Unterstützte TLS-Protokolle

Horizon Client unterstützt die Sicherheitsprotokolle TLS 1.1, TLS 1.2 und TLS 1.3. Ältere Protokolle wie TLS 1.0, SSL 2.0 und SSL 3.0 werden nicht unterstützt.

TLS-Standardeinstellungen

Horizon Client verwendet die folgenden TLS-Standardeinstellungen:

Die standardmäßigen Schlüsselsteuerzeichenfolgen sind wie folgt:

• TLS v1.1 oder TLS v1.2 –
  • (Nicht-FIPS-Modus) !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES
  • (FIPS-Modus) !aNULL:ECDHE+AES
• TLS v1.3 -
  • (Nicht-FIPS-Modus) TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
  • (FIPS-Modus) TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

Richtlinien für die Konfiguration von TLS-Einstellungen

Bevor Sie TLS-Einstellungen in den Standardeinstellungen ändern, lesen Sie sich die in diesem Abschnitt beschriebenen Richtlinien und Einschränkungen durch.

Wenn Sie ein Sicherheitsprotokoll für Horizon Client konfigurieren, das auf der Verbindungsserver- oder Unified Access Gateway-Instanz, mit der sich der Client verbindet, nicht aktiviert ist, tritt ein TLS-Fehler auf und die Verbindung schlägt fehl.

Informationen zum Konfigurieren der Sicherheitsprotokolle, die der Verbindungsserver akzeptieren kann, finden Sie im Dokument Horizon-Sicherheit.

Um die Verschlüsselungsliste zu konfigurieren, geben Sie eine oder mehrere Verschlüsselungszeichenfolgen in der bevorzugten Reihenfolge durch Doppelpunkte getrennt an. Bei der Schlüsselzeichenfolge wird die Groß-/Kleinschreibung beachtet.

Konfigurieren erweiterter TLS-Einstellungen

1. Öffnen Sie Einstellungen und tippen Sie auf Sicherheitsoptionen.
   • Wenn Sie mit einem Remote-Desktop oder mit einer veröffentlichten Anwendung im Vollbildmodus verbunden sind, tippen Sie auf das kreisförmige Menüsymbol für die Horizon Client-Tools und dann auf das Zahnradsymbol, um Einstellungen aufzurufen.
   • Wenn Sie nicht im Vollbildmodus arbeiten, tippen Sie im Menü rechts oben in der Horizon Client-Symbolleiste auf Einstellungen.
   • Wenn Sie nicht mit einem Server verbunden sind, tippen Sie in der oberen rechten Ecke des Horizon Client-Fensters auf das Zahnradsymbol Einstellungen.
2. Tippen Sie auf Erweiterte Sicherheitsoptionen.
3. Stellen Sie sicher, dass Standardeinstellungen verwenden deaktiviert ist.
4. Zum Aktivieren oder Deaktivieren eines Sicherheitsprotokolls tippen Sie auf das Kontrollkästchen neben dem Namen des Sicherheitsprotokolls.
5. Um die Schlüsselsteuerzeichenfolge zu ändern, ersetzen Sie die Standardzeichenfolge.
6. Wählen Sie unter Konfiguriert, um den Widerrufungsstatus des Serverzertifikats zu überprüfen eine der folgenden Optionen aus:
   • Es wird keine Verbindung zu Servern hergestellt, wenn das Serverzertifikat widerrufen wird oder der Sperrstatus nicht ermittelt werden kann. Beachten Sie, dass „Der Sperrstatus kann nicht ermittelt werden“ auch das Netzwerkproblem einschließt, dass der Client die CRL-Endpoints nicht erreichen kann, aber nicht darauf beschränkt ist. Diese Option ist die strengste Zertifikatsprüfung der drei Optionen.
   • Es wird keine Verbindung zu Servern hergestellt, wenn das Serverzertifikat widerrufen wird. Mit dieser Option kann der Client auch eine Verbindung zu den Servern herstellen, wenn er den Sperrstatus nicht ermitteln kann.
   • Zertifikatsperrstatus wird nicht überprüft. Beachten Sie, dass diese Option ausgeblendet ist, wenn der CC-Modus aktiviert ist.
7. Verwenden Sie die Einstellung Konfiguriert Signaturalgorithmen, um die Erweiterung Signaturalgorithmen in der Client-Hello-Meldung des TLS-Handshakes zu konfigurieren.
8. Verwenden Sie die Einstellung Konfiguriert unterstützte Gruppen, um die Erweiterung „Unterstützte Gruppen“ in der Client-Hello-Meldung des TLS-Handshakes zu konfigurieren.
9. (Optional) Um die Standardeinstellungen wiederherzustellen, tippen Sie auf die Option Standardeinstellungen verwenden.
10. Tippen Sie auf OK, um Ihre Änderungen zu speichern.

Die Änderungen werden wirksam, wenn Sie das nächste Mal eine Verbindung zum Server herstellen.