要在单个连接服务器实例上指定本地接受策略,必须在 locked.properties 文件中添加相关属性。如果服务器上还不存在 locked.properties 文件,则必须创建此文件。

您可以为每个要配置的安全协议添加一个 secureProtocols.n 条目。请使用以下语法:secureProtocols.n=security protocol

您可以为每个要配置的密码套件添加一个 enabledCipherSuite.n 条目。请使用以下语法:enabledCipherSuite.n=cipher suite

n 变量是在每个条目类型中按顺序添加的整数(1、2、3)。

您可以添加一个 honorClientOrder 条目以控制密码套件的优先级。通常,服务器的密码套件顺序无关紧要,因为使用的是客户端的顺序。要改为使用服务器的密码套件顺序,请使用以下语法: 

honorClientOrder=false

请确保 locked.properties 文件中的条目语法正确,密码套件和安全协议的名称拼写无误。文件中出现任何错误都能导致客户端与服务器之间的协商失败。

过程

  1. 在连接服务器计算机的 TLS/SSL 网关配置文件夹中创建或编辑 locked.properties 文件。
    例如: install_directory\VMware\VMware View\Server\sslgateway\conf\
  2. 添加 secureProtocols.nenabledCipherSuite.n 条目,包括关联的安全协议和密码套件。
  3. 保存 locked.properties 文件。
  4. 重新启动 VMware Horizon Connection Server 服务以使所做的更改生效。

示例: 单个服务器上的默认接受策略

以下示例显示了 locked.properties 文件中指定默认策略所需的条目: 

# The following list should be ordered with the latest protocol first:

secureProtocols.1=TLSv1.2

# This setting must be the latest protocol given in the list above:

preferredSecureProtocol=TLSv1.2

# The order of the following list is unimportant unless honorClientOrder is false:

enabledCipherSuite.1=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
enabledCipherSuite.2=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
enabledCipherSuite.3=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
enabledCipherSuite.4=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

# Use the client's ordering of cipher suites (ignores the ordering given above):

honorClientOrder=true
注: 在 FIPS 模式下,仅 GCM 密码套件处于启用状态。