Für mehr Sicherheit in Direct-Connection-Sitzungen können Sie die Konfigurationsdatei /etc/nginx/conf.d/vmwvadc.conf ändern, um schwache Verschlüsselungen in der SSL-/TLS-Kommunikation zu verhindern und das standardmäßige selbstsignierte TLS-Serverzertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat zu ersetzen.
Verhindern schwacher Verschlüsselungen in SSL-/TLS-Kommunikationen
Weitere Informationen zur Konfiguration von unterstützten Verschlüsselungs-Suites in Horizon Clients finden Sie in der Dokumentation Horizon Client unter https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.
###Enable https
in der folgenden Zeile die Standardverschlüsselungsliste angegeben.
ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;
Zum Verhindern schwacher Verschlüsselungen fügen Sie die Verschlüsselungszeichenfolgen zur Zeile ssl_ciphers
hinzu, indem Sie das in https://www.openssl.org/docs/ beschriebene Verschlüsselungslistenformat verwenden.
Ersetzen des selbstsignierten TLS-Serverzertifikats
Wenn das Horizon Agent Direct-Connection-Plug-In (früher View Agent Direct-Connection-Plug-In) zum ersten Mal nach der Installation startet, wird automatisch ein selbstsigniertes TLS-Serverzertifikat erzeugt. Das TLS-Serverzertifikat wird Horizon Client während der TLS-Protokoll-Aushandlung vorgelegt, um Informationen zum Client über diesen Desktop bereitzustellen.
Das standardmäßige selbstsignierte TLS-Serverzertifikat kann Horizon Client keinen ausreichenden Schutz vor Bedrohungen durch Sabotage und Überwachung bieten. Zum Schutz vor diesen Bedrohungen müssen Sie das selbstsignierte Zertifikat durch ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat ersetzen, das vom Client als vertrauenswürdig eingestuft und mithilfe der Zertifikatprüfungen in Horizon Client vollständig validiert wurde.
Zertifikate mit SAN (Subject Alternative Name) und Platzhalterzertifikate werden unterstützt.
###Enable https
in den folgenden Zeilen das standardmäßige selbstsignierte Zertifikat und der private Schlüssel angegeben.
ssl_certificate /etc/vmware/ssl/rui.crt; ssl_certificate_key /etc/vmware/ssl/rui.key;
Ersetzen Sie die Standardeinträge in diesen Zeilen durch die Dateipfade des von einer Zertifizierungsstelle signierten Zertifikats und privaten Schlüssels.