在为 VMware Horizon 8 Server 及相关组件配置 TLS 证书时必须遵循特定的指导原则。
Horizon Connection Server
客户端与服务器之间的连接需要使用 TLS。面向客户端的连接服务器实例和用于终止 TLS 连接的中间服务器都需要 TLS 服务器证书。
- 如果 Windows 证书存储区中已存在友好名称为 vdm 的有效证书
- 如果您从较早版本升级到 VMware Horizon 8,且在 Windows Server 计算机上配置了有效的密钥存储文件,则安装会提取密钥和证书,并将其导入到 Windows 证书存储区中。
vCenter Server
在生产环境的 VMware Horizon 8 中添加 vCenter Server 之前,请确保 vCenter Server 使用 CA 签发的证书。
有关替换 vCenter Server 的默认证书的信息,请参阅“VMware vSphere 文档”网站上《vSphere 身份验证》文档中的“大型部署中的证书替换”。
PCoIP 安全网关
为了遵循行业或司法辖区的安全规定,您可将 PCoIP 安全网关 (PCoIP Secure Gateway, PSG) 服务生成的默认 TLS 证书替换成 CA 签发的证书。我们强烈建议配置 PSG 服务使用 CA 签发的证书,特别是对于需要使用安全扫描程序通过合规性测试的部署。请参阅 TLS。
Blast 安全网关
默认情况下,Blast 安全网关 (Blast Secure Gateway, BSG) 将使用为运行 BSG 的连接服务器实例配置的 TLS 证书。如果您将服务器的默认自签名证书替换为 CA 签发的证书,则 BSG 也会使用 CA 签发的证书。
注册服务器
从连接服务器连接到注册服务器时需要使用 TLS。默认情况下,注册服务器会为该服务器生成自签名证书。但是,如果 Windows 证书存储区中已存在友好名称为 vdm.es 的有效证书,则安装将使用现有证书。
数据库服务器
要启用 TLS 以与用于主机事件数据库的数据库服务器进行通信,请确保数据库服务器使用由 CA 签名的证书。要在数据库服务器上设置 TLS 证书,请参阅来自相应数据库提供商的文档。
SAML 2.0 身份验证器
VMware Workspace ONE Access 使用 SAML 2.0 身份验证器为不同的安全域提供基于 Web 的身份验证和授权。如果希望 VMware Horizon 8 将身份验证委派给 VMware Workspace ONE Access,可以将 VMware Horizon 8 配置为接受经过 SAML 2.0 身份验证的 VMware Workspace ONE Access 会话。当 VMware Workspace ONE Access 被配置为支持 VMware Horizon 8 时,VMware Workspace ONE Access 用户可以通过选择 Horizon 用户门户上的桌面图标连接至远程桌面。
在 Horizon Console 中,您可以配置 SAML 2.0 身份验证器,以将其与连接服务器实例配合使用。
在 Horizon Console 中添加 SAML 2.0 身份验证器之前,请确保 SAML 2.0 身份验证器使用 CA 签发的证书。
其他指导原则
有关请求和使用 CA 签发的 TLS 证书的一般信息,请参阅 TLS。
当客户端端点连接到连接服务器实例时,系统将向它们提供服务器的 TLS 服务器证书以及信任链中的任何中间证书(中间证书位于连接服务器的 Windows“中间证书颁发机构”存储区中)。要信任服务器证书,客户端系统必须已安装签发 CA 的根证书。
在建立 TLS 连接时,vCenter Server 不会提供中间证书。连接服务器实例应在其 Windows“中间证书颁发机构”存储区中包含这些中间证书。请参阅知识库文章 2108294。
同样,如果为连接服务器配置了 SAML 2.0 身份验证器,则连接服务器计算机必须已为 SAML 2.0 服务器证书安装签发 CA 的根证书。