Horizon Client とサーバ間の接続でサーバ証明書が確認されます。証明書は、デジタル形式の識別情報で、パスポートや運転免許証のような役割を果たします。
サーバ証明書の確認では、以下のことが確認されます。
- 証明書は失効しているか。
- 証明書の目的は、送信側の ID 検証やサーバ通信の暗号化以外にあるか。つまり、証明書のタイプは正しいか。
- 証明書は期限切れになっているか、また有効なのは未来のみか。つまり、証明書はコンピュータの時刻に応じて有効になっているか。
- 証明書上の共通名は、それを送信するサーバのホスト名と一致しているか。ロード バランサが Horizon Client を、Horizon Client で入力したホスト名と一致しない証明書を持つサーバにリダイレクトした場合、不一致が発生する可能性があります。クライアントにホスト名ではなく IP アドレスを入力した場合でも、不一致の原因となる可能性があります。
- 不明なまたは信頼されていない証明機関(CA)によって署名された証明書か。自己署名された証明書は、信頼されていない CA の証明書タイプの 1 つです。チェックをパスするには、証明書のトラスト チェーンが、デバイスのローカル証明書ストアでルートになっている必要があります。
ドメイン内のすべての Windows クライアント システムに自己署名付ルート証明書を配布する情報については、Horizon のインストールドキュメントの「信用されるルート証明書機関を追加」を参照してください。
証明書検証モードを設定するには、Horizon Client を起動し、Horizon Client メニューの [オプション] メニューで、[SSL を構成] を選択します。次のいずれかのオプションを選択できます。
- [信頼が確認されていないサーバには絶対に接続しない]。この設定は、証明書の確認に失敗した場合にサーバに接続できないことを意味します。失敗したチェックは、エラー メッセージに一覧表示されます。
- [信頼されていないサーバに接続する前に警告する]。この設定は、サーバが自己署名証明書を使用しているために証明書の確認に失敗したときに、[続行] をクリックして警告を無視できることを意味します。自己署名証明書の場合、Horizon Client に入力したサーバ名と証明書名が一致する必要はありません。証明書が期限切れの場合でも、警告を受信します。
- [サーバ ID 証明書を検証しない]。この設定は、証明書確認が実行されないことを示します。
後で管理者が信頼される認証局からのセキュリティ証明書をインストールし、接続時のすべての証明書チェックにパスするようになると、この信頼された接続はその特定のサーバに対して記録されます。その後、このサーバが自己署名証明書を再び提示すると、接続は失敗します。特定のサーバが完全に検証可能な証明書を提示した後は、必ずその処理が行われます。
過去に SSL Cipher Suite Order グループ ポリシーを設定するなどして、社内のクライアント システムを構成し、特定の暗号を使用するようにした場合、Horizon Client グループ ポリシーのセキュリティ設定を使用する必要があります。クライアント GPO のセキュリティ設定を参照してください。または、クライアント システムの SSLCipherList レジストリ設定を使用できます。Windows レジストリを使用した Horizon Client の構成を参照してください。
デフォルトの証明書確認モードを設定すると、エンド ユーザーによる Horizon Client での変更を防ぐことができます。詳細については、エンド ユーザーの証明書確認モードの設定を参照してください。
SSL プロキシ サーバの使用
SSL プロキシ サーバを使用してクライアント環境からインターネットに送信されたトラフィックを検査する場合は、[SSL プロキシ経由の接続を許可] の設定を有効にします。この設定を使用すると、Blast Secure Gateway とセキュアなトンネル接続で SSL プロキシ サーバ経由のセカンダリ接続の証明書確認を許可できます。SSL プロキシ サーバを使用して証明書確認を有効にしても、[SSL プロキシ経由の接続を許可] の設定を有効にしないと、サムプリントが一致しないため接続が失敗します。[サーバ ID 証明書を確認しない] オプションを有効にすると、[SSL プロキシ経由の接続を許可] の設定は使用できません。[サーバ ID 証明書を確認しない] オプションを有効にすると、Horizon Client は証明書またはサムプリントを検証せず、SSL プロキシが常に許可されます。
[Horizon Client の SSL プロキシ証明書の確認動作を構成] グループ ポリシー設定を使用して、SSL プロキシ サーバ経由のセカンダリ接続で証明書確認を許可するかどうか設定できます。詳細については、『クライアント GPO のセキュリティ設定』を参照してください。
プロキシ サーバ経由での VMware Blast 接続を許可する方法については、VMware Blast オプションの構成を参照してください。