Puede seleccionar los protocolos de seguridad y los algoritmos criptográficos que se utilizan para cifrar la comunicación entre Horizon Client e instancias de Connection Server o Unified Access Gateway, y entre Horizon Client y Horizon Agent en un escritorio remoto.

Protocolos TLS compatibles

Horizon Client admite los protocolos de seguridad TLS 1.1, TLS 1.2 y TLS 1.3. No se admiten otros protocolos más antiguos, como TLS 1.0, SSL 2.0 y SSL 3.0.

Configuración de TLS predeterminada

Horizon Client utiliza la siguiente configuración de TLS predeterminada:

Protocolo de seguridad Configuración predeterminada en modo no FIPS Configuración predeterminada en modo FIPS
TLS 1.3 Habilitado No habilitado
TLS 1.2 Habilitado Habilitado
TLS 1.1 No habilitado No habilitado

Las cadenas de control de cifrado predeterminadas son las siguientes:

  • TLS v1.1 o TLS v1.2 -
    • (Modo no FIPS) !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES
    • (Modo FIPS) !aNULL:ECDHE+AES
  • TLS v1.3 -
    • (Modo no FIPS) TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
    • (Modo FIPS) TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

Directrices para configurar los ajustes de TLS

Antes de cambiar los valores predeterminados de la configuración de TLS, revise las directrices y las limitaciones que se describen en esta sección.

Si configura protocolos de seguridad para Horizon Client y ninguno de esos protocolos está habilitado en la instancia de Connection Server o de Unified Access Gateway a la que se conecta el cliente, se producirá un error de TLS y la conexión fallará.

Para obtener más información sobre cómo configurar los protocolos de seguridad que Connection Server puede aceptar, consulte el documento Seguridad de Horizon.

Para configurar la lista de cifrado, especifique una o varias cadenas de cifrado en orden de preferencia, separadas por dos puntos. La cadena de cifrado distingue entre mayúsculas y minúsculas.

Configurar los ajustes avanzados de TLS

Nota: Antes de cambiar los valores predeterminados de TLS, revise las Directrices para configurar los ajustes de TLS.
  1. Abra Configuración y toque Opciones de seguridad.
    • Si está conectado a una aplicación publicada o un escritorio remoto en modo de pantalla completa, toque el icono del menú circular Herramientas de Horizon Client y toque el icono de engranaje para acceder a Configuración.
    • Si no está utilizando el modo de pantalla completa, toque la opción Configuración del menú, situada en la esquina superior derecha de la barra de herramientas de Horizon Client.
    • Si no está conectado a ningún servidor, toque el icono Configuración (engranaje), situado en la esquina superior derecha de la ventana Horizon Client.
  2. Toque Opciones de seguridad avanzadas.
  3. Compruebe que Usar configuración predeterminada esté desactivada.
  4. Para activar o desactivar un protocolo de seguridad, toque la casilla de verificación junto al nombre del protocolo de seguridad.
  5. Para cambiar la cadena de control del cifrado, reemplace la cadena predeterminada.
  6. En Configura para comprobar el estado de revocación del certificado del servidor, seleccione una de las siguientes opciones:
    • No se conectará a los servidores cuando está revocado el certificado del servidor o no se puede determinar el estado de la revocación. Tenga en cuenta que "no se puede determinar el estado de revocación" incluye, entre otros, el problema de red por el que el cliente no puede acceder a los endpoints de CRL. Esta opción es la comprobación de certificados más estricta de las tres opciones.
    • No se conectará a los servidores cuando se revoque el certificado del servidor. Con esta opción, si no se puede determinar el estado de revocación, el cliente también podrá conectarse a los servidores.
    • No comprobará el estado de revocación del certificado. Tenga en cuenta que esta opción está oculta si el modo CC está habilitado.
  7. Utilice la opción Configura algoritmos de firma para configurar la extensión de algoritmos de firma en el mensaje de saludo del cliente del protocolo de enlace TLS.
  8. Utilice la opción Configurar grupos compatibles para configurar la extensión de grupos compatibles en el mensaje de saludo del cliente del protocolo de enlace TLS.
  9. (Opcional) Para revertir a la configuración predeterminada, seleccione la opción Usar configuración predeterminada.
  10. Para guardar los cambios, toque en Aceptar.

Los cambios se aplicarán la próxima vez que se conecte al servidor.