Administratoren können den Zertifikatsprüfungsmodus konfigurieren. Administratoren können bei der Konfiguration auch festlegen, ob Endbenutzer steuern können, ob Clientverbindungen abgelehnt werden können, wenn die Serverzertifikatsprüfungen fehlschlagen.
Die Zertifikatsprüfung wird für TLS-Verbindungen zwischen Verbindungsserver-Instanzen und Horizon Client durchgeführt. Die Administratoren können den Überprüfungsmodus so konfigurieren, dass eine der folgenden Strategien verwendet wird:
- Endbenutzer können den Überprüfungsmodus auswählen.
- (Keine Überprüfung) Es werden keine Zertifikatsprüfungen durchgeführt.
- (Warnen) Die Endbenutzer werden gewarnt, wenn der Server ein selbstsigniertes Zertifikat vorlegt. Die Benutzer können auswählen, ob sie diesen Verbindungstyp zulassen.
- (Volle Sicherheit) Es wird eine vollständige Überprüfung durchgeführt. Die Verbindungen, für die diese Prüfung nicht erfolgreich verläuft, werden abgelehnt.
Die Zertifikatsüberprüfung umfasst die folgenden Checks:
- Wurde das Zertifikat widerrufen?
- Ist das Zertifikat für einen anderen Zweck bestimmt als für die Überprüfung der Identität des Absenders und die Verschlüsselung der Serverkommunikation? Mit anderen Worten: Handelt es sich um den korrekten Zertifikattyp?
- Ist das Zertifikat abgelaufen oder erst zukünftig gültig? Mit anderen Worten: Ist das Zertifikat laut Computeruhr gültig?
- Stimmt der allgemeine Name auf dem Zertifikat mit dem Hostnamen des Servers überein, der es sendet? Zu einer fehlenden Übereinstimmung kann es kommen, wenn ein Lastenausgleich Horizon Client an einen Server mit einem Zertifikat umleitet, das nicht mit dem in Horizon Client eingegebenen Hostnamen übereinstimmt. Es kann auch zu einer fehlenden Übereinstimmung kommen, wenn Sie eine IP-Adresse anstelle eines Hostnamens im Client eingeben.
- Ist das Zertifikat von einer unbekannten oder nicht als vertrauenswürdig eingestuften Zertifizierungsstelle (CA) signiert worden? Selbstsignierte Zertifikate sind ein Typ der nicht als vertrauenswürdig eingestuften CA. Um diese Prüfung zu bestehen, muss sich das Stammzertifikat für die Zertifikatvertrauenskette im lokalen Zertifikatspeicher des Geräts befinden.
Wenn Sie einen SSL-Proxy-Server verwenden, um den von der Clientumgebung gesendeten Datenverkehr an das Internet zu überprüfen, können Sie die Zertifikatsprüfung für sekundäre Verbindungen über einen SSL-Proxy-Server aktivieren. Sie können auch VMware Blast-Verbindungen für die Verwendung eines Proxy-Servers konfigurieren.
Informationen zum Konfigurieren der Zertifikatsüberprüfung und der Verwendung von SSL-Proxy-Servern für einen bestimmten Clienttyp finden Sie im Horizon Client-Installations- und Einrichtungsdokument für diesen Client. Diese Dokumente enthalten auch Informationen zur Verwendung von selbstsignierten Zertifikaten.