A verificação do certificado do servidor ocorre para conexões entre Horizon Client e um servidor. Um certificado é uma forma digital de identificação, semelhante a um passaporte ou carteira de motorista.
Sobre a verificação de certificado
A verificação do certificado do servidor inclui as seguintes verificações:
- O certificado foi revogado?
- O certificado destina-se a um propósito diferente de verificar a identidade do remetente e criptografar as comunicações do servidor? Ou seja, esse é o tipo correto de certificado?
- O certificado expirou ou é válido apenas no futuro? Ou seja, o certificado é válido de acordo com o relógio do computador?
- O nome comum no certificado corresponde ao nome do host do servidor que o envia? Uma incompatibilidade poderá ocorrer se um balanceador de carga redirecionar Horizon Client para um servidor que tenha um certificado que não corresponda ao nome do host inserido em Horizon Client. Outro motivo pelo qual uma incompatibilidade pode ocorrer é se você inserir um endereço IP em vez de um nome de host no cliente.
- O certificado é assinado por uma autoridade de certificação (CA) desconhecida ou não confiável? Certificados autoassinados são um tipo de CA não confiável. Para passar nessa verificação, a cadeia de confiança do certificado deve estar enraizada no repositório de certificados local do dispositivo.
Para obter informações sobre como distribuir um certificado raiz autoassinado a todos os sistemas cliente Windows em um domínio, consulte "Adicionar o certificado raiz a autoridades de certificação raiz confiáveis" no documento Instalação e upgrade do Horizon 8.
Como definir o modo de verificação de certificado
Um administrador do sistema pode solicitar que os usuários finais definam o modo de verificação de certificado em Horizon Client para garantir que eles possam se conectar com êxito a um servidor. Em algumas empresas, um administrador pode definir o modo de verificação de certificado e impedir que os usuários finais o alterem em Horizon Client.
Para definir o modo de verificação de certificado, inicie Horizon Client e selecione . Você pode selecionar uma das seguintes opções. Observe que você não pode configurar a verificação de certificado no modo FIPS.
- Nunca se conecte a servidores não confiáveis (Never connect to untrusted servers). Essa configuração significa que você não poderá se conectar ao servidor se qualquer uma das verificações de certificado falhar. Uma mensagem de erro lista as verificações que falharam.
- Avisar antes de se conectar a servidores não confiáveis (Warn before connecting to untrusted servers). Essa configuração significa que você pode clicar em Continuar (Continue) para ignorar o aviso se uma verificação de certificado falhar porque o servidor usa um certificado autoassinado. Para certificados autoassinados, o nome do certificado não é necessário para corresponder ao nome do servidor que você digitou em Horizon Client. Você também poderá receber um aviso se o certificado expirar.
- Não verifique os certificados de identidade do servidor (Do not verify server identity certificates). Essa configuração significa que nenhuma verificação de certificado ocorre.
Você pode configurar o modo de verificação de certificado padrão e impedir que os usuários finais o alterem em Horizon Client. Para obter mais informações, consulte Configurando o modo de verificação de certificado para usuários finais do Horizon Windows Client.
Usando um servidor proxy SSL
Se você usar um servidor proxy SSL para inspecionar o tráfego enviado do ambiente do cliente para a Internet, ative a configuração Verificação do certificado de conexão do protocolo (Protocol Connection Certificate Verification) e defina-a como Verificação de PKI (PKI Verification) ou Impressão digital ou Verificação de PKI (Thumbprint or PKI Verification). Se o cliente estiver sendo executado no modo FIPS, defina essa opção como Verificação de PKI (PKI Verification). Essa configuração permite a verificação de certificado para conexões secundárias por meio de um servidor proxy SSL e se aplica às conexões do Blast Secure Gateway e do túnel seguro. Se você usar um servidor proxy SSL e ativar a verificação de certificado, mas não definir essa configuração como PKI ou Impressão digital ou PKI (Thumbprint or PKI), as conexões falharão devido a impressões digitais incompatíveis. O modo Verificação do certificado de conexão do protocolo (Protocol Connection Certificate Verification) não estará disponível se você ativar a opção Não verificar certificados de identidade do servidor (Do not verify server identity certificates). Quando a opção Não verificar certificados de identidade do servidor (Do not verify server identity certificates) está ativada, Horizon Client não verifica o certificado ou a impressão digital e um proxy SSL é sempre permitido. Você também pode configurar o modo Verificação do certificado de conexão de protocolo por meio da configuração de política de grupo Horizon Client.
Você também pode configurar o modo Verificação do certificado de conexão de protocolo pela configuração de política de grupo Horizon Client. Para obter mais informações, consulte Usando as configurações de política de grupo para configurar o Horizon Client.
Você pode usar a configuração de política de grupo Configura o comportamento de verificação de certificado do Proxy SSL do Horizon Client para definir se a verificação de certificado para conexões secundárias deve ser permitida por meio de um servidor proxy SSL.
Para permitir conexões VMware Blast por meio de um servidor proxy, consulte Configurar opções do Blast.
