Jede Verbindungsserver-Instanz führt Zertifikatssperrüberprüfungen für das eigene Zertifikat durch. Darüber hinaus überprüft jede Instanz die Zertifikate von vCenter Server, wenn sie eine Verbindung mit vCenter Server herstellt. Standardmäßig werden mit Ausnahme des Stammzertifikats alle Zertifikate in der Kette überprüft. Sie können diese Standardeinstellung jedoch ändern.
Wenn ein SAML 2.0-Authentifikator für die Verwendung durch eine Verbindungsserver-Instanz konfiguriert ist, führt der Verbindungsserver auch für das SAML 2.0-Serverzertifikat eine Zertifikatsperrüberprüfung durch.
VMware Horizon 8 unterstützt verschiedene Methoden zur Zertifikatsperrüberprüfung, z. B. Zertifikatsperrlisten und OCSP (Online Certificate Status Protocol). Eine Zertifikatsperrliste ist eine Liste mit gesperrten Zertifikaten, die von der Zertifizierungsstelle veröffentlicht wird, die das Zertifikat ausgestellt hat. OCSP ist ein Zertifikatüberprüfungsprotokoll, das zum Abrufen des Sperrstatus eines X.509-Zertifikats verwendet wird.
Mit Zertifikatsperrlisten wird die Liste der widerrufenen Zertifikate von einem Verteilungspunkt für Zertifikate heruntergeladen, der häufig im Zertifikat angegeben ist. Der Server lädt die Liste regelmäßig über die im Zertifikat angegebene URL dieses Verteilungspunkts herunter und prüft, ob das Serverzertifikat widerrufen wurde. Mit OCSP sendet der Server eine Anforderung an einen OCSP-Antwortdienst, um den Sperrstatus des Zertifikats zu ermitteln.
Wenn Sie ein Serverzertifikat von einer Zertifizierungsstelle eines Drittanbieters erwerben, umfasst das Zertifikat mindestens eine Methode zum Ermitteln des Sperrstatus. Dazu zählen z. B. die URL eines Verteilungspunkts für Zertifikatsperrlisten oder die URL eines OCSP-Antwortdiensts. Wenn Sie über eine eigene Zertifizierungsstelle verfügen und ein Zertifikat generieren, ohne Sperrinformationen aufzunehmen, schlägt die Zertifikatsperrüberprüfung fehl. Ein Beispiel für Sperrinformationen ist z. B. die URL eines webbasierten Verteilungspunkts für Zertifikatsperrlisten auf einem Server, auf dem eine solche Zertifikatsperrliste gehostet wird.
Wenn Sie über eine eigene Zertifizierungsstelle verfügen, jedoch keine Sperrinformationen für ein Zertifikat aufnehmen bzw. aufnehmen können, können Sie festlegen, dass für sämtliche oder bestimmte Zertifikate in der Kette keine Zertifikatsperrüberprüfung durchgeführt wird. Sie können auf dem Server mithilfe des Registrierungs-Editors von Windows unter HKLM\Software\VMware, Inc.\VMware VDM\Security den Zeichenkettenwert (REG_SZ) CertificateRevocationCheckType erstellen und diesen Wert auf einen der folgenden Datenwerte festlegen.
Wert | Beschreibung |
---|---|
1 | Es wird keine Zertifikatsperrüberprüfung durchgeführt. |
2 | Es werden lediglich Serverzertifikate überprüft. Weitere Zertifikate in der Kette werden nicht überprüft. |
3 | Es werden alle Zertifikate in der Kette überprüft. |
4 | (Standardwert) Mit Ausnahme des Stammzertifikats werden alle Zertifikate überprüft. |
Wenn dieser Registrierungswert nicht oder auf einen ungültigen Wert (einen anderen Wert als 1, 2, 3 oder 4) festgelegt wird, werden mit Ausnahme des Stammzertifikats alle Zertifikate überprüft. Legen Sie diesen Registrierungswert auf jedem Server fest, auf dem die Zertifikatsperrüberprüfung geändert werden soll. Nach dem Festlegen dieses Werts muss das System nicht gestartet werden.