Horizon Client とサーバ間の接続でサーバ証明書が確認されます。証明書は、デジタル形式の識別情報で、パスポートや運転免許証のような役割を果たします。

証明書確認について

サーバ証明書の確認では、以下のことが確認されます。

  • 証明書の目的は、送信側の ID 検証やサーバ通信の暗号化以外にあるか。つまり、証明書のタイプは正しいか。
  • 証明書は期限切れになっているか、また有効なのは未来のみか。つまり、証明書はコンピュータの時刻に応じて有効になっているか。
  • 証明書上の共通名は、それを送信するサーバのホスト名と一致しているか。ロード バランサが Horizon Client を、Horizon Client で入力したホスト名と一致しない証明書を持つサーバにリダイレクトした場合、不一致が発生する可能性があります。クライアントにホスト名ではなく IP アドレスを入力した場合でも、不一致の原因となる可能性があります。
  • 不明なまたは信頼されていない証明機関(CA)によって署名された証明書か。自己署名された証明書は、信頼されていない CA の証明書タイプの 1 つです。チェックをパスするには、証明書のトラスト チェーンが、デバイスのローカル証明書ストアでルートになっている必要があります。

ユーザーが Linux クライアント システムにインストールできる自己署名付ルート証明書を配布する情報については、Ubuntu のドキュメントを参照してください。

Horizon Client は、クライアント システムの /etc/ssl/certs ディレクトリに保存されている PEM 形式の証明書を使用します。この場所に保存されているルート証明書をインポートする情報については、https://help.ubuntu.com/community/OpenSSL のドキュメントに記載されている「Importing a Certificate into the System-Wide Certificate Authority Database(システム全体の証明機関データベースへの証明書のインポート)」を参照してください。

証明書確認モードの設定方法

システム管理者が、サーバに正常に接続するために、Horizon Client で証明書確認モードを設定するようにエンド ユーザーに指示する場合があります。企業によっては、管理者が証明書確認モードを設定し、エンド ユーザーが Horizon Client で変更できないようにしている場合があります。

管理者が許可している場合、証明書確認モードを設定することができます。証明書確認モードを設定するには、Horizon Client を起動し、メニュー バーから [ファイル] > [環境設定] の順に選択します。次のいずれかのオプションを選択できます。

  • [信頼が確認されていないサーバには絶対に接続しない]。この設定は、証明書の確認に失敗した場合にサーバに接続できないことを意味します。失敗したチェックは、エラー メッセージに一覧表示されます。
  • [信頼されていないサーバに接続する前に警告する]。この設定は、サーバが自己署名証明書を使用しているために証明書の確認に失敗したときに、[続行] をクリックして警告を無視できることを意味します。自己署名証明書の場合、Horizon Client に入力したサーバ名と証明書名が一致する必要はありません。証明書が期限切れの場合でも、警告を受信します。
  • [サーバ ID 証明書を検証しない]。この設定は、証明書確認が実行されないことを示します。

デフォルトの証明書確認モードを設定すると、エンド ユーザーによる Horizon Client での変更を防ぐことができます。詳細については、エンド ユーザーの証明書確認モードの設定を参照してください。

SSL プロキシ サーバの使用

SSL プロキシ サーバを使用してクライアント環境からインターネットに送信されたトラフィックを検査する場合は、[SSL プロキシ経由の接続を許可] の設定を有効にします。この設定を使用すると、Blast Secure Gateway とセキュアなトンネル接続で SSL プロキシ サーバ経由のセカンダリ接続の証明書確認を許可できます。SSL プロキシ サーバを使用して証明書確認を有効にしても、[SSL プロキシ経由の接続を許可] の設定を有効にしないと、サムプリントが一致しないため接続が失敗します。[サーバ ID 証明書を確認しない] オプションを有効にすると、[SSL プロキシ経由の接続を許可] の設定は使用できません。[サーバ ID 証明書を確認しない] オプションを有効にすると、Horizon Client は証明書またはサムプリントを検証せず、SSL プロキシが常に許可されます。

プロキシ サーバ経由での VMware Blast 接続を許可する方法については、VMware Blast オプションの構成を参照してください。