关于证书检查

服务器证书检查包括以下检查：

• 除了验证发件人身份和加密服务器通信外，证书还有什么其他用途？也就是说，证书类型是否正确？
• 证书是否过期，还是仅在未来有效？也就是说，根据计算机时钟，证书是否有效？
• 证书上的公用名是否与发送它的服务器主机名称匹配？如果负载均衡器将 Horizon Client 重定向到使用与 Horizon Client 中输入的主机名不匹配的证书的服务器，会出现不匹配。可能出现不匹配的另一个原因是，您在客户端输入的是 IP 地址，而不是主机名。
• 证书是否由未知或不受信任的证书颁发机构 (CA) 签署？自签名证书是一种不受信任的 CA 类型。要通过这项检查，证书的信任链必须源于设备的本地证书存储区。

有关分配自签名根证书并将其安装到 Mac 客户端系统的信息，请参阅 Apple 网站上提供的适用于您使用的 Mac 服务器的《高级服务器管理》文档。

如何设置证书检查模式

系统管理员可能会要求最终用户在 Horizon Client 中设置证书检查模式，以确保他们可以成功连接到服务器。在某些公司，管理员可能会在 Horizon Client 中设置证书检查模式，并禁止最终用户更改该模式。

要设置证书检查模式，请启动 Horizon Client，然后从菜单栏中选择 VMware Horizon Client > 首选项。可选择以下选项之一。

如果管理员稍后安装了一个来自受信任的证书颁发机构的安全证书，而且在连接时让所有证书检查均通过，则系统会记住此特定服务器的受信任连接。如果以后此服务器再次呈现自签名证书，连接将失败。特定服务器呈现完全可验证的证书后，必须始终这样做。

您可以在 Horizon Client 中配置默认证书检查模式，并阻止最终用户对其进行更改。有关更多信息，请参阅为最终用户配置证书检查模式。

使用 SSL 代理服务器

如果使用 SSL 代理服务器检查从客户端环境发送到 Internet 的流量，请启用协议连接证书验证设置，然后将其设为 PKI 验证或指纹或 PKI 验证。如果客户端在 FIPS 模式下运行，请将此选项设置为 PKI 验证。此设置允许对通过 SSL 代理服务器进行的辅助连接进行证书检查，并且适用于 Blast 安全网关和安全加密链路连接。如果使用 SSL 代理服务器并启用证书检查，但未将该设置设为 PKI 或指纹或 PKI，则连接会因为指纹不匹配而失败。如果您启用不验证服务器身份证书选项，则协议连接证书验证模式将不可用。启用不验证服务器身份证书选项后，Horizon Client 不会验证证书或指纹，并且将始终允许使用 SSL 代理。您还可以通过 Horizon Client 组策略设置配置协议连接证书验证模式。

您还可以通过 Horizon Client 组策略设置配置协议连接证书验证模式。有关更多信息，请参阅“使用组策略设置配置 Horizon Client”。

要允许通过代理服务器进行 VMware Blast 连接，请参阅“配置 Blast 选项”。