De forma predeterminada, el instalador de Horizon Agent for Linux genera un certificado autofirmado para el daemon de VMwareBlastServer, que controla las comunicaciones con los clientes mediante el protocolo de visualización Blast. Para cumplir con las normativas de seguridad o del sector, puede reemplazar el certificado autofirmado para VMwareBlastServer con un certificado firmado por una entidad de certificación (CA).
- Cuando la puerta de enlace de seguridad de Blast no está habilitada en Horizon Connection Server, VMwareBlastServer presenta este certificado autofirmado predeterminado al navegador que utiliza HTML Access para conectarse con el escritorio Linux.
- Cuando la puerta de enlace de seguridad de Blast está habilitada en Horizon Connection Server, la puerta de enlace de seguridad de Blast presenta el certificado al navegador.
Para reemplazar el certificado autofirmado predeterminado para VMwareBlastServer por un certificado firmado por una CA, puede usar uno de los siguientes métodos.
- Almacén de claves BCFKS: con este método, se utiliza el script de implementación
DeployBlastCert.sh
para almacenar el certificado y la clave privada en un almacén de claves cifrado Bouncy Castle FIPS (BCFKS) en el directorio /etc/vmware/ssl. - Almacenamiento sin cifrar: con este método, se copia manualmente el certificado y la clave privada sin cifrado en el nivel raíz del directorio /etc/vmware/ssl.
El daemon de VMwareBlastServer primero busca en el keyring de Linux el certificado y la clave privada de un almacén de claves BCFKS. Si no encuentra un almacén de claves BCFKS, leerá el certificado y la clave privada que hay en el nivel raíz del directorio /etc/vmware/ssl.
Implementar el certificado de la entidad de certificación VMwareBlastServer en un almacén de claves BCFKS
El script de implementación de DeployBlastCert.sh
crea un nuevo almacén de claves BCFKS denominado vmwareblast.bcfks en el directorio /etc/vmware/ssl y almacena el certificado y la clave privada en este almacén de claves. A continuación, la información del almacén de claves se agrega al keyring de Linux.
- Utilice las opciones de configuración SSLCertName y SSLKeyName para personalizar el nombre del certificado y el nombre de la clave privada, respectivamente, tal como aparecen en el keyring de Linux. Si desea obtener más información, consulte Opciones de configuración en /etc/vmware/viewagent-custom.conf.
- Ejecute el script de implementación de
DeployBlastCert.sh
como se muestra en el siguiente ejemplo.sudo /usr/lib/vmware/viewagent/bin/DeployBlastCert.sh -c /root/rui.cert -k /root/rui.key
Utilice las siguientes marcas de parámetros para el script de implementación:
Marca de parámetro Descripción -c Especifica el archivo de certificado firmado por la entidad de certificación. -k Especifica el archivo de clave privada.
Implementar el certificado de la entidad de certificación VMwareBlastServer en un almacenamiento sin cifrar
- Agregue la clave privada y el certificado firmado por una CA a /etc/vmware/ssl.
- Cambie el nombre de la clave privada a rui.key y el del certificado a rui.crt.
- Establezca permisos de lectura y ejecutables en /etc/vmware/ssl.
sudo chmod 550 /etc/vmware/ssl
- Copie rui.key y rui.crt en /etc/vmware/ssl.
- Elimine los permisos de ejecutables en /etc/vmware/ssl.
sudo chmod 440 /etc/vmware/ssl
- Instale los certificados de la entidad de certificación raíz e intermedia en el almacén de entidades de certificación del SO Linux.
Para obtener información sobre otros ajustes del sistema que se deben cambiar para admitir la cadena de certificados de CA, consulte la documentación de su distribución Linux.