默认情况下,将在 Horizon 7 中禁用不再视为安全的一些旧协议和密码。如果需要,您可以手动启用它们。

DHE 密码套件

有关更多信息,请参阅 http://kb.vmware.com/kb/2121183。与 DSA 证书兼容的密码套件使用 Diffie-Hellman 临时密钥,从 Horizon 6 版本 6.2 开始,不再默认启用这些套件。

对于连接服务器实例、安全服务器和 Horizon 7 桌面,您可以按照本指南中所述,通过编辑 View LDAP 数据库、locked.properties 文件或注册表来启用这些密码套件。请参阅更改全局接受和建议策略在单个服务器上配置接受策略在远程桌面上配置建议策略。您可以定义一组密码套件,其中包含下面的一个或多个套件(按以下顺序):

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256(仅 TLS 1.2,不适用于 FIPS)
  • TLS_DHE_DSS_WITH_AES_256_GCM_SHA384(仅 TLS 1.2,不适用于 FIPS)
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256(仅 TLS 1.2)
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256(仅 TLS 1.2)
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA

对于 View Composer 和 View Agent Direct-Connection (VADC) 计算机,在执行《Horizon 7 安装指南》文档中的“在 SSL/TLS 中为 View Composer 和 Horizon Agent 计算机禁用弱密码”过程时,您可以通过在密码列表中添加以下内容来启用 DHE 密码套件。

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
注: 无法为 ECDSA 证书启用支持。从不支持这些证书。

SSLv3

Horizon 7 中,已移除 SSL 版本 3.0。

有关更多信息,请参阅http://tools.ietf.org/html/rfc7568

RC4

有关更多信息,请参阅http://tools.ietf.org/html/rfc7465

对于连接服务器实例、安全服务器和 Horizon 7 桌面,您可以通过编辑配置文件 C:\Program Files\VMware\VMware View\Server\jre\lib\security\java.security,在连接服务器、安全服务器或 Horizon Agent 计算机上启用 RC4。该文件的末尾包含一个名为 jdk.tls.legacyAlgorithms 的多行条目。从该条目中移除 RC4_128 及其后面的逗号,然后重新启动连接服务器、安全服务器或 Horizon Agent 计算机(视具体情况而定)。

对于 View Composer 和 View Agent Direct-Connection (VADC) 计算机,在执行《Horizon 7 安装指南》文档中的“在 SSL/TLS 中为 View Composer 和 Horizon Agent 计算机禁用弱密码”过程时,您可以通过在密码列表中添加以下内容来启用 RC4。

TLS_RSA_WITH_RC4_128_SHA

TLS 1.0

Horizon 7 中,将默认禁用 TLS 1.0。

有关更多信息,请参阅 https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1.pdfhttp://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf。有关如何启用 TLS 1.0 的说明,请参阅《Horizon 7 升级指南》文档中的“对从连接服务器进行的 vCenter 连接启用 TLSv1”和“对从 View Composer 进行的 vCenter 和 ESXi 连接启用 TLSv1”部分。