为了遵循行业或司法辖区的安全规定,您可将 PCoIP 安全网关 (PSG) 服务生成的默认 TLS 证书替换成 CA 签发的证书。
在 VMware Horizon 中,PSG 服务会在启动时创建默认的自签名 TLS 证书。PSG 服务会将自签名证书提供给运行连接到 PSG 的适用于 Windows 的 Horizon Client 5.2 或更高版本的客户端。
PSG 还会提供一个默认的旧版 TLS 证书,该证书将提供给运行连接到 PSG 的旧版 View Client 或更早版本的客户端。
默认证书会提供从客户端端点到 PSG 的安全连接,并且不需要在 Horizon Console 中进一步配置。但是,我们强烈建议配置 PSG 服务使用 CA 签发的证书,特别是对于需要使用安全扫描程序通过合规性测试的部署。
尽管不是强制要求,但是您最好能在将默认 PSG 证书替换成 CA 签发的证书前,为服务器配置 CA 签发的新 TLS 证书。进行下面的步骤前,您应先为运行 PSG 的服务器将 CA 签发的证书导入到 Windows 证书存储区。
注: 如果您使用安全扫描程序进行合规性测试,最好先将 PSG 设置为使用与服务器相同的证书,并在扫描 PSG 端口前先扫描
VMware Horizon 端口。这样一来,您就可以先解决在扫描 View 端口时出现的信任或验证问题,从而避免这些问题造成 PSG 端口和证书测试失效。接下来,您即可为 PSG 配置唯一的证书并进行下一项扫描。