VMware Horizon で無効になった古いプロトコルと暗号化方式

いくつかの古いプロトコルと暗号化方式は安全ではないと見なされ、VMware Horizon 8 ではデフォルトで無効になっています。必要な場合には、これらを手動で有効にできます。

無効なプロトコルと暗号

VMware Horizon 8 では、次のプロトコルと暗号がデフォルトで無効になっています。

SSLv3
詳細については、「http://tools.ietf.org/html/rfc7568」を参照してください。
TLSv1 と TLSv1.1
詳細については、「https://datatracker.ietf.org/doc/html/rfc8996」および「https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r2.pdf」を参照してください。
RC4
詳細については、「http://tools.ietf.org/html/rfc7465」を参照してください。

DHE 暗号化スイート

DSA 証明書に準拠する暗号化スイートは、Diffie-Hellman 短期鍵を使用しており、Horizon 6 バージョン 6.2 から、これらのスイートはデフォルトでは無効になっています。詳細については、「http://kb.vmware.com/kb/2121183」を参照してください。

Connection Server のインスタンスと VMware Horizon 8 デスクトップでは、Horizon LDAP データベース、locked.properties ファイル、またはレジストリをこのガイドの説明に従って編集し、これらの暗号化スイートを有効にすることができます。「グローバルな承諾ポリシーと提案ポリシーの変更」、「各サーバでの承諾ポリシーの構成」、および「VMware Horizon 8 環境のリモートデスクトップでの提案ポリシーの構成」を参照してください。次の 1 つまたは複数のスイートを含む暗号化スイートのリストを、この順番で定義できます。

TLS_DHE_DSS_WITH_AES_128_GCM_SHA256（TLS 1.2 のみ、FIPS は対象外）
TLS_DHE_DSS_WITH_AES_256_GCM_SHA384（TLS 1.2 のみ、FIPS は対象外）
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256（TLS 1.2 のみ）
TLS_DHE_DSS_WITH_AES_128_CBC_SHA
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256（TLS 1.2 のみ）
TLS_DHE_DSS_WITH_AES_256_CBC_SHA

Horizon Agent Direct-Connection プラグインマシンでは、『Horizon 8 インストールとアップグレード』ドキュメントの「Horizon Agent マシンにおける SSL/TLS での強度の低い暗号化方式の無効化」の手順に従って操作するときに、暗号化方式のリストに以下を追加することで、DHE 暗号化スイートを有効にできます。

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

注： ECDSA 証明書のサポートは、有効にできません。これらの証明書は、これまで一度もサポートされたことがありません。

SHA-1

FIPS モードでは、証明書が SHA-1 で署名されている場合、「Certificates do not conform to algorithm constraints」というエラーで証明書の検証に失敗します。これは、ルート証明書を含むチェーン内のすべての証明書に該当します。この署名アルゴリズムが廃止された理由の詳細については、「https://cabforum.org/wp-content/uploads/BRv1.2.5.pdf」を参照してください。

可能であれば、失敗した証明書を置き換えます。できない場合は、LDAP を編集して SHA-1 署名を再度有効にすることができます。[CN=Common,OU=Global,OU=Properties,DC=vdi,DC=vmware,DC=int] に移動します。カンマ区切り値のリストに [rsa_pkcs1_sha1] を追加して、[pae-SSLClientSignatureSchemes] の属性を変更します。変更した属性を保存し、クラスタ内の各 Connection Server で Connection Server サービスを一度に 1 つずつ再起動します。

転送セクレシ (PFS) なし

詳細については、「https://datatracker.ietf.org/doc/html/rfc7525」を参照してください。転送セレクシー (PFS) のないキー交換アルゴリズムを指定する暗号化スイートは、デフォルトで無効になっています。これらの暗号化スイートを有効にする方法については、このトピックの別のセクションを参照してください。

プロトコルの再有効化

上記のプロトコルは適切な理由で廃止されましたが、1 つ以上のプロトコルを再度有効にしなければならない場合があります。その場合は、次の手順でプロトコルを有効にできます。

Connection Server のインスタンスおよび VMware Horizon 8 デスクトップについては、構成ファイル C:\Program Files\VMware\VMware View\Server\jre\conf\security\java.security を編集してプロトコルを有効にできます。ファイルの中央付近に、jdk.tls.disabledAlgorithms と jdk.tls.legacyAlgorithms という複数行のエントリが 2 つあります。jdk.tls.legacyAlgorithms にプロトコルが指定されている場合は、このエントリからプロトコルとその後に続くカンマを削除します。jdk.tls.disabledAlgorithms にプロトコルが指定されている場合は、ここからプロトコルを削除して、それをjdk.tls.legacyAlgorithms に[追加]します。このファイルを変更したら、Connection Server または Horizon Agent マシンを再起動します。

また、『Horizon 8 インストールとアップグレード』ドキュメントの「Connection Server からの vCenter Server 接続での TLSv1 の有効化」セクションも参照してください。

Horizon Agent Direct-Connection（旧称 VADC）マシンでは、『Horizon 8 インストールとアップグレード』ドキュメントの「Horizon Agent マシンにおける SSL/TLS での強度の低い暗号化方式の無効化」の手順を行うときに、暗号リストに行を追加することで、プロトコルを有効にできます。たとえば、RC4 を有効にするには、次のように追加します。

TLS_RSA_WITH_RC4_128_SHA