VMware Horizon verwendet viele Zertifikate für öffentliche Schlüssel. Einige dieser Zertifikate werden mithilfe von Mechanismen verifiziert, bei denen ein vertrauenswürdiger Drittanbieter involviert ist. Solche Mechanismen bieten jedoch nicht immer die erforderliche Präzision, Geschwindigkeit und Flexibilität. VMware Horizon verwendet in unterschiedlichen Situationen einen alternativen Mechanismus, die sogenannte Fingerabdruckverifizierung.
Anstatt einzelne Zertifikatfelder zu überprüfen oder eine Vertrauenskette zu erstellen, behandelt die Fingerabdruckverifizierung das Zertifikat wie ein Token und gleicht die gesamte Byte-Folge (bzw. einen kryptografischen Hash dieser) mit einer zuvor freigegebenen Byte-Folge bzw. einem Hash ab. In der Regel wird diese bzw. dieser rechtzeitig über einen separaten vertrauenswürdigen Kanal freigegeben, was bedeutet, dass bei einem von einem Dienst bereitgestellten Zertifikat überprüft werden kann, ob es sich exakt um das erwartete Zertifikat handelt.
Horizon Message Bus kommuniziert zwischen Verbindungs-Brokern sowie zwischen Horizon Agents und Verbindungs-Broker-Instanzen. Setup-Kanäle verwenden Signaturen auf Nachrichtenbasis und Nutzlastverschlüsselung, wohingegen Hauptkanäle mit TLS und gegenseitiger Authentifizierung geschützt werden. Wenn Sie TLS zum Schutz eines Kanals verwenden, umfasst die Authentifizierung von Client und Server TLS-Zertifikate und Fingerabdruckvalidierung. Bei Horizon Message Bus-Kanälen ist der Server immer ein Nachrichtenübermittlungs-Router. Der Client kann auch ein Nachrichtenübermittlungs-Router sein, da Nachrichtenübermittlungs-Router auf diese Weise Nachrichten freigeben. Bei Clients handelt es sich jedoch entweder um Verbindungs-Broker-Instanzen oder Horizon Agents.
Die ersten Zertifikatfingerabdrücke und Signaturschlüssel für die Setup-Nachricht werden auf unterschiedliche Weise bereitgestellt. Auf Verbindungs-Brokern werden Zertifikatfingerabdrücke in LDAP gespeichert, damit Horizon Agents mit allen Verbindungs-Brokern und alle Verbindungs-Broker miteinander kommunizieren können. Horizon Message Bus-Server- und -Client-Zertifikate werden automatisch generiert und in regelmäßigen Abständen ausgetauscht und veraltete Zertifikate werden automatisch gelöscht, sodass kein manueller Eingriff erforderlich bzw. überhaupt möglich ist. Die Zertifikate an jedem Ende der wichtigsten Kanäle werden gemäß Zeitplan automatisch generiert und über die Setup-Kanäle ausgetauscht. Es ist nicht möglich, diese Zertifikate manuell zu ersetzen. Abgelaufene Zertifikate werden automatisch entfernt.
Ein ähnlicher Mechanismus gilt für die Inter-Pod-Kommunikation.
Andere Kommunikationskanäle können kundenseitig bereitgestellte Zertifikate verwenden. Standardmäßig werden jedoch automatisch Zertifikate generiert. Dazu zählen Verbindungen über einen sicheren Tunnel, einen Registrierungsserver und vCenter sowie das Anzeigeprotokoll und zusätzliche Kanäle. Weitere Informationen zum Ersetzen dieser Zertifikate finden Sie im Dokument Horizon-Verwaltung. Standardzertifikate werden zum Installationszeitpunkt generiert und mit Ausnahme von PCoIP nicht automatisch verlängert. Wenn ein PKI-generiertes Zertifikat für die Verwendung durch PCoIP nicht verfügbar ist, wird bei jedem Start automatisch ein neues Zertifikat erstellt. Die Fingerabdruckverifizierung wird für die meisten dieser Kanäle verwendet, auch wenn ein PKI-generiertes Zertifikat verwendet wird.
Bei der Überprüfung der vCenter-Zertifikate kommen mehrere Methoden zum Einsatz. Verbindungs-Broker-Instanzen versuchen immer, das empfangene Zertifikat mittels PKI zu validieren. Wenn diese Validierung fehlschlägt, kann der VMware Horizon-Administrator die Verbindung nach der Überprüfung des Zertifikats zulassen. Der Verbindungs-Broker speichert dann den kryptografischen Hash des Zertifikats für die nachfolgende unbeaufsichtigte Annahme mittels Fingerabdruckverifizierung.