Konfigurieren von Sicherheitsprotokollen und Verschlüsselungs-Suites für Blast Secure Gateway (BSG)

Sie können die Sicherheitsprotokolle und Verschlüsselungs-Suites konfigurieren, die der Listener auf der BSG-Client-Seite akzeptiert, indem Sie die Datei absg.properties bearbeiten.

Hinweis: Die Sicherheitseinstellungen für Connection Server gelten nicht für BSG. Sie müssen die Sicherheit für BSG getrennt konfigurieren.

Folgende Protokolle werden unterstützt:


Release-Version	Unterstützte Protokolle	Standardeinstellungen
VMware Horizon 8 Version 2312 und höher	TLS 1.1, TLS 1.2, TLS 1.3 Hinweis: TLS 1.1 wird im FIPS-Modus nicht unterstützt.	Im Nicht-FIPS-Modus sind TLS 1.2 und TLS 1.3 aktiviert. Im FIPS-Modus ist TLS 1.2 aktiviert.
VMware Horizon 8 Version 2309 und früher	TLS 1.0, TLS 1.1, TLS 1.2	TLS 1.2 ist aktiviert.

Ältere Protokolle wie SSLv3 und frühere Versionen sind nie zulässig.

Zwei Eigenschaften, localHttpsProtocolLow und localHttpsProtocolHigh, legen den Protokollbereich fest, den der BSG-Listener akzeptiert. Wenn Sie beispielsweise localHttpsProtocolLow=tls1.1 und localHttpsProtocolHigh=tls1.3 festlegen, wird der Listener so konfiguriert, dass er TLS 1.1, TLS 1.2 und TLS 1.3 akzeptiert. Sie können die BSG-Datei absg.log überprüfen, um festzustellen, welche Werte für eine bestimmte BSG-Instanz in Kraft sind.

Sie müssen die Liste der Verschlüsselungen in dem Format angeben, das in OpenSSL definiert ist. Sie können in einem Webbrowser nach openssl cipher string suchen und das Format der Verschlüsselungsliste anzeigen. Die Standardverschlüsselungslisten sind wie folgt:


Protokoll	Standardverschlüsselungsliste
TLS 1.1, TLS 1.2	ECDHE+AESGCM
TLS 1.3	TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384

Hinweis: Im FIPS-Modus sind nur GCM-Verschlüsselungs-Suites aktiviert ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256).

Prozedur

Bearbeiten Sie auf der Verbindungsserver-Instanz die Datei Installationsverzeichnis\VMware\VMware View\Server\appblastgateway\absg.properties.
Standardmäßig ist %ProgramFiles% das Installationsverzeichnis.
Bearbeiten Sie die Eigenschaften localHttpsProtocolLow und localHttpsProtocolHigh, um einen Protokollbereich anzugeben.
Beispiel:
```
localHttpsProtocolLow=tls1.1
localHttpsProtocolHigh=tls1.3
```
Um nur ein Protokoll zu aktivieren, geben Sie dasselbe Protokoll für localHttpsProtocolLow und localHttpsProtocolHigh an.
Bearbeiten Sie die Eigenschaft localHttpsCipherSpec, um eine Liste von Verschlüsselungs-Suites anzugeben.
Beispiel:
```
localHttpsCipherSpec=!aNULL:kECDH+AESGCM:ECDH+AESGCM:kECDH+AES:ECDH+AES
```
Führen Sie einen Neustart des Windows-Diensts VMware Horizon Blast Secure Gateway durch.