Para lograr una mayor seguridad en las sesiones de conexión directa, puede modificar el archivo de configuración /etc/nginx/conf.d/vmwvadc.conf para no permitir cifrados débiles en las comunicaciones SSL/TLS y reemplazar el certificado de servidor TLS autofirmado predeterminado por un certificado firmado por una entidad de certificación.

Nota: El complemento Horizon Agent Direct-Connection se admite en escritorios Linux que ejecuten Horizon Agent 2111 o versiones posteriores.

No permitir cifrados débiles en comunicaciones SSL/TLS

Nota: Si Horizon Client no está configurado para admitir los cifrados compatibles con el sistema operativo del escritorio virtual, se producirá un error en la negociación TLS/SSL y el cliente no se podrá conectar.

Para obtener información sobre la configuración de conjuntos de claves de cifrado en Horizon Client, consulte la documentación de Horizon Client disponible en https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.

En el archivo de configuración /etc/nginx/conf.d/vmwvadc.conf, en ###Enable https, la siguiente línea especifica la lista de cifrado predeterminada.
ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;

Para no permitir cifrados débiles, agregue las cadenas de cifrado a la línea ssl_ciphers con el formato de lista de cifrado descrito en https://www.openssl.org/docs/.

Reemplazar el certificado de servidor TLS autofirmado

Cuando el complemento Horizon Agent Direct-Connection (anteriormente View Agent Direct-Connection) se inicia por primera vez después de la instalación, genera automáticamente un certificado de servidor TLS autofirmado. El certificado TLS de servidor se presenta a Horizon Client durante la negociación del protocolo TLS para proporcionar al cliente información sobre este escritorio.

El certificado TLS de servidor autofirmado predeterminado no proporciona protección suficiente a Horizon Client ante amenazas de manipulación y escuchas secretas. Para protegerse contra estas amenazas, debe reemplazar el certificado autofirmado por un certificado firmado por una entidad de certificación (CA) que sea de confianza para el cliente y que esté completamente validado por las comprobaciones de certificados de Horizon Client.

Los certificados con Nombre alternativo del firmante (SAN) y los certificados comodines son compatibles.

En el archivo de configuración /etc/nginx/conf.d/vmwvadc.conf, en ###Enable https, las siguientes líneas especifican el certificado autofirmado y la clave privada predeterminados.
ssl_certificate /etc/vmware/ssl/rui.crt;
ssl_certificate_key /etc/vmware/ssl/rui.key;

Reemplace las entradas predeterminadas en estas líneas con las rutas de acceso del certificado firmado por la CA y la clave privada.