Horizon Client とサーバ間の接続でサーバ証明書が確認されます。証明書は、デジタル形式の識別情報で、パスポートや運転免許証のような役割を果たします。
証明書確認について
サーバ証明書の確認では、以下のことが確認されます。
- 証明書の目的は、送信側の ID 検証やサーバ通信の暗号化以外にあるか。つまり、証明書のタイプは正しいか。
- 証明書は期限切れになっているか、また有効なのは未来のみか。つまり、証明書はコンピュータの時刻に応じて有効になっているか。
- 証明書上の共通名は、それを送信するサーバのホスト名と一致しているか。ロード バランサが Horizon Client を、Horizon Client で入力したホスト名と一致しない証明書を持つサーバにリダイレクトした場合、不一致が発生する可能性があります。クライアントにホスト名ではなく IP アドレスを入力した場合でも、不一致の原因となる可能性があります。
- 不明なまたは信頼されていない認証局(CA)によって署名された証明書か。自己署名された証明書は、信頼されていない CA の証明書タイプの 1 つです。チェックをパスするには、証明書のトラスト チェーンが、デバイスのローカル証明書ストアでルートになっている必要があります。
ユーザーがクライアント デバイスにインストールできる自己署名付ルート証明書を配布する情報、Android デバイスに証明書をインストールする手順については、デバイスのドキュメンテーションを参照してください。
証明書確認モードの設定方法
システム管理者が、サーバに正常に接続するために、Horizon Client で証明書確認モードを設定するようにエンド ユーザーに指示する場合があります。企業によっては、管理者が証明書確認モードを設定し、エンド ユーザーが Horizon Client で変更できないようにしている場合があります。
証明書確認モードを設定するには、Horizon Client を起動し、Horizon Client ウィンドウの右上隅にある設定(歯車)アイコンをタップし、[セキュリティ オプション]、[セキュリティ モード] の順にタップします。次のいずれかのオプションを選択できます。
- [信頼されていないサーバに接続しない]。この設定は、証明書の確認に失敗した場合にサーバに接続できないことを意味します。失敗したチェックは、エラー メッセージに一覧表示されます。
- [信頼されていないサーバに接続する前に警告する]。この設定は、サーバが自己署名証明書を使用しているために証明書の確認に失敗したときに、[続行] をクリックして警告を無視できることを意味します。自己署名証明書の場合、Horizon Client に入力したサーバ名と証明書名が一致する必要はありません。証明書が期限切れの場合でも、警告を受信します。
- [サーバ ID 証明書を検証しない]。この設定は、証明書確認が実行されないことを示します。
後で管理者が信頼される認証局からのセキュリティ証明書をインストールし、接続時のすべての証明書チェックにパスするようになると、この信頼された接続はその特定のサーバに対して記録されます。その後、このサーバが自己署名証明書を再び提示すると、接続は失敗します。特定のサーバが完全に検証可能な証明書を提示した後は、必ずその処理が行われます。