Protocoles et chiffrements anciens désactivés dans VMware Horizon

Certains anciens protocoles et chiffrements qui ne sont plus considérés comme étant sécurisés sont désactivés par défaut dans VMware Horizon. Si nécessaire, vous pouvez les activer manuellement.

Suites de chiffrement DHE

Pour plus d'informations, consultez http://kb.vmware.com/kb/2121183. Les suites de chiffrement qui sont compatibles avec les certificats DSA utilisent des clés Diffie-Hellman éphémères, et ces suites ne sont plus activées par défaut, à compter d'Horizon 6 version 6.2.

Pour les instances du Serveur de connexion et les postes de travail VMware Horizon, vous pouvez activer ces suites de chiffrement en modifiant la base de données Horizon LDAP, le fichier locked.properties ou le registre, comme décrit dans ce guide. Voir Modifier les stratégies d'acceptation et de proposition générales, Configurer des stratégies d'acceptation sur des serveurs individuels et Configurer des stratégies de proposition sur des postes de travail distants. Vous pouvez définir une liste de suites de chiffrement qui inclut une ou plusieurs des suites suivantes, dans cet ordre :

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (TLS 1.2 uniquement, pas FIPS)
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (TLS 1.2 uniquement, pas FIPS)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (TLS 1.2 uniquement)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (TLS 1.2 uniquement)
TLS_DHE_DSS_WITH_AES_256_CBC_SHA

Pour les machines View Agent Direct-Connection (VADC), vous pouvez activer des suites de chiffrement DHE en ajoutant ce qui suit à la liste de chiffrements lorsque vous suivez la procédure « Désactiver les chiffrements faibles dans les protocoles SSL/TLS pour les machines Horizon Agent » dans le document Installation d'Horizon.

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Note : Il n'est pas possible d'activer la prise en charge pour les certificats ECDSA. Ces certificats n'ont jamais été pris en charge.

SSLv3

Dans VMware Horizon, SSL version 3.0 a été supprimé.

RC4

Pour les instances du Serveur de connexion et les postes de travail VMware Horizon, vous pouvez activer RC4 sur un Serveur de connexion ou une machine Horizon Agent en modifiant le fichier de configuration C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security. À la fin du fichier se trouve une entrée multiligne appelée jdk.tls.legacyAlgorithms. Supprimez RC4_128 et la virgule qui suit de cette entrée et redémarrez le Serveur de connexion ou la machine Horizon Agent, selon le cas.

Pour les machines View Agent Direct-Connection (VADC), vous pouvez activer RC4 en ajoutant ce qui suit à la liste de chiffrements lorsque vous suivez la procédure « Désactiver les chiffrements faibles dans les protocoles SSL/TLS pour les machines Horizon Agent » dans le document Installation d'Horizon.

TLS_RSA_WITH_RC4_128_SHA

TLS 1.0

Dans VMware Horizon, TLS 1.0 est désactivé par défaut.

Pour plus d'informations, consultez https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1.pdf et http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdf. Pour obtenir des instructions sur l'activation de TLS 1.0, reportez-vous à la section « Activer TLSv1 sur des connexions vCenter depuis le Serveur de connexion » et le document Mises à niveau d'Horizon.