La comprobación del certificado del servidor se aplica a conexiones entre Horizon Client y un servidor. Un certificado es una manera de identificación digital, similar al pasaporte o al permiso de conducir.

Acerca de la comprobación del certificado

La comprobación de certificados del servidor incluye las siguientes comprobaciones:

  • ¿Se revocó el certificado?
  • ¿El certificado persigue otro objetivo que no sea verificar la identidad del remitente y el cifrado de las comunicaciones del servidor? Es decir, ¿es el tipo de certificado correcto?
  • ¿Expiró el certificado o solo será válido en el futuro? Es decir, ¿el certificado es válido según el reloj del equipo?
  • ¿El nombre común del certificado coincide con el nombre de host del servidor que lo envía? Se produce un error de coincidencia cuando un equilibrador de carga redirecciona Horizon Client a un servidor que tiene un certificado que no coincide con el nombre de host introducido en Horizon Client. También puede producirse un error de coincidencia si introduce una dirección IP distinta al nombre de host en el cliente.
  • ¿El certificado está firmado por una entidad de certificación desconocida o que no es de confianza? Los certificados autofirmados no son certificados de confianza. Para superar esta comprobación, la cadena de confianza del certificado debe especificar la raíz en el almacén de certificados local del dispositivo.

Para obtener información sobre cómo distribuir un certificado raíz autofirmado a todos los sistemas cliente de Windows de un dominio, consulte "Agregar el certificado raíz a entidades de certificación raíz de confianza" en el documento Instalación y actualización de Horizon.

Cómo establecer el modo de comprobación del certificado

Un administrador del sistema puede pedir a los usuarios finales que configuren el modo de comprobación del certificado en Horizon Client para asegurarse de que pueden conectarse correctamente a un servidor. En algunas empresas, un administrador puede establecer el modo de comprobación de certificado e impedir que los usuarios finales lo cambien en Horizon Client.

Para establecer el modo de comprobación del certificado, inicie Horizon Client y seleccione Configuración > Seguridad. Puede seleccionar una de las siguientes opciones. Tenga en cuenta que no puede configurar la comprobación del certificado en modo FIPS.

  • No conectarse nunca a servidores que no sean de confianza. Con este ajuste, puede conectarse al servidor si alguna comprobación del certificado falla. Aparece un mensaje de error con las comprobaciones que han fallado.
  • Advertirme antes de conectarme a servidores que no sean de confianza. Con esta opción, puede hacer clic en Continuarpara ignorar la advertencia si falla alguna comprobación de certificado porque el servidor usa un certificado autofirmado. En lo que respecta a los certificados autofirmados, el nombre del certificado no tiene que coincidir con el nombre del servidor que introdujo en Horizon Client. También puede recibir una advertencia si el certificado expiró.
  • No comprobar los certificados de identidad de los servidores. Este ajuste significa que no se ha llevado a cabo ninguna comprobación del certificado.

Si un administrador instala más tarde un certificado de seguridad desde una entidad de certificación de confianza y se superan todas las comprobaciones de certificados al realizar la conexión, esta conexión de confianza se recordará para este servidor específico. En el futuro, si este servidor volviera a presentar un certificado autofirmado, se producirá un error de conexión. Después de que un servidor concreto presente un certificado que pueda comprobarse en su totalidad, siempre debe hacerse.

Importante:

Si usó previamente directiva de grupo para configurar que los sistemas cliente de su empresa usen un cifrado específico, como al configurar la directiva de grupo Orden de conjuntos de cifrado SSL, ahora debe usar una opción de seguridad de la directiva de grupo de Horizon Client. Consulte Utilizar la configuración de la directiva de grupo para configuración de Horizon Client. También puede utilizar la configuración del registro SSLCipherList en el sistema cliente. Consulte Utilizar el Registro de Windows para configurar Horizon Client.

En Horizon Client, puede configurar el modo predeterminado de comprobación de certificados e impedir que los usuarios finales lo cambien. Si desea obtener más información, consulte Configurar el modo de comprobación de certificados para usuarios finales.

Usar un servidor proxy SSL

Si utiliza un servidor proxy SSL para inspeccionar el tráfico enviado desde el entorno del cliente a Internet, habilite la opción Modo de verificación del certificado de conexión de protocolo y establézcala en Verificación por PKI o Verificación por PKI o huella digital. Si el cliente se está ejecutando en modo FIPS, establezca esta opción en Verificación por PKI. Esta opción permite la comprobación del certificado en conexiones secundarias a través de un servidor proxy SSL y se aplica tanto a la puerta de enlace segura Blast como a las conexiones de túnel seguro. Si utiliza un servidor proxy SSL y habilita la comprobación del certificado, pero no habilita el ajuste en PKI o Huella digital o PKI, las conexiones fallarán porque las huellas digitales no coinciden. El Modo de verificación del certificado de conexión de protocolo no estará disponible si se habilita la opción No comprobar los certificados de identidad de los servidores. Si la opción No comprobar los certificados de identidad de los servidores está habilitada, Horizon Client no verificará el certificado ni la huella digital, y siempre se permitirá el proxy SSL. También puede configurar el Modo de verificación del certificado de conexión de protocolo a través de la opción de directiva de grupo Horizon Client. Si desea obtener más información, consulte Utilizar la configuración de la directiva de grupo para configuración de Horizon Client.

También puede configurar el Modo de verificación del certificado de conexión de protocolo mediante la opción de directiva de grupo Horizon Client. Para obtener más información, consulte Usar opciones de directivas de grupo para configurar Horizon Client.

Puede usar la configuración de directiva de grupo Configura el comportamiento de comprobación del certificado del proxy SSL de Horizon Client para configurar si desea permitir la comprobación del certificado para las conexiones secundarias a través de un servidor proxy SSL.

Para permitir las conexiones de VMware Blast a través de un servidor proxy, consulte Configurar las opciones de VMware Blast.