在为 VMware Horizon Server 及相关组件配置 TLS 证书时必须遵循特定的指导原则。

Horizon 连接服务器

客户端与服务器之间的连接需要使用 TLS。面向客户端的连接服务器实例和用于终止 TLS 连接的中间服务器都需要 TLS 服务器证书。

默认情况下,在安装连接服务器时,安装程序会为服务器生成一个自签名证书。但在以下情况中,安装程序仍使用现有证书:
  • 如果 Windows 证书存储区中已存在友好名称为 vdm 的有效证书
  • 如果您从较早版本升级到 VMware Horizon,且在 Windows Server 计算机上配置了有效的密钥存储文件,则安装会提取密钥和证书,并将其导入到 Windows 证书存储区中。

vCenter Server

在生产环境的 VMware Horizon 中添加 vCenter Server 之前,请确保 vCenter Server 使用 CA 签发的证书。

有关替换 vCenter Server 默认证书的信息,请参阅 VMware 技术白皮书站点 (http://www.vmware.com/resources/techresources/) 中的“替换 vCenter Server 证书”。

PCoIP 安全网关

为了遵循行业或司法辖区的安全规定,您可将 PCoIP 安全网关 (PCoIP Secure Gateway, PSG) 服务生成的默认 TLS 证书替换成 CA 签发的证书。我们强烈建议配置 PSG 服务使用 CA 签发的证书,特别是对于需要使用安全扫描程序通过合规性测试的部署。请参阅 TLS

Blast 安全网关

默认情况下,Blast 安全网关 (Blast Secure Gateway, BSG) 将使用为运行 BSG 的连接服务器实例配置的 TLS 证书。如果您将服务器的默认自签名证书替换为 CA 签发的证书,则 BSG 也会使用 CA 签发的证书。

SAML 2.0 身份验证器

VMware Workspace ONE Access 使用 SAML 2.0 身份验证器为不同的安全域提供基于 Web 的身份验证和授权。如果希望 VMware Horizon 将身份验证委派给 VMware Workspace ONE Access,可以将 VMware Horizon 配置为接受经过 SAML 2.0 身份验证的 VMware Workspace ONE Access 会话。当 VMware Workspace ONE Access 被配置为支持 VMware Horizon 时,VMware Workspace ONE Access 用户可以通过选择 Horizon 用户门户上的桌面图标连接至远程桌面。

Horizon Console 中,您可以配置 SAML 2.0 身份验证器,以将其与连接服务器实例配合使用。

Horizon Console 中添加 SAML 2.0 身份验证器之前,请确保 SAML 2.0 身份验证器使用 CA 签发的证书。

其他指导原则

有关请求和使用 CA 签发的 TLS 证书的一般信息,请参阅 TLS

当客户端端点连接到连接服务器实例时,系统会向它们显示相应服务器的 TLS 服务器证书和信任链中的任何中间证书。要信任服务器证书,客户端系统必须已安装签发 CA 的根证书。

当连接服务器与 vCenter Server 通信时,系统会向连接服务器显示 TLS 服务器证书和此服务器的中间证书。要信任 vCenter Server,连接服务器计算机必须已安装签发 CA 的根证书。

同样,如果为连接服务器配置了 SAML 2.0 身份验证器,则连接服务器计算机必须已为 SAML 2.0 服务器证书安装签发 CA 的根证书。