Alguns protocolos e cifras mais antigos que não são mais considerados seguros são desativados em VMware Horizon por padrão. Se necessário, você pode habilitá-los manualmente.

Protocolos e cifras desativados

Em VMware Horizon, os seguintes protocolos e codificações são desativados por padrão:

DHE Cipher Suites

Os pacotes de criptografia compatíveis com certificados DSA usam chaves efêmeras Diffie-Hellman, e esses pacotes não são mais habilitados por padrão, a partir do Horizon 6 versão 6.2. Para obter mais informações, consulte http://kb.vmware.com/kb/2121183.

Para instâncias do Servidor de Conexão e desktops VMware Horizon, você pode habilitar esses conjuntos de codificação editando o banco de dados Horizon LDAP, o arquivo locked.properties ou o Registro, conforme descrito neste guia. Consulte Alterar as Políticas Globais de Aceitação e Proposta, Configurar políticas de aceitação em servidores individuais e Configurar políticas de proposta em áreas de trabalho remotas. Você pode definir uma lista de conjuntos de codificação que inclui um ou mais dos seguintes conjuntos, nesta ordem:

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (somente TLS 1.2, não FIPS)
  • TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (somente TLS 1.2, não FIPS)
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (somente TLS 1.2)
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (somente TLS 1.2)
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA

Para máquinas com plug-in de conexão direta Horizon Agent, você pode habilitar conjuntos de codificação DHE adicionando o seguinte à lista de codificações ao seguir o procedimento "Desativar cifras fracas em SSL/TLS para máquinas Horizon Agent" no Instalação e upgrade do Horizon } documento.

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
Observação: Não é possível habilitar o suporte para certificados ECDSA. Esses certificados nunca foram suportados.

SHA-1

No modo FIPS, a verificação do certificado falhará com "Os certificados não estão em conformidade com as restrições de algoritmo" se um certificado for assinado usando SHA-1. Isso se aplica a qualquer certificado na cadeia, incluindo o certificado raiz. Para obter mais informações sobre o motivo pelo qual esse algoritmo de assinatura foi preterido, consulte https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf.

Substitua os certificados com falha, se possível. Se isso não puder ser feito, as assinaturas SHA-1 poderão ser reativadas fazendo uma edição LDAP. Vá para CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int. Modifique o atributo pae-SSLClientSignatureSchemes adicionando rsa_pkcs1_sha1 à lista de valores separados por vírgula. Salve o atributo modificado e reinicie o serviço do Servidor de Conexão em cada Servidor de Conexão no cluster, um por vez.

Sem sigilo de encaminhamento (PFS)

Para obter mais informações, consulte https://datatracker.ietf.org/doc/html/rfc7525. Os conjuntos de criptografia que especificam algoritmos de troca de chaves que não exibem sigilo de encaminhamento (PFS) são desativados por padrão. Para obter instruções sobre como habilitar esses conjuntos de codificação, consulte as outras seções deste tópico.

Reativando protocolos

Embora os protocolos listados acima tenham sido preteridos por bons motivos, você pode ter um caso de uso em que precisa reativar um ou mais deles. Em caso afirmativo, você pode habilitar protocolos seguindo o procedimento abaixo.

Para instâncias do Servidor de Conexão e desktops VMware Horizon, você pode habilitar um protocolo em um Servidor de Conexão ou em uma máquina Horizon Agent editando o arquivo de configuração C:\Program Files\VMware\}\VMware View\}\Server\jre \conf\security\java.security. No final do arquivo, há uma entrada de várias linhas chamada jdk.tls.legacyAlgorithms. Remova o protocolo e a vírgula que o segue desta entrada e reinicie o Servidor de Conexão ou a máquina Horizon Agent.

Consulte também a seção "Ativar TLSv1 em vCenter Conexões do Servidor de Conexão" no documento Instalação e upgrade do Horizon.

Para máquinas de conexão direta Horizon Agent (anteriormente VADC), você pode habilitar um protocolo adicionando uma linha à lista de codificações ao seguir o procedimento "Desativar cifras fracas em máquinas SSL/TLS Horizon Agent" no Instalação e upgrade do Horizon documento. Por exemplo, para habilitar o RC4, você pode adicionar o seguinte.

TLS_RSA_WITH_RC4_128_SHA