Para obter maior segurança em sessões de conexão direta, você pode modificar o arquivo de configuração /etc/nginx/conf.d/vmwvadc.conf para não permitir codificações fracas em comunicações SSL/TLS e substituir o padrão autoassinado Certificado do servidor TLS com um certificado assinado por uma Autoridade de Certificação.
Proibindo Cifras Fracas em Comunicações SSL/TLS
Para obter informações sobre como configurar conjuntos de codificação compatíveis em Horizon Clients, consulte a documentação do Horizon Client em https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.
###Enable https
, a linha a seguir especifica a lista de codificação padrão.
ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;
Para não permitir cifras fracas, adicione as cadeias de caracteres de cifra à linha ssl_ciphers
usando o formato de lista de cifras descrito em https://www.openssl.org/docs/.
Substituindo o certificado de servidor TLS autoassinado
Quando o plug-in de conexão direta Horizon Agent (anteriormente plug-in View Agent Direct-Connection) é iniciado pela primeira vez após a instalação, ele gera automaticamente um certificado de servidor TLS autoassinado. O certificado do servidor TLS é apresentado a Horizon Client durante a negociação do protocolo TLS para fornecer informações ao cliente sobre esta área de trabalho.
O certificado de servidor TLS autoassinado padrão não pode fornecer a Horizon Client proteção suficiente contra ameaças de violação e espionagem. Para se proteger contra essas ameaças, você deve substituir o certificado autoassinado por um certificado assinado por uma Autoridade de Certificação (CA) confiável para o cliente e totalmente validado pelas verificações de certificado Horizon Client.
Há suporte para certificados com nome alternativo da entidade (SAN) e certificados curinga.
###Enable https
, as linhas a seguir especificam o certificado autoassinado padrão e a chave privada.
ssl_certificate /etc/vmware/ssl/rui.crt; ssl_certificate_key /etc/vmware/ssl/rui.key;
Substitua as entradas padrão nessas linhas pelos caminhos de arquivo para o certificado assinado pela CA e a chave privada.