VMware Horizon サーバおよび関連コンポーネント用の TLS 証明書を構成する場合には、特定のガイドラインに従う必要があります。

Horizon Connection Server

サーバにクライアントを接続するには TLS が必要です。クライアント接続の Connection Server インスタンスと TLS 接続を終端させる中間サーバは、TLS サーバ証明書を要求します。

デフォルトでは、Connection Server をインストールすると、サーバ用の自己署名証明書が生成されます。ただし、次の場合は既存の証明書が使用されます。
  • フレンドリ名 vdm を持つ有効な証明書が Windows 証明書ストアに存在する場合
  • 以前のリリースから VMware Horizon にアップグレードし、有効なキーストア ファイルが Windows Server コンピュータで構成されている場合、インストールでキーと証明書が抽出され、Windows 証明書ストアにインポートされます。

vCenter Server

vCenter Server を本番環境の VMware Horizon に追加する前に、vCenter Server が CA によって署名された証明書を使用していることを確認してください。

vCenter Server のデフォルト証明書の置換については、VMware のテクニカル ペーパー サイト(http://www.vmware.com/resources/techresources/)の「Replacing vCenter Server Certificates」を参照してください。

PCoIP Secure Gateway

業界または地域のセキュリティに関わる法律に準拠するため、PCoIP Secure Gateway (PSG) サービスによって生成されるデフォルトの TLS 証明書を認証局 (CA) によって署名される証明書に置き換えることができます。CA 署名付き証明書を使用するために PSG サービスを構成することを強く推奨します。特に、セキュリティ スキャナを使用して準拠テストにパスする必要がある展開です。TLSを参照してください。

Blast Secure Gateway

デフォルトでは、Blast Secure Gateway (BSG) は、BSG が動作している Connection Server インスタンス用に構成される TLS 証明書を使用します。CA 署名付き証明書を持つサーバのデフォルトの自己署名証明書を置き換えると、BSG も CA 署名付き証明書を使用します。

SAML 2.0 認証システム

VMware Workspace ONE Access は SAML 2.0 認証子を使用して、セキュリティ ドメイン全体で Web ベースの認証と承認を実現します。VMware HorizonVMware Workspace ONE Access に認証を委任するようにする場合は、VMware Horizon を構成して、VMware Workspace ONE Access からの SAML 2.0 認証セッションを受け入れるようにすることができます。VMware Workspace ONE AccessVMware Horizon をサポートするように構成されている場合、VMware Workspace ONE Access ユーザーは、Horizon ユーザー ポータルのデスクトップ アイコンを選択してリモート デスクトップに接続することができます。

Horizon Console では、SAML 2.0 認証システムを View Connection Server インスタンスで使用するように構成できます。

Horizon Console に SAML 2.0 認証システムを追加する前に、SAML 2.0 認証システムが CA によって署名された証明書を使用していることを確認します。

その他のガイドライン

認証局 (CA) によって署名された TLS 証明書の要求と使用に関する一般的な情報については、TLSを参照してください。

クライアント エンドポイントが Connection Server インスタンスに接続すると、サーバの TLS サーバ証明書と信頼チェーン内の任意の中間証明書が提示されます。サーバ証明書を信頼するには、クライアント システムに、CA が署名したルート証明書がインストールされている必要があります。

Connection Server が vCenter Server と通信するとき、Connection Server には、TLS サーバ証明書とこのサーバからの中間証明書が提示されます。vCenter Server を信頼するには、Connection Server コンピュータに、CA が署名したルート証明書がインストールされている必要があります。

同様に、Connection Server 用に SAML 2.0 認証システムが構成されている場合は、Connection Server コンピュータに、SAML 2.0 サーバ証明書用の CA が署名したルート証明書がインストールされている必要があります。