証明書確認について

サーバ証明書の確認では、以下のことが確認されます。

• 証明書の目的は、送信側の ID 検証やサーバ通信の暗号化以外にあるか。つまり、証明書のタイプは正しいか。
• 証明書は期限切れになっているか、また有効なのは未来のみか。つまり、証明書はコンピュータの時刻に応じて有効になっているか。
• 証明書上の共通名は、それを送信するサーバのホスト名と一致しているか。ロード バランサが Horizon Client を、Horizon Client で入力したホスト名と一致しない証明書を持つサーバにリダイレクトした場合、不一致が発生する可能性があります。クライアントにホスト名ではなく IP アドレスを入力した場合でも、不一致の原因となる可能性があります。
• 不明なまたは信頼されていない証明機関（CA）によって署名された証明書か。自己署名された証明書は、信頼されていない CA の証明書タイプの 1 つです。チェックをパスするには、証明書のトラスト チェーンが、デバイスのローカル証明書ストアでルートになっている必要があります。

ユーザーが Linux クライアント システムにインストールできる自己署名付ルート証明書を配布する情報については、Ubuntu のドキュメントを参照してください。

Horizon Client は、クライアント システムの /etc/ssl/certs ディレクトリに保存されている PEM 形式の証明書を使用します。この場所に保存されているルート証明書をインポートする情報については、https://help.ubuntu.com/community/OpenSSL のドキュメントに記載されている「Importing a Certificate into the System-Wide Certificate Authority Database（システム全体の証明機関データベースへの証明書のインポート）」を参照してください。

証明書確認モードの設定方法

システム管理者が、サーバに正常に接続するために、Horizon Client で証明書確認モードを設定するようにエンド ユーザーに指示する場合があります。企業によっては、管理者が証明書確認モードを設定し、エンド ユーザーが Horizon Client で変更できないようにしている場合があります。

管理者が許可している場合、証明書確認モードを設定することができます。証明書確認モードを設定するには、Horizon Client を起動し、メニュー バーから [ファイル] > [環境設定] の順に選択します。次のいずれかのオプションを選択できます。

デフォルトの証明書確認モードを設定すると、エンド ユーザーによる Horizon Client での変更を防ぐことができます。詳細については、エンド ユーザーの証明書確認モードの設定を参照してください。

SSL プロキシ サーバの使用

SSL プロキシ サーバを使用してクライアント環境からインターネットに送信されたトラフィックを検査する場合は、[SSL プロキシ経由の接続を許可] の設定を有効にします。この設定を使用すると、Blast Secure Gateway とセキュアなトンネル接続で SSL プロキシ サーバ経由のセカンダリ接続の証明書確認を許可できます。SSL プロキシ サーバを使用して証明書確認を有効にしても、[SSL プロキシ経由の接続を許可] の設定を有効にしないと、サムプリントが一致しないため接続が失敗します。[サーバ ID 証明書を確認しない] オプションを有効にすると、[SSL プロキシ経由の接続を許可] の設定は使用できません。[サーバ ID 証明書を確認しない] オプションを有効にすると、Horizon Client は証明書またはサムプリントを検証せず、SSL プロキシが常に許可されます。

プロキシ サーバ経由での VMware Blast 接続を許可する方法については、Horizon Linux Client の VMware Blast オプションの構成を参照してください。