Ältere Protokolle und Verschlüsselungen, die in VMware Horizon deaktiviert sind

Bestimmte ältere Protokolle und Verschlüsselungen, die nicht mehr als sicher gelten, sind in VMware Horizon 8 standardmäßig deaktiviert. Bei Bedarf können Sie diese manuell aktivieren.

Deaktivierte Protokolle und Verschlüsselungen

In VMware Horizon 8 sind die folgenden Protokolle und Verschlüsselungen standardmäßig deaktiviert:

SSLv3
Weitere Informationen finden Sie unter http://tools.ietf.org/html/rfc7568.
TLSv1 und TLSv1.1
Weitere Informationen dazu finden Sie unter https://datatracker.ietf.org/doc/html/rfc8996 und https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r2.pdf.
RC4
Weitere Informationen finden Sie unter http://tools.ietf.org/html/rfc7465.

DHE-Verschlüsselungs-Suites

Verschlüsselungs-Suites, die mit DSA-Zertifikaten kompatibel sind, verwenden kurzlebige Diffie-Hellman-Schlüssel. Diese Verschlüsselungen sind ab Horizon 6 Version 6.2 nicht mehr standardmäßig aktiviert. Weitere Informationen erhalten Sie unter http://kb.vmware.com/kb/2121183.

Für Verbindungsserver-Instanzen und VMware Horizon 8-Desktops können Sie diese Verschlüsselungs-Suites aktivieren, indem Sie die Horizon LDAP-Datenbank, die Datei locked.properties oder die Registrierung gemäß der Beschreibung in diesem Handbuch bearbeiten. Weitere Informationen finden Sie unter Ändern der globalen Akzeptanz- und Vorschlagsrichtlinien, Konfigurieren der Akzeptanzrichtlinien auf einzelnen Servern und Konfigurieren von Vorschlagsrichtlinien auf Remote-Desktops in einer VMware Horizon 8-Umgebung. Sie können eine Liste von Verschlüsselungs-Suites definieren, die eine oder mehrere der folgenden Sammlungen in dieser Reihenfolge enthält:

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (nur TLS 1.2, nicht FIPS)
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (nur TLS 1.2, nicht FIPS)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (nur TLS 1.2)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (nur TLS 1.2)
TLS_DHE_DSS_WITH_AES_256_CBC_SHA

Für Horizon Agent Direct-Connection-Plug-In-Maschinen können Sie die DHE-Verschlüsselungs-Suites aktivieren, indem Sie der Verschlüsselungsliste Folgendes hinzufügen, während Sie die Vorgehensweise befolgen, die unter „Deaktivieren von schwachen Verschlüsselungen in SSL/TLS für Horizon Agent-Maschinen“ im Dokument Horizon 8-Installation und -Upgrade beschrieben wird.

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Hinweis: Unterstützung für ECDSA-Zertifikate kann nicht aktiviert werden. Diese Zertifikate wurden noch nie unterstützt.

SHA-1

Im FIPS-Modus schlägt die Zertifikatverifizierung mit „Zertifikate entsprechen nicht den Algorithmuseinschränkungen“ fehl, wenn ein Zertifikat mit SHA-1 signiert ist. Dies gilt für jedes Zertifikat in der Kette, einschließlich des Stammzertifikats. Weitere Informationen dazu, warum dieser Signaturalgorithmus veraltet ist, finden Sie unter https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf.

Ersetzen Sie ach Möglichkeit fehlerhafte Zertifikate. Wenn dies nicht möglich ist, können SHA-1-Signaturen durch eine LDAP-Bearbeitung erneut aktiviert werden. Navigieren Sie zu CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int. Ändern Sie das Attribut pae-SSLClientSignatureSchemes, indem Sie rsa_pkcs1_sha1 zur Liste der kommagetrennten Werte hinzufügen. Speichern Sie das geänderte Attribut und starten Sie dann den Verbindungsserver-Dienst nacheinander auf jedem Verbindungsserver im Cluster neu.

Kein Forward Secrecy (PFS)

Weitere Informationen finden Sie unter https://datatracker.ietf.org/doc/html/rfc7525. Verschlüsselungs-Suites, die Schlüsselaustauschalgorithmen ohne Forward Secrecy (PFS) angeben, sind standardmäßig deaktiviert. Anweisungen zum Aktivieren dieser Verschlüsselungs-Suites finden Sie in den anderen Abschnitten dieses Themas.

Erneute Aktivierung von Protokollen

Obwohl die oben aufgelisteten Protokolle aus gutem Grund nicht mehr unterstützt werden, gibt es möglicherweise einen Anwendungsfall, in dem Sie eines oder mehrere dieser Protokolle erneut aktivieren müssen. Wenn dies der Fall ist, können Sie Protokolle aktivieren, indem Sie das folgende Verfahren ausführen.

Für Verbindungsserver-Instanzen und VMware Horizon 8-Desktops können Sie ein Protokoll aktivieren, indem Sie die Konfigurationsdatei C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security bearbeiten. In der Mitte der Datei befinden sich zwei mehrzeilige Einträge namens jdk.tls.disabledAlgorithms und jdk.tls.legacyAlgorithms. Wenn das Protokoll in jdk.tls.legacyAlgorithms gefunden wird, entfernen Sie es und das darauf folgende Komma aus diesem Eintrag. Wenn das Protokoll in jdk.tls.disabledAlgorithms gefunden wird, entfernen Sie es von hier und fügen es zu jdk.tls.legacyAlgorithms hinzu. Starten Sie nach jeder Änderung dieser Datei den Verbindungsserver oder den Horizon Agent-Computer neu.

Weitere Informationen finden Sie auch im Abschnitt „Aktivieren von TLSv1 für vCenter-Verbindungen auf dem Verbindungsserver“ im Dokument Horizon 8-Installation und -Upgrade.

Bei Horizon Agent Direct-Connection-Maschinen (früher VADC) können Sie ein Protokoll aktivieren, indem Sie der Verschlüsselungsliste eine Zeile hinzufügen, während Sie die Vorgehensweise befolgen, die unter „Deaktivieren von schwachen Verschlüsselungen in SSL/TLS für Horizon Agent-Maschinen“ im Dokument Horizon 8-Installation und -Upgrade beschrieben wird. Zum Aktivieren von RC4 können Sie beispielsweise Folgendes hinzufügen.

TLS_RSA_WITH_RC4_128_SHA