Você deve seguir determinadas diretrizes para configurar certificados TLS para servidores VMware Horizon 8 e componentes relacionados.
Horizon Connection Server
O TLS é necessário para conexões de cliente com um servidor. As instâncias do Servidor de Conexão voltadas para o cliente e os servidores intermediários que encerram conexões TLS exigem certificados de servidor TLS.
- Se um certificado válido com um nome amigável de vdm já existir no repositório de certificados Windows
- Se você fizer upgrade para o VMware Horizon 8 de uma versão anterior e um arquivo de armazenamento de chaves válido estiver configurado no computador Windows Server, a instalação extrairá as chaves e os certificados e os importará para o Armazenamento de certificados Windows.
vCenter Server
Antes de adicionar vCenter Server a VMware Horizon 8 em um ambiente de produção, certifique-se de que vCenter Server use certificados assinados por uma CA.
Para obter informações sobre como substituir o certificado padrão para vCenter Server, consulte "Substituição de certificado em implantações grandes" no documento vSphereAutenticação no VMware vSphere site de documentação.
PCoIP Secure Gateway
Para cumprir os regulamentos de segurança do setor ou da jurisdição, você pode substituir o certificado TLS padrão gerado pelo serviço PCoIP Secure Gateway (PSG) por um certificado assinado por uma CA. É altamente recomendável configurar o serviço PSG para usar um certificado assinado por uma autoridade de certificação, principalmente para implantações que exigem o uso de verificadores de segurança para passar no teste de conformidade. Consulte TLS.
Blast Secure Gateway
Por padrão, o Blast Secure Gateway (BSG) usa o certificado TLS configurado para a instância do Servidor de Conexão na qual o BSG está em execução. Se você substituir o certificado autoassinado padrão de um servidor por um certificado assinado pela CA, o BSG também usará o certificado assinado pela CA.
Servidor de inscrição
O TLS é necessário para conexões com um servidor de inscrição do Servidor de Conexão. Por padrão, o Enrollment Server gera um certificado autoassinado para o servidor. No entanto, a instalação usará um certificado existente se um certificado válido com um nome amigável de vdm.es já existir no Armazenamento de Certificados Windows.
Servidor de banco de dados
Para habilitar o TLS para comunicação com um servidor de banco de dados usado para hospedar o banco de dados de eventos, certifique-se de que o servidor de banco de dados use um certificado assinado por uma autoridade de certificação. Consulte a documentação do respectivo provedor de banco de dados para configurar o certificado TLS nos servidores de banco de dados.
Autenticador SAML 2.0
VMware Workspace ONE Access usa autenticadores SAML 2.0 para fornecer autenticação e autorização baseadas em Web nos domínios de segurança. Se você quiser que VMware Horizon 8 delegue autenticação a VMware Workspace ONE Access, poderá configurar VMware Horizon 8 para aceitar sessões autenticadas SAML 2.0 de VMware Workspace ONE Access. Quando VMware Workspace ONE Access está configurado para oferecer suporte a VMware Horizon 8, os usuários de VMware Workspace ONE Access podem se conectar a áreas de trabalho remotas selecionando ícones da área de trabalho no Portal do Usuário do Horizon.
Em Horizon Console, você pode configurar autenticadores SAML 2.0 para uso com instâncias do Servidor de Conexão.
Antes de adicionar um autenticador SAML 2.0 em Horizon Console, certifique-se de que o autenticador SAML 2.0 use um certificado assinado por uma CA.
Diretrizes adicionais
Para obter informações gerais sobre como solicitar e usar certificados TLS assinados por uma CA, consulte TLS.
Quando os endpoints do cliente se conectam a uma instância do Servidor de Conexão, eles recebem o certificado de servidor TLS do servidor e quaisquer certificados intermediários na cadeia de confiança (os certificados intermediários estão no repositório de Autoridades de Certificação Intermediárias Windows do Servidor de Conexão). Para confiar no certificado do servidor, os sistemas cliente devem ter instalado o certificado raiz da CA de assinatura.
vCenter Server não apresenta um certificado intermediário ao fazer uma conexão TLS. As Instâncias do Servidor de Conexão devem ter esses Certificados intermediários em seu repositório Windows 'Autoridades de certificação intermediárias'. Consulte KB 2108294.
Da mesma forma, se um autenticador SAML 2.0 estiver configurado para o Servidor de Conexão, o computador do Servidor de Conexão deverá ter instalado o certificado raiz da CA de assinatura para o certificado do servidor SAML 2.0.