VMware Horizon 8 utiliza varios certificados con clave pública. Algunos de estos certificados se verifican mediante mecanismos que incluyen un tercero de confianza, pero dichos mecanismos no siempre ofrecen la flexibilidad, la velocidad o la precisión necesarias. VMware Horizon 8 utiliza un mecanismo alternativo, conocido como verificación por huella digital, en diferentes situaciones.
En lugar de validar los campos de los certificados individuales o crear una cadena de confianza, la verificación trata el certificado como un token, haciendo que coincida toda la secuencia de bytes (o un hash cifrado) con un hash o una secuencia de bytes que se compartieron previamente. Normalmente, se comparte justo a tiempo mediante un canal de confianza independiente y supone que el certificado presentado por un servicio se puede verificar para comprobar que sea exactamente el certificado que se espera.
El bus de mensajería de Horizon se comunica entre agentes de conexión y entre instancias de Horizon Agent e instancias del agente de conexión. Los canales de configuración usan firmas por mensajes y cifrado de carga útil, mientras que los canales principales se protegen usando TLS con autenticación mutua. Cuando se usa TLS para proteger un canal, la autenticación del cliente y el servidor incluye certificados TLS y validación de huella digital. En los canales del bus de mensajería de Horizon, el servidor siempre es un enrutador de mensajes. El cliente puede ser un enrutador de mensajes también, ya que así es como los enrutadores de mensajes comparten mensajes. Sin embargo, los clientes son instancias del agente de conexión u Horizon Agent.
Las huellas digitales iniciales de certificados y la configuración de las claves de las firmas de los mensajes se proporcionan de diferentes maneras. En los agentes de conexión, las huellas digitales de certificados se almacenan en LDAP, de forma que Horizon Agent se pueda comunicar con cualquier agente de conexión, y todos los agentes de conexión se puedan comunicar entre ellos. El servidor del bus de mensajería de Horizon y los certificados de los clientes se generan automáticamente y se intercambian de forma periódica y los certificados obsoletos se eliminan automáticamente, por lo que no es necesaria ninguna intervención manual ni es posible llevarla a cabo. Los certificados de cada extremo de los canales principales se generan automáticamente de forma programada y se intercambian mediante los canales de configuración. Usted no puede reemplazar estos certificados. Los certificados caducados se eliminan automáticamente.
Un mecanismo similar se aplica a la comunicación entre pods.
Otros canales de comunicación pueden usar certificados proporcionados por el cliente, pero generan automáticamente certificados de forma predeterminada. Entre estos se incluyen las conexiones del túnel seguro, del servidor de inscripción y de vCenter, así como el protocolo de visualización y los canales auxiliares. Para obtener más información sobre cómo reemplazar estos certificados, consulte el documento Administración de Horizon 8. Los certificados predeterminados se generan en el momento de la instalación y no se renuevan automáticamente, excepto en el caso de PCoIP. Si un certificado generado por PKI no está disponible para que lo use PCoIP, se genera automáticamente un nuevo certificado en cada inicio. La verificación por huella digital se usa en la mayoría de estos canales, aunque se use un certificado generado por PKI.
La verificación de los certificados de vCenter usa una combinación de técnicas. Las instancias del agente de conexión siempre intentan validar el certificado recibido con PKI. Si se produce un error en esta validación, después de revisar el certificado, el administrador de Horizon puede permitir la conexión para seguir trabajando y el agente de conexión recuerda el hash cifrado del certificado para las siguientes aceptaciones desatendidas que usan la verificación por huella digital.
