Configurer des stratégies d'acceptation sur des serveurs individuels

Pour spécifier une stratégie d'acceptation locale sur une instance individuelle du Serveur de connexion, vous devez ajouter des propriétés au fichier locked.properties. Si le fichier locked.properties n'existe pas encore sur le serveur, vous devez le créer.

Vous ajoutez une instance de secureProtocols.Entrée n pour chaque protocole de sécurité que vous souhaitez configurer. Utilisez la syntaxe suivante : secureProtocols.n=protocole de sécurité.

Vous ajoutez une instance de enabledCipherSuite.Entrée n pour chaque suite de chiffrement que vous souhaitez configurer. Utilisez la syntaxe suivante : enabledCipherSuite.n=suite de chiffrement.

La variable n est un entier que vous ajoutez dans l'ordre (1, 2, 3) pour chaque type d'entrée.

Vous ajoutez une entrée honorClientOrder pour contrôler la priorité des suites de chiffrement. En temps normal, le classement des suites de chiffrement du serveur n'est pas important et le classement du client est utilisé. Pour utiliser plutôt le classement des suites de chiffrement du serveur, utilisez la syntaxe suivante :

honorClientOrder=false

Vérifiez que les entrées dans le fichier locked.properties respectent la syntaxe et que les noms des suites de chiffrement et des protocoles de sécurité sont bien orthographiés. Toute erreur dans le fichier peut entraîner l'échec de la négociation entre le client et le serveur.

Procédure

Créez ou modifiez le fichier locked.properties dans le dossier de configuration de la passerelle TLS/SSL sur l'ordinateur exécutant le Serveur de connexion.
Par exemple : install_directory\VMware\VMware View\Server\sslgateway\conf\
Ajoutez les entrées secureProtocols.n et enabledCipherSuite.n, y compris les protocoles de sécurité et les suites de chiffrement associés.
Enregistrez le fichier locked.properties.
Redémarrez le service VMware Horizon Connection Server pour que vos modifications prennent effet.

Exemple : Stratégies d'acceptation par défaut sur un serveur individuel

L'exemple suivant montre les entrées dans le fichier locked.properties requises pour spécifier les stratégies par défaut :

# The following list should be ordered with the latest protocol first:

secureProtocols.1=TLSv1.2

# This setting must be the latest protocol given in the list above:

preferredSecureProtocol=TLSv1.2

# The order of the following list is unimportant unless honorClientOrder is false:

enabledCipherSuite.1=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
enabledCipherSuite.2=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
enabledCipherSuite.3=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
enabledCipherSuite.4=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

# Use the client's ordering of cipher suites (ignores the ordering given above):

honorClientOrder=true

Note : En mode FIPS, seules les suites de chiffrement GCM sont activées.