将在 Horizon Client 和服务器之间的连接上进行服务器证书检查。证书是一种数字形式的标识,类似于护照或驾照。
服务器证书检查包括以下检查:
- 除了验证发件人身份和加密服务器通信外,证书还有什么其他用途?也就是说,证书类型是否正确?
- 证书是否过期,还是仅在未来有效?也就是说,根据计算机时钟,证书是否有效?
- 证书上的公用名是否与发送它的服务器主机名称匹配?如果负载均衡器将 Horizon Client 重定向到使用与 Horizon Client 中输入的主机名不匹配的证书的服务器,会出现不匹配。可能出现不匹配的另一个原因是,您在客户端输入的是 IP 地址,而不是主机名。
- 证书是否由未知或不受信任的证书颁发机构 (CA) 签署?自签名证书是一种不受信任的 CA 类型。要通过这项检查,证书的信任链必须源于设备的本地证书存储区。
有关分配自签名根证书并将其安装到 Mac 客户端系统的信息,请参阅 Apple 网站上提供的适用于您使用的 Mac 服务器的《高级服务器管理》文档。
要设置证书检查模式,请启动 Horizon Client,然后从菜单栏中选择 。可选择以下选项之一。
- 不连接到不受信任的服务器。该设置意味着,如果任何证书检查失败,则无法连接到服务器。并显示一条错误消息,列出失败的检查。
- 在连接到不受信任的服务器之前发出警告。该设置意味着,如果证书检查由于服务器使用自签名证书而失败,您可以单击继续以忽略该警告。对于自签名证书,证书名称不需要与您在 Horizon Client 中输入的服务器名称匹配。如果证书已过期,您还可能收到警告。
- 不验证服务器身份证书。该设置意味着不会进行证书检查。
如果管理员稍后安装了一个来自受信任的证书颁发机构的安全证书,而且在连接时让所有证书检查均通过,则系统会记住此特定服务器的受信任连接。如果以后此服务器再次呈现自签名证书,连接将失败。特定服务器呈现完全可验证的证书后,必须始终这样做。
您可以在 Horizon Client 中配置默认证书检查模式,并阻止最终用户对其进行更改。有关更多信息,请参阅为最终用户配置证书检查模式。
使用 SSL 代理服务器
如果您使用 SSL 代理服务器检查从客户端环境发送到 Internet 的流量,请启用允许通过 SSL 代理进行连接设置。此设置允许对通过 SSL 代理服务器进行的辅助连接进行证书检查,并且适用于 Blast 安全网关和安全加密链路连接。如果您使用 SSL 代理服务器并启用证书检查,但未启用允许通过 SSL 代理进行连接设置,则连接会因为指纹不匹配而失败。如果您启用不验证服务器身份证书选项,则允许通过 SSL 代理进行连接设置将不可用。启用不验证服务器身份证书选项后,Horizon Client 不会验证证书或指纹,并且将始终允许使用 SSL 代理。
要允许通过代理服务器进行 VMware Blast 连接,请参阅配置 VMware Blast 选项。
