将在 Horizon Client 和服务器之间的连接上进行服务器证书检查。证书是一种数字形式的标识,类似于护照或驾照。

关于证书检查

服务器证书检查包括以下检查:

  • 除了验证发件人身份和加密服务器通信外,证书还有什么其他用途?也就是说,证书类型是否正确?
  • 证书是否过期,还是仅在未来有效?也就是说,根据计算机时钟,证书是否有效?
  • 证书上的公用名是否与发送它的服务器主机名称匹配?如果负载均衡器将 Horizon Client 重定向到使用与 Horizon Client 中输入的主机名不匹配的证书的服务器,会出现不匹配。可能出现不匹配的另一个原因是,您在客户端输入的是 IP 地址,而不是主机名。
  • 证书是否由未知或不受信任的证书颁发机构 (CA) 签署?自签名证书是一种不受信任的 CA 类型。要通过这项检查,证书的信任链必须源于设备的本地证书存储区。

有关用户可在 Linux 客户端系统上安装的自签名根证书的分配相关信息,请参阅 Ubuntu 文档。

Horizon Client 使用 PEM 格式证书,该证书存储在客户端系统的 /etc/ssl/certs 目录中。有关导入该位置存储的根证书的信息,请参阅位于 https://help.ubuntu.com/community/OpenSSL 上的相应文档中的“将证书导入到系统级证书颁发机构数据库”。

如何设置证书检查模式

系统管理员可能会要求最终用户在 Horizon Client 中设置证书检查模式,以确保他们可以成功连接到服务器。在某些公司,管理员可能会在 Horizon Client 中设置证书检查模式,并禁止最终用户更改该模式。

如果管理员允许,您可以设置证书检查模式。要设置证书检查模式,请启动 Horizon Client,然后从菜单栏中选择文件 > 首选项。可选择以下选项之一。

  • 不连接到不受信任的服务器。该设置意味着,如果任何证书检查失败,则无法连接到服务器。并显示一条错误消息,列出失败的检查。
  • 在连接到不受信任的服务器之前发出警告。该设置意味着,如果证书检查由于服务器使用自签名证书而失败,您可以单击继续以忽略该警告。对于自签名证书,证书名称不需要与您在 Horizon Client 中输入的服务器名称匹配。如果证书已过期,您还可能收到警告。
  • 不验证服务器身份证书。该设置意味着不会进行证书检查。

您可以在 Horizon Client 中配置默认证书检查模式,并阻止最终用户对其进行更改。有关更多信息,请参阅为最终用户配置证书检查模式

使用 SSL 代理服务器

如果您使用 SSL 代理服务器检查从客户端环境发送到 Internet 的流量,请启用允许通过 SSL 代理进行连接设置。此设置允许对通过 SSL 代理服务器进行的辅助连接进行证书检查,并且适用于 Blast 安全网关和安全加密链路连接。如果您使用 SSL 代理服务器并启用证书检查,但未启用允许通过 SSL 代理进行连接设置,则连接会因为指纹不匹配而失败。如果您启用不验证服务器身份证书选项,则允许通过 SSL 代理进行连接设置将不可用。启用不验证服务器身份证书选项后,Horizon Client 不会验证证书或指纹,并且将始终允许使用 SSL 代理。

要允许通过代理服务器进行 VMware Blast 连接,请参阅为 Horizon Linux Client 配置 VMware Blast 选项