Für mehr Sicherheit in Direct-Connection-Sitzungen können Sie die Konfigurationsdatei /etc/nginx/conf.d/vmwvadc.conf ändern, um schwache Verschlüsselungen in der SSL-/TLS-Kommunikation zu verhindern und das standardmäßige selbstsignierte TLS-Serverzertifikat durch ein von einer Zertifizierungsstelle signiertes Zertifikat zu ersetzen.

Hinweis: Das Horizon Agent Direct-Connection-Plug-In wird auf Linux-Desktops unterstützt, auf denen Horizon Agent 2111 oder höher ausgeführt wird.

Verhindern schwacher Verschlüsselungen in SSL-/TLS-Kommunikationen

Hinweis: Wenn Horizon Client nicht für die Unterstützung einer Verschlüsselung konfiguriert ist, die vom virtuellen Desktop-Betriebssystem unterstützt wird, schlägt die TLS/SSL-Aushandlung fehl und der Client kann keine Verbindung herstellen.

Weitere Informationen zur Konfiguration von unterstützten Verschlüsselungs-Suites in Horizon Clients finden Sie in der Dokumentation Horizon Client unter https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.

In der Konfigurationsdatei /etc/nginx/conf.d/vmwvadc.conf wird unter ###Enable https in der folgenden Zeile die Standardverschlüsselungsliste angegeben.
ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;

Zum Verhindern schwacher Verschlüsselungen fügen Sie die Verschlüsselungszeichenfolgen zur Zeile ssl_ciphers hinzu, indem Sie das in https://www.openssl.org/docs/ beschriebene Verschlüsselungslistenformat verwenden.

Ersetzen des selbstsignierten TLS-Serverzertifikats

Wenn das Horizon Agent Direct-Connection-Plug-In (früher View Agent Direct-Connection-Plug-In) zum ersten Mal nach der Installation startet, wird automatisch ein selbstsigniertes TLS-Serverzertifikat erzeugt. Das TLS-Serverzertifikat wird Horizon Client während der TLS-Protokoll-Aushandlung vorgelegt, um Informationen zum Client über diesen Desktop bereitzustellen.

Das standardmäßige selbstsignierte TLS-Serverzertifikat kann Horizon Client keinen ausreichenden Schutz vor Bedrohungen durch Sabotage und Überwachung bieten. Zum Schutz vor diesen Bedrohungen müssen Sie das selbstsignierte Zertifikat durch ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat ersetzen, das vom Client als vertrauenswürdig eingestuft und mithilfe der Zertifikatprüfungen in Horizon Client vollständig validiert wurde.

Zertifikate mit SAN (Subject Alternative Name) und Platzhalterzertifikate werden unterstützt.

In der Konfigurationsdatei /etc/nginx/conf.d/vmwvadc.conf werden unter ###Enable https in den folgenden Zeilen das standardmäßige selbstsignierte Zertifikat und der private Schlüssel angegeben.
ssl_certificate /etc/vmware/ssl/rui.crt;
ssl_certificate_key /etc/vmware/ssl/rui.key;

Ersetzen Sie die Standardeinträge in diesen Zeilen durch die Dateipfade des von einer Zertifizierungsstelle signierten Zertifikats und privaten Schlüssels.