View Agent 6.2 からは、Windows レジストリを編集して、HTML AccessAgent によって使用される暗号化スイートを構成できます。 View Agent 6.2.1 からは、使用されるセキュリティ プロトコルも構成できます。グループ ポリシー オブジェクト (GPO) で構成を指定することもできます。

View Agent 6.2.1 以降のリリースでは、HTML AccessAgent で TLS 1.1 と TLS 1.2 のみが使用されます。許可されるプロトコルは、低いものから高いものの順序で、TLS 1.0、TLS 1.1、TLS 1.2 です。SSLv3 以前のような古いプロトコルは許可されません。 レジストリ値 SslProtocolLowSslProtocolHigh により、HTML Access Agent によって承認されるプロトコルの範囲が決まります。 たとえば、SslProtocolLow=tls_1.0SslProtocolHigh=tls_1.2 を設定すると、HTML Access Agent は、TLS 1.0、TLS 1.1、TLS 1.2 を承認します。デフォルト設定は SslProtocolLow=tls_1.1SslProtocolHigh=tls_1.2 です。

暗号化方式のリストは、https://www.openssl.org/docs/manmaster/man1/ciphers.htmlの「CIPHER LIST FORMAT」で定義されている形式で指定する必要があります。 デフォルトの暗号化方式リストを次に示します。

ECDHE-RSA-AES256-SHA:AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL

手順

  1. Windows レジストリ エディタを開始します。
  2. HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config レジストリ キーに移動します。
  3. 2 つの新しい文字列 (REG_SZ) 値、SslProtocolLowSslProtocolHigh を追加して、プロトコルの範囲を指定します。
    レジストリ値のデータは、 tls_1.0tls_1.1tls_1.2 のいずれかにする必要があります。 プロトコルを 1 つのみ有効にするには、両方のレジストリ値に同じプロトコルを指定します。2 つのレジストリ値のいずれかが存在しないか、データが 3 つのうちのいずれかのプロトコルに設定されていない場合は、デフォルトのプロトコルが使用されます。
  4. 新しい文字列 (REG_SZ) 値、SslCiphersを追加して、暗号化スイートのリストを指定します。
    レジストリ値のデータ フィールドに暗号化スイートのリストを入力するか貼り付けます。次に例を示します。
    ECDHE-RSA-AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL
  5. Windows サービスの VMware Blast を再起動します。

結果

デフォルトの暗号化リストを使用するように戻すには、SslCiphers レジストリ値を削除して、Windows サービスの VMware Blast を再起動します。 値のデータ部分を単に削除しないでください。データ部分を削除すると、HTML AccessAgent は、OpenSSL 暗号化リスト形式の定義に従って、すべての暗号化を許可しなくなります。

HTML AccessAgent が起動すると、ログ ファイルにプロトコルと暗号化の情報が書き込まれます。 ログ ファイルを調べると、有効になっている値を判断できます。

デフォルトのプロトコルと暗号化スイートは、VMware でネットワーク セキュリティのベスト プラクティスが進展することに伴い、今後変更されることがあります。