每个连接服务器实例会对其自己的证书执行证书撤消检查。每当与 vCenter Server 建立连接时,每个实例还会检查 vCenter Server 的证书。默认情况下,证书链中除了根证书之外的所有证书都在检查之列。但您可以更改此默认设置。
如果配置了 SAML 2.0 身份验证器以供连接服务器实例使用,连接服务器也会对 SAML 2.0 服务器证书执行证书撤消检查。
VMware Horizon 支持多种证书撤消检查方法,例如,证书撤消列表 (CRL) 和联机证书状态协议 (Online Certificate Status Protocol, OCSP)。CRL 是由颁发证书的 CA 发布的吊销证书列表。OCSP 是一种证书验证协议,用于获取 X.509 证书的撤消状态。
借助 CRL,撤消证书列表会从证书分发点 (DP) 下载,证书中通常都会指定这一分发点。该服务器会定期转到证书中指定的 CRL DP URL 下载列表,并检查以确定是否已撤消了服务器证书。借助 OCSP,该服务器会向 OCSP 响应程序发送请求,以确定证书的撤消状态。
从第三方证书颁发机构 (CA) 获取服务器证书时,证书包含一种或多种可用来确定其撤消状态的方法,例如,CRL DP URL 或 OCSP 响应程序的 URL。如果您有自己的 CA 并生成了证书,但证书中不包含撤消信息,则证书撤消检查会失败。此类证书的撤消信息可能包括:托管 CRL 的服务器上基于 Web 的 CRL DP 的 URL。
如果您有自己的 CA,但证书中没有或不能包含证书撤消信息,则可以选择不检查证书的撤消信息或只检查证书链中的特定证书。在该服务器上,您可以使用 Windows 注册表编辑器在 HKLM\Software\VMware, Inc.\VMware VDM\Security 下创建字符串 (REG_SZ) 值 CertificateRevocationCheckType,并将其设置为以下数据值之一。
| 值 | 说明 |
|---|---|
| 1 | 不执行证书撤消检查。 |
| 2 | 仅检查服务器证书。不检查证书链中的任何其他证书。 |
| 3 | 检查证书链中的所有证书。 |
| 4 | (默认)检查除根证书之外的所有证书。 |
如果未设置此注册表值,或设置的值无效(即,值不是 1、2、3 或 4),则除根证书之外的所有证书都在检查之列。在每个您要修改撤消检查的服务器上设置此注册表值。设置此值后,无需重新启动系统。
