Ältere Protokolle und in VMware Horizon deaktivierte Verschlüsselungen

Einige ältere Protokolle und Verschlüsselungen, die nicht mehr als sicher gelten, sind standardmäßig in VMware Horizon deaktiviert. Bei Bedarf können Sie diese manuell aktivieren.

Deaktivierte Protokolle und Verschlüsselungen

In VMware Horizon sind die folgenden Protokolle und Verschlüsselungen standardmäßig deaktiviert:

SSLv3
Weitere Informationen finden Sie unter http://tools.ietf.org/html/rfc7568.
TLSv1 und TLSv1.1
Weitere Informationen dazu finden Sie unter https://datatracker.ietf.org/doc/html/rfc8996 und https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r2.pdf.
RC4
Weitere Informationen finden Sie unter http://tools.ietf.org/html/rfc7465.

DHE-Verschlüsselungs-Suites

Verschlüsselungs-Suites, die mit DSA-Zertifikaten kompatibel sind, verwenden kurzlebige Diffie-Hellman-Schlüssel, und diese Verschlüsselungen sind ab Horizon 6 Version 6.2 nicht mehr standardmäßig aktiviert. Weitere Informationen erhalten Sie unter http://kb.vmware.com/kb/2121183.

Für Verbindungsserver-Instanzen und VMware Horizon-Desktops können Sie diese Verschlüsselungs-Suites aktivieren, indem Sie die Horizon LDAP-Datenbank, die locked.properties-Datei oder die Registrierung wie in diesem Handbuch beschrieben bearbeiten. Weitere Informationen finden Sie unter Ändern der globalen Akzeptanz- und Vorschlagsrichtlinien, Konfigurieren der Akzeptanzrichtlinien auf einzelnen Servern und Konfigurieren von Vorschlagsrichtlinien auf Remote-Desktops. Sie können eine Liste von Verschlüsselungs-Suites definieren, die eine oder mehrere der folgenden Sammlungen in dieser Reihenfolge enthält:

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (nur TLS 1.2, nicht FIPS)
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (nur TLS 1.2, nicht FIPS)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (nur TLS 1.2)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (nur TLS 1.2)
TLS_DHE_DSS_WITH_AES_256_CBC_SHA

Für Horizon Agent Direct-Connection-Plug-In-Maschinen können Sie die DHE-Verschlüsselungs-Suites aktivieren, indem Sie der Verschlüsselungsliste Folgendes hinzufügen, während Sie die Vorgehensweise befolgen, die unter „Deaktivieren von schwachen Verschlüsselungen in SSL/TLS für Horizon Agent-Maschinen“ im Dokument Horizon-Installation und -Upgrade beschrieben wird.

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Hinweis: Die Unterstützung von ECDSA-Zertifikaten lässt sich nicht aktivieren. Diese Zertifikate wurden noch nie unterstützt.

SHA-1

Im FIPS-Modus schlägt die Zertifikatverifizierung mit „Zertifikate entsprechen nicht den Algorithmuseinschränkungen“ fehl, wenn ein Zertifikat mit SHA-1 signiert ist. Dies gilt für jedes Zertifikat in der Kette, einschließlich des Stammzertifikats. Weitere Informationen dazu, warum dieser Signaturalgorithmus veraltet ist, finden Sie unter https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf.

Ersetzen Sie ach Möglichkeit fehlerhafte Zertifikate. Wenn dies nicht möglich ist, können SHA-1-Signaturen durch eine LDAP-Bearbeitung erneut aktiviert werden. Navigieren Sie zu CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int. Ändern Sie das Attribut pae-SSLClientSignatureSchemes, indem Sie rsa_pkcs1_sha1 zur Liste der kommagetrennten Werte hinzufügen. Speichern Sie das geänderte Attribut und starten Sie dann den Verbindungsserver-Dienst nacheinander auf jedem Verbindungsserver im Cluster neu.

Kein Forward Secrecy (PFS)

Weitere Informationen finden Sie unter https://datatracker.ietf.org/doc/html/rfc7525. Verschlüsselungs-Suites, die Schlüsselaustauschalgorithmen angeben, die kein Forward Secrecy (PFS) aufweisen, sind standardmäßig deaktiviert. Anweisungen zum Aktivieren dieser Verschlüsselungs-Suites finden Sie in den anderen Abschnitten dieses Themas.

Erneutes Aktivieren der Protokolle

Obwohl die oben aufgelisteten Protokolle aus gutem Grund veraltet sind, gibt es möglicherweise einen Anwendungsfall, in dem Sie eines oder mehrere davon erneut aktivieren müssen. Wenn dies der Fall ist, können Sie Protokolle aktivieren, indem Sie das folgende Verfahren ausführen.

Für Verbindungsserver-Instanzen und VMware Horizon-Desktops können Sie ein Protokoll auf einem Verbindungsserver oder einer Horizon Agent-Maschine aktivieren, indem Sie die Konfigurationsdatei C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security bearbeiten. Am Ende der Datei befindet sich ein mehrzeiliger Eintrag namens jdk.tls.legacyAlgorithms. Entfernen Sie das Protokoll und das nachfolgende Komma aus diesem Eintrag und starten Sie den Verbindungsserver oder die Horizon Agent-Maschine neu.

Weitere Informationen finden Sie auch im Abschnitt „Aktivieren von TLSv1 für vCenter-Verbindungen auf dem Verbindungsserver“ im Dokument Horizon-Installation und -Upgrade.

Bei Horizon Agent Direct-Connection (früher VADC)-Maschinen können Sie ein Protokoll aktivieren, indem Sie der Verschlüsselungsliste eine Zeile hinzufügen, während Sie die Vorgehensweise befolgen, die unter „Deaktivieren von schwachen Verschlüsselungen in SSL/TLS für Horizon Agent-Maschinen“ im Dokument Horizon-Installation und -Upgrade beschrieben ist. Zum Aktivieren von RC4 können Sie Folgendes hinzufügen.

TLS_RSA_WITH_RC4_128_SHA