L'approccio più sicuro consiste nell'installare manualmente il file PEM attendibile su ciascun modello che utilizza l'agente guest, ma è possibile anche configurare l'agente guest affinché consideri attendibile la prima macchina con cui si connette.

L'installazione del file PEM relativo al server attendibile su ciascun modello insieme all'agente guest è l'approccio più sicuro. Per motivi di sicurezza, l'agente guest non effettua la verifica di un certificato se nella directory VRMGuestAgent è già presente un file PEM. Se i certificati dei server cambiano, è necessario rigenerare manualmente i modelli con i nuovi file PEM.

È possibile anche configurare l'agente guest per popolare il file PEM attendibile al primo utilizzo. Si tratta di un'opzione meno sicura rispetto all'installazione manuale dei file PEM su ogni modello, ma più flessibile in quegli ambienti in cui può essere preferibile utilizzare un singolo modello per più server. Per consentire all'agente guest di considerare attendibile il primo server a cui si connette, creare un modello senza file PEM nella directory VRMGuestAgent. L'agente guest popolerà il file PEM la prima volta che si connetterà a un server. Un modello considera sempre attendibile il primo sistema a cui si connette. Per motivi di sicurezza, l'agente guest non effettua la verifica di un certificato se nella directory VRMGuestAgent è già presente un file PEM. Se il certificato del server cambia, è necessario rimuovere il file PEM dalla directory VRMGuestAgent. L'agente guest installerà il nuovo file PEM la prima volta che si connetterà al server.