Para lograr una mayor seguridad en las sesiones de conexión directa, puede modificar el archivo de configuración /etc/nginx/conf.d/vmwvadc.conf para no permitir cifrados débiles en las comunicaciones SSL/TLS y reemplazar el certificado de servidor TLS autofirmado predeterminado por un certificado firmado por una entidad de certificación.
No permitir cifrados débiles en comunicaciones SSL/TLS
Para obtener información sobre la configuración de conjuntos de claves de cifrado en Horizon Client, consulte la documentación de Horizon Client disponible en https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.
###Enable https
, la siguiente línea especifica la lista de cifrado predeterminada.
ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;
Para no permitir cifrados débiles, agregue las cadenas de cifrado a la línea ssl_ciphers
con el formato de lista de cifrado descrito en https://www.openssl.org/docs/.
Reemplazar el certificado de servidor TLS autofirmado
Cuando el complemento Horizon Agent Direct-Connection (anteriormente View Agent Direct-Connection) se inicia por primera vez después de la instalación, genera automáticamente un certificado de servidor TLS autofirmado. El certificado TLS de servidor se presenta a Horizon Client durante la negociación del protocolo TLS para proporcionar al cliente información sobre este escritorio.
El certificado TLS de servidor autofirmado predeterminado no proporciona protección suficiente a Horizon Client ante amenazas de manipulación y escuchas secretas. Para protegerse contra estas amenazas, debe reemplazar el certificado autofirmado por un certificado firmado por una entidad de certificación (CA) que sea de confianza para el cliente y que esté completamente validado por las comprobaciones de certificados de Horizon Client.
Los certificados con Nombre alternativo del firmante (SAN) y los certificados comodines son compatibles.
###Enable https
, las siguientes líneas especifican el certificado autofirmado y la clave privada predeterminados.
ssl_certificate /etc/vmware/ssl/rui.crt; ssl_certificate_key /etc/vmware/ssl/rui.key;
Reemplace las entradas predeterminadas en estas líneas con las rutas de acceso del certificado firmado por la CA y la clave privada.