Chaque instance du Serveur de connexion effectue la vérification de la révocation des certificats sur son propre certificat et sur ceux des serveurs de sécurité couplés avec elle. Chaque instance vérifie également les certificats des serveurs vCenter Server et View Composer Server dès qu'elle établit une connexion avec eux. Par défaut, tous les certificats dans la chaîne sont vérifiés, sauf le certificat racine. Toutefois, vous pouvez modifier cette valeur par défaut.
Si un authentificateur SAML 2.0 est configuré pour être utilisé par une instance du Serveur de connexion, le Serveur de connexion effectue également la vérification de la révocation des certificats sur le certificat du serveur SAML 2.0.
Horizon 7 prend en charge plusieurs méthodes de vérification de la révocation des certificats, telles que des listes de révocation de certificat (CRL) et le protocole OCSP (Online Certificate Status Protocol). Une CRL est une liste de certificats révoqués publiée par l'autorité de certification qui a émis les certificats. OCSP est un protocole de validation de certificat utilisé pour obtenir l'état de révocation d'un certificat X.509.
Avec des listes de révocation de certificat, la liste de certificats révoqués est téléchargée à partir d'un point de distribution de certificat qui est souvent spécifié dans le certificat. Le serveur va périodiquement à l'URL du point de distribution de la liste de révocation de certificat spécifiée dans le certificat, télécharge la liste et la vérifie pour déterminer si le certificat de serveur a été révoqué. Avec OCSP, le serveur envoie une demande à un répondeur OCSP afin de déterminer l'état de révocation du certificat.
Lorsque vous obtenez un certificat de serveur auprès d'une autorité de certification tierce, le certificat inclut une ou plusieurs méthodes grâce auxquelles son état de révocation peut être déterminé, y compris, par exemple, une URL du point de distribution de la liste de révocation de certificat ou l'URL d'un répondeur OCSP. Si vous avez votre propre autorité de certification et que vous générez un certificat mais n'incluez pas d'informations de révocation dans le certificat, la vérification de la révocation des certificats échoue. Un exemple d'informations de révocation pour un tel certificat peut inclure, par exemple, une URL vers un point de distribution de la liste de révocation de certificat basé sur le Web sur un serveur sur lequel vous hébergez une liste de révocation de certificat.
Si vous avez votre propre autorité de certification mais que vous n'incluez ou ne pouvez pas inclure d'informations de révocation dans votre certificat, vous pouvez choisir de ne pas vérifier les certificats pour révocation ou de vérifier uniquement certains certificats dans une chaîne. Sur le serveur, avec l'éditeur de Registre Windows, vous pouvez créer la valeur de chaîne (REG_SZ) CertificateRevocationCheckType, sous HKLM\Software\VMware, Inc.\VMware VDM\Security et définir cette valeur sur l'une des valeurs de données suivantes.
Valeur | Description |
---|---|
1 | Ne pas effectuer la vérification de la révocation des certificats. |
2 | Vérifier uniquement le certificat de serveur. Ne pas vérifier les autres certificats dans la chaîne. |
3 | Vérifier tous les certificats dans la chaîne. |
4 | (Valeur par défaut) Vérifier tous les certificats sauf le certificat racine. |
Si cette valeur de Registre n'est pas définie, ou si la valeur définie n'est pas valide (c'est-à-dire si la valeur n'est pas 1, 2, 3 ou 4), tous les certificats sont vérifiés sauf le certificat racine. Définissez cette valeur de Registre sur chaque serveur sur lequel vous prévoyez de modifier la vérification de la révocation. Vous n'avez pas à redémarrer le système après avoir défini cette valeur.