Sie können die Sicherheitsprotokolle und Verschlüsselungs-Suites konfigurieren, die der Listener auf der BSG-Client-Seite akzeptiert, indem Sie die Datei absg.properties bearbeiten.

Die zulässigen Protokolle sind (mit steigender Sicherheit) TLS 1.0, TLS 1.1 und TLS 1.2. Ältere Protokolle wie z. B. SSLv3 und frühere Versionen sind niemals zulässig. Zwei Eigenschaften, localHttpsProtocolLow und localHttpsProtocolHigh, legen den Protokollbereich fest, den der BSG-Listener akzeptiert. Wenn Sie beispielsweise localHttpsProtocolLow=tls1.0 und localHttpsProtocolHigh=tls1.2 festlegen, führt dies dazu, dass der Listener tls1.0, tls1.1 und tls1.2 akzeptiert. Die Standardeinstellungen sind localHttpsProtocolLow=tls1.2 und localHttpsProtocolHigh=tls1.2, was bedeutet, dass standardmäßig nur TLS 1.2 zulässig ist. Sie können die BSG-Datei absg.log überprüfen, um festzustellen, welche Werte für eine bestimmte BSG-Instanz in Kraft sind.

Sie müssen die Liste der Verschlüsselungen in dem Format angeben, das in OpenSSL definiert ist. Sie können in einem Webbrowser nach openssl cipher string suchen und das Format der Verschlüsselungsliste anzeigen. Die folgende Verschlüsselungsliste wird standardmäßig verwendet:

ECDHE+AESGCM
Hinweis: Im FIPS-Modus sind nur GCM-Verschlüsselungs-Suites aktiviert ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256).

Prozedur

  1. Bearbeiten Sie auf der Verbindungsserver-Instanz die Datei Installationsverzeichnis\VMware\VMware View\Server\appblastgateway\absg.properties.
    Standardmäßig ist %ProgramFiles% das Installationsverzeichnis.
  2. Bearbeiten Sie die Eigenschaften localHttpsProtocolLow und localHttpsProtocolHigh, um einen Protokollbereich anzugeben.
    Beispiel:
    localHttpsProtocolLow=tls1.0
    localHttpsProtocolHigh=tls1.2

    Um nur ein Protokoll zu aktivieren, geben Sie dasselbe Protokoll für localHttpsProtocolLow und localHttpsProtocolHigh an.

  3. Bearbeiten Sie die Eigenschaft localHttpsCipherSpec, um eine Liste von Verschlüsselungs-Suites anzugeben.
    Beispiel:
    localHttpsCipherSpec=!aNULL:kECDH+AESGCM:ECDH+AESGCM:kECDH+AES:ECDH+AES
  4. Führen Sie einen Neustart des Windows-Diensts VMware Horizon Blast Secure Gateway durch.