Jede Verbindungsserver-Instanz führt eine Zertifikatsperrüberprüfung für ihre eigenen Zertifikate und für die Zertifikate auf dem Sicherheitsserver durch, mit dem der Verbindungsserver kombiniert ist. Darüber hinaus überprüft jede Instanz die Zertifikate von vCenter- und View Composer Servern, wenn sie eine Verbindung mit diesen Servern herstellt. Standardmäßig werden mit Ausnahme des Stammzertifikats alle Zertifikate in der Kette überprüft. Sie können diese Standardeinstellung jedoch ändern.

Wenn ein SAML 2.0-Authentifikator für die Verwendung durch eine Verbindungsserver-Instanz konfiguriert ist, führt der Verbindungsserver auch für das SAML 2.0-Serverzertifikat eine Zertifikatsperrüberprüfung durch.

Horizon 7 unterstützt verschiedene Methoden zur Zertifikatsperrüberprüfung, z. B. Zertifikatsperrlisten und OCSP (Online Certificate Status Protocol). Eine Zertifikatsperrliste ist eine Liste mit gesperrten Zertifikaten, die von der Zertifizierungsstelle veröffentlicht wird, die das Zertifikat ausgestellt hat. OCSP ist ein Zertifikatüberprüfungsprotokoll, das zum Abrufen des Sperrstatus eines X.509-Zertifikats verwendet wird.

Mit Zertifikatsperrlisten wird die Liste der widerrufenen Zertifikate von einem Verteilungspunkt für Zertifikate heruntergeladen, der häufig im Zertifikat angegeben ist. Der Server lädt die Liste regelmäßig über die im Zertifikat angegebene URL dieses Verteilungspunkts herunter und prüft, ob das Serverzertifikat widerrufen wurde. Mit OCSP sendet der Server eine Anforderung an einen OCSP-Antwortdienst, um den Sperrstatus des Zertifikats zu ermitteln.

Wenn Sie ein Serverzertifikat von einer Zertifizierungsstelle eines Drittanbieters erwerben, umfasst das Zertifikat mindestens eine Methode zum Ermitteln des Sperrstatus. Dazu zählen z. B. die URL eines Verteilungspunkts für Zertifikatsperrlisten oder die URL eines OCSP-Antwortdiensts. Wenn Sie über eine eigene Zertifizierungsstelle verfügen und ein Zertifikat generieren, ohne Sperrinformationen aufzunehmen, schlägt die Zertifikatsperrüberprüfung fehl. Ein Beispiel für Sperrinformationen ist z. B. die URL eines webbasierten Verteilungspunkts für Zertifikatsperrlisten auf einem Server, auf dem eine solche Zertifikatsperrliste gehostet wird.

Wenn Sie über eine eigene Zertifizierungsstelle verfügen, jedoch keine Sperrinformationen für ein Zertifikat aufnehmen bzw. aufnehmen können, können Sie festlegen, dass für sämtliche oder bestimmte Zertifikate in der Kette keine Zertifikatsperrüberprüfung durchgeführt wird. Sie können auf dem Server mithilfe des Registrierungs-Editors von Windows unter HKLM\Software\VMware, Inc.\VMware VDM\Security den Zeichenkettenwert (REG_SZ) CertificateRevocationCheckType erstellen und diesen Wert auf einen der folgenden Datenwerte festlegen.

Wert Beschreibung
1 Es wird keine Zertifikatsperrüberprüfung durchgeführt.
2 Es werden lediglich Serverzertifikate überprüft. Weitere Zertifikate in der Kette werden nicht überprüft.
3 Es werden alle Zertifikate in der Kette überprüft.
4 (Standardwert) Mit Ausnahme des Stammzertifikats werden alle Zertifikate überprüft.

Wenn dieser Registrierungswert nicht oder auf einen ungültigen Wert (einen anderen Wert als 1, 2, 3 oder 4) festgelegt wird, werden mit Ausnahme des Stammzertifikats alle Zertifikate überprüft. Legen Sie diesen Registrierungswert auf jedem Server fest, auf dem die Zertifikatsperrüberprüfung geändert werden soll. Nach dem Festlegen dieses Werts muss das System nicht gestartet werden.

Hinweis: Wenn Ihre Organisation für den Internetzugriff Proxyeinstellungen verwendet, müssen Sie Ihre Verbindungsserver-Computer möglicherweise für die Verwendung dieser Proxyeinstellungen konfigurieren. Auf diese Weise wird sichergestellt, dass die Zertifikatsperrüberprüfung für Sicherheitsserver oder Verbindungsserver-Instanzen durchgeführt werden kann, die für sichere Clientverbindungen verwendet werden. Wenn eine Verbindungsserver-Instanz nicht auf das Internet zugreifen kann, schlägt die Zertifikatsperrüberprüfung möglicherweise fehl und die Verbindungsserver-Instanz oder kombinierte Sicherheitsserver werden auf dem Horizon Administrator-Dashboard möglicherweise mit roter Markierung angezeigt. Informationen zum Beheben dieses Problems finden Sie unter „Behandeln von Problemen bei der Zertifikatsperrüberprüfung für Sicherheitsserver“ im Dokument Horizon 7-Verwaltung.