每个连接服务器实例会对其自己的证书执行证书撤消检查。每当与 vCenter Server 建立连接时,每个实例还会检查 vCenter Server 的证书。默认情况下,证书链中除了根证书之外的所有证书都在检查之列。但您可以更改此默认设置。
如果配置了 SAML 2.0 身份验证器以供连接服务器实例使用,连接服务器也会对 SAML 2.0 服务器证书执行证书撤消检查。
VMware Horizon 8 支持多种证书撤消检查方法,例如,证书撤消列表 (CRL) 和联机证书状态协议 (Online Certificate Status Protocol, OCSP)。CRL 是由颁发证书的 CA 发布的吊销证书列表。OCSP 是一种证书验证协议,用于获取 X.509 证书的撤消状态。
借助 CRL,撤消证书列表会从证书分发点 (DP) 下载,证书中通常都会指定这一分发点。该服务器会定期转到证书中指定的 CRL DP URL 下载列表,并检查以确定是否已撤消了服务器证书。借助 OCSP,该服务器会向 OCSP 响应程序发送请求,以确定证书的撤消状态。
从第三方证书颁发机构 (CA) 获取服务器证书时,证书包含一种或多种可用来确定其撤消状态的方法,例如,CRL DP URL 或 OCSP 响应程序的 URL。如果您有自己的 CA 并生成了证书,但证书中不包含撤消信息,则证书撤消检查会失败。此类证书的撤消信息可能包括:托管 CRL 的服务器上基于 Web 的 CRL DP 的 URL。
如果您有自己的 CA,但证书中没有或不能包含证书撤消信息,则可以选择不检查证书的撤消信息或只检查证书链中的特定证书。在该服务器上,您可以使用 Windows 注册表编辑器在 HKLM\Software\VMware, Inc.\VMware VDM\Security 下创建字符串 (REG_SZ) 值 CertificateRevocationCheckType,并将其设置为以下数据值之一。
| 值 | 说明 |
|---|---|
| 1 | 不执行证书撤消检查。 |
| 2 | 仅检查服务器证书。不检查证书链中的任何其他证书。 |
| 3 | 检查证书链中的所有证书。 |
| 4 | (默认)检查除根证书之外的所有证书。 |
如果未设置此注册表值,或设置的值无效(即,值不是 1、2、3 或 4),则除根证书之外的所有证书都在检查之列。在每个您要修改撤消检查的服务器上设置此注册表值。设置此值后,无需重新启动系统。
