HTML Access Agent が使用する暗号とセキュリティ プロトコルを構成できます。グループ ポリシー オブジェクト (GPO) で構成を指定することもできます。

デフォルトでは、HTML Access Agent は TLS 1.0、TLS 1.1、TLS 1.2 のみを使用します。SSLv3 以前などの古いプロトコルは許可されません。2 つのレジストリ値(SslProtocolLowSslProtocolHigh)により、HTML Access Agent が受け入れるプロトコルの範囲が決まります。たとえば、SslProtocolLow=tls_1.1SslProtocolHigh=tls_1.2 を設定すると、HTML Access Agent は TLS 1.1 と TLS 1.2 を受け入れます。デフォルトの設定は SslProtocolLow=tls_1.2SslProtocolHigh=tls_1.2 で、HTML Access Agent は TLS 1.2 のみを受け入れます。

暗号のリストを指定する場合は、適切な暗号リスト形式を使用する必要があります。暗号リストの形式を表示するには、Web ブラウザで openssl cipher string を検索します。デフォルトの暗号化方式リストを次に示します。 

ECDHE+AESGCM

手順

  1. Windows レジストリ エディタを開始します。
  2. HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Blast\Config レジストリ キーに移動します。
  3. プロトコルの範囲を指定するには、2 つの新しい文字列 (REG_SZ) 値(SslProtocolLowSslProtocolHigh)を追加します。
    レジストリ値のデータは、 tls_1.1tls_1.2 のいずれかにする必要があります。プロトコルを 1 つのみ有効にするには、両方のレジストリ値に同じプロトコルを指定します。レジストリ値が存在しないか、データが 3 つのうちのいずれかのプロトコルに設定されていない場合は、デフォルトのプロトコルが使用されます。
  4. 暗号のリストを指定するには、新しい文字列 (REG_SZ) 値 (SslCiphers) を追加します。
    レジストリ値のデータ フィールドに暗号化スイートのリストを入力するか貼り付けます。次に例を示します。 
    ECDHE-RSA-AES256-SHA:HIGH:!AESGCM:!CAMELLIA:!3DES:!EDH:!EXPORT:!MD5:!PSK:!RC4:!SRP:!aNULL:!eNULL
  5. VMware Blast Windows サービスを再起動します。

結果

デフォルトの暗号化リストを使用するように戻すには、SslCiphers レジストリ値を削除して、Windows サービスの VMware Blast を再起動します。値のデータ部分は削除しないでください。値のデータ部分を単に削除すると、HTML AccessAgent は、OpenSSL 暗号化リスト形式の定義に従って、すべての暗号化を許可しなくなります。

HTML AccessAgent が起動すると、ログ ファイルにプロトコルと暗号化の情報が書き込まれます。ログ ファイルを調べると、有効になっている値を判断できます。

注: デフォルトのプロトコルと暗号化スイートは、ネットワーク セキュリティのベスト プラクティスの進展に伴い、変更される可能性があります。