管理员(有时最终用户)可以配置在任意或部分服务器证书检查失败时是否拒绝客户端连接。

证书检查针对的是连接服务器和 Horizon Client 之间的 SSL 连接。证书验证包括以下检查:

  • 证书是否已被吊销?

  • 除了验证发件人身份和加密服务器通信外,证书还有什么其他用途?也就是说,证书类型是否正确?

  • 证书是否过期,还是仅在未来有效?也就是说,根据计算机时钟,证书是否有效?

  • 证书上的公用名是否与发送它的服务器主机名称匹配?如果负载平衡器将 Horizon Client 重定向到使用与 Horizon Client 中输入的主机名不匹配的证书的服务器,会出现不匹配。可能出现不匹配的另一个原因是,您在客户端输入的是 IP 地址,而不是主机名。

  • 证书是否由未知或不受信任的证书颁发机构 (CA) 签署?自签名证书是一种不受信任的 CA 类型。

    要通过这项检查,证书的信任链必须源于设备的本地证书存储区。

注:

有关向域中的所有 Windows 客户端系统分配自签名根证书的信息,请参阅《View 安装指南》文档中的“将根证书添加到受信任的根证书颁发机构”。

使用 Horizon Client 登录桌面时(如果管理员允许该操作),您可以单击配置 SSL 设置证书检查模式。您有三种选择:

  • 不要连接到不受信任的服务器。如果任何证书检查失败,客户端就无法连接到服务器。并显示一条错误消息,列出失败的检查。

  • 在连接到不受信任的服务器之前发出警告。如果因为服务器使用自签名证书而导致证书检查失败,您可以单击继续忽略警告。对于自签名证书,证书的名称不必与您在 Horizon Client 中输入的服务器名称保持一致。

    如果证书已过期,您还可能收到警告。

  • 不验证服务器身份证书。该设置意味着不会进行证书检查。

如果证书检查模式设置为警告,您仍然可以连接到使用自签名证书的连接服务器实例。

如果管理员稍后安装了一个来自受信任的证书颁发机构的安全证书,从而在连接时让所有证书检查均通过,则系统会记住此特定服务器的受信任连接。如果以后此服务器再次呈现自签名证书,连接将失败。特定服务器呈现完全可验证的证书后,必须始终这样做。

重要:

如果之前通过 GPO 将公司的客户端系统配置为使用特定密码(例如通过配置“SSL 密码套件顺序”组策略设置),现在必须使用 ADMX 模板文件中包含的 Horizon Client 组策略安全设置。请参阅客户端 GPO 的安全设置。您可以选择在客户端使用 SSLCipherList 注册表设置。请参阅使用 Windows 注册表配置 Horizon Client