默认情况下,将在 VMware Horizon 8 中停用不再视为安全的一些旧协议和密码。如果需要,您可以手动激活它们。

停用的协议和密码

VMware Horizon 8 中,默认情况下将停用以下协议和密码:

DHE 密码套件

与 DSA 证书兼容的密码套件使用 Diffie-Hellman 临时密钥,从 Horizon 6 版本 6.2 开始,不再默认激活这些套件。有关更多信息,请参阅 http://kb.vmware.com/kb/2121183

对于连接服务器实例和 VMware Horizon 8 桌面,您可以按照本指南中所述,通过编辑 Horizon LDAP 数据库、locked.properties 文件或注册表来激活这些密码套件。请参阅更改全局接受和建议策略在单个服务器上配置接受策略在 VMware Horizon 8 环境中的远程桌面上配置建议策略。您可以定义一组密码套件,其中包含下面的一个或多个套件(按以下顺序):

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256(仅 TLS 1.2,不适用于 FIPS)
  • TLS_DHE_DSS_WITH_AES_256_GCM_SHA384(仅 TLS 1.2,不适用于 FIPS)
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256(仅 TLS 1.2)
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256(仅 TLS 1.2)
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA

对于 Horizon Agent Direct-Connection 插件计算机,在执行《Horizon 8 安装和升级》文档中的“在 SSL/TLS 中为 Horizon Agent 计算机停用弱密码”过程时,您可以通过在密码列表中添加以下内容来激活 DHE 密码套件。

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
注: 无法为 ECDSA 证书激活支持。从不支持这些证书。

SHA-1

在 FIPS 模式下,如果证书是使用 SHA-1 签名的,则证书验证将失败并显示“证书不符合算法限制”(Certificates do not conform to algorithm constraints)。这适用于证书链中的任何证书,包括根证书。有关为何弃用这种签名算法的更多信息,请参阅 https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf

如果可能,请替换失败的证书。如果无法完成此操作,可以通过编辑 LDAP 来重新激活 SHA-1 签名。导航到 CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int。通过将 rsa_pkcs1_sha1 添加到逗号分隔值列表来修改属性 pae-SSLClientSignatureSchemes。保存修改后的属性,然后在集群中的每个连接服务器上重新启动连接服务器服务,每次启动一个。

非向前保密 (PFS)

有关更多信息,请参阅https://datatracker.ietf.org/doc/html/rfc7525。默认情况下将停用指定不显示向前保密 (PFS) 的密钥交换算法的密码套件。有关如何激活这些密码套件的说明,请参阅本主题的其他部分。

重新激活协议

尽管弃用上列协议的理由非常充分,但您可能会遇到需要重新激活其中一个或多个协议的用例。如果遇到这种情况,您可以按照以下过程激活这些协议。

对于连接服务器实例和 VMware Horizon 8 桌面,您可以通过编辑配置文件 C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security 来激活协议。靠近文件中间位置有两个分别名为 jdk.tls.disabledAlgorithmsjdk.tls.legacyAlgorithms 的多行条目。如果在 jdk.tls.legacyAlgorithms 中找到了协议,请从该条目中移除协议及其后面的逗号。如果在 jdk.tls.disabledAlgorithms 中找到了协议,请从此处移除协议并将其添加jdk.tls.legacyAlgorithms。对此文件进行任何更改后,重新启动连接服务器或 Horizon Agent 计算机。

另请参阅《Horizon 8 安装和升级》文档中的“对从连接服务器进行的 vCenter 连接启用 TLSv1”一节。

对于 Horizon Agent Direct-Connection(以前称为 VADC)计算机,在执行《Horizon 8 安装和升级》文档中的“在 SSL/TLS 中为 Horizon Agent 计算机停用弱密码”过程时,您可以通过在密码列表中添加一行来激活协议。例如,要激活 RC4,您可以添加以下内容。

TLS_RSA_WITH_RC4_128_SHA