Você deve seguir determinadas diretrizes para configurar certificados TLS para servidores VMware Horizon e componentes relacionados.
Horizon Connection Server
O TLS é necessário para conexões de cliente com um servidor. As instâncias do Servidor de Conexão voltadas para o cliente e os servidores intermediários que encerram conexões TLS exigem certificados de servidor TLS.
- Se um certificado válido com um nome amigável de vdm já existir no repositório de certificados Windows
- Se você fizer upgrade para o VMware Horizon de uma versão anterior e um arquivo de armazenamento de chaves válido estiver configurado no computador Windows Server, a instalação extrairá as chaves e os certificados e os importará para o Armazenamento de certificados Windows.
vCenter Server
Antes de adicionar vCenter Server a VMware Horizon em um ambiente de produção, certifique-se de que vCenter Server use certificados assinados por uma CA.
Para obter informações sobre como substituir o certificado padrão para vCenter Server, consulte "Substituindo vCenter Server Certificados" no site de Documentos Técnicos do VMware em http://www.vmware.com/resources/techresources/.
PCoIP Secure Gateway
Para cumprir os regulamentos de segurança do setor ou da jurisdição, você pode substituir o certificado TLS padrão gerado pelo serviço PCoIP Secure Gateway (PSG) por um certificado assinado por uma CA. É altamente recomendável configurar o serviço PSG para usar um certificado assinado por uma autoridade de certificação, principalmente para implantações que exigem o uso de verificadores de segurança para passar no teste de conformidade. Consulte TLS.
Blast Secure Gateway
Por padrão, o Blast Secure Gateway (BSG) usa o certificado TLS configurado para a instância do Servidor de Conexão na qual o BSG está em execução. Se você substituir o certificado autoassinado padrão de um servidor por um certificado assinado pela CA, o BSG também usará o certificado assinado pela CA.
Autenticador SAML 2.0
VMware Workspace ONE Access usa autenticadores SAML 2.0 para fornecer autenticação e autorização baseadas em Web nos domínios de segurança. Se você quiser que VMware Horizon delegue autenticação a VMware Workspace ONE Access, poderá configurar VMware Horizon para aceitar sessões autenticadas SAML 2.0 de VMware Workspace ONE Access. Quando VMware Workspace ONE Access está configurado para oferecer suporte a VMware Horizon, os usuários de VMware Workspace ONE Access podem se conectar a áreas de trabalho remotas selecionando ícones da área de trabalho no Portal do Usuário do Horizon.
Em Horizon Console, você pode configurar autenticadores SAML 2.0 para uso com instâncias do Servidor de Conexão.
Antes de adicionar um autenticador SAML 2.0 em Horizon Console, certifique-se de que o autenticador SAML 2.0 use um certificado assinado por uma CA.
Diretrizes adicionais
Para obter informações gerais sobre como solicitar e usar certificados TLS assinados por uma CA, consulte TLS.
Quando os endpoints do cliente se conectam a uma instância do Servidor de Conexão, eles recebem o certificado de servidor TLS do servidor e quaisquer certificados intermediários na cadeia de confiança. Para confiar no certificado do servidor, os sistemas cliente devem ter instalado o certificado raiz da CA de assinatura.
Quando o Servidor de Conexão se comunica com vCenter Server, o Servidor de Conexão recebe certificados de servidor TLS e certificados intermediários desse servidor. Para confiar no vCenter Server, o computador do Servidor de Conexão deve ter instalado o certificado raiz da CA de assinatura.
Da mesma forma, se um autenticador SAML 2.0 estiver configurado para o Servidor de Conexão, o computador do Servidor de Conexão deverá ter instalado o certificado raiz da CA de assinatura para o certificado do servidor SAML 2.0.
