Horizon Client と Connection Server または Unified Access Gateway インスタンス間と、Horizon Client とリモート デスクトップの Horizon Agent 間の通信を暗号化するために使用するセキュリティ プロトコルと暗号化アルゴリズムを選択できます。

サポートされている TLS プロトコル

Horizon Clientは、TLS 1.1、TLS 1.2、TLS 1.3 のセキュリティ プロトコルをサポートします。TLS 1.0、SSL 2.0、SSL 3.0 などの古いプロトコルはサポートされていません。

既定の TLS 設定

Horizon Client では、次のデフォルトの TLS 設定が使用されます。

セキュリティ プロトコル 非 FIPS モードのデフォルト設定 FIPS モードのデフォルト設定
TLS 1.3 有効 有効になっていません
TLS 1.2 有効 有効
TLS 1.1 有効になっていません 有効になっていません

デフォルトの暗号制御文字列は次のとおりです。

  • [TLS v1.1 または TLS v1.2] -
    • (非 FIPS モード)[!aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES]
    • (FIPS モード)[!aNULL:ECDHE+AES]
  • [TLS v1.3] -
    • (非 FIPS モード)[TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256]
    • (FIPS モード)[TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256]

TLS 設定の構成に関するガイドライン

TLS 設定をデフォルトから変更する前に、このセクションで説明されているガイドラインと制限事項を確認してください。

Horizon Client にセキュリティ プロトコルを構成し、これらのプロトコルがクライアントの接続先である Connection Server または Unified Access Gateway インスタンスで有効になっていない場合、TLS エラーが発生して接続に失敗します。

Connection Server で使用できるセキュリティ プロトコルの詳細については、『Horizon セキュリティ』ドキュメントを参照してください。

暗号リストを構成するには、コロンで区切って、優先順に 1 つ以上の暗号文字列を指定します。暗号文字列では、大文字と小文字が区別されます。

高度な TLS 設定の構成

注: TLS 設定をデフォルトから変更する前に、「 TLS 設定の構成に関するガイドライン」を確認します。
  1. [設定] を開いて [セキュリティ オプション] をタップします。
    • リモート デスクトップまたは公開アプリケーションに全画面表示モードで接続している場合は、Horizon Client ツール ラジアル メニュー アイコンをタップし、歯車のアイコンをタップして [設定] にアクセスします。
    • 全画面表示モードを使用していない場合、Horizon Client ツールバーの右上隅のメニューで [設定] をタップします。
    • サーバに接続されていない場合、Horizon Client ウィンドウの右上隅にある [設定](歯車)アイコンをタップします。
  2. [詳細セキュリティ オプション] をタップします。
  3. [デフォルトの設定を使用] の選択が解除されていることを確認します。
  4. セキュリティ プロトコルを有効または無効にするには、セキュリティ プロトコル名の横にあるチェックボックスをタップします。
  5. 暗号制御文字列を変更する場合は、デフォルトの文字列を置き換えます。
  6. [サーバ証明書の失効ステータスを確認するように構成します] で、次のいずれかのオプションを選択します。
    • [サーバ証明書が失効しているか、失効ステータスを判別できない場合は、サーバに接続しません。]「失効ステータスを判別できない」には、クライアントが CRL エンドポイントに到達できないというネットワークの問題が含まれますが、これに限定されるものではありません。このオプションは、3 つのオプションのうちで最も厳密な証明書検証を実行します。
    • [サーバ証明書が失効している場合は、サーバに接続しません。]このオプションを使用すると、失効ステータスを判断できない場合でも、クライアントはサーバに接続できます。
    • [証明書失効ステータスを確認しません。]CC モードが有効になっている場合、このオプションは非表示になります。
  7. [署名アルゴリズムを構成します] 設定を使用して、署名アルゴリズム拡張を TLS ハンドシェイクの Client Hello メッセージで構成します。
  8. [サポートされているグループ拡張を構成します] 設定を使用して、サポートされるグループ拡張を TLS ハンドシェイクの Client Hello メッセージで構成します。
  9. (オプション)デフォルト設定に戻すには、[デフォルトの設定を使用] オプションをタップして選択します。
  10. 変更内容を保存するには、[OK] をタップします。

変更は、次回、サーバに接続したときに有効になります。