Bei der Konfiguration von TLS-Zertifikaten für Horizon 7-Server- und verknüpfte Komponenten müssen bestimmte Richtlinien befolgt werden.
Horizon-Verbindungsserver und Sicherheitsserver
TLS ist für Clientverbindungen mit einem Server erforderlich. Für Verbindungsserver-Instanzen mit Clientverbindung, Sicherheitsserver und Zwischenserver, die als Endpunkt für TLS-Verbindungen fungieren, sind TLS-Serverzertifikate erforderlich.
- Wenn im Windows-Zertifikatspeicher bereits ein gültiges Zertifikat mit dem Anzeigenamen vdm vorhanden ist.
- Wenn Sie ein Upgrade auf Horizon 7 von einer früheren Version durchführen und auf dem Windows Server-Computer eine gültige KeyStore-Datei konfiguriert ist, werden die Schlüssel und Zertifikate bei der Installation extrahiert und in den Windows-Zertifikatspeicher importiert.
vCenter Server und View Composer
Stellen Sie vor dem Hinzufügen von vCenter Server und View Composer zu Horizon 7 in einer Produktionsumgebung sicher, dass die von vCenter Server und View Composer verwendeten Zertifikate von einer Zertifizierungsstelle signiert wurden.
Informationen zum Ersetzen des Standardzertifikats für vCenter Server finden Sie unter „Replacing vCenter Server Certificates“ auf der VMware Technical Papers-Website unter http://www.vmware.com/resources/techresources/.
Wenn Sie vCenter Server und View Composer auf demselben Windows Server-Host installieren, wird dasselbe TLS-Zertifikat verwendet. Sie müssen das Zertifikat jedoch für jede Komponente einzeln konfigurieren.
PCoIP Secure Gateway
Um Industrie- oder Gesetzessicherheitsvorschriften zu entsprechen, können Sie das Standard-TLS-Zertifikat ersetzen, das vom PCoIP Secure Gateway (PSG) Service mit einem von einer Zertifizierungsstelle signierten Zertifikat generiert wird. Die Konfiguration des PSG-Service für die Nutzung eines CA-signierten Zertifikats wird dringend empfohlen, und dies besonders für Inbetriebnahmen, bei denen Sie Sicherheitsscanner verwenden müssen, um die Compliance-Tests zu bestehen. Weitere Informationen finden Sie unter TLS.
Blast Secure Gateway
Standardmäßig verwendet das Blast Secure Gateway (BSG) das TLS-Zertifikat, das für die Verbindungsserver-Instanz oder den Sicherheitsserver konfiguriert ist, auf dem das BSG ausgeführt wird. Wenn Sie das standardmäßige, selbstsignierte Zertifikat für einen Server durch ein von einer Zertifizierungsstelle signiertes Zertifikat ersetzen, verwendet das BSG auch das von der Zertifizierungsstelle signierte Zertifikat.
SAML 2.0-Authentifikator
VMware Identity Manager verwendet SAML 2.0-Authentifikatoren für eine webbasierte Authentifizierung und Autorisierung innerhalb von Sicherheitsdomänen. Wenn Horizon 7 die Authentifizierung an VMware Identity Manager delegieren soll, können Sie Horizon 7 so konfigurieren, dass über SAML 2.0 authentifizierte Sitzungen von VMware Identity Manager akzeptiert werden. Wenn VMware Identity Manager für die Unterstützung von Horizon 7 konfiguriert ist, können VMware Identity Manager-Benutzer eine Verbindung mit Remote-Desktops herstellen, indem sie im Horizon-Benutzerportal Desktopsymbole auswählen.
In Horizon Administrator können SAML 2.0-Authentifikatoren für die Verwendung mit Verbindungsserver-Instanzen konfiguriert werden.
Stellen Sie vor dem Hinzufügen eines SAML 2.0-Authentifikators in Horizon Administrator sicher, dass der SAML 2.0-Authentifikator ein von einer Zertifizierungsstelle signiertes Zertifikat verwendet.
Weitere Richtlinien
Allgemeine Informationen zum Anfordern und Verwenden von TLS-Zertifikaten, die von einer Zertifizierungsstelle signiert wurden, finden Sie unter TLS.
Wenn Clientendpunkte eine Verbindung mit einer Verbindungsserver-Instanz oder einem Sicherheitsserver herstellen, werden diesen das TLS-Serverzertifikat sowie alle Zwischenzertifikate in der Vertrauenskette angezeigt. Um das Serverzertifikat als vertrauenswürdig einzustufen, muss auf den Clientsystemen das Stammzertifikat der signierenden Zertifizierungsstelle installiert sein.
Wenn der Verbindungsserver mit vCenter Server und View Composer kommuniziert, werden dem Verbindungsserver TLS-Serverzertifikate und Zwischenzertifikate dieser Server angezeigt. Um vCenter Server und View Composer Server als vertrauenswürdig einzustufen, muss auf dem Verbindungsserver das Stammzertifikat der signierenden Zertifizierungsstelle installiert sein.
Wenn ein SAML 2.0-Authentifikator für den Verbindungsserver konfiguriert ist, muss auf dem Verbindungsserver-Computer auch das Stammzertifikat der signierenden Zertifizierungsstelle für das SAML 2.0-Serverzertifikat installiert sein.