Serverzertifikatsprüfungen werden für Verbindungen zwischen Horizon Client und einem Server durchgeführt. Ein Zertifikat ist eine digitale Identifikationsmethode, die wie ein Pass oder Führerschein funktioniert.

Informationen zur Zertifikatsprüfung

Die Serverzertifikatsprüfung umfasst die folgenden Prüfungen:

  • Wurde das Zertifikat widerrufen?
  • Ist das Zertifikat für einen anderen Zweck bestimmt als für die Überprüfung der Identität des Absenders und die Verschlüsselung der Serverkommunikation? Mit anderen Worten: Handelt es sich um den korrekten Zertifikattyp?
  • Ist das Zertifikat abgelaufen oder erst zukünftig gültig? Mit anderen Worten: Ist das Zertifikat laut Computeruhr gültig?
  • Stimmt der allgemeine Name auf dem Zertifikat mit dem Hostnamen des Servers überein, der es sendet? Zu einer fehlenden Übereinstimmung kann es kommen, wenn ein Lastenausgleich Horizon Client an einen Server mit einem Zertifikat umleitet, das nicht mit dem in Horizon Client eingegebenen Hostnamen übereinstimmt. Ein weiterer möglicher Grund für eine fehlende Übereinstimmung ist die Eingabe einer IP-Adresse statt eines Hostnamens im Client.
  • Ist das Zertifikat von einer unbekannten oder nicht als vertrauenswürdig eingestuften Zertifizierungsstelle (CA) signiert worden? Selbstsignierte Zertifikate sind ein Typ der nicht als vertrauenswürdig eingestuften CA. Um diese Prüfung zu bestehen, muss sich das Stammzertifikat für die Zertifikatvertrauenskette im lokalen Zertifikatspeicher des Geräts befinden.

Informationen zur Verteilung eines selbstsignierten Stammzertifikats an alle Windows-Clientsysteme in einer Domäne finden Sie unter „Stammzertifikat zu den vertrauenswürdigen Zertifizierungsstellen hinzufügen“ im Dokument Horizon-Installation und -Upgrade.

Vorgehensweise zum Festlegen des Zertifikatsprüfungsmodus

Ein Systemadministrator fordert Endbenutzer unter Umständen auf, den Zertifikatsprüfungsmodus in Horizon Client festzulegen, um sicherzustellen, dass sie erfolgreich eine Verbindung mit einem Server herstellen können. In bestimmten Unternehmen legt möglicherweise ein Administrator den Zertifikatsprüfungsmodus fest und hindert Endbenutzer daran, ihn in Horizon Client zu ändern.

Zum Festlegen des Zertifikatsprüfungsmodus starten Sie Horizon Client und wählen Einstellungen > Sicherheit aus. Sie können eine der folgenden Optionen auswählen: Beachten Sie, dass Sie die Zertifikatsprüfung nicht im FIPS-Modus konfigurieren können.

  • Nie mit nicht vertrauenswürdigen Servern verbinden. Diese Einstellung bedeutet, dass Sie keine Verbindung mit dem Server herstellen können, wenn eine der Zertifikatprüfungen fehlschlägt. Die nicht bestandenen Prüfungen werden in einer Fehlermeldung aufgelistet.
  • Warnung vor Verbindung mit nicht vertrauenswürdigen Servern ausgeben. Diese Einstellung bedeutet, dass Sie auf Weiter klicken können, um die Warnung zu ignorieren, wenn eine Zertifikatsprüfung fehlschlägt, weil der Server ein selbstsigniertes Zertifikat verwendet. Bei selbstsignierten Zertifikaten muss der Zertifikatsname nicht mit dem Servernamen übereinstimmen, den Sie in Horizon Client eingegeben haben. Möglicherweise erhalten Sie auch eine Warnung, wenn das Zertifikat abgelaufen ist.
  • Server-Identitätszertifikate nicht überprüfen. Mit dieser Einstellung werden Zertifikate nicht überprüft.

