Cifrados y protocolos antiguos deshabilitados en VMware Horizon

Algunos cifrados y protocolos antiguos que ya no se consideran seguros se deshabilitan en VMware Horizon de forma predeterminada. Si es necesario, puede habilitarlos de forma manual.

Conjuntos de cifrado DHE

Si desea obtener más información, consulte http://kb.vmware.com/kb/2121183. Los conjuntos cifrado que son compatibles con certificados DSA usan las claves efímeras Diffie-Hellman y, además, estos conjuntos ya no están habilitados de forma predeterminada desde la versión 6.2 de Horizon 6.

Para las instancias del servidor de conexión y los escritorios de VMware Horizon, puede habilitar estos conjuntos de cifrado editando la base de datos de Horizon LDAP, el archivo locked.properties o el registro, tal como se describe en esta guía. Consulte Cambiar las directivas globales de propuesta y de aceptación, Configurar directivas de aceptación en servidores individuales y Configurar directivas de propuesta en escritorios remotos. Puede definir una lista de conjuntos de cifrado que incluyan uno o varios de los siguientes conjuntos, en este orden:

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (únicamente TLS 1.2, no FIPS)
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (únicamente TLS 1.2, no FIPS)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (únicamente TLS 1.2)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (únicamente TLS 1.2)
TLS_DHE_DSS_WITH_AES_256_CBC_SHA

En las máquinas View Agent Direct-Connection (VADC), puede habilitar los conjuntos de claves de cifrado DHE al agregar los siguientes valores a la lista de cifrados mientras realiza el procedimiento que se describe en "Deshabilitar cifrados débiles en SSL/TLS para equipos Horizon Agent" del documento Instalación de Horizon.

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Nota: No es posible habilitar la compatibilidad con certificados ECDSA. Estos certificados nunca se admitieron.

SSLv3

En VMware Horizon, se eliminó la versión 3.0 de SSL.

RC4

En las instancias del servidor de conexión y los escritorios de VMware Horizon, puede habilitar RC4 en el servidor de conexión o una máquina de Horizon Agent editando el archivo de configuración C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security. Al final del archivo, se encuentra una entrada multilínea denominada jdk.tls.legacyAlgorithms. Elimine de la entrada RC4_128 y la coma que aparece a continuación, y reinicie el servidor de conexión o la máquina de Horizon Agent, dependiendo del caso.

En las máquinas View Agent Direct-Connection (VADC), puede habilitar RC4 al agregar los siguientes valores a la lista de cifrados mientras realiza el procedimiento que se describe en "Deshabilitar cifrados débiles en equipos Horizon Agent SSL/TLS" del documento Instalación de Horizon.

TLS_RSA_WITH_RC4_128_SHA

TLS 1.0

En VMware Horizon, TLS 1.0 se deshabilita de forma predeterminada.

Para obtener más información, consulte https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1.pdf y http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf. Para obtener instrucciones sobre cómo habilitar TLS 1.0, consulte las secciones "Habilitar TLSv1 en las conexiones de vCenter desde el servidor de conexión" y el documento Actualizaciones de Horizon.