从 View Agent 6.2 开始,您可以通过编辑 Windows 注册表来配置 HTML Access Agent 使用的密码套件。从 View Agent 6.2.1 开始,您还可以配置使用的安全协议。您也可以在组策略对象 (GPO) 中指定这些配置。

对于 View Agent 6.2.1 及更高版本,默认情况下,此 HTML Access Agent 仅使用 TLS 1.1 和 TLS 1.2。允许使用的协议是 TLS 1.0、TLS 1.1 和 TLS 1.2(从低到高排序)。绝不允许使用 SSLv3 和更低版本的旧协议。SslProtocolLowSslProtocolHigh 这两个注册表值决定 HTML Access Agent 将接受的协议范围。例如,设置 SslProtocolLow=tls_1.0SslProtocolHigh=tls_1.2 将导致 HTML Access Agent 接受 TLS 1.0、TLS 1.1 和 TLS 1.2。默认设置是 SslProtocolLow=tls_1.1SslProtocolHigh=tls_1.2

在指定密码列表时,必须使用正确的密码列表格式。要查看密码列表格式,您可以在 Web 浏览器中搜索 OpenSSL 密码字符串。以下是默认密码列表: 

ECDHE-RSA-AES256-SHA:AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL

过程

  1. 启动 Windows 注册表编辑器。
  2. 导航到 HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config 注册表项。
  3. 添加两个新的字符串 (REG_SZ) 值 SslProtocolLowSslProtocolHigh,用于指定协议范围。
    这些注册表值的数据必须是 tls_1.0tls_1.1tls_1.2。要仅启用一个协议,请为两个注册表值指定相同的协议。如果两个注册表值中任何一个值不存在,或者它的数据未设置为以上三个协议中的一个,则将使用默认协议。
  4. 添加一个新的字符串 (REG_SZ) 值 SslCiphers,用于指定密码套件列表。
    在注册表值的数据字段中键入或粘贴密码套件列表。例如, 
    ECDHE-RSA-AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL
  5. 重新启动 Windows 服务 VMware Blast。

结果

要恢复为使用默认密码列表,请删除 SslCiphers 注册表值并重新启动 Windows 服务 VMware Blast。请勿简单地删除值的数据部分,因为这样 HTML Access Agent 会依据 OpenSSL 密码列表格式定义将所有密码视为不可接受。

HTML Access Agent 启动时,会将协议和密码信息写入其日志文件。您可以通过检查此日志文件来确定有效的值。

随着 VMware 不断改进网络安全方面的最佳实践,默认的安全协议和密码套件在将来可能还会变更。