Cada instância do Servidor de Conexão executa a verificação de revogação de certificado em seu próprio certificado. Cada instância também verifica os certificados de vCenter Server sempre que estabelece uma conexão com vCenter Server. Por padrão, todos os certificados na cadeia são verificados, exceto o certificado raiz. No entanto, você pode alterar esse padrão.
Se um autenticador SAML 2.0 estiver configurado para uso por uma instância do Servidor de Conexão, o Servidor de Conexão também executará a verificação de revogação de certificado no certificado do servidor SAML 2.0.
O VMware Horizon 8 oferece suporte a vários meios de verificação de revogação de certificado, como listas de certificados revogados (CRLs) e o Protocolo de Status de Certificado Online (OCSP). Uma CRL é uma lista de certificados revogados publicada pela CA que emitiu os certificados. OCSP é um protocolo de validação de certificado usado para obter o status de revogação de um certificado X.509.
Com as CRLs, a lista de certificados revogados é baixada de um ponto de distribuição de certificados (DP) que geralmente é especificado no certificado. O servidor vai periodicamente para a URL CRL DP especificada no certificado, baixa a lista e a verifica para determinar se o certificado do servidor foi revogado. Com o OCSP, o servidor envia uma solicitação a um respondente do OCSP para determinar o status de revogação do certificado.
Quando você obtém um certificado de servidor de uma autoridade de certificação (CA) de terceiros, o certificado inclui um ou mais meios pelos quais seu status de revogação pode ser determinado, incluindo, por exemplo, uma URL de CRL DP ou a URL de um respondente OCSP. Se você tiver sua própria autoridade de certificação e gerar um certificado, mas não incluir informações de revogação no certificado, a verificação de revogação do certificado falhará. Um exemplo de informações de revogação para esse certificado pode incluir, por exemplo, uma URL para uma CRL DP baseada em Web em um servidor no qual você hospeda uma CRL.
Se você tiver sua própria autoridade de certificação, mas não quiser ou não puder incluir informações de revogação de certificado no seu certificado, poderá optar por não verificar a revogação de certificados ou verificar apenas determinados certificados em uma cadeia. No servidor, com o Windows Editor do Registro, você pode criar o valor de cadeia de caracteres (REG_SZ) CertificateRevocationCheckType, em HKLM\Software\VMware, Inc.\}\VMware\} VDM\Security e defina esse valor como um dos seguintes valores de dados.
Valor | Descrição |
---|---|
1 | Não execute a verificação de revogação de certificado. |
2 | Verifique apenas o certificado do servidor. Não verifique nenhum outro certificado na cadeia. |
3 | Verifique todos os certificados na cadeia. |
4 | (Padrão) Verifique todos os certificados, exceto o certificado raiz. |
Se esse valor do Registro não estiver definido ou se o conjunto de valores não for válido (ou seja, se o valor não for 1, 2, 3 ou 4), todos os certificados serão verificados, exceto o certificado raiz. Defina esse valor do Registro em cada servidor no qual você pretende modificar a verificação de revogação. Você não precisa reiniciar o sistema depois de definir esse valor.