管理员可以配置证书验证模式。管理员还可以配置最终用户是否可控制在服务器证书检查失败时是否拒绝客户端连接。
证书检查针对的是连接服务器实例和 Horizon Client 之间的 TLS 连接。管理员可以配置验证模式来使用以下某个策略:
- 最终用户可以选择验证模式。
- (不验证)不执行证书检查。
- (警告)如果自签名证书由服务器呈现,最终用户将收到警告。用户可以选择是否允许该类型的连接。
- (完整安全性)执行完整验证,并拒绝未通过完整验证的连接。
证书验证包括以下检查:
- 证书是否已被吊销?
- 除了验证发件人身份和加密服务器通信外,证书还有什么其他用途?也就是说,证书类型是否正确?
- 证书是否过期,还是仅在未来有效?也就是说,根据计算机时钟,证书是否有效?
- 证书上的公用名是否与发送它的服务器主机名称匹配?如果负载平衡器将 Horizon Client 重定向到使用与 Horizon Client 中输入的主机名不匹配的证书的服务器,会出现不匹配。如果您在客户端中输入的是 IP 地址,而不是主机名,也可能出现不匹配的情况。
- 证书是否由未知或不受信任的证书颁发机构 (CA) 签署?自签名证书是一种不受信任的 CA 类型。要通过这项检查,证书的信任链必须源于设备的本地证书存储区。
如果使用 SSL 代理服务器检查客户端环境发送到 Internet 的流量,则可以通过 SSL 代理服务器为辅助连接启用证书检查。您还可以将 VMware Blast 连接配置为使用代理服务器。
有关如何为特定类型的客户端配置证书检查和 SSL 代理服务器使用的信息,请参阅适用于该客户端的 Horizon Client 安装和设置文档。这些文档还包含有关使用自签名证书的信息。