Los administradores pueden configurar el modo de verificación del certificado. Los administradores también pueden configurar si los usuarios finales pueden controlar si las conexiones de cliente se rechazan en caso de producirse un error en las comprobaciones de certificados de servidor.
La comprobación del certificado se aplica a las conexiones TLS entre las instancias de Connection Server y Horizon Client. Los administradores pueden configurar el modo de verificación para usar una de las siguientes estrategias:
- Los usuarios finales pueden elegir el modo de verificación.
- (Sin verificación) No se comprueban los certificados.
- (Advertir) Se advierte a los usuarios finales si el servidor presenta un certificado autofirmado. Los usuarios pueden seleccionar si desean permitir este tipo de conexión.
- (Seguridad completa) Se realiza una verificación completa y se rechazan las conexiones que dicha verificación no apruebe.
La verificación de los certificados incluye las siguientes comprobaciones:
- ¿Se revocó el certificado?
- ¿El certificado persigue otro objetivo que no sea verificar la identidad del remitente y el cifrado de las comunicaciones del servidor? Es decir, ¿es el tipo de certificado correcto?
- ¿Expiró el certificado o solo será válido en el futuro? Es decir, ¿el certificado es válido según el reloj del equipo?
- ¿El nombre común del certificado coincide con el nombre de host del servidor que lo envía? Se produce un error de coincidencia cuando un equilibrador de carga redirecciona Horizon Client a un servidor que tiene un certificado que no coincide con el nombre de host introducido en Horizon Client. También puede ocurrir este tipo de error si introduce una dirección IP en lugar de un nombre de host en el cliente.
- ¿El certificado está firmado por una entidad de certificación desconocida o que no es de confianza? Los certificados autofirmados no son certificados de confianza. Para superar esta comprobación, la cadena de confianza del certificado debe especificar la raíz en el almacén de certificados local del dispositivo.
Si utiliza un servidor proxy SSL para inspeccionar el tráfico que el entorno del cliente envía a Internet, puede habilitar la comprobación de certificados para las conexiones secundarias a través de un servidor proxy SSL. También puede configurar las conexiones de VMware Blast para utilizar un servidor proxy.
Para obtener información sobre cómo configurar la comprobación de certificados y el uso del servidor proxy SSL para un tipo específico de cliente, consulte el documento de instalación y configuración de Horizon Client para ese cliente. Estos documentos también contienen información sobre el uso de certificados autofirmados.