Horizon 连接服务器和安全服务器

客户端与服务器之间的连接需要使用 TLS。面向客户端的连接服务器实例、安全服务器和用于终止 TLS 连接的中间服务器都需要 TLS 服务器证书。

vCenter Server 和 View Composer

在生产环境的 Horizon 7 中添加 vCenter Server 和 View Composer 之前，请确保 vCenter Server 和 View Composer 使用由 CA 签发的证书。

有关替换 vCenter Server 默认证书的信息，请参阅 VMware 技术白皮书站点 (http://www.vmware.com/resources/techresources/) 中的“替换 vCenter Server 证书”。

如果您在同一 Windows Server 主机上安装 vCenter Server 和 View Composer，它们可以使用相同的 TLS 证书，但必须单独为每个组件配置证书。

PCoIP 安全网关

为了遵循行业或司法辖区的安全规定，您可将 PCoIP 安全网关 (PCoIP Secure Gateway, PSG) 服务生成的默认 TLS 证书替换成 CA 签发的证书。我们强烈建议配置 PSG 服务使用 CA 签发的证书，特别是对于需要使用安全扫描程序通过合规性测试的部署。请参阅 TLS。

Blast 安全网关

默认情况下，Blast 安全网关 (Blast Secure Gateway, BSG) 将使用为运行 BSG 的连接服务器实例或安全服务器配置的 TLS 证书。如果您将服务器的默认自签名证书替换为 CA 签发的证书，则 BSG 也会使用 CA 签发的证书。

SAML 2.0 身份验证器

VMware Identity Manager 使用 SAML 2.0 身份验证器为不同的安全域提供基于 Web 的身份验证和授权。如果希望 Horizon 7 将身份验证委派给 VMware Identity Manager，可以将 Horizon 7 配置为接受经过 SAML 2.0 身份验证的 VMware Identity Manager 会话。当 VMware Identity Manager 被配置为支持 Horizon 7 时，VMware Identity Manager 用户可以通过选择 Horizon 用户门户上的桌面图标连接至远程桌面。

在 Horizon Administrator 中，您可以配置 SAML 2.0 身份验证器，以将其与连接服务器实例配合使用。

在 Horizon Administrator 中添加 SAML 2.0 身份验证器之前，请确保 SAML 2.0 身份验证器使用 CA 签发的证书。

其他指导原则

有关请求和使用 CA 签发的 TLS 证书的一般信息，请参阅 TLS。

当客户端端点连接到连接服务器实例或安全服务器时，系统会向它们显示相应服务器的 TLS 服务器证书和信任链中的任何中间证书。要信任服务器证书，客户端系统必须已安装签发 CA 的根证书。

当连接服务器与 vCenter Server 和 View Composer 通信时，系统会向连接服务器显示 TLS 服务器证书和这些服务器的中间证书。要信任 vCenter Server 和 View Composer Server，连接服务器计算机必须已安装签发 CA 的根证书。

同样，如果为连接服务器配置了 SAML 2.0 身份验证器，则连接服务器计算机必须已为 SAML 2.0 服务器证书安装签发 CA 的根证书。