Installiert ein Administrator später ein Sicherheitszertifikat von einer vertrauenswürdigen Zertifizierungsstelle, sodass alle Zertifikatsprüfungen bei der Verbindungsherstellung bestanden werden, wird diese vertrauenswürdige Verbindung für diesen speziellen Server vorgemerkt. Legt dieser Server in Zukunft wieder ein selbstsigniertes Zertifikat vor, schlägt die Verbindung fehl. Nachdem ein bestimmter Server ein vollständig überprüfbares Zertifikat vorgelegt hat, muss er dies auch in Zukunft immer so handhaben.

Wichtig:

Wenn Sie zuvor eine Gruppenrichtlinie verwendet haben, um die Clientsysteme Ihres Unternehmens für die Verwendung einer bestimmten Verschlüsselung zu konfigurieren, wie z. B. die Konfiguration von Gruppenrichtlinieneinstellungen für die Reihenfolge von SSL-Verschlüsselungs-Suites, müssen Sie jetzt eine Horizon Client-Gruppenrichtlinien-Sicherheitseinstellung verwenden. Siehe Verwenden von Gruppenrichtlinieneinstellungen zum Konfigurieren von Horizon Client. Alternativ können Sie auch die Registrierungseinstellung SSLCipherList auf dem Clientsystem verwenden. Siehe Konfigurieren des Horizon Client mithilfe der Windows-Registrierung.

Sie können den Standardmodus für die Zertifikatsprüfung konfigurieren und verhindern, dass Endbenutzer ihn in Horizon Client ändern. Weitere Informationen finden Sie unter Konfigurieren des Zertifikatsprüfungsmodus für Endbenutzer.

Verwenden eines SSL-Proxy-Servers

Wenn Sie einen SSL-Proxy-Server verwenden, um den von der Clientumgebung an das Internet gesendeten Datenverkehr zu überprüfen, aktivieren Sie die Einstellung Zertifikatüberprüfung für Protokollverbindung und legen Sie sie auf PKI-Überprüfung oder Fingerabdruck- oder PKI-Überprüfung fest. Wenn der Client im FIPS-Modus ausgeführt wird, legen Sie diese Option auf PKI-Überprüfung fest. Diese Einstellung ermöglicht die Zertifikatsprüfung für sekundäre Verbindungen über einen SSL-Proxy-Server und gilt sowohl für Blast Secure Gateway als auch für sichere Tunnelverbindungen. Wenn Sie einen SSL-Proxyserver verwenden und die Zertifikatsprüfung aktivieren, aber diese Einstellung nicht auf PKI oder Fingerabdruck oder PKI setzen, schlagen Verbindungen wegen nicht übereinstimmender Fingerabdrücke fehl. Der Modus Zertifikatüberprüfung für Protokollverbindung ist nicht verfügbar, wenn Sie die Option Serveridentitätszertifikate nicht verifizieren aktivieren. Wenn die Option Server-Identitätszertifikate nicht verifizieren aktiviert ist, wird das Zertifikat oder der Fingerabdruck von Horizon Client nicht überprüft und ein SSL-Proxy ist immer zulässig. Sie können den Zertifikatüberprüfungsmodus für Protokollverbindung auch über die Gruppenrichtlinieneinstellung des Horizon Client konfigurieren.

Sie können den Zertifikatüberprüfungsmodus für Protokollverbindung auch über die Gruppenrichtlinieneinstellung des Horizon Client konfigurieren. Weitere Informationen finden Sie unter „Verwenden von Gruppenrichtlinieneinstellungen zum Konfigurieren von Horizon Client“.

Mit der Gruppenrichtlinieneinstellung Konfiguriert das Verhalten der SSL-Proxy-Zertifikatsprüfung des Horizon Client können Sie konfigurieren, ob die Zertifikatsprüfung für sekundäre Verbindungen über einen SSL-Proxy-Server zugelassen werden soll.

Informationen zum Zulassen von VMware Blast-Verbindungen über einen Proxyserver finden Sie unter „Konfigurieren der Blast-Optionen“.