Debe seguir algunas directrices para configurar los certificados TLS para VMware Horizon Server y los componentes relacionados.
Horizon Connection Server
El certificado TLS es necesario para establecer conexiones cliente a un servidor. Las instancias del servidor de conexión para el cliente y los servidores intermedios que finalizan las conexiones TLS requieren certificados de servidor TLS.
- Si ya existe un certificado válido con un nombre descriptivo vdm en el almacén de certificados de Windows.
- Si actualiza a VMware Horizon desde una versión anterior y un archivo válido de almacén de claves está configurado en el equipo Windows Server, la instalación extrae las claves y los certificados, y los importa al almacén de certificados de Windows.
vCenter Server
Antes de agregar vCenter Server a VMware Horizon en un entorno de producción, asegúrese que vCenter Server use certificados firmados por una CA.
Para obtener información sobre cómo reemplazar el certificado predeterminado para vCenter Server, consulte "Sustitución de certificados en implementaciones de gran tamaño" en el documento Autenticación de vSphere en el sitio de documentación de VMware vSphere.
Puerta de enlace segura de PCoIP
Para cumplir las normas de seguridad de la jurisdicción o la industria, puede reemplazar el certificado TLS predeterminado que generó el servicio de la puerta de enlace segura de PCoIP (PSG) con un certificado firmado por una CA. Se recomienda configurar el servicio PSG para usar un certificado firmado por una CA, sobre todo en implementaciones que le obligan a usar exámenes de seguridad para realizar una prueba de cumplimiento. Consulte TLS.
Puerta de enlace segura de Blast
De forma predeterminada, la puerta de enlace segura de Blast (BSG) usa el certificado TLS que está configurado para la instancia del servidor de conexión en el que la BSG se está ejecutando. Si reemplaza el certificado autofirmado predeterminado por un servidor con un certificado firmado por una CA, la BSG también usa este certificado.
Autenticador SAML 2.0
VMware Workspace ONE Access usa autenticadores SAML 2.0 para proporcionar una autenticación basada en web y una autorización a través de dominios de seguridad. Si desea que VMware Horizon delegue la autenticación en VMware Workspace ONE Access, puede configurar VMware Horizon para aceptar sesiones autenticadas de SAML 2.0 desde VMware Workspace ONE Access. Cuando VMware Workspace ONE Access esté configurado para admitir VMware Horizon, los usuarios de VMware Workspace ONE Access pueden conectarse a los escritorios remotos si seleccionan los iconos de escritorio que se encuentran en el portal de usuarios de Horizon.
En Horizon Console puede configurar autenticadores SAML 2.0 para usarlos con las instancias del servidor de conexión.
Antes de agregar un autenticador SAML 2.0 en Horizon Console, asegúrese de que el autenticador SAML 2.0 utilice un certificado firmado por una CA.
Directrices adicionales
Para obtener información general sobre la solicitud y el uso de certificados TLS que estén firmados por una CA, consulte TLS.
Cuando los endpoints cliente se conecten a una instancia del servidor de conexión, se presentan con el certificado de servidor TLS con los que cuenta el servidor y todos los certificados intermedios de la cadena de confianza. Para confiar en el certificado del servidor, los sistemas cliente deben tener instalado el certificado raíz de la CA que lo firma.
Cuando el servidor de conexión se comunica con vCenter Server, el servidor de conexión se presenta con los certificados de servidor TLS y los certificados intermedios de ese servidor. Para confiar en vCenter Server, el equipo del servidor de conexión debe tener instalado el certificado raíz de la CA que lo firma.
De forma similar, si un autenticador SAML 2.0 está configurado para el servidor de conexión, el equipo de este servidor debe tener instalado el certificado raíz de la CA que firma el certificado del servidor SAML 2.0.
