您可以通过编辑 absg.properties 文件来配置 BSG 的客户端侦听器接受的安全协议和密码套件。

注: 连接服务器的安全设置不适用于 BSG。您必须为 BSG 单独配置安全性设置。

支持的协议如下:

发行版本 支持的协议 默认设置
VMware Horizon 8 版本 2312 及更高版本

TLS 1.1、TLS 1.2、TLS 1.3

注: TLS 1.1 在 FIPS 模式下不受支持。
  • 在非 FIPS 模式下,将启用 TLS 1.2 和 TLS 1.3。
  • 在 FIPS 模式下,将启用 TLS 1.2。
VMware Horizon 8 版本 2309 及更低版本 TLS 1.0、TLS 1.1、TLS 1.2 启用 TLS 1.2。

始终不允许使用旧协议(例如 SSLv3 和更低版本)。

localHttpsProtocolLowlocalHttpsProtocolHigh 两个属性决定 BSG 侦听器将接受的协议范围。例如,设置 localHttpsProtocolLow=tls1.1localHttpsProtocolHigh=tls1.3 会将侦听器配置为接受 TLS 1.1、TLS 1.2 和 TLS 1.3。您可以通过检查 BSG 的 absg.log 文件来发现对特定 BSG 实例有效的值。

必须使用 OpenSSL 中定义的格式来指定密码列表。您可以在 Web 浏览器中搜索 openssl cipher string,并查看密码列表格式。默认密码列表如下所示:

协议 默认密码列表
TLS 1.1、TLS 1.2
ECDHE+AESGCM
TLS 1.3
TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384
注: 在 FIPS 模式下,仅 GCM 密码套件处于启用状态 ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256)。

过程

  1. 在连接服务器实例上,编辑 install_directory\VMware\VMware View\Server\appblastgateway\absg.properties 文件。
    默认情况下,安装目录为 %ProgramFiles%
  2. 编辑 localHttpsProtocolLowlocalHttpsProtocolHigh 属性以指定协议范围。
    例如,
    localHttpsProtocolLow=tls1.1
    localHttpsProtocolHigh=tls1.3

    要仅启用一个协议,请为 localHttpsProtocolLowlocalHttpsProtocolHigh 指定相同的协议。

  3. 编辑 localHttpsCipherSpec 属性以指定密码套件列表。
    例如,
    localHttpsCipherSpec=!aNULL:kECDH+AESGCM:ECDH+AESGCM:kECDH+AES:ECDH+AES
  4. 重新启动 Windows 服务 VMware Horizon Blast 安全网关。