您可以通过编辑 absg.properties 文件来配置 BSG 的客户端侦听器接受的安全协议和密码套件。

允许使用的协议为 tls1.0、tls1.1 和 tls1.2(从低到高排序)。绝不允许使用 SSLv3 和更低版本的旧协议。localHttpsProtocolLowlocalHttpsProtocolHigh 两个属性决定 BSG 侦听器将接受的协议范围。例如,设置 localHttpsProtocolLow=tls1.0localHttpsProtocolHigh=tls1.2 将导致侦听器接受 tls1.0、tls1.1 和 tls1.2。默认设置为 localHttpsProtocolLow=tls1.2localHttpsProtocolHigh=tls1.2,这意味着默认情况下仅允许使用 TLS 1.2。您可以通过检查 BSG 的 absg.log 文件来发现对于某个特定 BSG 实例有效的值。

必须使用 OpenSSL 中定义的格式来指定密码列表。您可以在 Web 浏览器中搜索 openssl cipher string,并查看密码列表格式。以下是默认密码列表: 

ECDHE+AESGCM
注: 在 FIPS 模式下,仅 GCM 密码套件处于启用状态 ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256)。

过程

  1. 在连接代理实例上,编辑 install_directory\VMware\VMware View\Server\appblastgateway\absg.properties 文件。
    默认情况下,安装目录为 %ProgramFiles%
  2. 编辑 localHttpsProtocolLowlocalHttpsProtocolHigh 属性以指定协议范围。
    例如, 
    localHttpsProtocolLow=tls1.0
localHttpsProtocolHigh=tls1.2

    要仅启用一个协议,请为 localHttpsProtocolLowlocalHttpsProtocolHigh 指定相同的协议。

  3. 编辑 localHttpsCipherSpec 属性以指定密码套件列表。
    例如, 
    localHttpsCipherSpec=!aNULL:kECDH+AESGCM:ECDH+AESGCM:kECDH+AES:ECDH+AES
  4. 重新启动 Windows 服务 VMware Horizon Blast 安全网关。