您可以使用 Windows 注册表配置 VMware Blast Windows 服务使用的密码套件和安全协议。
Blast Windows 服务支持以下安全协议,具体取决于 Horizon Agent 的发行版本。
发行版本 | 支持的协议 | 默认设置 |
---|---|---|
Horizon Agent 2312 及更高版本 | TLS 1.1、TLS 1.2、TLS 1.3
注: TLS 1.1 在 FIPS 模式下不受支持。
|
|
Horizon Agent 2309 及更低版本 | TLS 1.0、TLS 1.1、TLS 1.2 | 启用 TLS 1.2。 |
始终不允许使用旧协议(例如 SSLv3 和更低版本)。SslProtocolLow 和 SslProtocolHigh 这两个注册表值决定 Blast Windows 服务接受的协议范围。
您必须使用 OpenSSL 中定义的格式指定密码列表。有关正确密码列表格式的准则,可以在 Web 浏览器中搜索 OpenSSL 密码字符串。默认密码列表如下所示:
协议 | 默认密码列表 |
---|---|
TLS 1.1、TLS 1.2 | ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256 |
TLS 1.3 | TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256 |
过程
结果
Blast Windows 服务启动时,会将协议和密码信息写入其日志文件。您可以检查日志文件以确定生效的值。
要恢复为使用默认密码列表,请删除 SslCiphers 或 SslCipherSuites 注册表值并重新启动 Blast Windows 服务。不要删除值的数据部分。如果删除值的数据部分,Blast Windows 服务将会依据 OpenSSL 密码列表格式定义将所有密码视为不可接受。
注: 随着网络安全方面的最佳实践不断改进,默认的协议和密码套件可能还会变更。