Debe seguir algunas directrices para configurar los certificados TLS para Horizon 7 Server y los componentes relacionados.
Servidor de seguridad y servidor de conexión de Horizon
El certificado TLS es necesario para establecer conexiones cliente a un servidor. Las instancias del servidor de conexión para el cliente, los servidores de seguridad y los servidores intermedios que finalizan las conexiones TLS requieren certificados de servidor TLS.
- Si ya existe un certificado válido con un nombre descriptivo vdm en el almacén de certificados de Windows.
- Si actualiza a Horizon 7 desde una versión anterior y un archivo válido de almacén de claves está configurado en el equipo Windows Server, la instalación extrae las claves y los certificados, y los importa al almacén de certificados de Windows.
vCenter Server y View Composer
Antes de agregar vCenter Server y View Composer a Horizon 7 en un entorno de producción, asegúrese que vCenter Server y View Composer usen certificados firmados por una CA.
Para obtener más información sobre cómo reemplazar el certificado predeterminado para vCenter Server, consulte cómo realizar esta acción en el sitio web de documentación técnica de VMware, disponible en http://www.vmware.com/resources/techresources/.
Si instala vCenter Server y View Composer en el mismo host de Windows Server, pueden usar el mismo certificado TLS, pero debe configurar el certificado de forma independiente para cada componente.
Puerta de enlace segura de PCoIP
Para cumplir las normas de seguridad de la jurisdicción o la industria, puede reemplazar el certificado TLS predeterminado que generó el servicio de la puerta de enlace segura de PCoIP (PSG) con un certificado firmado por una CA. Se recomienda configurar el servicio PSG para usar un certificado firmado por una CA, sobre todo en implementaciones que le obligan a usar exámenes de seguridad para realizar una prueba de cumplimiento. Consulte TLS.
Puerta de enlace segura de Blast
De forma predeterminada, la puerta de enlace segura de Blast (BSG) usa el certificado TLS que está configurado para la instancia del servidor de conexión o el servidor de seguridad en el que la BSG se está ejecutando. Si reemplaza el certificado autofirmado predeterminado por un servidor con un certificado firmado por una CA, la BSG también usa este certificado.
Autenticador SAML 2.0
VMware Identity Manager usa autenticadores SAML 2.0 para proporcionar una autenticación basada en web y una autorización a través de dominios de seguridad. Si desea que Horizon 7 delegue la autenticación en VMware Identity Manager, puede configurar Horizon 7 para aceptar sesiones autenticadas de SAML 2.0 desde VMware Identity Manager. Cuando VMware Identity Manager esté configurado para admitir Horizon 7, los usuarios de VMware Identity Manager pueden conectarse a los escritorios remotos si seleccionan los iconos de escritorio que se encuentran en el portal de usuarios de Horizon.
En Horizon Administrator puede configurar autenticadores SAML 2.0 para usarlos con las instancias del servidor de conexión.
Antes de agregar un autenticador SAML 2.0 en Horizon Administrator, asegúrese de que el autenticador SAML 2.0 utilice un certificado firmado por una CA.
Directrices adicionales
Para obtener información general sobre la solicitud y el uso de certificados TLS que estén firmados por una CA, consulte TLS.
Cuando los endpoints cliente se conecten a una instancia del servidor de conexión o a un servidor de seguridad, se presentan con el certificado de servidor TLS con los que cuenta el servidor y todos los certificados intermedios de la cadena de confianza. Para confiar en el certificado del servidor, los sistemas cliente deben tener instalado el certificado raíz de la CA que lo firma.
Cuando el servidor de conexión se comunica con vCenter Server y View Composer, el servidor de conexión se presenta con los certificados de servidor TLS y los certificados intermedios de esos servidores. Para confiar en los servidores de View Composer y en vCenter Server, el equipo del servidor de conexión debe tener instalado el certificado raíz de la CA que lo firma.
De forma similar, si un autenticador SAML 2.0 está configurado para el servidor de conexión, el equipo de este servidor debe tener instalado el certificado raíz de la CA que firma el certificado del servidor SAML 2.0.