VMware Horizon utilise un grand nombre de certificats de clé publique. Certains de ces certificats sont vérifiés à l'aide de mécanismes impliquant un tiers de confiance, mais ces mécanismes ne fournissent pas toujours la précision, la vitesse et la flexibilité nécessaires. VMware Horizon utilise un autre mécanisme appelé vérification de l'empreinte numérique dans plusieurs situations.

Au lieu de valider des champs individuels de certificat ou de créer une chaîne de confiance, la vérification des empreintes numériques traite le certificat comme un jeton, en faisant correspondre la séquence d'octets complète (ou un hachage cryptographique de celle-ci) à une séquence ou un hachage d'octets pré-partagé. En général, cela est partagé juste-à-temps sur un canal de confiance séparé et signifie que le certificat présenté par un service peut être vérifié pour être le certificat exact qui était attendu.

Le bus de messages Horizon communique entre des routeur de connexions, ainsi qu'entre des instances d'Horizon Agent et du routeur de connexions. Les canaux de configuration utilisent des signatures par message et le chiffrement de charge utile, alors que les canaux principaux sont protégés à l'aide de TLS avec l'authentification mutuelle. Lors de l'utilisation de TLS pour protéger un canal, l'authentification du client et du serveur implique des certificats TLS et une validation des empreintes numériques. Pour les canaux du bus de messages Horizon, le serveur est toujours un routeur de message. Le client peut également être un routeur de message, car c'est ainsi que les routeurs de message partagent des messages. Toutefois, les clients sont des instances du routeur de connexions ou des agents Horizon Agent.

Les empreintes numériques de certificat et les clés de signature de message de configuration initiales sont fournies de différentes manières. Sur les routeur de connexions, les empreintes numériques de certificat sont stockées dans LDAP, afin que les agents Horizon Agent puissent communiquer avec n'importe quel routeur de connexions, et tous les routeur de connexions peuvent communiquer entre eux. Les certificats de serveur et de client du bus de message Horizon sont générés automatiquement et échangés régulièrement, et les certificats périmés sont automatiquement supprimés, donc aucune intervention manuelle n'est nécessaire, ou possible. Les certificats à chaque extrémité des canaux principaux sont générés automatiquement et régulièrement et échangés sur les canaux de configuration. Vous ne pouvez pas remplacer ces certificats vous-même. Les certificats expirés sont supprimés automatiquement.

Un mécanisme similaire s'applique à la communication inter-espace.

D'autres canaux de communication peuvent utiliser des certificats fournis par le client, mais la valeur par défaut consiste à générer automatiquement les certificats. Ces canaux incluent les connexions du tunnel sécurisé, du serveur d'inscription et de vCenter, le protocole d'affichage et des canaux auxiliaires. Pour plus d'informations sur la façon de remplacer ces certificats, consultez le document Administration d'Horizon. Les certificats par défaut sont générés lors de l'installation et ne sont pas automatiquement renouvelés, à l'exception de PCoIP. Si un certificat généré par l'infrastructure à clé publique n'est pas disponible pour une utilisation par le protocole PCoIP, il génère automatiquement un nouveau certificat à chaque démarrage. La vérification de l'empreinte numérique est utilisée pour la plupart de ces canaux, même si un certificat généré par l'infrastructure à clé publique est utilisé.

La vérification des certificats vCenter utilise une combinaison de techniques. Les instances du routeur de connexions tentent toujours de valider le certificat reçu à l'aide de l'infrastructure à clé publique. Si cette validation échoue, après avoir examiné le certificat, l'administrateur VMware Horizon peut autoriser la poursuite de la connexion, et le routeur de connexions mémorise le hachage cryptographique du certificat pour les prochaines acceptations sans assistance à l'aide de la vérification de l'empreinte numérique.