Bei der Konfiguration von TLS-Zertifikaten für VMware Horizon 8-Server- und verknüpfte Komponenten müssen bestimmte Richtlinien befolgt werden.
Horizon Connection Server
TLS ist für Clientverbindungen mit einem Server erforderlich. Für clientseitige Verbindungsserver-Instanzen und Zwischenserver, die TLS-Verbindungen verarbeiten, sind TLS-Server-Zertifikate erforderlich.
- Wenn im Windows-Zertifikatspeicher bereits ein gültiges Zertifikat mit dem Anzeigenamen vdm vorhanden ist.
- Wenn Sie ein Upgrade auf VMware Horizon 8 von einer früheren Version durchführen und auf dem Windows Server-Computer eine gültige KeyStore-Datei konfiguriert ist, werden die Schlüssel und Zertifikate bei der Installation extrahiert und in den Windows-Zertifikatspeicher importiert.
vCenter Server
Stellen Sie vor dem Hinzufügen von vCenter Server zu VMware Horizon 8 in einer Produktionsumgebung sicher, dass die von vCenter Server verwendeten Zertifikate von einer Zertifizierungsstelle signiert wurden.
Informationen zum Ersetzen des Standardzertifikats für vCenter Server finden Sie unter „Zertifikatsersetzung bei großen Bereitstellungen“ im Dokument vSphere-Authentifizierung auf der VMware vSphere-Dokumentations-Site.
PCoIP Secure Gateway
Um Industrie- oder Gesetzessicherheitsvorschriften zu entsprechen, können Sie das Standard-TLS-Zertifikat ersetzen, das vom PCoIP Secure Gateway (PSG) Service mit einem von einer Zertifizierungsstelle signierten Zertifikat generiert wird. Die Konfiguration des PSG-Service für die Nutzung eines CA-signierten Zertifikats wird dringend empfohlen, und dies besonders für Inbetriebnahmen, bei denen Sie Sicherheitsscanner verwenden müssen, um die Compliance-Tests zu bestehen. Weitere Informationen finden Sie unter TLS.
Blast Secure Gateway
Standardmäßig verwendet das Blast Secure Gateway (BSG) das TLS-Zertifikat, das für die Verbindungsserver-Instanz konfiguriert ist, auf dem das BSG ausgeführt wird. Wenn Sie das standardmäßige, selbstsignierte Zertifikat für einen Server durch ein von einer Zertifizierungsstelle signiertes Zertifikat ersetzen, verwendet das BSG auch das von der Zertifizierungsstelle signierte Zertifikat.
Registrierungsserver
TLS ist für Verbindungen zu einem Registrierungsserver vom Verbindungsserver erforderlich. Standardmäßig generiert der Registrierungsserver ein selbstsigniertes Zertifikat für den Server. Die Installation verwendet jedoch ein vorhandenes Zertifikat, wenn bereits ein gültiges Zertifikat mit dem Anzeigenamen vdm.es im Windows-Zertifikatspeicher vorhanden ist.
Datenbankserver
Um TLS für die Kommunikation mit einem Datenbankserver zu aktivieren, der als Host für die Ereignisdatenbank dient, stellen Sie sicher, dass der Datenbankserver ein von einer Zertifizierungsstelle signiertes Zertifikat verwendet. Informationen zum Einrichten des TLS-Zertifikats auf den Datenbankservern finden Sie in der Dokumentation des entsprechenden Datenbankanbieters.
SAML 2.0-Authentifikator
VMware Workspace ONE Access verwendet SAML 2.0-Authentifikatoren für eine webbasierte Authentifizierung und Autorisierung innerhalb von Sicherheitsdomänen. Wenn VMware Horizon 8 die Authentifizierung an VMware Workspace ONE Access delegieren soll, können Sie VMware Horizon 8 so konfigurieren, dass über SAML 2.0 authentifizierte Sitzungen von VMware Workspace ONE Access akzeptiert werden. Wenn VMware Workspace ONE Access für die Unterstützung von VMware Horizon 8 konfiguriert ist, können VMware Workspace ONE Access-Benutzer eine Verbindung mit Remote-Desktops herstellen, indem sie im Horizon-Benutzerportal Desktopsymbole auswählen.
In Horizon Console können SAML 2.0-Authentifikatoren für die Verwendung mit Verbindungsserver-Instanzen konfiguriert werden.
Stellen Sie vor dem Hinzufügen eines SAML 2.0-Authentifikators in Horizon Console sicher, dass der SAML 2.0-Authentifikator ein von einer Zertifizierungsstelle signiertes Zertifikat verwendet.
Weitere Richtlinien
Allgemeine Informationen zum Anfordern und Verwenden von TLS-Zertifikaten, die von einer Zertifizierungsstelle signiert wurden, finden Sie unter TLS.
Wenn Client-Endpunkte eine Verbindung zu einer Verbindungsserver-Instanz herstellen, werden ihnen das TLS-Serverzertifikat des Servers und alle Zwischenzertifikate in der Vertrauenskette angezeigt (Zwischenzertifikate befinden sich im Windows-Speicher für Zwischenzertifizierungsstellen des Verbindungsservers). Um das Serverzertifikat als vertrauenswürdig einzustufen, muss auf den Clientsystemen das Stammzertifikat der signierenden Zertifizierungsstelle installiert sein.
vCenter Server zeigt beim Herstellen einer TLS-Verbindung kein Zwischenzertifikat an. Verbindungsserver-Instanzen sollten diese Zwischenzertifikate in ihrem Windows-Speicher „Zwischenzertifizierungsstellen“ haben. Weitere Informationen finden Sie unter KB 2108294.
Wenn ein SAML 2.0-Authentifikator für den Verbindungsserver konfiguriert ist, muss auf dem Verbindungsserver-Computer auch das Stammzertifikat der signierenden Zertifizierungsstelle für das SAML 2.0-Serverzertifikat installiert sein.