Vous devez suivre certaines recommandations pour la configuration de certificats TLS pour les serveurs VMware Horizon 8 et les composants associés.
Horizon Connection Server
TLS est requis pour les connexions clientes à un serveur. Les instances du Serveur de connexion client et les serveurs intermédiaires qui mettent fin aux connexions TLS nécessitent des certificats de serveur TLS.
- Si un certificat valide avec le nom convivial vdm existe déjà dans le magasin de certificats Windows.
- Si vous effectuez une mise à niveau vers VMware Horizon 8 depuis une version antérieure, et qu'un fichier de magasin de clés valide est configuré sur l'ordinateur Windows Server, l'installation extrait les clés et les certificats et les importe dans le magasin de certificats Windows.
vCenter Server
Avant d'ajouter un serveur vCenter Server à VMware Horizon 8 dans un environnement de production, vérifiez que vCenter Server utilise des certificats signés par une autorité de certification.
Pour plus d'informations sur le remplacement du certificat par défaut pour vCenter Server, reportez-vous à la section « Remplacement des certificats dans les déploiements à grande échelle » du document Authentification vSphere sur le site de documentation de VMware vSphere.
PCoIP Secure Gateway
Pour respecter les réglementations de sécurité du secteur ou de la juridiction, vous pouvez remplacer le certificat TLS par défaut généré par le service PCoIP Secure Gateway (PSG) par un certificat signé par une autorité de certification. La configuration du service PSG pour utiliser un certificat signé par une autorité de certification est fortement recommandée, en particulier pour les déploiements qui nécessitent que vous utilisiez des scanners de sécurité pour passer les tests de conformité. Reportez-vous à la section TLS.
Blast Secure Gateway
Par défaut, Blast Secure Gateway (BSG) utilise le certificat TLS configuré pour l'instance du Serveur de connexion sur lequel est exécuté BSG. Si vous remplacez le certificat auto-signé par défaut pour un serveur par un certificat signé par une autorité de certification, BSG utilise également le certificat signé par une autorité de certification.
Serveur d'inscription
TLS est requis pour les connexions à un serveur d'inscription à partir du Serveur de connexion. Par défaut, le serveur d'inscription génère un certificat auto-signé pour le serveur. Toutefois, l'installation utilise un certificat existant si un certificat valide avec un nom convivial vdm.es existe déjà dans le magasin de certificats Windows.
Serveur de base de données
Pour activer TLS pour la communication avec un serveur de base de données utilisé pour la base de données d'événements de l'hôte, assurez-vous que le serveur de base de données utilise un certificat signé par une autorité de certification. Reportez-vous à la documentation du fournisseur de base de données respectif pour configurer le certificat TLS sur les serveurs de base de données.
Authentificateur SAML 2.0
VMware Workspace ONE Access utilise des authentificateurs SAML 2.0 pour fournir une authentification et une autorisation basées sur le Web sur des domaines de sécurité. Si vous voulez que VMware Horizon 8 délègue l'authentification à VMware Workspace ONE Access, vous pouvez configurer VMware Horizon 8 pour accepter les sessions authentifiées de SAML 2.0 depuis VMware Workspace ONE Access. Lorsque VMware Workspace ONE Access est configuré pour prendre en charge VMware Horizon 8, les utilisateurs de VMware Workspace ONE Access peuvent se connecter à des postes de travail distants en sélectionnant des icônes de poste de travail sur le portail utilisateur d'Horizon.
Dans Horizon Console, vous pouvez configurer des authentificateurs SAML 2.0 pour qu'ils utilisent des instances du Serveur de connexion.
Avant d'ajouter un authentificateur SAML 2.0 dans Horizon Console, vérifiez que l'authentificateur SAML 2.0 utilise un certificat signé par une autorité de certification.
Recommandations supplémentaires
Pour plus d'informations générales sur la demande et l'utilisation des certificats TLS signés par une autorité de certification, reportez-vous à la section TLS.
Lorsque des points de terminaison clients se connectent à une instance du Serveur de connexion, ils reçoivent le certificat de serveur TLS du serveur et tous les certificats intermédiaires dans la chaîne d'approbation (les certificats intermédiaires se trouvent dans le magasin d'autorités de certification intermédiaires Windows du Serveur de connexion). Pour approuver le certificat de serveur, les systèmes client doivent avoir installé le certificat racine de l'autorité de certification de signature.
vCenter Server ne présente pas de certificat intermédiaire lors de l'établissement d'une connexion TLS. Les instances du Serveur de connexion doivent disposer de ces certificats intermédiaires dans leur magasin « Autorités de certification intermédiaires » Windows. Reportez-vous à l'article 2108294 de la base de connaissances.
De la même façon, si un authentificateur SAML 2.0 est configuré pour le Serveur de connexion, l'ordinateur Serveur de connexion doit avoir installé le certificat racine de l'autorité de certification de signature pour le certificat du serveur SAML 2.0.
