Horizon 7 Server 用の TLS 証明書について

Horizon 7 サーバおよび関連コンポーネント用の TLS 証明書を構成する場合には、特定のガイドラインに従う必要があります。

Horizon Connection Server とセキュリティサーバ

サーバにクライアントを接続するには TLS が必要です。クライアント接続の Connection Server インスタンス、セキュリティサーバ、TLS 接続を終端させる中間サーバは、TLS サーバ証明書を要求します。

デフォルトでは、Connection Server またはセキュリティサーバをインストールすると、サーバ用の自己署名証明書が生成されます。ただし、次の場合は既存の証明書が使用されます。

フレンドリ名 vdm を持つ有効な証明書が Windows 証明書ストアに存在する場合
以前のリリースから Horizon 7 にアップグレードし、有効なキーストアファイルが Windows Server コンピュータで構成されている場合、インストールでキーと証明書が抽出され、Windows 証明書ストアにインポートされます。

vCenter Server と View Composer

vCenter Server と View Composer を本番環境の Horizon 7 に追加する前に、vCenter Server と View Composer が CA によって署名された証明書を使用していることを確認してください。

vCenter Server のデフォルト証明書の置換については、VMware のテクニカルペーパーサイト（http://www.vmware.com/resources/techresources/）の「Replacing vCenter Server Certificates」を参照してください。

同じ Windows Server ホストに vCenter Server と View Composer をインストールする場合、同じ TLS 証明書を使用できますが、各コンポーネントで証明書を個別に構成する必要があります。

PCoIP Secure Gateway

業界または地域のセキュリティに関わる法律に準拠するため、PCoIP Secure Gateway (PSG) サービスによって生成されるデフォルトの TLS 証明書を認証局 (CA) によって署名される証明書に置き換えることができます。CA 署名付き証明書を使用するために PSG サービスを構成することを強く推奨します。特に、セキュリティスキャナを使用して準拠テストにパスする必要がある展開です。TLSを参照してください。

Blast Secure Gateway

デフォルトでは、Blast Secure Gateway (BSG) は、BSG が動作している Connection Server インスタンスまたはセキュリティサーバ用に構成される TLS 証明書を使用します。CA 署名付き証明書を持つサーバのデフォルトの自己署名証明書を置き換えると、BSG も CA 署名付き証明書を使用します。

SAML 2.0 認証システム

VMware Identity Manager は SAML 2.0 認証子を使用して、セキュリティドメイン全体で Web ベースの認証と承認を実現します。Horizon 7 が VMware Identity Manager に認証を委任するようにする場合は、Horizon 7 を構成して、VMware Identity Manager からの SAML 2.0 認証セッションを受け入れるようにすることができます。VMware Identity Manager が Horizon 7 をサポートするように構成されている場合、VMware Identity Manager ユーザーは、Horizon ユーザーポータルのデスクトップアイコンを選択してリモートデスクトップに接続することができます。

Horizon Administrator では、SAML 2.0 認証システムを View Connection Server インスタンスで使用するように構成できます。

Horizon Administrator に SAML 2.0 認証システムを追加する前に、SAML 2.0 認証システムが CA によって署名された証明書を使用していることを確認します。

その他のガイドライン

認証局 (CA) によって署名された TLS 証明書の要求と使用に関する一般的な情報については、TLSを参照してください。

クライアントエンドポイントが Connection Server インスタンスまたはセキュリティサーバに接続すると、サーバの TLS サーバ証明書と信頼チェーン内の任意の中間証明書が提示されます。サーバ証明書を信頼するには、クライアントシステムに、CA が署名したルート証明書がインストールされている必要があります。

Connection Server が vCenter Server および View Composer と通信するとき、Connection Server には、TLS サーバ証明書とこれらのサーバからの中間証明書が提示されます。vCenter Server と View Composer Server を信頼するには、Connection Server コンピュータに、CA が署名したルート証明書がインストールされている必要があります。

同様に、Connection Server 用に SAML 2.0 認証システムが構成されている場合は、Connection Server コンピュータに、SAML 2.0 サーバ証明書用の CA が署名したルート証明書がインストールされている必要があります。