Para obter maior segurança em sessões de conexão direta, você pode modificar o arquivo de configuração /etc/nginx/conf.d/vmwvadc.conf para não permitir codificações fracas em comunicações SSL/TLS e substituir o padrão autoassinado Certificado do servidor TLS com um certificado assinado por uma Autoridade de Certificação.

Proibindo Cifras Fracas em Comunicações SSL/TLS

Observação: Se Horizon Client não estiver configurado para oferecer suporte a qualquer criptografia compatível com o sistema operacional de área de trabalho virtual, a negociação de TLS/SSL falhará e o cliente não poderá se conectar.

Para obter informações sobre como configurar conjuntos de codificação compatíveis em Horizon Clients, consulte a documentação do Horizon Client em https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.

No arquivo de configuração /etc/nginx/conf.d/vmwvadc.conf, em ###Enable https, a linha a seguir especifica a lista de codificação padrão. 
ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;

Para não permitir cifras fracas, adicione as cadeias de caracteres de cifra à linha ssl_ciphers usando o formato de lista de cifras descrito em https://www.openssl.org/docs/.

Substituindo o certificado de servidor TLS autoassinado

Quando o View Agent Direct-Connection Plug-in (VADC) é iniciado pela primeira vez após a instalação, ele gera automaticamente um certificado de servidor TLS autoassinado. O certificado do servidor TLS é apresentado a Horizon Client durante a negociação do protocolo TLS para fornecer informações ao cliente sobre esta área de trabalho.

O certificado de servidor TLS autoassinado padrão não pode fornecer a Horizon Client proteção suficiente contra ameaças de violação e espionagem. Para se proteger contra essas ameaças, você deve substituir o certificado autoassinado por um certificado assinado por uma Autoridade de Certificação (CA) confiável para o cliente e totalmente validado pelas verificações de certificado Horizon Client.

Há suporte para certificados com nome alternativo da entidade (SAN) e certificados curinga.

No arquivo de configuração /etc/nginx/conf.d/vmwvadc.conf, em ###Enable https, as linhas a seguir especificam o certificado autoassinado padrão e a chave privada. 
ssl_certificate /etc/vmware/ssl/rui.crt;
ssl_certificate_key /etc/vmware/ssl/rui.key;

Substitua as entradas padrão nessas linhas pelos caminhos de arquivo para o certificado assinado pela CA e a chave privada.