VMware Horizon 8 は、多くの公開キー証明書を使用します。これらの証明書の一部は、信頼できるサードパーティが関与するメカニズムで検証されていますが、これにより、必要な精度や速度、柔軟性が提供されるとは限りません。VMware Horizon 8 は、いくつかの状況でサムプリントの検証というメカニズムを使用します。
サムプリントの検証では、個々の証明書フィールドを検証したり、信頼チェーンを構築することはありません。証明書をトークンとして扱い、バイト シーケンス全体(またはその暗号ハッシュ)と事前共有のバイト シーケンスまたはハッシュと比較します。これは通常、別の信頼チャネルとジャストイン タイムで共有されるため、サービスから提示された証明書が、予期した証明書と完全に一致するかどうか検証することができます。
Horizon Message Bus は、コネクション ブローカー間の通信だけでなく、Horizon Agent とコネクション ブローカー インスタンス間の通信でも使用されます。セットアップ チャネルはメッセージごとの署名とペイロード暗号化を使用しますが、メイン チャネルは TLS 相互認証で保護されています。TLS チャネルでチャネルを保護している場合、クライアントとサーバの両方の認証で TLS 証明書とサムプリントの検証が行われます。Horizon Message Bus の場合、サーバが常にメッセージ ルーターになります。メッセージ ルーターがこのようにメッセージを共有しているため、クライアントがメッセージ ルーターになる場合もあります。ただし、クライアントは、コネクション ブローカー インスタンスか Horizon Agent のいずれかです。
最初の証明書のサムプリントとセットアップ メッセージの署名キーは、さまざまな方法で提供されます。コネクション ブローカーでは、証明書のサムプリントが LDAP に保存されます。このため、Horizon Agent が任意のコネクション ブローカーに接続し、すべてのコネクション ブローカーが相互に通信を行うことができます。Horizon Message Bus のサーバとクライアントの証明書は自動的に生成され、定期的に交換されます。失効した証明書は自動的に削除されるため、手動で操作を行う必要はありません。メイン チャネルの両端の証明書はスケジュールに従って自動的に生成され、セットアップ チャネルで交換されます。これらの証明書を自分で置きかえることはできません。期限切れの証明書は自動的に削除されます。
同様のメカニズムがポッド間通信にも適用されます。
他の通信チャネルではユーザー提供の証明書を使用できますが、デフォルトは証明書の自動生成です。これには、セキュアなトンネル、登録サーバ、vCenter Server との接続、表示プロトコル、補助チャネルなどが含まれます。これらの証明書を交換する方法の詳細については、『Horizon 8 の管理』ドキュメントを参照してください。デフォルトの証明書はインストール時に生成されますが、PCoIP を除き、自動的に更新されることはありません。公開鍵基盤 (PKI) で生成された証明書を PCoIP で使用できない場合、スタートアップ時に新しい証明書を自動的に生成します。公開鍵基盤 (PKI) で生成された証明書を使用する場合でも、これらのチャネルの大半にサムプリントの検証を使用できます。
vCenter Server 証明書の検証では、複数の技術が使用されます。コネクション ブローカー インスタンスは常に、受信した証明書の検証で公開鍵基盤 (PKI) を使用します。この検証に失敗した場合、証明書の確認後、Horizon 管理者は接続の続行を許可できます。コネクション ブローカーはサムプリント検証を使用して、証明書の暗号化ハッシュを記憶し、ユーザー不在時に使用します。