Debe seguir algunas directrices para configurar los certificados TLS para VMware Horizon 8 Server y los componentes relacionados.
Horizon Connection Server
El certificado TLS es necesario para establecer conexiones cliente a un servidor. Las instancias del servidor de conexión para el cliente y los servidores intermedios que finalizan las conexiones TLS requieren certificados de servidor TLS.
- Si ya existe un certificado válido con un nombre descriptivo vdm en el almacén de certificados de Windows.
- Si actualiza a VMware Horizon 8 desde una versión anterior y un archivo válido de almacén de claves está configurado en el equipo Windows Server, la instalación extrae las claves y los certificados, y los importa al almacén de certificados de Windows.
vCenter Server
Antes de agregar vCenter Server a VMware Horizon 8 en un entorno de producción, asegúrese que vCenter Server use certificados firmados por una CA.
Para obtener información sobre cómo reemplazar el certificado predeterminado para vCenter Server, consulte "Sustitución de certificados en implementaciones de gran tamaño" en el documento Autenticación de vSphere en el sitio de documentación de VMware vSphere.
Puerta de enlace segura de PCoIP
Para cumplir las normas de seguridad de la jurisdicción o la industria, puede reemplazar el certificado TLS predeterminado que generó el servicio de la puerta de enlace segura de PCoIP (PSG) con un certificado firmado por una CA. Se recomienda configurar el servicio PSG para usar un certificado firmado por una CA, sobre todo en implementaciones que le obligan a usar exámenes de seguridad para realizar una prueba de cumplimiento. Consulte TLS.
Puerta de enlace segura de Blast
De forma predeterminada, la puerta de enlace segura de Blast (BSG) usa el certificado TLS que está configurado para la instancia del servidor de conexión en el que la BSG se está ejecutando. Si reemplaza el certificado autofirmado predeterminado por un servidor con un certificado firmado por una CA, la BSG también usa este certificado.
Servidor de inscripciones
Se requiere TLS para las conexiones a un servidor de inscripciones desde Connection Server. De forma predeterminada, el Servidor de inscripciones genera un certificado autofirmado para el servidor. Sin embargo, la instalación utiliza un certificado existente si ya existe un certificado válido con el nombre descriptivo vdm.es en el almacén de certificados de Windows.
Servidor de la base de datos
Para habilitar TLS para la comunicación con un servidor de base de datos utilizado para alojar la base de datos de eventos, asegúrese de que el servidor de base de datos utilice un certificado firmado por una CA. Consulte la documentación del proveedor de base de datos correspondiente para configurar el certificado TLS en los servidores de la base de datos.
Autenticador SAML 2.0
VMware Workspace ONE Access usa autenticadores SAML 2.0 para proporcionar una autenticación basada en web y una autorización a través de dominios de seguridad. Si desea que VMware Horizon 8 delegue la autenticación en VMware Workspace ONE Access, puede configurar VMware Horizon 8 para aceptar sesiones autenticadas de SAML 2.0 desde VMware Workspace ONE Access. Cuando VMware Workspace ONE Access esté configurado para admitir VMware Horizon 8, los usuarios de VMware Workspace ONE Access pueden conectarse a los escritorios remotos si seleccionan los iconos de escritorio que se encuentran en el portal de usuarios de Horizon.
En Horizon Console puede configurar autenticadores SAML 2.0 para usarlos con las instancias del servidor de conexión.
Antes de agregar un autenticador SAML 2.0 en Horizon Console, asegúrese de que el autenticador SAML 2.0 utilice un certificado firmado por una CA.
Directrices adicionales
Para obtener información general sobre la solicitud y el uso de certificados TLS que estén firmados por una CA, consulte TLS.
Cuando los endpoints cliente se conecten a una instancia de Connection Server, se presentan con el certificado TLS del servidor y todos los certificados intermedios de la cadena de confianza (los certificados intermedios se encuentran en el almacén de entidades de certificación intermedias de Windows de Connection Server). Para confiar en el certificado del servidor, los sistemas cliente deben tener instalado el certificado raíz de la CA que lo firma.
vCenter Server no presenta un certificado intermedio al establecer una conexión TLS. Las instancias de Connection Server deben tener esos certificados intermedios en su almacén de entidades de certificación intermedias de Windows. Consulte el artículo 2108294 de la base de conocimientos.
De forma similar, si un autenticador SAML 2.0 está configurado para el servidor de conexión, el equipo de este servidor debe tener instalado el certificado raíz de la CA que firma el certificado del servidor SAML 2.0.
