各 Connection Server インスタンスは、自身の証明書について証明書失効チェックを実行します。また、vCenter Server との接続を確立すると、各インスタンスは vCenter Server の証明書をチェックします。デフォルトでは、ルート証明書を除いてチェーン内のすべての証明書がチェックされます。ただし、このデフォルトは変更できます。
SAML 2.0 認証子が Connection Server インスタンスによって使用されるように構成されていると、Connection Server は SAML 2.0 サーバ証明書についても証明書失効チェックを実行します。
VMware Horizon 8 は、証明書失効リスト (CRL) や Online Certificate Status Protocol (OCSP) などのさまざまな証明書失効チェックの方式をサポートしています。CRL は、証明書を発行した CA によって公開される、失効した証明書のリストです。OCSP は、X.509 証明書の失効ステータスを取得するために使用される証明書検証プロトコルです。
CRL を使用すると、失効した証明書のリストがたいてい証明書に指定されている証明書配布ポイント (DP) からダウンロードされます。サーバは証明書に指定された CRL DP URL に定期的にアクセスし、リストをダウンロードして、サーバ証明書が失効していないかどうかを判別します。OCSP を使用すると、サーバは証明書の失効ステータスを判別するように OCSP レスポンダに要求を送信します。
サーバ証明書を他社の証明機関 (CA) から取得する場合、証明書には、たとえば CRL DP URL や OCSP レスポンダの URL を含む、失効ステータスを判別できる 1 つ以上の方式が含まれています。独自の CA があり、証明書を生成したにもかかわらず証明書に失効情報を含んでいないと、証明書失効チェックは失敗します。このような証明書の失効情報の例には、たとえば、CRL をホストするサーバ上の Web ベースの CRL DP の URL などが含まれます。
独自の CA があるにもかかわらず証明書に証明書失効情報が含まれていない、または含めることができない場合、証明書の失効をチェックしないか、チェーン内の特定の証明書のみチェックすることを選択できます。サーバで、Windows レジストリ エディタを使用して、HKLM\Software\VMware, Inc.\VMware VDM\Security の下で文字列 (REG_SZ) の値 [CertificateRevocationCheckType] を作成し、この値を次のデータ値のいずれかに設定できます。
値 | 説明 |
---|---|
1 | 証明書失効チェックを実行しない。 |
2 | サーバ証明書のみチェックする。チェーン内のその他の証明書についてはチェックしない。 |
3 | チェーン内のすべての証明書をチェックする。 |
4 | (デフォルト)ルート証明書を除くすべての証明書をチェックします。 |
このレジストリ値が設定されていない場合、または設定された値が有効でない(つまり、値が 1、2、3、または 4 でない)場合、ルート証明書を除くすべての証明書がチェックされます。このレジストリ値は、失効チェックを変更する予定のそれぞれのサーバで設定します。この値を設定した後でシステムを再起動する必要はありません。