Por padrão, o instalador do Horizon Agent para Linux gera um certificado autoassinado para o daemon VMwareBlastServer, que processa as comunicações com clientes usando o protocolo de exibição Blast. Para cumprir os regulamentos do setor ou de segurança, você pode substituir o certificado autoassinado para VMwareBlastServer por um certificado assinado por uma Autoridade de Certificação (CA).

  • Quando o Blast Security Gateway não está ativado no Horizon Connection Server, o VMwareBlastServer apresenta o certificado autoassinado padrão ao navegador que usa o HTML Access para se conectar à área de trabalho do Linux.
  • Quando o Blast Security Gateway está ativado no Horizon Connection Server, o Blast Security Gateway apresenta seu certificado ao navegador.

Para substituir o certificado autoassinado padrão do VMwareBlastServer por um certificado assinado pela CA, você pode usar um dos seguintes métodos.

  • Armazenamento de chaves BCFKS (BCFKS keystore): com esse método, você usa o script de implantação DeployBlastCert.sh para armazenar o certificado e a chave privada em um armazenamento de chaves FIPS (BCFKS) criptografado Bouncy Castle no /etc/vmware/ssl diretório.
  • Armazenamento não criptografado (Unencrypted storage): com esse método, você copia manualmente o certificado e a chave privada, sem criptografia, para o nível raiz do diretório /etc/vmware/ssl.

O daemon VMwareBlastServer primeiro procura no chaveiro do Linux o certificado e a chave privada de um armazenamento de chaves BCFKS. Se não encontrar um armazenamento de chaves BCFKS, ele lerá o certificado e a chave privada armazenados no nível raiz de /etc/vmware/ssl.

Implantar o certificado de CA do VMwareBlastServer em um armazenamento de chaves BCFKS

O script de implantação DeployBlastCert.sh cria um novo armazenamento de chaves BCFKS chamado vmwareblast.bcfks no diretório /etc/vmware/ssl e armazena o certificado e a chave privada nesse armazenamento de chaves. As informações no armazenamento de chaves são então adicionadas ao chaveiro do Linux.

  1. Use as opções de configuração SSLCertName e SSLKeyName para personalizar o nome do certificado e o nome da chave privada, respectivamente, pois eles aparecerão no chaveiro do Linux. Para obter mais informações, consulte Opções de configuração em /etc/vmware/viewagent-custom.conf.
  2. Execute o script de implantação DeployBlastCert.sh, conforme mostrado no exemplo a seguir.
    sudo /usr/lib/vmware/viewagent/bin/DeployBlastCert.sh -c /root/rui.cert -k /root/rui.key

    Use os seguintes sinalizadores de parâmetro para o script de implantação:

    Sinalização de parâmetro Descrição
    -c Especifica o arquivo de certificado assinado pela CA.
    -k Especifica o arquivo de chave privada.

Implantar o certificado de CA do VMwareBlastServer no armazenamento não criptografado

  1. Adicione a chave privada e o certificado assinado pela CA a /etc/vmware/ssl.
    1. Renomeie a chave privada para rui.key e o certificado para rui.crt.
    2. Defina permissões de leitura e executável em /etc/vmware/ssl. 
      sudo chmod 550 /etc/vmware/ssl
    3. Copie rui.key e rui.crt para /etc/vmware/ssl.
    4. Remova as permissões de executável em /etc/vmware/ssl. 
      sudo chmod 440 /etc/vmware/ssl
  2. Instale os certificados de CA raiz e intermediários no repositório da Autoridade de Certificação do SO Linux.

    Para obter informações sobre outras configurações do sistema que devem ser alteradas para oferecer suporte à cadeia de certificados da CA, consulte a documentação da sua distribuição do Linux.