您可以选择用于对 Horizon Client 和连接服务器或 Unified Access Gateway 实例之间的通信以及 Horizon Client 和远程桌面中的 Horizon Agent 之间的通信进行加密的安全协议和加密算法。
支持的 TLS 协议
Horizon Client 支持 TLS 1.1、TLS 1.2 和 TLS 1.3 安全协议。不支持 TLS 1.0、SSL 2.0 和 SSL 3.0 等旧协议。
默认 TLS 设置
Horizon Client 使用以下默认 TLS 设置:
| 安全协议 | 非 FIPS 模式下的默认设置 | FIPS 模式下的默认设置 |
|---|---|---|
| TLS 1.3 | 已启用 | 未启用 |
| TLS 1.2 | 已启用 | 已启用 |
| TLS 1.1 | 未启用 | 未启用 |
默认密码控制字符串如下所示:
- TLS v1.1 或 TLS v1.2 -
- (非 FIPS 模式)!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES
- (FIPS 模式)!aNULL:ECDHE+AES
- TLS v1.3 -
- (非 FIPS 模式)TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
- (FIPS 模式)TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256
配置 TLS 设置的准则
在更改任何 TLS 设置的默认值之前,请查看本节中所述的准则和限制。
如果为 Horizon Client 配置了安全协议,但未在客户端连接到的连接服务器或 Unified Access Gateway 实例上启用其中任一协议,则会出现 TLS 错误并且连接失败。
有关配置连接服务器可接受的安全协议的信息,请参阅《Horizon 安全指南》文档。
要配置密码列表,请按首选项顺序指定一个或多个密码字符串,并以冒号分隔。密码字符串区分大小写。
配置高级 TLS 设置
注: 在更改任何 TLS 设置的默认值之前,请查看
配置 TLS 设置的准则。
- 打开设置,然后点击安全选项。
- 如果您以全屏模式连接到远程桌面或已发布的应用程序,请点击 Horizon Client“工具”圆形菜单图标,然后点击齿轮图标以访问设置。
- 如果您使用的不是全屏模式,请点击 Horizon Client 工具栏右上角的菜单中的设置。
- 如果未连接到服务器,请点击 Horizon Client 窗口右上角的设置(齿轮)图标。
- 点击高级安全选项。
- 确认已取消选中使用默认设置。
- 要激活或停用安全协议,请点击安全协议名称旁边的复选框。
- 要更改密码控制字符串,请替换默认字符串。
- 在配置为检查服务器证书的吊销状态下,选择以下选项之一:
- 当服务器证书被吊销或无法确定吊销状态时,将不连接到服务器。请注意,“无法确定吊销状态”包括但不限于客户端无法访问 CRL 端点的网络问题。此选项是三个选项中最严格的证书检查。
- 当服务器证书被吊销时,将不连接到服务器。使用此选项时,如果无法确定吊销状态,客户端也可以连接到服务器。
- 将不检查证书吊销状态。请注意,如果启用 CC 模式,将隐藏此选项。
- 使用配置签名算法设置,在 TLS 握手的客户端 Hello 消息中配置签名算法扩展。
- 使用配置支持的组设置,在 TLS 握手的客户端 Hello 消息中配置支持的组扩展。
- (可选)要恢复为默认设置,请点击选择使用默认设置选项。
- 要保存更改,请点击确定。
下次连接到服务器时,所做的更改将会生效。
