Cada instancia del servidor de conexión comprueba la revocación de certificados en su propio certificado y en los servidores de seguridad emparejados. Cada instancia comprueba también los certificados de los servidores de vCenter y View Composer cuando se conecta a ellos. De forma predeterminada, todos los certificados en la cadena se comprueban, excepto el certificado raíz. Sin embargo, puede cambiar este valor predeterminado.
Si el autenticador SAML 2.0 está configurado para que una instancia del servidor de conexión lo use, el servidor de conexión también realiza la comprobación de la revocación del certificado en el certificado del servidor SAML 2.0.
Horizon 7 admite varios medios de comprobación de revocación de certificados, como las listas de revocación de certificados (CRL) y el protocolo de estado de certificado en línea (OCSP). Una CRL es una lista de certificados revocados publicada por la autoridad de certificación que los emitió. OCSP es un protocolo de validación de certificados que se utiliza para obtener el estado de revocación de un certificado X.509.
Con las CRL, la lista de certificados revocados se descarga desde un punto de distribución de certificados (DP) que se suele especificar en el certificado. El servidor se dirige periódicamente a la URL de DP de CRL especificada en el certificado, descarga la lista y la revisa para determinar si se revocó el certificado del servidor. Con OCSP, el servidor envía una solicitud a un respondedor OCSP para determinar el estado de revocación del certificado.
Cuando obtiene un certificado de servidor desde una entidad de certificación (CA) de terceros, el certificado incluye uno o varios medios por el cual se puede determinar su estado de revocación, incluida, por ejemplo, una URL de DP de CRL o la URL de un respondedor OCSP. Si tiene su propia CA y genera un certificado pero no incluye la información de revocación en este certificado, se produce un error en la comprobación de la revocación del certificado. Un ejemplo de información de revocación para un certificado podría incluir, por ejemplo, una URL a un DP de una CRL basada en la Web de un servidor en el que aloja una CRL.
Si tiene su propia CA pero no incluye o no puede incluir la información de la revocación en el certificado, puede elegir no comprobar certificados para la revocación o comprobar únicamente ciertos certificados de una cadena. En el servidor, con el Editor del Registro de Windows, puede crear el valor de cadena (REG_SZ) CertificateRevocationCheckType, en HKLM\Software\VMware, Inc.\VMware VDM\Security y establecer este valor a uno de los siguientes valores de datos.
Valor | Descripción |
---|---|
1 | No realiza la comprobación de revocación del certificado. |
2 | Comprueba únicamente el certificado del servidor. No comprueba ningún otro certificado de la cadena. |
3 | Comprueba todos los certificados de la cadena. |
4 | (Predeterminado) Comprueba todos los certificados, excepto el certificado raíz. |
Si este valor de registro no está configurado o si el ya establecido no es válido (es decir, si el valor no es 1, 2, 3 o 4), todos los certificados se comprueban, excepto el certificado raíz. Establezca este valor de registro en cada servidor en el que pretende modificar la comprobación de la revocación. No es necesario reiniciar el sistema después de establecer este valor.