将在 Horizon Client 和服务器之间的连接上进行服务器证书检查。证书是一种数字形式的标识,类似于护照或驾照。

关于证书检查

服务器证书检查包括以下检查:

  • 证书是否已被吊销?
  • 除了验证发件人身份和加密服务器通信外,证书还有什么其他用途?也就是说,证书类型是否正确?
  • 证书是否过期,还是仅在未来有效?也就是说,根据计算机时钟,证书是否有效?
  • 证书上的公用名是否与发送它的服务器主机名称匹配?如果负载均衡器将 Horizon Client 重定向到使用与 Horizon Client 中输入的主机名不匹配的证书的服务器,会出现不匹配。可能出现不匹配的另一个原因是,您在客户端输入的是 IP 地址,而不是主机名。
  • 证书是否由未知或不受信任的证书颁发机构 (CA) 签署?自签名证书是一种不受信任的 CA 类型。要通过这项检查,证书的信任链必须源于设备的本地证书存储区。

有关向域中的所有 Windows 客户端系统分配自签名根证书的信息,请参阅《Horizon 安装和升级》文档中的“将根证书添加到受信任的根证书颁发机构”。

如何设置证书检查模式

系统管理员可能会要求最终用户在 Horizon Client 中设置证书检查模式,以确保他们可以成功连接到服务器。在某些公司,管理员可能会在 Horizon Client 中设置证书检查模式,并禁止最终用户更改该模式。

要设置证书检查模式,请启动 Horizon Client,然后选择设置 > 安全性。可选择以下选项之一。请注意,您无法在 FIPS 模式下配置证书检查。

  • 不连接到不受信任的服务器。该设置意味着,如果任何证书检查失败,则无法连接到服务器。并显示一条错误消息,列出失败的检查。
  • 在连接到不受信任的服务器之前发出警告。该设置意味着,如果证书检查由于服务器使用自签名证书而失败,您可以单击继续以忽略该警告。对于自签名证书,证书名称不需要与您在 Horizon Client 中输入的服务器名称匹配。如果证书已过期,您还可能收到警告。
  • 不验证服务器身份证书。该设置意味着不会进行证书检查。

如果管理员稍后安装了一个来自受信任的证书颁发机构的安全证书,而且在连接时让所有证书检查均通过,则系统会记住此特定服务器的受信任连接。如果以后此服务器再次呈现自签名证书,连接将失败。特定服务器呈现完全可验证的证书后,必须始终这样做。

重要说明:

如果之前使用组策略将贵公司的客户端系统配置为使用特定密码(例如通过配置 SSL 密码套件顺序组策略设置),您现在必须使用 Horizon Client 组策略安全设置。请参阅使用组策略设置配置 Horizon Client。或者,可以在客户端系统上使用 SSLCipherList 注册表设置。请参阅使用 Windows 注册表配置 Horizon Client

您可以在 Horizon Client 中配置默认证书检查模式,并阻止最终用户对其进行更改。有关更多信息,请参阅为最终用户配置证书检查模式

使用 SSL 代理服务器

如果使用 SSL 代理服务器检查从客户端环境发送到 Internet 的流量,请启用协议连接证书验证设置,然后将其设为 PKI 验证指纹或 PKI 验证。如果客户端在 FIPS 模式下运行,请将此选项设置为 PKI 验证。此设置允许对通过 SSL 代理服务器进行的辅助连接进行证书检查,并且适用于 Blast 安全网关和安全加密链路连接。如果使用 SSL 代理服务器并启用证书检查,但未将该设置设为 PKI指纹或 PKI,则连接会因为指纹不匹配而失败。如果您启用不验证服务器身份证书选项,则协议连接证书验证模式将不可用。启用不验证服务器身份证书选项后,Horizon Client 不会验证证书或指纹,并且将始终允许使用 SSL 代理。您还可以通过 Horizon Client 组策略设置配置协议连接证书验证模式。有关更多信息,请参阅使用组策略设置配置 Horizon Client

您还可以通过 Horizon Client 组策略设置配置协议连接证书验证模式。有关更多信息,请参阅“使用组策略设置配置 Horizon Client”。

您可以使用配置 Horizon Client 的 SSL 代理证书检查行为组策略设置,来配置是否允许对通过 SSL 代理服务器进行的辅助连接进行证书检查。

要允许通过代理服务器进行 VMware Blast 连接,请参阅配置 VMware Blast 选项