Anciens protocoles et chiffrements désactivés dans VMware Horizon

Certains anciens protocoles et chiffrements qui ne sont plus considérés comme étant sécurisés sont désactivés par défaut dans VMware Horizon 8. Si nécessaire, vous pouvez les activer manuellement.

Protocoles et chiffrements désactivés

Dans VMware Horizon 8, les protocoles et chiffrements suivants sont désactivés par défaut :

SSLv3
Pour plus d'informations, reportez-vous à la page http://tools.ietf.org/html/rfc7568 .
TLSv1 et TLSv1.1
Pour plus d'informations, consultez https://datatracker.ietf.org/doc/html/rfc8996 et https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r2.pdf.
RC4
Pour plus d'informations, reportez-vous à la page http://tools.ietf.org/html/rfc7465.

Suites de chiffrement DHE

Les suites de chiffrement qui sont compatibles avec les certificats DSA utilisent des clés Diffie-Hellman éphémères, et ces suites ne sont plus activées par défaut, à compter d'Horizon 6 version 6.2. Pour plus d'informations, reportez-vous à la page http://kb.vmware.com/kb/2121183.

Pour les instances du Serveur de connexion et les postes de travail VMware Horizon 8, vous pouvez activer ces suites de chiffrement en modifiant la base de données Horizon LDAP, le fichier locked.properties ou le registre, comme décrit dans ce guide. Voir Modifier les stratégies d'acceptation et de proposition générales, Configurer des stratégies d'acceptation sur des serveurs individuels et Configurer des stratégies de proposition sur des postes de travail distants dans un environnement VMware Horizon 8. Vous pouvez définir une liste de suites de chiffrement qui inclut une ou plusieurs des suites suivantes, dans cet ordre :

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (TLS 1.2 uniquement, pas FIPS)
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (TLS 1.2 uniquement, pas FIPS)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (TLS 1.2 uniquement)
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (TLS 1.2 uniquement)
TLS_DHE_DSS_WITH_AES_256_CBC_SHA

Pour les machines sur lesquelles le plug-in Horizon Agent Direct-Connection est installé, vous pouvez activer des suites de chiffrement DHE en ajoutant ce qui suit à la liste de chiffrements lorsque vous suivez la procédure « Désactiver les chiffrements faibles dans les protocoles SSL/TLS pour les machines Horizon Agent » dans le document Installation et mise à niveau d'Horizon 8.

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

Note : Il n'est pas possible d'activer la prise en charge pour les certificats ECDSA. Ces certificats n'ont jamais été pris en charge.

SHA-1

En mode FIPS, la vérification du certificat échoue avec le message « Les certificats ne sont pas conformes aux contraintes de l'algorithme » si un certificat est signé à l'aide de SHA-1. Cela s'applique à tous les certificats de la chaîne, y compris le certificat racine. Pour plus d'informations sur la raison pour laquelle cet algorithme de signature est déconseillé, reportez-vous à la page https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf.

Remplacez les certificats défaillants si possible. Si cette opération est impossible, les signatures SHA-1 peuvent être réactivées en effectuant une modification LDAP. Accédez à CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int. Modifiez l'attribut pae-SSLClientSignatureSchemes en ajoutant rsa_pkcs1_sha1 à la liste des valeurs séparées par des virgules. Enregistrez l'attribut modifié, puis redémarrez le service Serveur de connexion sur chaque Serveur de connexion du cluster, un à la fois.

Pas de confidentialité de transmission (PFS)

Pour plus d'informations, reportez-vous à la section https://datatracker.ietf.org/doc/html/rfc7525. Les suites de chiffrement spécifiant des algorithmes d'échange de clés qui ne présentent pas de PFS (Perfect Forward Secrecy) sont désactivées par défaut. Pour obtenir des instructions sur l'activation de ces suites de chiffrement, reportez-vous aux autres sections de cette rubrique.

Réactivation de protocoles

Si les protocoles répertoriés ci-dessus ont été déconseillés pour de bonnes raisons, vous pouvez avoir besoin de réactiver un ou plusieurs d'entre eux. Si c'est le cas, vous pouvez activer les protocoles en suivant la procédure ci-dessous.

Pour les instances du Serveur de connexion et les postes de travail VMware Horizon 8, vous pouvez activer un protocole en modifiant le fichier de configuration C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security. À la fin du fichier se trouve une entrée multiligne appelée jdk.tls.legacyAlgorithms. Supprimez le protocole et la virgule qui suit de cette entrée et redémarrez le Serveur de connexion ou la machine Horizon Agent.

Reportez-vous également à la section « Activer TLSv1 sur les connexions vCenter à partir du Serveur de connexion » du document Installation et mise à niveau d'Horizon 8.

Pour les machines Horizon Agent Direct-Connection (anciennement VADC), vous pouvez activer un protocole en ajoutant une ligne à la liste de chiffrements lorsque vous suivez la procédure « Désactiver les chiffrements faibles dans les protocoles SSL/TLS pour les machines Horizon Agent » du document Installation et mise à niveau d'Horizon 8. Par exemple, pour activer RC4, vous pouvez ajouter les éléments suivants.

TLS_RSA_WITH_RC4_128_SHA