VMware Horizon 8 usa muitos Certificados de Chave Pública. Alguns desses certificados são verificados usando mecanismos que envolvem um terceiro confiável, mas esses mecanismos nem sempre fornecem a precisão, a velocidade ou a flexibilidade necessárias. VMware Horizon 8 usa um mecanismo alternativo conhecido como verificação de impressão digital em várias situações.
Em vez de validar campos de certificado individuais ou criar uma cadeia de confiança, a verificação de impressão digital trata o certificado como um token, correspondendo toda a sequência de bytes (ou um hash criptográfico deste) a uma sequência de bytes pré-compartilhada ou hash. Normalmente, isso é compartilhado just-in-time por meio de um canal confiável separado e significa que o certificado apresentado por um serviço pode ser verificado para ser o certificado exato que era esperado.
O Horizon Message Bus se comunica entre os agentes de conexão e também entre os Agentes do Horizon e as instâncias do agente de conexão. Os canais de configuração usam assinaturas por mensagem e criptografia de payload, enquanto os canais principais são protegidos usando TLS com autenticação mútua. Ao usar o TLS para proteger um canal, a autenticação do cliente e do servidor envolve certificados TLS e validação de impressão digital. Para os canais do Barramento de Mensagens do Horizon, o servidor é sempre um roteador de mensagens. É possível que o cliente também seja um roteador de mensagens, pois é assim que os roteadores de mensagens compartilham mensagens. No entanto, os clientes são instâncias do intermediário de conexão ou Agentes do Horizon.
As impressões digitais do certificado inicial e as chaves de assinatura da mensagem de configuração são fornecidas de maneiras diferentes. Nos intermediários de conexão, as impressões digitais do certificado são armazenadas no LDAP para que os Agentes do Horizon possam se comunicar com qualquer intermediário de conexão, e todos os intermediários de conexão possam se comunicar entre si. Os certificados do servidor e do cliente do Barramento de Mensagens do Horizon são gerados automaticamente e trocados periodicamente, e os certificados obsoletos são excluídos automaticamente, portanto, nenhuma intervenção manual é necessária ou até possível. Os certificados em cada extremidade dos canais principais são gerados automaticamente de forma programada e trocados pelos canais de configuração. Não é possível substituir esses certificados por conta própria. Os certificados expirados são removidos automaticamente.
Um mecanismo semelhante se aplica à comunicação entre pods.
Outros canais de comunicação podem usar certificados fornecidos pelo cliente, mas o padrão é a geração automática de certificados. Isso inclui conexões Secure Tunnel, Enrollment Server e vCenter, além de protocolo de exibição e canais auxiliares. Para obter mais informações sobre como substituir esses certificados, consulte o documento Administração do Horizon 8. Os certificados padrão são gerados no momento da instalação e não são renovados automaticamente, exceto para PCoIP. Se um certificado gerado por PKI não estiver disponível para uso do PCoIP, ele gerará automaticamente um novo certificado a cada inicialização. A verificação de impressão digital é usada para a maioria desses canais, mesmo se um certificado gerado por PKI for usado.
A verificação de certificados vCenter usa uma combinação de técnicas. As instâncias do intermediário de conexão sempre tentam validar o certificado recebido usando a PKI. Se essa validação falhar, depois de analisar o certificado, o administrador do Horizon poderá permitir que a conexão prossiga, e o intermediário de conexão lembrará o hash criptográfico do certificado para aceitação autônoma subsequente usando a verificação de impressão digital.