いくつかの古いプロトコルと暗号化方式は安全ではないと見なされて、VMware Horizon においてデフォルトで無効になっています。必要な場合には、これらを手動で有効にできます。

DHE 暗号化スイート

詳細については、http://kb.vmware.com/kb/2121183 を参照してください。DSA 証明書に準拠する暗号化スイートは、Diffie-Hellman 短期鍵を使用しており、Horizon 6 バージョン 6.2 から、これらのスイートはデフォルトでは無効になっています。

Connection Server のインスタンスと VMware Horizon デスクトップでは、Horizon LDAP データベース、locked.properties ファイル、またはレジストリをこのガイドの説明に従って編集し、これらの暗号を有効にすることができます。グローバルな承諾ポリシーと提案ポリシーの変更各サーバでの承諾ポリシーの構成、およびリモート デスクトップでの提案ポリシーの構成を参照してください。次の 1 つまたは複数のスイートを含む暗号化スイートのリストを、この順番で定義できます。

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256(TLS 1.2 のみ、FIPS は対象外)
  • TLS_DHE_DSS_WITH_AES_256_GCM_SHA384(TLS 1.2 のみ、FIPS は対象外)
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256(TLS 1.2 のみ)
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256(TLS 1.2 のみ)
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA

View Agent Direct-Connection (VADC) マシンでは、『Horizon のインストール』ドキュメントの「Horizon Agent マシンにおける SSL/TLS での強度の低い暗号化方式の無効化」の手順に従って操作するときに、暗号化方式のリストに以下を追加することで、DHE 暗号化スイートを有効にできます。

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
注: ECDSA 証明書のサポートは、有効にできません。これらの証明書は、これまで一度もサポートされたことがありません。

SSLv3

VMware Horizon では、SSL バージョン 3.0 が削除されました。

RC4

Connection Server のインスタンスおよび VMware Horizon デスクトップについては、構成ファイル C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security を編集して、Connection Server または Horizon Agent マシンで RC4 を有効にできます。ファイルの最後は、jdk.tls.legacyAlgorithms と呼ばれる複数行のエントリになっています。このエントリから RC4_128 とそれに続くコンマを削除し、場合によっては Connection Server または Horizon Agent マシンを再起動します。

View Agent Direct-Connection (VADC) マシンでは、『Horizon のインストール』ドキュメントの「Horizon Agent マシンにおける SSL/TLS での強度の低い暗号化方式の無効化」の手順に従って操作するときに、暗号化方式のリストに以下を追加することで、RC4 を有効にできます。

TLS_RSA_WITH_RC4_128_SHA

TLS 1.0

VMware Horizon のデフォルトでは、TLS 1.0 は無効になっています。

詳細は、https://www.pcisecuritystandards.org/documents/PCI_DSS_v3-1.pdfおよびhttp://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r1.pdfを参照してください。TLS 1.0 を有効にする方法については、「Connection Server からの vCenter Server 接続に対する TLSv1 の有効化」と『Horizon のアップグレード』ドキュメントを参照してください。