Os administradores podem configurar o modo de verificação de certificado. Os administradores também podem configurar se os usuários finais podem controlar se as conexões do cliente serão rejeitadas se as verificações de certificado do servidor falharem.
A verificação de certificado ocorre para conexões TLS entre instâncias do Servidor de Conexão e Horizon Client. Os administradores podem configurar o modo de verificação para usar uma das seguintes estratégias:
- Os usuários finais podem escolher o modo de verificação.
- (Sem verificação) Nenhuma verificação de certificado é executada.
- (Aviso) Os usuários finais serão avisados se um certificado autoassinado estiver sendo apresentado pelo servidor. Os usuários podem selecionar se desejam permitir esse tipo de conexão.
- (Segurança total) A verificação completa é executada e as conexões que não passam na verificação completa são rejeitadas.
A verificação do certificado inclui as seguintes verificações:
- O certificado foi revogado?
- O certificado destina-se a um propósito diferente de verificar a identidade do remetente e criptografar as comunicações do servidor? Ou seja, esse é o tipo correto de certificado?
- O certificado expirou ou é válido apenas no futuro? Ou seja, o certificado é válido de acordo com o relógio do computador?
- O nome comum no certificado corresponde ao nome do host do servidor que o envia? Uma incompatibilidade poderá ocorrer se um balanceador de carga redirecionar Horizon Client para um servidor que tenha um certificado que não corresponda ao nome do host inserido em Horizon Client. Uma incompatibilidade também poderá ocorrer se você inserir um endereço IP em vez de um nome de host no cliente.
- O certificado é assinado por uma autoridade de certificação (CA) desconhecida ou não confiável? Certificados autoassinados são um tipo de CA não confiável. Para passar nessa verificação, a cadeia de confiança do certificado deve estar enraizada no repositório de certificados local do dispositivo.
Se você usar um servidor proxy SSL para inspecionar o tráfego que o ambiente do cliente envia para a Internet, poderá habilitar a verificação de certificado para conexões secundárias por meio de um servidor proxy SSL. Você também pode configurar conexões do VMware Blast para usar um servidor proxy.
Para obter informações sobre como configurar a verificação de certificado e o uso do servidor proxy SSL para um tipo específico de cliente, consulte o documento de instalação e configuração do Horizon Client para esse cliente. Esses documentos também contêm informações sobre como usar certificados autoassinados.