Protocolos e cifras mais antigos desativados em VMware Horizon

Alguns protocolos e cifras mais antigos que não são mais considerados seguros são desativados em VMware Horizon 8 por padrão. Se necessário, você pode ativá-los manualmente.

Protocolos e cifras desativados

Em VMware Horizon 8, os seguintes protocolos e codificações são desativados por padrão:

SSLv3
Para obter mais informações, consulte http://tools.ietf.org/html/rfc7568.
TLSv1 e TLSv1.1
Para obter mais informações, consulte https://datatracker.ietf.org/doc/html/rfc8996 e https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r2.pdf.
RC4
Para obter mais informações, consulte http://tools.ietf.org/html/rfc7465.

DHE Cipher Suites

Os conjuntos de codificação compatíveis com certificados DSA usam chaves efêmeras Diffie-Hellman, e esses conjuntos não são mais ativados por padrão, a partir do Horizon 6 versão 6.2. Para obter mais informações, consulte http://kb.vmware.com/kb/2121183.

Para instâncias do Servidor de Conexão e desktops VMware Horizon 8, você pode ativar esses conjuntos de codificação editando o banco de dados LDAP do Horizon, o arquivo locked.properties ou o Registro, conforme descrito neste guia. Consulte Alterar as Políticas Globais de Aceitação e Proposta, Configurar políticas de aceitação em servidores individuais e Configurar políticas de proposta em áreas de trabalho remotas em um ambiente VMware Horizon 8. Você pode definir uma lista de conjuntos de codificação que inclui um ou mais dos seguintes conjuntos, nesta ordem:

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (somente TLS 1.2, não FIPS)
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (somente TLS 1.2, não FIPS)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (somente TLS 1.2)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (somente TLS 1.2)
TLS_DHE_DSS_WITH_AES_256_CBC_SHA

Para máquinas com plug-in de conexão direta Horizon Agent, você pode ativar conjuntos de cifras DHE adicionando o seguinte à lista de cifras ao seguir o procedimento "Desativar cifras fracas em SSL/TLS para máquinas Horizon Agent" no Instalação e upgrade do Horizon 8 } documento.

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Observação: Não é possível ativar o suporte para certificados ECDSA. Esses certificados nunca foram suportados.

SHA-1

No modo FIPS, a verificação do certificado falhará com "Os certificados não estão em conformidade com as restrições de algoritmo" se um certificado for assinado usando SHA-1. Isso se aplica a qualquer certificado na cadeia, incluindo o certificado raiz. Para obter mais informações sobre o motivo pelo qual esse algoritmo de assinatura foi preterido, consulte https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf.

Substitua os certificados com falha, se possível. Se isso não puder ser feito, as assinaturas SHA-1 poderão ser reativadas fazendo uma edição LDAP. Vá para CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int. Modifique o atributo pae-SSLClientSignatureSchemes adicionando rsa_pkcs1_sha1 à lista de valores separados por vírgula. Salve o atributo modificado e reinicie o serviço do Servidor de Conexão em cada Servidor de Conexão no cluster, um por vez.

Sem sigilo de encaminhamento (PFS)

Para obter mais informações, consulte https://datatracker.ietf.org/doc/html/rfc7525. Os conjuntos de criptografia que especificam algoritmos de troca de chaves que não exibem sigilo de encaminhamento (PFS) são desativados por padrão. Para obter instruções sobre como ativar esses conjuntos de codificação, consulte as outras seções deste tópico.

Reativando protocolos

Embora os protocolos listados acima tenham sido preteridos por bons motivos, você pode ter um caso de uso em que precisa reativar um ou mais deles. Em caso afirmativo, você pode ativar os protocolos seguindo o procedimento abaixo.

Para instâncias do Servidor de Conexão e áreas de trabalho do VMware Horizon 8, você pode ativar um protocolo editando o arquivo de configuração C:\Program Files\ VMware \}\ VMware View \}\Server\jre\conf\security\java.security }. Perto do meio do arquivo, há duas entradas de várias linhas chamadasjdk.tls.disabledAlgorithms e jdk.tls.legacyAlgorithms. Se o protocolo for encontrado em jdk.tls.legacyAlgorithms, remova-o e a vírgula que o segue desta entrada. Se o protocolo for encontrado em jdk.tls.disabledAlgorithms, remova-o daqui e adicione (add)-o ajdk.tls.legacyAlgorithms. Após qualquer alteração nesse arquivo, reinicie o Servidor de Conexão ou a máquina Horizon Agent.

Consulte também a seção "Ativar TLSv1 em vCenter Conexões do Servidor de Conexão" no documento Instalação e upgrade do Horizon 8.

Para máquinas de conexão direta Horizon Agent (anteriormente VADC), você pode ativar um protocolo adicionando uma linha à lista de codificações ao seguir o procedimento "Desativar cifras fracas em máquinas SSL/TLS Horizon Agent" no Instalação e upgrade do Horizon 8 documento. Por exemplo, para ativar o RC4, você pode adicionar o seguinte.

TLS_RSA_WITH_RC4_128_SHA