Les administrateurs, et parfois les utilisateurs finaux, peuvent configurer le rejet des connexions client si une ou plusieurs vérifications de certificats de serveur échouent.

La vérification des certificats se produit pour les connexions SSL entre le Serveur de connexion et Horizon Client. La vérification de certificat inclut les vérifications suivantes :

  • Le certificat a-t-il été révoqué ?
  • Le certificat a-t-il un autre but que de vérifier l'identité de l'expéditeur et de chiffrer les communications du serveur ? Autrement dit, s'agit-il du bon type de certificat ?
  • Le certificat a-t-il expiré, ou est-il valide uniquement dans le futur ? Autrement dit, le certificat est-il valide en fonction de l'horloge de l'ordinateur ?
  • Le nom commun sur le certificat correspond-il au nom d'hôte du serveur qui l'envoie ? Une incompatibilité peut se produire si l'équilibrage de charge redirige Horizon Client vers un serveur disposant d'un certificat qui ne correspond pas au nom d'hôte entré dans Horizon Client. Une incompatibilité peut également se produire si vous entrez une adresse IP plutôt qu'un nom d'hôte dans le client.
  • Le certificat est-il signé par une autorité de certification inconnue ou non approuvée ? Les certificats auto-signés sont un type d'autorité de certification non approuvée.

    Pour que cette vérification aboutisse, la chaîne d'approbation du certificat doit être associée à une racine dans le magasin de certificats local.

Note : Pour plus d'informations sur la distribution d'un certificat racine auto-signé à tous les systèmes clients Windows dans un domaine, consultez « Ajouter le certificat racine aux autorités de certification racine approuvées » dans le document Installation de View.

Lorsque vous utilisez Horizon Client pour ouvrir une session sur un poste de travail, si votre administrateur l'a autorisé, vous pouvez cliquer sur Configurer SSL afin de définir le mode de vérification des certificats. Vous avez trois possibilités :

  • Ne jamais se connecter à des serveurs non autorisés. Si l'une des vérifications de certificat échoue, le client ne peut pas se connecter au serveur. Un message d'erreur répertorie les vérifications qui ont échoué.
  • Signaler avant de se connecter à des serveurs non autorisés. Si une vérification de certificat échoue car le serveur utilise un certificat auto-signé, vous pouvez cliquer sur Continuer pour ignorer l'avertissement. Pour les certificats auto-signés, le nom du certificat ne doit pas nécessairement correspondre au nom du serveur que vous avez entré dans Horizon Client.

    Vous pouvez également recevoir un avertissement si le certificat a expiré.

  • Ne pas vérifier les certificats d'identité des serveurs. Ce paramètre signifie qu'aucune vérification des certificats n'a lieu.

Si le mode de vérification des certificats est défini sur Avertir, vous pouvez toujours vous connecter à une instance du Serveur de connexion qui utilise un certificat auto-signé.

Si un administrateur installe ultérieurement un certificat de sécurité à partir d'une autorité de certification de confiance, afin que toutes les vérifications de certificat aient lieu lorsque vous vous connectez, cette connexion approuvée est enregistrée pour ce serveur spécifique. À l'avenir, si ce serveur présente de nouveau un certificat auto-signé, la connexion échoue. Après qu'un serveur particulier présente un certificat entièrement vérifiable, il doit toujours faire ainsi.

Important :

Si vous avez précédemment configuré les systèmes clients de votre société pour utiliser un chiffrement spécifique via GPO, en définissant par exemple les paramètres de stratégie de groupe SSL Cipher Suite Order, vous devez maintenant utiliser un paramètre de sécurité de stratégie de groupe Horizon Client inclus dans les fichiers de modèle ADM et ADMX. Reportez-vous à la section Paramètres de sécurité des objets de stratégie de groupe (GPO) des clients. Vous pouvez également utiliser le paramètre de registre SSLCipherList sur le client. Reportez-vous à la section Utilisation du Registre Windows pour configurer Horizon Client.