Vous pouvez configurer les protocoles de sécurité et les suites de chiffrement que l'écouteur côté client de BSG accepte en modifiant le fichier absg.properties.

Les protocoles autorisés sont, du plus faible au plus élevé, tls1.0, tls1.1 et tls1.2. Les protocoles plus anciens, tels que SSLv3 et version antérieure, ne sont jamais autorisés. Deux propriétés, localHttpsProtocolLow et localHttpsProtocolHigh, déterminent la plage de protocoles que l'écouteur BSG acceptera. Par exemple, si vous définissez localHttpsProtocolLow=tls1.0 et localHttpsProtocolHigh=tls1.2, l'écouteur accepte TLS 1.0, TLS 1.1 et TLS 1.2. Les paramètres par défaut sont localHttpsProtocolLow=tls1.2 et localHttpsProtocolHigh=tls1.2, ce qui signifie que seul TLS 1.2 est autorisé par défaut. Vous pouvez examiner le fichier absg.log de BSG pour voir les valeurs qui sont appliquées pour une instance de BSG spécifique.

Vous devez spécifier la liste de chiffrements en utilisant le format défini dans OpenSSL. Vous pouvez rechercher openssl cipher string dans un navigateur Web et déterminer le format de la liste de chiffrement. La liste de chiffrements suivante est celle par défaut :

ECDHE+AESGCM
Note : En mode FIPS, seules les suites de chiffrement GCM sont activées ( ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256).

Procédure

  1. Sur l'instance du routeur de connexions, modifiez le fichier install_directory\VMware\VMware View\Server\appblastgateway\absg.properties.
    Par défaut, le répertoire d'installation est %ProgramFiles%.
  2. Modifiez les propriétés localHttpsProtocolLow et localHttpsProtocolHigh pour spécifier une plage de protocoles.
    Par exemple,
    localHttpsProtocolLow=tls1.0
    localHttpsProtocolHigh=tls1.2

    Pour activer un seul protocole, spécifiez le même protocole pour localHttpsProtocolLow et localHttpsProtocolHigh.

  3. Modifiez la propriété localHttpsCipherSpec pour spécifier une liste de suites de chiffrement.
    Par exemple,
    localHttpsCipherSpec=!aNULL:kECDH+AESGCM:ECDH+AESGCM:kECDH+AES:ECDH+AES
  4. Redémarrez VMware Horizon Blast Secure Gateway du service Windows.