各 Connection Server インスタンスでローカルな承諾ポリシーを指定するには、プロパティを locked.properties ファイルに追加する必要があります。locked.properties ファイルがまだサーバにない場合は、作成する必要があります。

secureProtocols を追加します。構成するセキュリティ プロトコルごとに n 個のエントリ。次の構文を使用します。secureProtocols.n=security protocol

enabledCipherSuite を追加します。構成する暗号化スイートごとに n 個のエントリ。次の構文を使用します。enabledCipherSuite.n=cipher suite

変数 n は、エントリの各タイプに連続的に追加する整数(1、2、3)です。

honorClientOrderエントリを追加して、暗号化スイートの順序を制御します。通常、サーバでの暗号化スイートの順序は重要ではなく、クライアントの順序が使用されます。サーバの暗号化スイートの順序を使用する場合には、次の構文を使用します。 

honorClientOrder=false

locked.properties ファイルのエントリの構文が正しく、暗号化スイートやセキュリティ プロトコルの名前が正しい綴りになっていることを確認してください。このファイルに誤りがあると、クライアントとサーバ間のネゴシエーションに失敗する場合があります。

手順

  1. Connection Server コンピュータ上で、TLS/SSL ゲートウェイ構成フォルダ内の locked.properties ファイルを作成または編集します。
    例: install_directory\VMware\VMware View\Server\sslgateway\conf\
  2. secureProtocols.nenabledCipherSuite.n エントリに、関連するセキュリティ プロトコルと暗号化スイートを含めて追加します。
  3. locked.properties ファイルを保存します。
  4. VMware Horizon Connection Server サービスを再起動して変更を有効にします。

例: 各サーバでのデフォルトの承諾ポリシー

次の例は、デフォルトのポリシーを指定するために必要な locked.properties ファイルのエントリを示しています。 

# The following list should be ordered with the latest protocol first:

secureProtocols.1=TLSv1.2

# This setting must be the latest protocol given in the list above:

preferredSecureProtocol=TLSv1.2

# The order of the following list is unimportant unless honorClientOrder is false:

enabledCipherSuite.1=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
enabledCipherSuite.2=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
enabledCipherSuite.3=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
enabledCipherSuite.4=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

# Use the client's ordering of cipher suites (ignores the ordering given above):

honorClientOrder=true
注: FIPS モードの場合、GCM 暗号化スイートのみが有効になります。