您可以配置 HTML Access Agent 使用的密码套件和安全协议。您也可以在组策略对象 (GPO) 中指定这些配置。

默认情况下,HTML Access Agent 仅使用 TLS 1.0、TLS 1.1 和 TLS 1.2。绝不允许使用旧版协议,如 SSLv3 及更早版本。SslProtocolLowSslProtocolHigh 这两个注册表值决定 HTML Access Agent 接受的协议范围。例如,设置 SslProtocolLow=tls_1.1SslProtocolHigh=tls_1.2 将导致 HTML Access Agent 接受 TLS 1.1 和 TLS 1.2。默认设置为 SslProtocolLow=tls_1.2SslProtocolHigh=tls_1.2,因此默认情况下,HTML Access Agent 仅接受 TLS 1.2。

在指定密码列表时,必须使用正确的密码列表格式。要查看密码列表格式,您可以在 Web 浏览器中搜索 OpenSSL 密码字符串。以下是默认密码列表:

ECDHE+AESGCM

过程

  1. 启动 Windows 注册表编辑器。
  2. 导航到 HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config 注册表项。
  3. 要指定协议范围,请添加两个新的字符串 (REG_SZ) 值:SslProtocolLowSslProtocolHigh
    这些注册表值的数据必须是 tls_1.1tls_1.2。要仅启用一个协议,请为两个注册表值指定相同的协议。如果某个注册表值不存在,或者它的数据未设置为以上三个协议中的一个,则将使用默认协议。
  4. 要指定密码套件列表,请添加一个新的字符串 (REG_SZ) 值:SslCiphers
    在注册表值的数据字段中键入或粘贴密码套件列表。例如,
    ECDHE-RSA-AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL
  5. 重新启动 VMware Blast Windows 服务。

结果

要恢复为使用默认密码列表,请删除 SslCiphers 注册表值并重新启动 Windows 服务 VMware Blast。不要删除值的数据部分。如果删除值的数据部分,HTML Access Agent 将会依据 OpenSSL 密码列表格式定义将所有密码视为不可接受。

HTML Access Agent 启动时,会将协议和密码信息写入其日志文件。您可以通过检查此日志文件来确定有效的值。

注: 随着网络安全方面的最佳实践不断改进,默认的协议和密码套件可能还会变更。