Linux : désactivation des chiffrements faibles et remplacement du certificat de serveur TLS auto-signé

Pour obtenir une meilleure sécurité dans les sessions Direct-Connection, vous pouvez modifier le fichier de configuration /etc/nginx/conf.d/vmwvadc.conf pour interdire les chiffrements faibles dans les communications SSL/TLS et remplacer le certificat de serveur TLS auto-signé par défaut par un certificat signé par une autorité de certification.

Interdiction des chiffrements faibles dans les communications SSL/TLS

Note : Si Horizon Client n'est pas configuré pour prendre en charge un chiffrement pris en charge par le système d'exploitation du poste de travail virtuel, la négociation TLS/SSL échoue et le client ne peut plus se connecter.

Pour plus d'informations sur la configuration des suites de chiffrement prises en charge dans les clients Horizon Client, reportez-vous à la documentation Horizon Client à l'adresse https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.

Dans le fichier de configuration /etc/nginx/conf.d/vmwvadc.conf, sous ###Enable https, la ligne suivante spécifie la liste de chiffrements par défaut.

ssl_ciphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES;

Pour interdire les chiffrements faibles, ajoutez les chaînes de chiffrement à la ligne ssl_ciphers en utilisant le format de liste de chiffrements décrit dans https://www.openssl.org/docs/.

Remplacement du certificat de serveur TLS auto-signé

Lorsque le plug-in View Agent Direct-Connection (VADC) démarre pour la première fois après l'installation, il génère automatiquement un certificat de serveur TLS auto-signé. Le certificat de serveur TLS est présenté à Horizon Client pendant la négociation du protocole TLS pour fournir au client des informations sur ce poste de travail.

Le certificat de serveur TLS auto-signé par défaut ne peut pas fournir à Horizon Client une protection suffisante contre les menaces de falsification et d'écoute. Pour vous protéger contre ces menaces, vous devez remplacer le certificat auto-signé par un certificat signé par une autorité de certification (CA) qui est approuvé par le client et entièrement validé par les vérifications de certificat de Horizon Client.

Les certificats disposant d'une extension Autre nom de l'objet (SAN) et de certificats génériques sont pris en charge.

Dans le fichier de configuration /etc/nginx/conf.d/vmwvadc.conf, sous ###Enable https, les lignes suivantes spécifient le certificat auto-signé par défaut et la clé privée.

ssl_certificate /etc/vmware/ssl/rui.crt;
ssl_certificate_key /etc/vmware/ssl/rui.key;

Remplacez les entrées par défaut dans ces lignes par les chemins d'accès aux certificats signés par une autorité de certification et à la clé privée.