Horizon 7 サーバおよび関連コンポーネント用の TLS 証明書を構成する場合には、特定のガイドラインに従う必要があります。

Horizon 接続サーバとセキュリティ サーバ

サーバにクライアントを接続するには TLS が必要です。クライアント接続の接続サーバ インスタンス、セキュリティ サーバ、TLS 接続を終端させる中間サーバは、TLS サーバ証明書を要求します。

デフォルトでは、接続サーバまたはセキュリティ サーバをインストールすると、サーバ用の自己署名証明書が生成されます。ただし、次の場合は既存の証明書が使用されます。
  • フレンドリ名 vdm を持つ有効な証明書が Windows 証明書ストアに存在する場合
  • 以前のリリースから Horizon 7 にアップグレードし、有効なキーストア ファイルが Windows Server コンピュータで構成されている場合、インストールでキーと証明書が抽出され、Windows 証明書ストアにインポートされます。

vCenter Server と View Composer

vCenter Server と View Composer を本番環境の Horizon 7 に追加する前に、vCenter Server と View Composer が CA によって署名された証明書を使用していることを確認してください。

vCenter Server のデフォルト証明書の置換については、VMware のテクニカル ペーパー サイト(http://www.vmware.com/resources/techresources/)の「Replacing vCenter Server Certificates」を参照してください。

同じ Windows Server ホストに vCenter Server と View Composer をインストールする場合、同じ TLS 証明書を使用できますが、各コンポーネントで証明書を個別に構成する必要があります。

PCoIP Secure Gateway

業界または地域のセキュリティに関わる法律に準拠するため、PCoIP Secure Gateway (PSG) サービスによって生成されるデフォルトの TLS 証明書を認証局 (CA) によって署名される証明書に置き換えることができます。CA 署名付き証明書を使用するために PSG サービスを構成することを強く推奨します。特に、セキュリティ スキャナを使用して準拠テストにパスする必要がある展開です。TLSを参照してください。

Blast Secure Gateway

デフォルトでは、Blast Secure Gateway (BSG) は、BSG が動作している接続サーバ インスタンスまたはセキュリティ サーバ用に構成される TLS 証明書を使用します。CA 署名付き証明書を持つサーバのデフォルトの自己署名証明書を置き換えると、BSG も CA 署名付き証明書を使用します。

SAML 2.0 認証システム

VMware Identity Manager は SAML 2.0 認証子を使用して、セキュリティ ドメイン全体で Web ベースの認証と承認を実現します。Horizon 7VMware Identity Manager に認証を委任するようにする場合は、Horizon 7 を構成して、VMware Identity Manager からの SAML 2.0 認証セッションを受け入れるようにすることができます。VMware Identity ManagerHorizon 7 をサポートするように構成されている場合、VMware Identity Manager ユーザーは、Horizon ユーザー ポータルのデスクトップ アイコンを選択してリモート デスクトップに接続することができます。

Horizon Administrator では、SAML 2.0 認証システムを View 接続サーバ インスタンスで使用するように構成できます。

Horizon Administrator に SAML 2.0 認証システムを追加する前に、SAML 2.0 認証システムが CA によって署名された証明書を使用していることを確認します。

その他のガイドライン

認証局 (CA) によって署名された TLS 証明書の要求と使用に関する一般的な情報については、TLSを参照してください。

クライアント エンドポイントが接続サーバ インスタンスまたはセキュリティ サーバに接続すると、サーバの TLS サーバ証明書と信頼チェーン内の任意の中間証明書が提示されます。サーバ証明書を信頼するには、クライアント システムに、CA が署名したルート証明書がインストールされている必要があります。

接続サーバが vCenter Server および View Composer と通信するとき、接続サーバには、TLS サーバ証明書とこれらのサーバからの中間証明書が提示されます。vCenter Server と View Composer Server を信頼するには、接続サーバ コンピュータに、CA が署名したルート証明書がインストールされている必要があります。

同様に、接続サーバ用に SAML 2.0 認証システムが構成されている場合は、接続サーバ コンピュータに、SAML 2.0 サーバ証明書用の CA が署名したルート証明書がインストールされている必要があります。