要在直接连接会话中实现更高的安全性,可以修改 /etc/nginx/conf.d/vmwhedc.conf 配置文件以禁止在 SSL/TLS 通信中使用弱密码,并将默认的自签名 TLS 证书替换为由证书颁发机构签名的证书。
在 SSL/TLS 通信中禁用弱密码
注: 如果未将
Horizon Client 配置为支持虚拟桌面操作系统支持的任何密码,TLS/SSL 协商将失败,客户端将无法连接。
有关在 Horizon Client 中配置支持的密码套件的信息,请参见 Horizon Client 文档,网址为 https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html。
在
/etc/nginx/conf.d/vmwvadc.conf 配置文件中的
###Enable https 下,以下行指定默认密码列表。
ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;
要禁止使用弱密码,请使用 https://www.openssl.org/docs/ 中所述的密码列表格式将密码字符串添加到 ssl_ciphers 行。
替换自签名 TLS 服务器证书
在安装后首次启动 View Agent Direct-Connection 插件 (VADC) 时,它会自动生成自签名 TLS 服务器证书。TLS 协议协商期间,会将 TLS 服务器证书提供给 Horizon Client,以便向客户端提供有关此桌面的信息。
默认自签名 TLS 服务器证书无法为 Horizon Client 提供足够的保护来抵御篡改和窃听威胁。要防范这些威胁,必须将自签名证书替换为由证书颁发机构 (CA) 签名的证书,并且该证书还要获得客户端信任并通过 Horizon Client 证书检查的完全验证。
支持具有主题备用名称 (SAN) 的证书和通配证书。
在
/etc/nginx/conf.d/vmwvadc.conf 配置文件中的
###Enable https 下,以下行指定默认的自签名证书和私钥。
ssl_certificate /etc/vmware/ssl/rui.crt; ssl_certificate_key /etc/vmware/ssl/rui.key;
将这些行中的默认条目替换为 CA 签名证书和私钥的文件路径。
