Vous pouvez sélectionner les protocoles de sécurité et les algorithmes de chiffrement utilisés pour chiffrer les communications entre Horizon Client et le Serveur de connexion ou les instances d'Unified Access Gateway, et entre Horizon Client et Horizon Agent dans un poste de travail distant.

Protocoles TLS pris en charge

Horizon Client prend en charge les protocoles de sécurité TLS 1.1, TLS 1.2 et TLS 1.3. Les anciens protocoles tels que TLS 1.0, SSL 2.0 et SSL 3.0 ne sont pas pris en charge.

Paramètres TLS par défaut

Horizon Client utilise les paramètres TLS par défaut suivants :

Protocole de sécurité Paramètre par défaut en mode non-FIPS Paramètre par défaut en mode FIPS
TLS 1.3 Activé Non activée
TLS 1.2 Activé Activé
TLS 1.1 Non activée Non activée

Les chaînes de contrôle de chiffrement par défaut sont les suivantes :

  • TLS v1.1 ou TLS v1.2 -
    • (Mode non-FIPS) !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES
    • (Mode FIPS) !aNULL:ECDHE+AES
  • TLS v1.3 -
    • (Mode non-FIPS) TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
    • (Mode FIPS) TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256

Directives pour la configuration des paramètres TLS

Avant de modifier les paramètres TLS par défaut, passez en revue les directives et les limitations décrites dans cette section.

Si vous configurez des protocoles de sécurité pour Horizon Client et qu'aucun d'entre eux n'est activé sur le Serveur de connexion ou l'instance d'Unified Access Gateway à laquelle le client se connecte, une erreur TLS se produit et la connexion échoue.

Pour plus d'informations sur la configuration des protocoles de sécurité que le serveur de connexion peut accepter, reportez-vous au document Sécurité d'Horizon.

Pour configurer la liste de chiffrements, spécifiez une ou plusieurs chaînes de chiffrement par ordre de préférence, séparées par deux-points. La chaîne de chiffrement est sensible à la casse.

Configuration des paramètres TLS avancés

Note : Avant de modifier les paramètres TLS par défaut, vérifiez Directives pour la configuration des paramètres TLS.
  1. Ouvrez Paramètres et appuyez sur Options de sécurité.
    • Si vous êtes connecté à une application publiée ou à un poste de travail distant en mode plein écran, appuyez sur l'icône du menu circulaire Outils d'Horizon Client, puis sur l'icône d'engrenage pour accéder à Paramètres.
    • Si vous n'utilisez pas le mode plein écran, appuyez sur Paramètres dans le menu dans le coin supérieur droit de la barre d'outils d'Horizon Client.
    • Si vous n'êtes pas connecté à un serveur, appuyez sur l'icône Paramètres (engrenage) dans le coin supérieur droit de la fenêtre d'Horizon Client.
  2. Appuyez sur Options de sécurité avancées.
  3. Assurez-vous que l'option Utiliser les paramètres par défaut est désélectionnée.
  4. Pour activer ou désactiver un protocole de sécurité, cochez la case en regard du nom du protocole de sécurité.
  5. Pour modifier la chaîne de commande de chiffrement, remplacez la chaîne par défaut.
  6. Sous Configure pour vérifier l'état de révocation du certificat de serveur, sélectionnez l'une des options suivantes :
    • Ne se connecte pas aux serveurs lorsque le certificat de serveur est révoqué ou incapable de déterminer l'état de révocation. Notez que le message « impossible de déterminer l'état de révocation » inclut, sans s'y limiter, le problème de réseau indiquant que le client ne peut pas atteindre les points de terminaison de la liste de révocation de certificats (CRL). Cette option constitue la vérification de certificats la plus stricte des trois options.
    • Ne se connecte pas aux serveurs lorsque le certificat de serveur est révoqué. Avec cette option, si vous ne parvenez pas à déterminer l'état de révocation, le client peut également se connecter aux serveurs.
    • Ne vérifie pas l'état de révocation des certificats. Notez que cette option est masquée si le mode CC est activé.
  7. Utilisez le paramètre Configure les algorithmes de signature pour configurer l'extension d'algorithmes de signature dans le message Client Hello de l'établissement de liaison TLS.
  8. Utilisez le paramètre Configurer les groupes pris en charge pour configurer l'extension de groupes pris en charge dans le message Client Hello de l'établissement de liaison TLS.
  9. Facultatif : pour rétablir les paramètres par défaut, appuyez pour sélectionner l'option Utiliser les paramètres par défaut.
  10. Appuyez sur OK pour enregistrer les modifications.

Vos modifications seront appliquées lors de votre prochaine connexion au serveur.