Horizon Client とサーバ間の接続でサーバ証明書が確認されます。証明書は、デジタル形式の識別情報で、パスポートや運転免許証のような役割を果たします。
証明書確認について
サーバ証明書の確認では、以下のことが確認されます。
- 証明書は失効しているか。
- 証明書の目的は、送信側の ID 検証やサーバ通信の暗号化以外にあるか。つまり、証明書のタイプは正しいか。
- 証明書は期限切れになっているか、また有効なのは未来のみか。つまり、証明書はコンピュータの時刻に応じて有効になっているか。
- 証明書上の共通名は、それを送信するサーバのホスト名と一致しているか。ロード バランサが Horizon Client を、Horizon Client で入力したホスト名と一致しない証明書を持つサーバにリダイレクトした場合、不一致が発生する可能性があります。クライアントにホスト名ではなく IP アドレスを入力した場合でも、不一致の原因となる可能性があります。
- 不明なまたは信頼されていない証明機関(CA)によって署名された証明書か。自己署名された証明書は、信頼されていない CA の証明書タイプの 1 つです。チェックをパスするには、証明書のトラスト チェーンが、デバイスのローカル証明書ストアでルートになっている必要があります。
ドメイン内のすべての Windows クライアント システムに自己署名付ルート証明書を配布する情報については、『Horizon インストールとアップグレード』ドキュメントの「信用されるルート証明書機関を追加」を参照してください。
証明書確認モードの設定方法
システム管理者が、サーバに正常に接続するために、Horizon Client で証明書確認モードを設定するようにエンド ユーザーに指示する場合があります。企業によっては、管理者が証明書確認モードを設定し、エンド ユーザーが Horizon Client で変更できないようにしている場合があります。
証明書確認モードを設定するには、Horizon Client を起動し、 の順に選択します。次のいずれかのオプションを選択できます。FIPS モードでは証明書確認を構成できないことに注意してください。
- [信頼されていないサーバに接続しない]。この設定は、証明書の確認に失敗した場合にサーバに接続できないことを意味します。失敗したチェックは、エラー メッセージに一覧表示されます。
- [信頼されていないサーバに接続する前に警告する]。この設定は、サーバが自己署名証明書を使用しているために証明書の確認に失敗したときに、[続行] をクリックして警告を無視できることを意味します。自己署名証明書の場合、Horizon Client に入力したサーバ名と証明書名が一致する必要はありません。証明書が期限切れの場合でも、警告を受信します。
- [サーバ ID 証明書を検証しない]。この設定は、証明書確認が実行されないことを示します。
後で管理者が信頼される認証局からのセキュリティ証明書をインストールし、接続時のすべての証明書チェックにパスするようになると、この信頼された接続はその特定のサーバに対して記録されます。その後、このサーバが自己署名証明書を再び提示すると、接続は失敗します。特定のサーバが完全に検証可能な証明書を提示した後は、必ずその処理が行われます。
過去に SSL Cipher Suite Order グループ ポリシーを設定するなどして、社内のクライアント システムを構成し、特定の暗号を使用するようにした場合、Horizon Client グループ ポリシーのセキュリティ設定を使用する必要があります。グループ ポリシーによる Horizon Client の設定を参照してください。または、クライアント システムの SSLCipherList レジストリ設定を使用できます。Windows レジストリを使用した Horizon Client の構成を参照してください。
デフォルトの証明書確認モードを設定すると、エンド ユーザーによる Horizon Client での変更を防ぐことができます。詳細については、エンド ユーザーの証明書確認モードの設定を参照してください。
SSL プロキシ サーバの使用
SSL プロキシ サーバを使用してクライアント環境からインターネットに送信されるトラフィックを検査する場合は、[プロトコル接続証明書検証] 設定を有効にして、[PKI 検証] または [サムプリントまたは PKI の検証] に設定する必要があります。クライアントが FIPS モードで実行されている場合は、このオプションを [PKI 検証] に設定します。この設定を使用すると、Blast Secure Gateway とセキュアなトンネル接続で SSL プロキシ サーバ経由のセカンダリ接続の証明書確認を許可できます。SSL プロキシ サーバを使用して証明書検証を有効にしても、この設定が [PKI] または [サムプリントまたは PKI] に設定されていると、サムプリントが一致しないため、接続に失敗します。[サーバ ID 証明書を確認しない] オプションを有効にすると、[プロトコル接続証明書検証] モードは使用できません。[サーバ ID 証明書を確認しない] オプションを有効にすると、Horizon Client は証明書またはサムプリントを検証せず、SSL プロキシが常に許可されます。Horizon Client グループ ポリシー設定を使用して、プロトコル接続証明書検証モードを構成することもできます。詳細については、グループ ポリシーによる Horizon Client の設定を参照してください。
Horizon Client グループ ポリシー設定を使用して、プロトコル接続証明書検証モードを構成することもできます。詳細については、「グループ ポリシー設定による Horizon Client の構成」を参照してください。
[Horizon Client の SSL プロキシ証明書の確認動作を構成] グループ ポリシー設定を使用して、SSL プロキシ サーバ経由のセカンダリ接続で証明書確認を許可するかどうか設定できます。
プロキシ サーバ経由での VMware Blast 接続を許可する方法については、VMware Blast オプションの構成を参照してください。