您可以为最终用户配置证书检查模式。例如,您可以配置始终执行完整验证。证书检查针对的是服务器和 Horizon Client 之间的 TLS 连接。
您可以为最终用户配置下面的证书验证策略之一。
- 允许最终用户在 Horizon Client 中选择证书检查模式。
- (不验证)不执行证书检查。
- (警告)如果服务器提供自签名证书,最终用户将收到警告。用户可以确定是否允许该类型的连接。
- (完整安全性)执行完整验证,并拒绝未通过完整验证的连接。
如果使用 SSL 代理服务器检查从客户端环境发送到 Internet 的流量,则必须启用协议连接证书验证模式并将其设置为 PKI 验证。您还可以配置对通过 SSL 代理服务器进行的辅助连接进行证书检查。此功能适用于 Blast 安全网关和安全加密链路连接。您还可以允许使用代理服务器进行 VMware Blast 连接。
有关可执行的证书检查类型的信息,请参阅在 Horizon Windows Client 上设置证书检查模式。
您可以使用 Horizon Client 组策略设置来设置证书检查模式、允许使用 SSL 代理、在建立加密 TLS 连接之前限制使用特定的加密算法和协议,以及允许将代理用于 VMware Blast 连接。有关更多信息,请参阅使用组策略设置配置 Horizon Windows Client。
如果您不希望将证书检查模式配置为组策略,可以通过将 CertCheckMode 值名称添加到客户端计算机上的以下注册表项来启用证书检查:
- 对于 32 位 Windows:HKEY_LOCAL_MACHINE\Software\VMware, Inc.\VMware VDM\Client\Security
- 对于 64 位 Windows:HKLM\SOFTWARE\WOW6432Node\VMware, Inc.\VMware VDM\Client\Security
使用以下注册表项值:
- 0 实施 Do not verify server identity certificates。
- 1 实施 Warn before connecting to untrusted servers。
- 2 实施 Never connect to untrusted servers。
如果您在注册表项中配置了组策略设置和 CertCheckMode 设置,组策略设置优先于注册表项值。