Cifrados y protocolos antiguos desactivados en VMware Horizon

Algunos cifrados y protocolos antiguos que ya no se consideran seguros se desactivan en VMware Horizon 8 de forma predeterminada. Si es necesario, puede activarlos manualmente.

Protocolos y cifrados desactivados

En VMware Horizon 8, los siguientes protocolos y cifrados están desactivados de forma predeterminada:

SSLv3
Si desea obtener más información, consulte http://tools.ietf.org/html/rfc7568.
TLSv1 y TLSv1.1
Para obtener más información, consulte https://datatracker.ietf.org/doc/html/rfc8996 y https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r2.pdf.
RC4
Si desea obtener más información, consulte http://tools.ietf.org/html/rfc7465.

Conjuntos de cifrado DHE

Los conjuntos cifrado que son compatibles con certificados DSA usan las claves efímeras Diffie-Hellman y, además, estos conjuntos ya no están activados de forma predeterminada desde la versión 6.2 de Horizon 6. Si desea obtener más información, consulte http://kb.vmware.com/kb/2121183.

Para las instancias de Connection Server y los escritorios de VMware Horizon 8, puede activar estos conjuntos de cifrado editando la base de datos de Horizon LDAP, el archivo locked.properties o el registro, tal como se describe en esta guía. Consulte Cambiar las directivas globales de propuesta y de aceptación, Configurar directivas de aceptación en servidores individuales y Configurar directivas de propuesta en escritorios remotos en un entorno de VMware Horizon 8. Puede definir una lista de conjuntos de cifrado que incluyan uno o varios de los siguientes conjuntos, en este orden:

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (únicamente TLS 1.2, no FIPS)
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (únicamente TLS 1.2, no FIPS)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (únicamente TLS 1.2)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (únicamente TLS 1.2)
TLS_DHE_DSS_WITH_AES_256_CBC_SHA

En las máquinas con el complemento Horizon Agent Direct-Connection, puede activar los conjuntos de claves de cifrado DHE al agregar los siguientes valores a la lista de cifrados mientras realiza el procedimiento que se describe en "Desactivar cifrados débiles en SSL/TLS para equipos Horizon Agent" del documento Instalación y actualización de Horizon 8.

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Nota: No es posible activar la compatibilidad con certificados ECDSA. Estos certificados nunca se admitieron.

SHA-1

En el modo FIPS, se producirá un error en la verificación del certificado con el mensaje "Los certificados no cumplen las restricciones del algoritmo" si un certificado está firmado con SHA-1. Esto se aplica a cualquier certificado de la cadena, incluido el certificado raíz. Para obtener más información sobre por qué este algoritmo de firma es obsoleto, consulte https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf.

Si es posible, reemplace los certificados con errores. Si no se puede hacer eso, las firmas SHA-1 se pueden volver a activar realizando una edición LDAP. Desplácese hasta CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int. Modifique el atributo pae-SSLClientSignatureSchemes agregando rsa_pkcs1_sha1 a la lista de valores separados por comas. Guarde el atributo modificado y reinicie el servicio Connection Server en cada Connection Server del clúster, uno a uno.

Sin confidencialidad directa (PFS)

Si desea obtener más información, consulte https://datatracker.ietf.org/doc/html/rfc7525. Los conjuntos de claves de cifrado que especifican algoritmos de intercambio de claves que no muestran confidencialidad directa (PFS) están desactivados de forma predeterminada. Para obtener instrucciones sobre cómo activar estos conjuntos de claves de cifrado, consulte el resto de secciones de este tema.

Volver a activar protocolos

Todos los protocolos enumerados anteriormente han quedado obsoletos por buenos motivos. Es posible que tenga un caso práctico en el que necesite volver a activar uno o varios de ellos. Si es así, puede activar los protocolos siguiendo el procedimiento que se indica a continuación.

En las instancias de Connection Server y los escritorios de VMware Horizon 8, puede activar un protocolo editando el archivo de configuración C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security. Cerca del centro del archivo hay dos entradas de varias líneas llamadas jdk.tls.disabledAlgorithms y jdk.tls.legacyAlgorithms. Si el protocolo se encuentra en jdk.tls.legacyAlgorithms, elimínelo junto con la coma que aparece después de esta entrada. Si el protocolo se encuentra en jdk.tls.disabledAlgorithms, elimínelo de aquí y agréguelo a jdk.tls.legacyAlgorithms. Después de realizar cualquier cambio en este archivo, reinicie Connection Server o la máquina de Horizon Agent.

Consulte también la sección "Habilitar TLSv1 en conexiones de vCenter desde Connection Server" en el documento Instalación y actualización de Horizon 8.

En las máquinas Horizon Agent Direct-Connection (VADC), puede activar un protocolo agregando una línea a la lista de cifrados mientras realiza el procedimiento que se describe en "Desactivar cifrados débiles en equipos Horizon Agent SSL/TLS" del documento Instalación y actualización de Horizon 8. Por ejemplo, para activar RC4, puede agregar lo siguiente.

TLS_RSA_WITH_RC4_128_SHA