Les administrateurs peuvent configurer le mode de vérification des certificats. Les administrateurs peuvent également configurer si les utilisateurs finaux peuvent contrôler le rejet des connexions clientes si les vérifications de certificats de serveur échouent.
La vérification des certificats se produit pour les connexions TLS entre des instances du Serveur de connexion et Horizon Client. Les administrateurs peuvent configurer le mode de vérification pour utiliser l'une des stratégies suivantes :
- Les utilisateurs finaux peuvent choisir le mode de vérification.
- (Pas de vérification) Aucune vérification de certificat n'est effectuée.
- (Avertir) Les utilisateurs sont avertis si un certificat auto-signé est présenté par le serveur. Les utilisateurs peuvent choisir d'autoriser ou non ce type de connexion.
- (Sécurité complète) Une vérification complète est effectuée et les connexions qui ne passent pas de vérification complète sont rejetées.
La vérification des certificats inclut les contrôles suivants :
- Le certificat a-t-il été révoqué ?
- Le certificat a-t-il un autre but que de vérifier l'identité de l'expéditeur et de chiffrer les communications du serveur ? Autrement dit, s'agit-il du bon type de certificat ?
- Le certificat a-t-il expiré, ou est-il valide uniquement dans le futur ? Autrement dit, le certificat est-il valide en fonction de l'horloge de l'ordinateur ?
- Le nom commun sur le certificat correspond-il au nom d'hôte du serveur qui l'envoie ? Une incompatibilité peut se produire si l'équilibrage de charge redirige Horizon Client vers un serveur disposant d'un certificat qui ne correspond pas au nom d'hôte entré dans Horizon Client. Une incompatibilité peut également se produire si vous entrez une adresse IP plutôt qu'un nom d'hôte dans le client.
- Le certificat est-il signé par une autorité de certification inconnue ou non approuvée ? Les certificats auto-signés sont un type d'autorité de certification non approuvée. Pour que cette vérification aboutisse, la chaîne d'approbation du certificat doit être associée à une racine dans le magasin de certificats local.
Si vous utilisez un serveur proxy SSL pour inspecter le trafic envoyé par l'environnement client à Internet, vous pouvez activer la vérification des certificats pour les connexions secondaires via un serveur proxy SSL. Vous pouvez également configurer les connexions de VMware Blast pour utiliser un serveur proxy.
Pour plus d'informations sur la configuration de la vérification des certificats et de l'utilisation du serveur proxy SSL pour un type de client spécifique, reportez-vous au document d'installation et de configuration de Horizon Client pour ce client. Ces documents contiennent également des informations sur l'utilisation des certificats auto-signés.