificado falhar. Uma mensagem de erro lista as verificações que falharam.
- Avisar antes de se conectar a servidores não confiáveis (Warn before connecting to untrusted servers). Essa configuração significa que você pode clicar em Continuar (Continue) para ignorar o aviso se uma verificação de certificado falhar porque o servidor usa um certificado autoassinado. Para certificados autoassinados, o nome do certificado não é necessário para corresponder ao nome do servidor que você digitou em Horizon Client. Você também poderá receber um aviso se o certificado expirar.
- Não verifique os certificados de identidade do servidor (Do not verify server identity certificates). Essa configuração significa que nenhuma verificação de certificado ocorre.
Se um administrador instalar posteriormente um certificado de segurança de uma autoridade de certificação confiável e todas as verificações de certificado forem aprovadas quando você se conectar, essa conexão confiável será lembrada para esse servidor específico. No futuro, se esse servidor apresentar um certificado autoassinado novamente, a conexão falhará. Depois que um determinado servidor apresenta um certificado totalmente verificável, ele sempre deve fazer isso.
Se você usou anteriormente a política de grupo para configurar os sistemas cliente da sua empresa para usar uma criptografia específica, como ao definir as configurações de política de grupo SSL Cipher Suite Order, agora você deve usar uma configuração de segurança de política de grupo Horizon Client. Consulte Usando configurações de política de grupo para configurar Horizon Client. Como alternativa, você pode usar a configuração de registro SSLCipherList no sistema do cliente. Consulte Usando o Windows Registry para configurar o Horizon Client.
Você pode configurar o modo de verificação de certificado padrão e impedir que os usuários finais o alterem em Horizon Client. Para obter mais informações, consulte Configurando o modo de verificação de certificado para usuários finais.
Usando um servidor proxy SSL
Se você usar um servidor proxy SSL para inspecionar o tráfego enviado do ambiente do cliente para a Internet, ative a configuração Permitir conexão por meio de um proxy SSL (Allow connection via an SSL Proxy). Essa configuração permite a verificação de certificado para conexões secundárias por meio de um servidor proxy SSL e se aplica às conexões do Blast Secure Gateway e do túnel seguro. Se você usar um servidor proxy SSL e ativar a verificação de certificado, mas não ativar a configuração Permitir conexão por meio de um proxy SSL (Allow connection via an SSL Proxy), as conexões falharão devido a impressões digitais incompatíveis. A configuração Permitir conexão por meio de um proxy SSL (Allow connection via an SSL Proxy) não estará disponível se você ativar a opção Não verificar certificados de identidade do servidor (Do not verify server identity certificates). Quando a opção Não verificar certificados de identidade do servidor (Do not verify server identity certificates) está ativada, Horizon Client não verifica o certificado ou a impressão digital e um proxy SSL é sempre permitido.
Você pode usar a configuração de política de grupo Configura o comportamento de verificação de certificado do Proxy SSL do Horizon Client para definir se a verificação de certificado para conexões secundárias deve ser permitida por meio de um servidor proxy SSL. Para obter mais informações, consulte Usando configurações de política de grupo para configurar Horizon Client.
Para permitir conexões VMware Blast por meio de um servidor proxy, consulte Configurar opções do VMware Blast.