Desde View Agent 6.2 puede configurar los conjuntos de claves de cifrado que utiliza HTML Access Agent mediante la edición del Registro de Windows. Desde View Agent 6.2.1 también puede configurar los protocolos de seguridad utilizados. También puede especificar las configuraciones en un objeto de directiva de grupo (GPO).

Por qué y cuándo se efectúa esta tarea

Con View Agent 6.2.1 y las versiones posteriores, de forma predeterminada, el HTML Access Agent solo utiliza TLS 1.1 y TLS 1.2. Los protocolos permitidos son, de más bajo a más alto, TLS 1.0, TLS 1.1 y TLS 1.2. Nunca se admiten protocolos más antiguos, como SSLv3 y versiones anteriores. Dos valores del registro, SslProtocolLow y SslProtocolHigh, determinan el rango de protocolos que aceptará el agente HTML Access. Por ejemplo, configurar SslProtocolLow=tls_1.0 y SslProtocolHigh=tls_1.2, hará que el agente HTML Access acepte TLS 1.0, TLS 1.1 y TLS 1.2. Las opciones predeterminadas son SslProtocolLow=tls_1.1 y SslProtocolHigh=tls_1.2.

Debe especificar la lista de cifrados mediante el formato que se define en https://www.openssl.org/docs/manmaster/man1/ciphers.html, en la sección sobre el formato de la lista de cifrados. La siguiente lista de cifrados es la predeterminada:

ECDHE-RSA-AES256-SHA:AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL

Procedimiento

  1. Inicie el Editor del Registro de Windows.
  2. Diríjase a la clave del registro HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config.
  3. Agregue dos nuevos valores de cadena (REG_SZ), SslProtocolLow y SslProtocolHigh, para especificar el rango de protocolos.

    Los datos de los valores de registro deben ser tls_1.0, tls_1.1 o tls_1.2. Para habilitar un solo protocolo, especifique el mismo protocolo para ambos valores de registro. Si no existe alguno de los dos valores de registro o si sus datos no se establecen en uno de los tres protocolos, se utilizarán los protocolos predeterminados.

  4. Agregue un nuevo valor de cadena (REG_SZ), SslCiphers, para especificar una lista de conjuntos de claves de cifrado.

    Escriba o pegue la lista de conjuntos de claves de cifrado en el campo de datos del valor del registro. Por ejemplo,

    ECDHE-RSA-AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL
  5. Reinicie el servicio de Windows VMware Blast.

Resultados

Para volver a usar la lista de cifrados predeterminados, elimine el valor del registro SslCiphers y reinicie el servicio de Windows VMware Blast. No elimine simplemente los datos del valor, ya que el agente HTML Access tratará entonces a todos los cifrados como no aceptables, según la definición del formato de la lista de cifrados OpenSSL.

Cuando se inicia el HTML Access Agent, escribe el protocolo y la información de cifrado en su archivo de registro. Puede examinar el archivo de registro para determinar los valores que se están aplicando.

Los conjuntos de claves de cifrado y protocolos predeterminados pueden cambiar en el futuro para adaptarse a los procedimientos recomendados de VMware en lo relativo a seguridad de redes, que evolucionan constantemente.