您可以使用 Windows 注册表配置 VMware Blast Windows 服务使用的密码套件和安全协议。

Blast Windows 服务支持以下安全协议,具体取决于 Horizon Agent 的发行版本。

发行版本 支持的协议 默认设置
Horizon Agent 2312 及更高版本

TLS 1.1、TLS 1.2、TLS 1.3

注: TLS 1.1 在 FIPS 模式下不受支持。
  • 在非 FIPS 模式下,将启用 TLS 1.2 和 TLS 1.3。
  • 在 FIPS 模式下,将启用 TLS 1.2。
Horizon Agent 2309 及更低版本 TLS 1.0、TLS 1.1、TLS 1.2 启用 TLS 1.2。

始终不允许使用旧协议(例如 SSLv3 和更低版本)。SslProtocolLowSslProtocolHigh 这两个注册表值决定 Blast Windows 服务接受的协议范围。

您必须使用 OpenSSL 中定义的格式指定密码列表。有关正确密码列表格式的准则,可以在 Web 浏览器中搜索 OpenSSL 密码字符串。默认密码列表如下所示:

协议 默认密码列表
TLS 1.1、TLS 1.2
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256
TLS 1.3
TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

过程

  1. 启动 Windows 注册表编辑器。
  2. 导航到 HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config 注册表项。
  3. 要指定协议范围,请添加两个新的字符串 (REG_SZ) 值:SslProtocolLowSslProtocolHigh
    要仅启用一个协议,请在数据字段中为两个注册表值指定相同的协议。例如,设置 SslProtocolLow=tls_1.3SslProtocolHigh=tls_1.3 会将 Blast Windows 服务配置为仅接受 TLS 1.3。
    注: 如果注册表值不存在,或者其数据未设置为受支持的协议字符串,则使用默认协议设置。支持的协议字符串如下所示:
    • tls_1.3(仅适用于 Horizon Agent 2312 及更高版本)
    • tls_1.2
    • tls_1.1
    • tls_1.0(仅适用于 Horizon Agent 2309 及更低版本)
  4. 要指定密码套件列表,请添加如下新字符串 (REG_SZ) 值:
    • 对于 TLS 1.1 或 TLS 1.2,添加 SslCiphers 值。
    • 对于 TLS 1.3,添加 SslCipherSuites 值。
    在注册表值的数据字段中键入或粘贴密码套件列表。
  5. 重新启动 Blast Windows 服务。

结果

Blast Windows 服务启动时,会将协议和密码信息写入其日志文件。您可以检查日志文件以确定生效的值。

要恢复为使用默认密码列表,请删除 SslCiphersSslCipherSuites 注册表值并重新启动 Blast Windows 服务。不要删除值的数据部分。如果删除值的数据部分,Blast Windows 服务将会依据 OpenSSL 密码列表格式定义将所有密码视为不可接受。

注: 随着网络安全方面的最佳实践不断改进,默认的协议和密码套件可能还会变更。