将在 Horizon Client 和服务器之间的连接上进行服务器证书检查。证书是一种数字形式的标识,类似于护照或驾照。
关于证书检查
服务器证书检查包括以下检查:
- 证书是否已被吊销?
- 除了验证发件人身份和加密服务器通信外,证书还有什么其他用途?也就是说,证书类型是否正确?
- 证书是否过期,还是仅在未来有效?也就是说,根据计算机时钟,证书是否有效?
- 证书上的公用名是否与发送它的服务器主机名称匹配?如果负载均衡器将 Horizon Client 重定向到使用与 Horizon Client 中输入的主机名不匹配的证书的服务器,会出现不匹配。可能出现不匹配的另一个原因是,您在客户端输入的是 IP 地址,而不是主机名。
- 证书是否由未知或不受信任的证书颁发机构 (CA) 签署?自签名证书是一种不受信任的 CA 类型。要通过这项检查,证书的信任链必须源于设备的本地证书存储区。
有关向域中的所有 Windows 客户端系统分配自签名根证书的信息,请参阅《Horizon 8 安装和升级》文档中的“将根证书添加到受信任的根证书颁发机构”。
如何设置证书检查模式
系统管理员可能会要求最终用户在 Horizon Client 中设置证书检查模式,以确保他们可以成功连接到服务器。在某些公司,管理员可能会在 Horizon Client 中设置证书检查模式,并禁止最终用户更改该模式。
要设置证书检查模式,请启动 Horizon Client,然后选择 。可选择以下选项之一。请注意,您无法在 FIPS 模式下配置证书检查。
- 不连接到不受信任的服务器。该设置意味着,如果任何证书检查失败,则无法连接到服务器。并显示一条错误消息,列出失败的检查。
- 在连接到不受信任的服务器之前发出警告。该设置意味着,如果证书检查由于服务器使用自签名证书而失败,您可以单击继续以忽略该警告。对于自签名证书,证书名称不需要与您在 Horizon Client 中输入的服务器名称匹配。如果证书已过期,您还可能收到警告。
- 不验证服务器身份证书。该设置意味着不会进行证书检查。
您可以在 Horizon Client 中配置默认证书检查模式,并阻止最终用户对其进行更改。有关更多信息,请参阅为 Horizon Windows Client 最终用户配置证书检查模式。
使用 SSL 代理服务器
如果使用 SSL 代理服务器检查从客户端环境发送到 Internet 的流量,请启用协议连接证书验证设置,然后将其设为 PKI 验证或指纹或 PKI 验证。如果客户端在 FIPS 模式下运行,请将此选项设置为 PKI 验证。此设置允许对通过 SSL 代理服务器进行的辅助连接进行证书检查,并且适用于 Blast 安全网关和安全加密链路连接。如果使用 SSL 代理服务器并启用证书检查,但未将该设置设为 PKI 或指纹或 PKI,则连接会因为指纹不匹配而失败。如果您启用不验证服务器身份证书选项,则协议连接证书验证模式将不可用。启用不验证服务器身份证书选项后,Horizon Client 不会验证证书或指纹,并且将始终允许使用 SSL 代理。您还可以通过 Horizon Client 组策略设置配置协议连接证书验证模式。
您还可以通过 Horizon Client 组策略设置配置协议连接证书验证模式。有关更多信息,请参阅“使用组策略设置配置 Horizon Client”。
您可以使用配置 Horizon Client 的 SSL 代理证书检查行为组策略设置,来配置是否允许对通过 SSL 代理服务器进行的辅助连接进行证书检查。
要允许通过代理服务器进行 VMware Blast 连接,请参阅“配置 Blast 选项”。