Par défaut, le programme d'installation d'Horizon Agent for Linux génère un certificat auto-signé pour le démon VMwareBlastServer, qui gère les communications avec les clients à l'aide du protocole d'affichage Blast. Pour respecter les réglementations du secteur et de sécurité, vous pouvez remplacer le certificat auto-signé pour VMwareBlastServer par un certificat signé par une autorité de certification (CA).

  • Lorsque Blast Security Gateway n'est pas activé sur Horizon Connection Server, VMwareBlastServer présente ce certificat auto-signé par défaut au navigateur qui utilise HTML Access pour se connecter au poste de travail Linux.
  • Lorsque Blast Security Gateway est activé sur le Horizon Connection Server, il présente son certificat au navigateur.

Pour remplacer le certificat auto-signé par défaut pour VMwareBlastServer par un certificat signé par une autorité de certification, vous pouvez utiliser l'une des méthodes suivantes.

  • Keystore BCFKS : cette méthode permet d'utiliser le script de déploiement DeployBlastCert.sh pour stocker le certificat et la clé privée dans un keystore FIPS Bouncy Castle chiffré dans le répertoire /etc/vmware/ssl.
  • Stockage non chiffré : cette méthode permet de copier manuellement le certificat et la clé privée, sans chiffrement, au niveau racine du répertoire /etc/vmware/ssl.

Le démon VMwareBlastServer recherche d'abord dans le porte-clé Linux le certificat et la clé privée d'un keystore BCFKS. S'il ne trouve pas le keystore BCFKS, il lit le certificat et la clé privée stockés au niveau racine de /etc/vmware/ssl.

Déployer le certificat d'autorité de certification VMwareBlastServer sur un keystore BCFKS

Le script de déploiement DeployBlastCert.sh crée un keystore BCFKS nommé vmwareblast.bcfks dans le répertoire /etc/vmware/ssl et stocke le certificat et la clé privée dans ce keystore. Les informations contenues dans le keystore sont ensuite ajoutées au porte-clé Linux.

  1. Utilisez les options de configuration SSLCertName et SSLKeyName pour personnaliser le nom du certificat et le nom de la clé privée, respectivement, tels qu'ils s'affichent dans le porte-clé Linux. Pour plus d'informations, reportez-vous à la section Options de configuration dans /etc/vmware/viewagent-custom.conf.
  2. Exécutez le script de déploiement DeployBlastCert.sh, comme indiqué dans l'exemple suivant.
    sudo /usr/lib/vmware/viewagent/bin/DeployBlastCert.sh -c /root/rui.cert -k /root/rui.key

    Utilisez les indicateurs de paramètre suivants pour le script de déploiement :

    Indicateur de paramètre Description
    -c Spécifie le fichier de certificat signé par une autorité de certification.
    -k Spécifie le fichier de la clé privée.

Déployer le certificat d'autorité de certification VMwareBlastServer sur un stockage non chiffré

  1. Ajoutez la clé privée et le certificat signé par une autorité de certification à /etc/vmware/ssl.
    1. Renommez la clé privée en rui.key et le certificat en rui.crt.
    2. Définissez les autorisations de lecture et exécutables sur /etc/vmware/ssl.
      sudo chmod 550 /etc/vmware/ssl
    3. Copiez rui.key et rui.crt dans /etc/vmware/ssl.
    4. Supprimez les autorisations exécutables sur /etc/vmware/ssl.
      sudo chmod 440 /etc/vmware/ssl
  2. Installez les certificats d'autorité de certification racine et intermédiaires dans le magasin de l'autorité de certification Linux OS.

    Pour plus d'informations sur d'autres paramètres système qui doivent être modifiés pour prendre en charge la chaîne de certificats d'autorité de certification, reportez-vous à la documentation de votre distribution Linux.