La vérification des certificats du serveur se produit pour les connexions entre Horizon Client et un serveur. Un certificat est une forme numérique d'identification, semblable à un passeport ou à un permis de conduire.

À propos de la vérification des certificats

La vérification des certificats du serveur inclut les vérifications suivantes :

  • Le certificat a-t-il un autre but que de vérifier l'identité de l'expéditeur et de chiffrer les communications du serveur ? Autrement dit, s'agit-il du bon type de certificat ?
  • Le certificat a-t-il expiré, ou est-il valide uniquement dans le futur ? Autrement dit, le certificat est-il valide en fonction de l'horloge de l'ordinateur ?
  • Le nom commun sur le certificat correspond-il au nom d'hôte du serveur qui l'envoie ? Une incompatibilité peut se produire si l'équilibrage de charge redirige Horizon Client vers un serveur disposant d'un certificat qui ne correspond pas au nom d'hôte entré dans Horizon Client. Une incompatibilité peut également se produire si vous entrez une adresse IP plutôt qu'un nom d'hôte dans le client.
  • Le certificat est-il signé par une autorité de certification inconnue ou non approuvée ? Les certificats auto-signés sont un type d'autorité de certification non approuvée. Pour que cette vérification aboutisse, la chaîne d'approbation du certificat doit être associée à une racine dans le magasin de certificats local.

Pour plus d'informations sur la distribution d'un certificat racine auto-signé et sur son installation sur des systèmes clients Mac, consultez le document Advanced Server Administration (Administration avancée de serveur) pour le serveur Mac que vous utilisez, disponible sur le site Web d'Apple.

Définition du mode de vérification des certificats

Un administrateur système peut demander aux utilisateurs finaux de définir le mode de vérification des certificats dans Horizon Client pour s'assurer qu'ils peuvent se connecter à un serveur. Dans certaines entreprises, un administrateur peut définir le mode de vérification des certificats et empêcher les utilisateurs finaux de le modifier dans Horizon Client.

Pour définir le mode de vérification des certificats, démarrez Horizon Client et sélectionnez VMware Horizon Client > Préférences dans la barre de menus. Vous pouvez sélectionner l'une des options suivantes.

  • Ne jamais se connecter à des serveurs non autorisés. Ce paramètre signifie que vous ne pouvez pas vous connecter au serveur si une des vérifications de certificat échoue. Un message d'erreur répertorie les vérifications qui ont échoué.
  • Signaler avant de se connecter à des serveurs non autorisés. Ce paramètre signifie que vous pouvez cliquer sur Continuer pour ignorer l'avertissement si une vérification de certificat échoue, car le serveur utilise un certificat auto-signé. Pour les certificats auto-signés, le nom du certificat ne doit pas nécessairement correspondre au nom de serveur que vous avez entré dans Horizon Client. Vous pouvez également recevoir un avertissement si le certificat a expiré.
  • Ne pas vérifier les certificats d'identité des serveurs. Ce paramètre signifie qu'aucune vérification des certificats n'a lieu.

Si un administrateur installe ultérieurement un certificat de sécurité à partir d'une autorité de certification de confiance et que toutes les vérifications de certificat réussissent lorsque vous vous connectez, cette connexion approuvée est enregistrée pour ce serveur spécifique. À l'avenir, si ce serveur présente de nouveau un certificat auto-signé, la connexion échoue. Après qu'un serveur particulier présente un certificat entièrement vérifiable, il doit toujours faire ainsi.

Vous pouvez configurer le mode de vérification des certificats par défaut et empêcher les utilisateurs finaux de le modifier dans Horizon Client. Pour plus d'informations, reportez-vous à la section Configuration du mode de vérification des certificats pour les utilisateurs finaux.

Utilisation d'un serveur proxy SSL

Si vous utilisez un serveur proxy SSL pour inspecter le trafic envoyé à partir de l'environnement client vers Internet, activez le paramètre Vérification du certificat de connexion du protocole et définissez-le sur Vérification PKI ou Vérification de l'empreinte numérique ou PKI. Si le client s'exécute en mode FIPS, définissez cette option sur Vérification PKI. Ce paramètre permet la vérification des certificats pour les connexions secondaires via un serveur proxy SSL et s'applique aux connexions Blast Secure Gateway et de tunnel sécurisé. Si vous utilisez un serveur proxy SSL et activez la vérification des certificats, sans définir ce paramètre sur PKI ou sur Empreinte numérique ou PKI, les connexions échouent en raison des empreintes numériques incompatibles. Le mode de vérification du certificat de connexion du protocole n'est pas disponible si vous activez l'option Ne pas vérifier les certificats d'identité des serveurs. Lorsque l'option Ne pas vérifier les certificats d'identité des serveurs est activée, Horizon Client ne vérifie pas le certificat ou l'empreinte numérique et un proxy SSL est toujours autorisé. Vous pouvez également configurer le mode de vérification de certificat de connexion du protocole via le paramètre de stratégie de groupe Horizon Client.

Vous pouvez également configurer le mode de vérification du certificat de connexion du protocole par le paramètre de stratégie de groupe Horizon Client. Pour plus d'informations, reportez-vous à la section « Utilisation de paramètres de stratégie de groupe pour configurer Horizon Client ».

Pour autoriser les connexions VMware Blast via un serveur proxy, reportez-vous à la section Configurer les options de Blast.

Activer le mode FIPS sur Horizon Client pour Mac

Pour utiliser le chiffrement conforme à FIPS, vous devez activer le mode FIPS sur Horizon Client pour Mac. Pour activer le mode FIPS sur Horizon Client pour Mac, procédez comme suit :

  1. Mettez à jour plist à l'aide de la commande suivante :
    defaults write com.vmware.horizon enableFIPSMode -bool YES
  2. Assurez-vous qu'un certificat signé par une autorité de certification est installé sur Horizon Client pour Mac et approuvé dans le trousseau.
    Note : Le certificat auto-signé n'est pas accepté en mode FIPS.
  3. Redémarrez votre instance d'Horizon Client pour Mac.
Note : Seul le protocole Blast respecte le mode FIPS.